Laptop full of adware

An. Pe. aus Lo. wollte sich ein Programm installieren um DVDs auf Platte zu kopieren. (W7)

Ein tolles Free-YT-Download-Programm war schnell gefunden. Im Anschluss war die Kiste nicht mehr zu gebrauchen.
Alles mögliche hatte sich eingenistet, inkl. neuer bunter Desktopsymbole.

Die übliche Vorgehensweise war über die Systemsteuerung alles zu entfernen was nach dem Stichtag installiert worden ist.
- shopperz
- mountainbike
- bubble irgendwas
- zombienews
u. v. m.
Dann über msconfig alle nicht-Microsoft Autostartprogramme deaktivert.
Anschließend neu gestartet und Malwarebytes installiert, laufen lassen und alle Funde gelöscht.
Hinterher konnten weder der IE noch FF eine Seite aufbauen. Netzwerk läuft aber, Ping nach außen ging.
Also Systemwiederherstellung, einen Tag zurück mit dem Ergebnis das auch der ganze Müll wieder da war.
Das ganze nochmal aber ohne Malwarebytes. Firefox neu geladen, aber sofort nach dem Öffnen meldeten sich neue Erweiterungen. Etwas hat überlebt und gleich jede Menge Mist wieder hochgezogen. Irgendein Shopperz ist besonders hartnäckig. Hin und wieder meldet sich auch der Lautsprecher mit seltsamen deutschen Texten ohne das es einem Programm zuzuordnen wäre.
Abhilfe hat autoruns aus der sysinternals Suite gebracht. Alles was einen verdächtigen Namen hat, habe ich aus dem Autostart entfernt. Danach Adaware drübergelassen und es war erst einmal Ruhe. Nur die Startseite von IE und Firefox war immer noch:

http://www-websearching.com.

Addons deaktivieren, deinstallieren, FF zurücksetzen hat alles nicht gebracht. Immer erscheint diese seltsame Seite.

Des Rätsel Lösung stand auf einer englischsprachigen Seite. “Shortcuts” war das Zauberwort. In den Eigenschaften der Desktopverknüpfung und des Schnellstartsymbols ist die Ursache des Übels hinterlegt.
der Standardeintrag “Ziel” muss sein:

Eigenschaften von Verknüpfung

Eigenschaften von Verknüpfung

“C:\Program Files (x86)\Mozilla Firefox”

ist aber:
“C:\Program Files (x86)\Mozilla Firefox” “http://www-websearching.com……”

einfach den zweiten Teil löschen und gut ist

Ach ja,
die DVDs waren  nicht kopiergeschützt.
Durch einfaches Kopieren der VIDEO.TS und AUDIO.TS Ordner auf die Festplatte entstanden dort lauffähige Kopien des Filmes.

Update 11.05.15
Bei Ch. He. aus Pe das gleiche Feuerwerk. Der Rechner (W7) war vor längerer Zeit schon einmal befallen. Vermutlich schlummerte noch etwas in den Tiefen der Registry, das zum Stichtag 10,05.15 allerlei Zeug erst herunter und dann wieder hochgezogen hat. Shopperz, mehrere Optimizer und weitere Schädlinge hatten sich eingenistet. Einiges lies sich auch über die Systemsteuerung nicht entfernen. Besonders hartnäckig war ein Prozess namens LolliScan. Im Taskmanager entfernt war er wenige Sekunden später wieder da. Offenbar Haben sich mehrere Prozesse gegenseitig überwacht und am Leben erhalten. Abhilfe hat der Revo Uninstaller gebracht. Alle vorher hartnäckigen Kandidaten wurden inkl. Registryreinträge entfernt (hoffentlich) . Danach noch mit MBAM drüber. Mal sehen wie lange Ruhe ist.