Mipony-Verknüpfung im Browser entfernen + Lollipop, Desk365, addlyrics, Optimizer Pro
 

Liebe Trojaner Board Freunde,
erstmal möchte ich vorausschicken, selbst wenn ich keine Hilfe bekomme, ich finde eure Seite und Helfer super und verfolge seit fast genau 10 Jahren immer wieder gerne eure Hilfen und Beiträge.
Zum Thema:
Vor wenigen Monaten hab ich mir AdwareCleaner installiert, sowie Dr Hardware, wegen Tastaturwechsel des Acer Laptop 5750G, Betriebssystem Windows 7, bei 64 Bit Infrastruktur. Durch eines dieser Programme, bekam ich gleich 5 unerwünschte Programme wie Lollipop, Desk365, addlyrics, Optimizer Pro, welche auf einen Schlag ungefragt mitkamen, und Mipony durch ein anderes Programm, auf den Computer.
Ich deinstallierte alle 5 Programme. Durch eine Suche auf Laufwerk C: auch die Ordner und Dateien, die eben nie vollständig deinstalliert werden (Nach Ordneransicht "Anzeigen Versteckter Dateien" und "Systemdateien").
Trotzdem habe ich im IE 11, wenn irgendwo etwas auf einer Seite runterladbar ist, unter "Extras" in der Browserleiste den Reiter "Mit Mipony herunterladen", einen toten Link, denn es scheint (offensichtlich!) nichts runtergeladen zu werden, da keine Bestätigung, kein gar nix kommt.
Ich würde gerne alle Reste, sowie das wichtigste, eventuelle, "Registry-Einträge" und "BHOs" dieser Programme entfernen, die ich noch vermute.
Muss aber sagen, daß ich keine Mucken habe, PC läuft, nur die Maus macht links Doppelklicks, also die linke Taste ist überempfindlich, was wahrscheinlich andere Ursachen hat. Habe auch nicht die Tastenbelegung getauscht. Die Maus ist auch paarmal runtergefallen, sehe keinen Zusammenhang mit dem Problem.
Da ich Webseiten und externen Server betreibe darf und kann ich kein Risiko eingehen.
TuneUp Utilities 2014 konnte mir auch nicht helfen, das ist nur für groben Müll, nicht für Fragmente von den 5 unerwünschten Programmen die sich eventuell in Registry etc festgesetzt haben.

Vielen Dank für jede Hilfe und Inspiration zur Lösung

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ich nutze ausser Microsoft Essentials keine Virenscanner, bzw keine Antiviren Programme.
Essentials wurde nicht fündig. Werde wie vorgeschlagen Farbar installieren und den Log posten.
Oder soll ich Malwarebytes auch installieren und den Log posten? Da ich ja keine Logs habe aus der Vergangenheit.
Danke und viele Grüsse

Mach erstmal nur die FRST Logs

Hallo Cosinus,
schon bei dem ersten Scan bekomme ich eine Fehlermeldung von Farbar:

http://www.bilder-designs.de/images/x24c.jpg

Ich habe dann erst auf "Wiederholen" geklickt, worauf die Meldung stets wieder erschien, als ich jedoch auf "Abbrechen" klickte, ging der Scan weiter.
Ich poste nach einem Neustart das Ergebnis vom dritten Scan.
Viele Grüsse

Alle Programme beenden, FRST nochmal starten, Haken setzen bei Additions und Scan wiederholen

Hallo Cosinus,
sorry, daß ich erst so spät zurück bin. Also nach Neustart und genau nach Anweisung kam wieder der Fehlercode. Ich gehe auf "Abbrechen" und der Scan wurde fortgesetzt.
Hier das Ergebnis:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Hier die Addition.txt:
Vielen Dank für deine Hilfe!

Da gefällt mir einiges nicht. Bitte nen Lauf mit CF machen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Cosinus,
hier die Log.txt von ComboFix

Zusatz: Er hat mir die martinakos.exe gelöscht. Das ist ein von mir erstellter Banner mit Gif Animator, der aber (testweise) von mir als exe abgespeichert wurde auf altem PC erstellt und nur mitgenommen als Datensicherung. Egal. Nicht schlimm, Hab ihn noch als .swf Datei und .gif.
Muss mich auch berichtigen die 4 Malware Programme kamen nicht von AdwareCleaner, sondern von CCleaner. Hatte aber trotzdem mit Adware eine Bereinigung durchgeführt als ich diese Programme entdeckte.

Danke für die Hilfe!

Hallo Cosinus,
habe einen großen Fehler gemacht. Hatte Combofix nicht auf dem Desktop gespeichert, sondern in einem Ordner in D: deshalb kopierte ich jetzt die Programmdatei nach dem letzten Scan auf den Desktop, und führte nach Neustart den Scan erneut durch. Aaaaber... als der Rechner hochgefahren war, fragte mich ein Fenster ob ich den USB-Fernanschluss von clickonce.avm.de installieren will. Dabei war das Programm schon Jahre drauf, es macht ja eine Verbindung vom Laptop über WLAN mit dem an der Fritzbox angeschlossenen HP-Drucker/Scanner/Fax Gerät. Das wurde wohl beim ersten Scan deinstalliert. Es fehlen rechts ebenfalls andere Programme wenn ich die ausgeblendeten Symbole rechts unten in der Taskleiste einblende, wie NVIDIA Steuerung, Rapidstore, Logitech Mauseinstellungen (Setpoint). Ich mache gleich Neustart und schaue ob es nur temporär ist durch den 2.Scan, hier ist jedenfalls die ComboFix Log Datei des 2.ten Scans.
Viele Grüsse und Danke für die Hilfe, bin gespannt was Du schreibst.

