Trojaner-Board - Moonchild html scriptvirus

Hallo, liebe Kolleginnen und Kollegen -

Mein Betriebssystem: Windows 10.

Im Verzeichnis APPDATA erscheint immer wieder folgendes:

'C:\Users\DL1MBW\AppData\Local\Moonchild Productions\Pale Moon\Profiles\yy2r30gn.default\fireie\cache\Content.IE5\G0AI86G3\gtm[1].js'

Avira meldet: "Es wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden".

Löschen dieses Eintrags mithilfe LINUX-Bearbeitung der Festplatte kehrt er aber immer wieder zurück, Löschen im System selbst geht nicht.

Einfach das Verzeichnis "Moonchild Productions" löschen geht unter WIN10 nicht und die Zugriffsberechtigungen von APPDATA zu ändern brachte aber nur leichtes Chaos ins Betriebssystem (Browser funktionierten nicht mehr richtig).

Was verwundert ist, dass Palemoon von Moonchild Productions garnicht auf meinem PC installiert ist (vielleicht früher mal). Vielleicht gibt es einen zusammenhang mit dem Add-on "fire-IE", was früher mal installiert war.

Nachdem ich die Festplatte ausgebaut hatte und in einem anderen PC mit Linux das Verzeichnis löschen konnte, erscheint es aber nach kurzer Zeit wieder in der alten Weise
Neu-Installation von Moonchild und anschliessendes Deinstallieren half auch nicht weiter, Cleaning Programme halfen ebenfalls nicht.

Interessant ist, dass bei Zugriff auf Festplatte(n) durch das Programm "Minitool partition Wizard" das Script 2x losläuft, was Avira dann auch meldet - aber dessen Funktionen "löschen" oder "Quarantäne" funktionieren hier nicht, nur (vielleicht) "Zugriff verweigern"

Wer weiss weiter? Wie finde ich heraus welches Programm das Skript immer wieder installiert?