wie gelangen diese PUPs auf den Rechner ?

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Dieser Schlüssel gehört zum Protected Mode/Geschützter Modus.
Überprüfe mal in den Internetoptionen>Sicherheit,ob dort noch der Haken für "Geschützter Modus" aktiviert ist.Außerdem sollte der Protecdet Mode für alle Zonen des IE aktiviert sein.Sicherheitseinstellung sollte natürlich wenigstens auf Standard oder hoch stehen.Was dich da genau getroffen hat,das kann ich auch nicht genau sagen,aber es wird Anwendungen oder Browsererweiterungen dadurch möglich auch außerhalb des geschützten Modus diverse Seiten zu öffnen.

So war er eingestellt , richtig ?
Ich nutze den IE10 nur für ZDF-Nachrichten ....

Ja,diese Einstellungen sind in Ordnung. Wie schauen die anderen Zonen aus ? Vertrauenswürdige Sites....Eingeschränkte Sites.... ist dort auch der "Geschützte Modus" aktiviert ? Überprüfe mal in den anderen Zonen beim Button Sites,ob sich dort etwas eingetragen hat.Wenn du dort nichts festgelegt hast,dann sollte es dort auch keine Einträge geben.
Beispiel

Da fehlte der Haken .. hab ihn jetzt überall gesetzt.
Muss das auch bei Intranet sein ?
HCK

Im Prinzip in allen Zonen ! Man kann ja nie sicher sein.Auf jeden Fall hatte sich da wohl was eingeschlichen,was auch im geschützten Modus operieren konnte oder wollte.Leider sind bei den gefundenen Objekten bei der Schlüssel-Nummer momentan auch keine relevanten Hinweise zu finden.Das geht mal wieder in alle Richtungen....

Danke erstmal.
Seltsame Geschichte ....
Mal abwarten ...

Verdacht ...
es sind einige Mails gekommen , die von einem PUP-Verseuchten PC stammten .
Die Mailprüfung von Defender ist wohl nicht sehr gut ...
HCK

Könnte sein,muss man mal in den nächsten Tagen weiter beobachten,vielleicht haben auch andere User ähnliche Dinge auf ihrem Rechner beobachtet.Werde das mal im Auge behalten.
Wozu gehört eigentlich Performer Soft ? Kenne ich gar nicht ?

HKLM\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A)

DAS ist ja mein Problem ...
Es gibt kaum Erklärungen zu diesen Einträgen .
Wer oder was kennzeichnet sie als PUP ...
Und wie kommen die in meinen PC ...
HCK

http://msdn.microsoft.com/en-us/library/bb250462%28v=vs.85%29.aspx
Ist es doch der IE10 (Internetoptionen) , der das veranlasst ??

Da sich im Softwareschlüssel der Eintrag Performer Soft befand,sollte es auch eine Software dazu geben.Hier noch was gefunden.....schau mal,ob du noch was in deinem Rechner dazu findest. Das Removal Tool aber lieber nicht herunterladen !

http://www.sophos.com/de-de/threat-center/threat-analyses/adware-and-puas/PC%20Performer/detailed-analysis.aspx

 

st es doch der IE10 (Internetoptionen) , der das veranlasst ??

Der geschützte Modus soll ja verhindern,das sich unerwünschte Software/Malware auf deinem Computer installiert. Also liegt es auch nahe,das Schädlinge diesen Schutz/Filter versuchen zu umgehen bzw. sich dort entsprechende Rechte/Ausnahmen zu sichern,damit sie vom geschützten Modus nicht mehr erfasst werden können.

Konnte nichts finden .
Inzwischen muckte der IE10 , alles ruckelte & Flash ging nicht mehr.
Systemwiederherstellung gemacht ... Malwarebytes , prompt waren 2 wieder da.

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

http://www.scip.ch/?vuldb.9751
 

Dafür ging Flash wieder .

Alle Syswdh-Punkte gelöscht und neuen gesetzt .

Lokale & Vertrauenswürdige Seiten sind wieder ohne Haken bei geschützter Modus.
Da Vertrauenswürdige LEER ist , lass ich es mal so .

Ist schon seltsames Verhalten .

Mhhhh.....falls Wiederherstellungspunkte infiziert waren,dann hat man das ja gleich wieder im System.Solltest vielleicht mal mit Kaspersky Rescue CD einen Scann machen,nur um abzusichern.System auch schon mal AdwClenaer überprüft ?
Das ist schon recht seltsam bei dir.Standardmäßig ist aber der geschützte Modus im IE  in den Zonen "Internet"-"Intranet" und "Eingeschränkte Sites" aktiviert !

OK , ich melde mich wieder , falls es Neues gibt !!

Danke Exit !
HCK

Du hättest vor dem Löschen der Einträge mal in die Registry beim Schlüssel....Low Rights\ElevationPolicy nach den Nummern schauen sollen.Vielleicht hättest du im rechten Teilfenster zu AppPath auch den Pfad zur Anwendung erfahren,dann hättest du das eventuell schon zuordnen können !
Habe mal meinen Vista und W 7 Rechner auf diese Einträge in der Registry überprüft.Bei mir sind diese Nummern nicht zu finden! Noch ein Hinweis ! Unter HKEY_CURRENT_USER gibt es den gleichen Schlüssel.Da ist bei mir alles leer! Keine Unterschlüssel! Kontrolliere mal bei dir.

Jetzt ist der Kasper von CD aus am werken 
Musste ich ja erstmal finden , laden , brennen , starten & verstehen .
Das kann dauern , erst 1% nach ca 5 Min.

In der Reg werde ich mich später noch mal umsehen .
Welchen Schlüssel meinst Du jetzt ?
HCK