Also, alle Autostart Programme waren wieder drin nach dem Neustart, ausser der FritzBox-Fernanschluss, der wieder fragte ob ich ihn installieren will. Er ist ja von einer vetrauenswürdigen Quelle, man kann unter Infos, in dem Fenster sogar vor der Install, die Signatur, Verfikation (VeriSign) etc pp ansehen. Das habe ich auch getan und ihn wieder installiert. Also äußerlich alles im Rahmen. Habe nach den Scans auch die Logs hier durchgesehen und anderem Reste von OptimizerPro und Mipony gesehen. Bin weiter gespannt und warte bis Du wieder da bist.
Viele Grüsse

Adware/Junkware/Toolbars entfernen


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Cosinus,
ich danke Dir von ganzem Herzen. Ich bin schon in End-Jubel-Stimmung, obwohl ich noch gar net weiss, ob wir am Ende sind, lach. Aber ich hab's schon jahrelang gewusst, ihr von Trojaner-Board.de seit deeeer Hammer. Und ehrlich, das ist heute rar im Geschäft und überhaupt.
Hier die Ergebnisse:
Scan von AdwCleaner:
AdwCleaner Logfile:
--- --- ---


Hier der Scan von JRT:
Ich habe am Ende noch zwei allgeine Fragen, wenn wir fertig sind. Obwohl die Verknüfung ist noch im IE drin von Mipony.

Hallo Cosinus, hier die Ergebnisse:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Addition:
Danke für die Hilfe!

Die Ergebnisse von FRST sind in meinen letzten Post gerutscht.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hallo Cosinus,
habe beim Antworten die gleiche Funktion wie beim Editieren hier im Forum. Hoffe Du siehst, daß ich geantwortet und die Logfiles gepostet habe. Aber denke, Ihr wisst das schon. Wollte mich nur noch mal bemerkbar machen, lach.
Ups, sorry, Du hast zur gleichen Zeit geantwortet wie ich, bis gleich.
Viele Grüsse

Hallo Cosinus,
hier die Fixlog.txt die FRST erstellte und gegen die Fixlist.txt tauschte.

Danke und viele Grüsse

Habe vorhin festgestellt, daß Google, wenn ich es im IE öffne, eine blaue Leiste oben erscheint und gefragt werde ob ich schneller zu Googlle will, obwohl der sowieso mein Standartsuchanbieter ist. Dann kommt das zweite Fenster, wo es sogar gesagt wird. Ich denke es ist vielleicht auch ein Betrugsversuch. Hatte in 10 Jahren, nie Viren, obwohl ich ohne Virenprogramm bin, ausser Essentials, das ist wegen der Hilfe hier aber deaktiv. Habe immer auf mein Bauchgefühl geachtet, und nie was geklickt, hatte auch gute lehrer, aber sie werden immer perfider, diese Malware fing ich mir ja auch durch Programme ein, die eigentlich das Gegenteil tun sollten. Weiss nicht ob ich paranoid werde, meine ich wirklich im ernst, oder ob es die ersten positiven Auswirkungen unserer Bereinigung sind, aber ich traue dem nicht. Ich habe es natürlich jedesmal weggeklickt. Werde alle Cookies löschen und temporären Internetdateien, aber denke wird nichts bringen. Google ist hartnäckig wie Microsoft. Hab auch nix an dem PC gemacht, seit ich hier bei Trojaner Board in der Bereinigung bin.
Hier die Screens:
http://www.bilder-designs.de/images/x25c.jpg

http://www.bilder-designs.de/images/x26c.jpg

Problem nur im IE?
IE mal komplette zurückgesetzt?

(nutzt du nur den IE??? :wtf: :eek: )

Nein, benutze auch Firefox. Aber meistens den IE11. Aber im moment wird alles schlimmer. Ich wurde von meinem Forum, als ich im Browser eine Seite zurückging auf hxxp://98uj8.de/123456 (Verschiedene Zahlen nicht in dieser Reihenfolge) weitergeleitet. Komisch. Sowas hatte ich auch noch nie. Da tun sich ja Abgründe auf im Moment. Anscheinend hast du schlafende Hunde geweckt, seufz und lach.
Hab nach der domain gegoogelt, und da kam nix gutes. Ich setze ihn mal zurück in den Einstellungen.
Viele Grüsse

Nach dem Zurücksetzen und Neustart, und wieder Anpassungen wie Symbolleisten, Startseite, und diversen kleinen Einstellungsänderungen wieder da.
So die blaue Leiste ist weg. Im Forum war diese Umleitung nicht mehr da, vielleicht war es nur ein Zufall.
Mipony-Verknüpfung im IE ist auch weg. Nee, ich glaub es nicht.
Das kann doch net wahr sein.
Muss mich berichtigen, blaue Leiste ist wiedergekommen, also doch noch da. Hatte wohl Anlaufprobleme das Teil. Verstehs nicht.