guten tag.

ich habe ein back2desktop problem (anderer threat). mittlerweile habe ich herausgefunden (also hoffentlich) woran es liegt. ich habe eine anwendung namens pokapoka63.exe laufen (vgl. pokapoka62.exe) welche dafür (angeblich) verantwortlich sein soll. sie liegt im verzeichnis c:\windows\etb\
ich kann NUR über die konsole in das verzeichnis gelangen. es wird mir unter windows nicht angezeigt.

wie werde ich dieses schändliche programm wieder los? mein aktueller free-av war erfolglos. probiere gerade etwas von a² aus. sollte das nichts bringen, so versuche ich winXP im abgesicherten modus zu starten und alles von hand zu löschen.

für tips und tricks bin ich dankbar!

gruß, B.

poste einen hijackthis log. Damit kann man die entsprechenden dateien aus dem autostart nehmen und dann löschen

ich glaube, es hat sich erübrigt. konnte alles entfernen und habe mein system grundgereinigt. jetzt würde ich nur noch gerne wissen, woher ich dieses ding hatte.
aber eine positive sache hatte das ganze... nun weiß ich wenigstens, was malware ist

gruß, B.

mein aktueller free-av war erfolglos.

...wie zu erwarten war. virenscanner sind zwar ganz toll, wenns ums scannen einzelner dateien zb beim pop3-abruf geht. gegen trojaner/viren, die per activex oder netzwerkfreigaben installiert werden, sind sie allerdings regelmässig machtlos. sie fixen halt keine registry einträge.


gruss
fat.

Hi,
hab auch das problem mit pokapoka62.exe , pokapoka63.exe und pokapoka65.exe ! Hab keine ahnung woher das kommt. hab mich schon informiert wie ich das los werde, aber check da irgentwie nix.
allerdings hab ich hier mal das logfile von hijackthis:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 13:38:58, on 09.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.exe
C:\windows\system32\spoolsv.exe
C:\windows\etb\pokapoka62.exe
C:\windows\etb\pokapoka65.exe
C:\Programme\a2\a2guard.exe
C:\windows\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\windows\system32\crypserv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Familie.ALDI.002\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.directsearchzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.directsearchzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.directsearchzone.com/sp2.php
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [System service62] C:\windows\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service65] C:\windows\etb\pokapoka65.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System service63] C:\windows\etb\pokapoka63.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c1.cab
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\windows\SYSTEM32\crypserv.exe
O23 - Service: hp service (Hpsys) - Unknown owner - C:\WINDOWS\System32\hpsys.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe (file missing)
O23 - Service: MSUpdate (Microsoft Update Service for 2005) - Unknown owner - C:\WINDOWS\msupdate24.exe (file missing)
O23 - Service: Personal Document Firewall (PDFW) - Unknown owner - C:\WINDOWS\pdf.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: System Messenger Service (WINSMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: XP Services Admin - Unknown owner - C:\WINDOWS\winservice (file missing)



==============================

Hijack This Starten ==> Button: Noone of the above just start the programm ==> Button Scan ==> Die Checkbox vor folgenden Einträgen Aktiviren ==> Button Fix Checked ==> Neustart

O4 - HKLM\..\Run: [System service62] C:\windows\etb\pokapoka62.exe

O4 - HKLM\..\Run: [System service65] C:\windows\etb\pokapoka65.exe

==============================

Und dann das machen:

Nail.exe/Software-aurora /Sahagent

http://bilder.informationsarchiv.net/Ni ... _It__s.zip
Anleitung:

==>Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt

http://www.emsisoft.de/de/

dort kannst du dir ein programm zum bereinigen deines rechners runterladen. musst ein bisschen gucken (free-version).

es gibt auch ein a²-hijackthis... nicht schlecht. wenn ich die urls wieder finde, dann poste ich sie.

gruß, beeblebrox.

so, das mit hijackthis hab ich gemacht aber das:

Nail.exe/Software-aurora /Sahagent

http://bilder.informationsarchiv.net/Ni ... _It__s.zip
Anleitung:

==>Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt

...versteh ich nich, bzw. kann nich der anleitung folgen

Auf den Link klicken (und die Datei downloaden) ==> Mit windows-Compressed-Folder oder Winzip entpacken ==> (in einen beliebigen ordner) Und dann doppelklick auf die datei "FindIt.bat" machen. ==> Ein Texteditor öffnet sich ==> Alles abkopieren ==> Hiwer posten.

so hier ist der text der im editor erschienen ist:

Code: Alles auswählen

Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX!  C:\windows\SVCPROC.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX!  C:\windows\System32\DRPMON.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

* SAHAgent  C:\windows\System32\5RKAL22Q.INI
* SAHAgent  C:\windows\System32\8DDI6KQ7.INI
* SAHAgent  C:\windows\System32\OT1IKQNV.INI
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Checking Windir\svcproc.exe and nail.exe.

svcproc.exe
»»»»» Checking for System32\DrPMon.dll.

DrPMon.dll
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C2C-BEF9

Verzeichnis von C:\windows\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C2C-BEF9

Verzeichnis von C:\windows\system32


»»»»»»»»»»»»»»»»»»»»»»»».



FORMATIERE !!!!!!!!!!
nur einer der vielen, vielen Viren, die du auf dem PC hast.....
http://www.trendmicro.com/vinfo/virusen ... J&VSect=Sn

und dann denke mal ueber die WindowsUpdates nach ....

ähm, ich hoffe mal du meinst mit formatieren jetzt nicht die partition c löschen naja, also nich mehr den vorgang den du mir eben geraten hast mit diesem finddat.bat oder so?

ich habe selten so einen verseuchten PC gesehen, ein Wunder, dass der Rechner ueberhaupt noch funktioniert...eine Reinigung lohnt sich nicht..... das habe ich entschieden, nachdem ich mir mal alles genauer angesehen habe ...
Nimm also diese Virenschleuder aus dem Netz, formatiere C und besorge dir eine CD mit SP2, bevor du wieder ins netz gehst.

Kann man denn feststellen ob sich die viren zB jetz auch in mir wichtigen word dokumenten o.ä. befinden, oder sind die "nur" im windows ordner? weil ich natürlich nich meine ganzen dateien ohne weiteres formatieren möchte, falls ich noch was retten kann.

von C:\ ist nichts mehr zu retten, nur wenn du noch eine andere Partition hast.
(World-Dokumente kannst du abspeichern , das ist kein Problem)