OK ! 

OOOPS , welchen Schlüssel ?
Bitte hilf mir auf die Sprünge .
Das ist leider nicht so meine Welt !
HCK
Ps ...
der Kasper will noch 3 Std suchen ... 
vorläufig ....

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy 
Dort sollte es eigentlich keine Unterschlüssel geben.Es sei denn,das personalisierte Ausnahmen gesetzt wurden.

Bei

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy wirst du die Schlüssel

68B81CCD-A80C-4060-8947-5AE69ED01199
E6B969FB-6D33-48d2-9061-8BBD4899EB08

nun nicht mehr vorfinden,da du ja diese Einträge schon gelöscht hast! Es sei denn,das diese sich noch in der Quarantäne befinden.Ich würde diese wiederherstellen,damit du die Schlüsseleinträge im rechten Fenster mal kontrollieren kannst.Kann man ja anschließend auch manuell wieder löschen.

OK , kann ich beim "nächsten Mal" verwenden ... oder !?
Ich werde nicht jünger ... entschuldige die "blöde" Frage !!

Jetzt heißt es .... warten auf Kaspersky Scann .
NEU : noch 4 Stunden !
Dann bis Morgen oder so 
HCK

Schaue dann später noch mal vorbei.....


Exit

Kaspersky hat von 17:00 bis 00:14 gesucht . Ganz schön lahm.
NIX gefunden !
Protokoll gespeichert , nach Neustart ist keins zu finden ...
NANU !??

Bin erstmal müde ...
Gute Nacht .
HCK

PS :
Bleibt immer noch die Frage , WIE die in meinen PC kommen.
Evtl. zugehörige Programme waren nie installiert ...
Da ich ja immer als eingeschränkter User arbeite ....

Vielleicht eine infizierte Seite erwischt oder als Beigabe von einer anderen Software ?

XP : seltsam , Cdburnerxp-Update-Exe in TMP  wird bemeckert !
Infizierte Dateien: 1
C:\Dokumente und Einstellungen\HCK\Lokale Einstellungen\Temp\CDBurnerXP-updates\cdbxp_setup_4.5.2.4214.exe (PUP.Optional.OpenCandy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

======================================
Win7 heute !!!
Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Habe die im Bild jetzt mal alle rausgeworfen ...
HCK

Und bei W 7 gibt es keine derartige Software (PerformerSoft\PC Performer ) ??  Auch nicht im Programmordner für 64 Bit Programme? Muss ja wo herkommen ?

Und bei W 7 gibt es keine derartige Software (PerformerSoft\PC Performer ) ??  Auch nicht im Programmordner für 64 Bit Programme? Muss ja wo her kommen ?

Und unter diesen Pfaden ist auch nichts dergleichen zu finden...?

C:\Users\.....\AppData\Roaming\PerformerSoft\PC Performer
C:\Program Files (x86)\PC Performer
C:\Windows\Tasks\PC Performer_
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Performer
C:\ProgramData\TEMP.......

Nein , nichts vorhanden dort.
Habe Suchläufe nach "performer" und allen im 1. Beitrag genannten gemacht und alle entspr. Verzeichnisse auch von Hand noch mal durchgesehen ...
Zauberei !! ???
HCK

Wohl keine Zauberei....hier mal lesen....Scareware ? Kostenpflichtiges Registry-Cleaner-Programm ?
Vielleicht kann der AdwCleaner hier etwas helfen.Gibt aber auch noch andere Hinweise zum Entfernen.

http://malwaretips.com/blogs/pc-performer-virus/

AdwCleaner gibt es hier,den kennst du ja bestimmt.

http://www.chip.de/downloads/AdwCleaner_58118522.html

Dafür nutze ich (mit Vorsicht) mein TuneUp 
Die REG Einträge werden ja immer gefunden , nur KEINE Programme dazu !
HCK

Dann könnte vielleicht eine .exe Datei oder .dll Datei vorhanden sein,die nicht unbedingt den Namen des Programms trägt ! Da muss ja was sein! Unter msconfig ist nichts zu finden ? Und in den Autostart-Ordnern (Benutzerdefiniert und für das System) ist auch nichts ? Und in Sysinternals Autoruns ist auch nichts auffälliges zu finden ?