pokapoka63.exe

sonic · 16.08.2005

ok. also ich hab diesen verkackten adware aufn pc. hab mich auch schlau gegooglet, und nich wirklich was brauchbares gefunden.
hab auch kein bock langen text zu schreiben, nur halt das ich antivir,S&D,ad-aware und noch andere sachen hab durchlaufen lassen.
es aber nix bringt.

Jemand iDee?

ps: der ordner wird nich angezeigt, habs auch schonma in der registry gelöscht, kam aber wieder.is auch nich versteckt oder so.

Picard · 16.08.2005

hijackthis log hier posten

dann am besten im abgesicherten modus das ganze entfernen

bog · 16.08.2005

start, ausfuehren, cmd, "dir c:\windows\etb\pokapoka63.exe"
gibt er was aus?

[For]Hood2 · 16.08.2005

etb ist die elite tool bar. Ein Werbetrojaner der rootkit ähnlich sich versteckt.

Downloade http://www.downloads.subratam.org/LQfix.zip, starte in den abgesicherten Modus und entpacke die Zip datei. Doppelklicke auf die Batchdatei. Eine Dosbox erscheint für ne Sekunde das ist ok.

Mach einen neustart und poste ein HijackThis log.

sonic · 17.08.2005

VORHER:
Logfile of HijackThis v1.99.1
Scan saved at 01:39:23, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\etb\pokapoka63.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\sonic\LOKALE~1\Temp\Rar$EX00.063\HijackThis.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7EB5F4-0768-4AF9-804F-C817B3A90EBA}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wär nett wenn mir einer sagen würde, was dort NICHT OK is, mal von dem pokapoka abgesehn

----------------------------------------------------------------------
NACHHER:

Logfile of HijackThis v1.99.1
Scan saved at 01:47:57, on 17.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\sonic\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ok also so wie ich das seh, is das Ding weg....wird auch nichmehr bei msconfig angezeigt...DANKE!!!!
Noch eine Frage, unzwar kann man ja bei ausführen "msconfig" eingeben und dann müsste es sich ja öffnen, aber wenn ich das mach, meint er, dass "msconfig" nich gefunden werden kann, aber wenn ich es über SUCHEN eingeb, er es findet...wie kann ich das beheben?

Picard · 17.08.2005

also erstmal hast du noch sp1 drauf.
-> hättest schön fein updaten müssen

fixen würde ich:

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

---

dann scheinst du anscheinend zonealarm zu nutzen. deinstallier das und nutz lieber kerio... ich hoffe mal du hast keinen router ^^

---
nun würde ich noch nen vollen virenscan durchziehen, adaware zur sicherheit, evtl auch noch spybot.
und dann auf jedenfall die updates drauf!!

Squad · 17.08.2005

sp1, ie und zonealarm ... und dann noch wundern

naja zumindest sp2 hau drauf

sonic · 17.08.2005

Original geschrieben von TiQ.Squad.
sp1, ie und zonealarm ... und dann noch wundern

naja zumindest sp2 hau drauf

Naja kA ob sp2 geht....wegen version usw.
Ich dacht Zonealarm wär gut??? hm..ich probier mal das kiero dingsda aus.

Und IE hab ich doch deinstalliert bei SOFTWARE.....oO

Picard · 17.08.2005

!
aber kerio bitte erst installieren, nachdem zonealarm deinstalliert ist!
und den ie kann man unter xp nicht deinstallieren, du hast allerhöchstens verknüpfungen/startemenüeinträge gelöscht ^^

wie gesagt, hau die beiden dinger raus und führe mal die scans durch.

Gast · 17.08.2005

Original geschrieben von sonic
Und IE hab ich doch deinstalliert bei SOFTWARE.....oO

gib mal in die adresszeile einer laufenden "explorer.exe" eine internetadresse ein. merkst was? richtig, den IE _kann_ man nicht wirklich deinstallieren.

[For]Hood2 · 17.08.2005

Sonicmeister bleib bei Zonealarm Kerio hätte das auch nicht verhindert. Wenn Du damit umgehen kannst und Du keine Probleme hast bleib dabei.

Bevor Du Sp2 installierst:

Stell sicher das Du die aktuelle Version von Zonealarm drauf hast.
Dann donwloade und installiere Adaware. Mache einen Full systemscan

Dann installiere Spybot und mache einen Systemscan.

Sind Adaware und Spybot clean installiere Sp2 UND alle nachfolgenden Sicherheits updates.

sonic · 17.08.2005

Ich dank euch erstmal für die ganzen Anworten, habt mir geholfen! Ich wer diese Kiero da mal testen, also ich hatte mit Zonealarm noch nie irgendwelche Probleme.

Danke!!!! :top2:

sonic · 19.08.2005

Okei, also hab SP 2 draufgeknallt. Diese Kerio gefil mir nich, hab Zonealarm wieder drauf gemacht, dennoch danke.

Hier is mal wieder der Log.

Logfile of HijackThis v1.99.1
Scan saved at 12:13:15, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Dokumente und Einstellungen\sonic\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C7EB5F4-0768-4AF9-804F-C817B3A90EBA}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wat gibbet zu bemängeln?

Dann hab ich noch zwei Fragen. Als ich SP II installiert hab, erschienen zwei neue Sachen in der Systemtray, die da wieder weg sollen, einmal die Lan-Verbindung, die es eigentliuch ja nich gibt, sondern halt nur mit dem Netz. Und einmal "Windows-Sicherheitswarnung" also der hat da jetzt autoamtisch ne FW reingeknallt obwohl ich das nich will..und deaktivieren geht auch net.

HELP,thx

Picard · 19.08.2005

zum hijackthis:

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

gefällt mir garnicht -> rausmachen

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

könnte auch was sein, war ja vorher net drauf. muss aber nicht... diese datei evtl mal abscannen mitm avk?
---
mit sp2 ist das sogenannte "sicherheitscenter" dazugekommen.
unter Systemsteuerung->Sicherheitscenter kannst du das Ding administrieren, z.b. die windows firewall ausschalten (da du ja schon zone alarm drauf hast).
was dich stört sind ja wohl die warnhinweise...
auf der linken seite den link "Warnungeinstellung des Sicherheitscenters ändern" und nach belieben einstellen. aber eigentlich sollte es nicht stören, dient ja deiner sicherheit

zur lanverbindung... vllt paar mehr details,denke aber wird sicher deine internetverbindung sein ?(

sonic · 19.08.2005

da isn bild....also dsa mit dem sicherheitscenter is weg..danke..aber das lan ding... hmmm

Picard · 19.08.2005

netzwerkumgebung->netzwerkverbindungen anzeigen

rechtsklick drauf und deaktivieren.

kann eigentlich nur deine netzwerkkarte sein ?(

sonic · 19.08.2005

Original geschrieben von Picard)STF
netzwerkumgebung->netzwerkverbindungen anzeigen

rechtsklick drauf und deaktivieren.

kann eigentlich nur deine netzwerkkarte sein ?(

Wenn ich das mach geht meine Inet verbindung hin

Das muss aktiv bleiben!

[For]Hood2 · 19.08.2005

netzwerkumgebung->netzwerkverbindungen anzeigen
Lan verbindung doppelklicken, Eigenschaften, TCP/IP und vergibst eine feste IP: 192.168.12.1 und als Subnetzmask 255.255.255.0 ->Ok

sonic · 19.08.2005

Original geschrieben von [For]Hood
netzwerkumgebung->netzwerkverbindungen anzeigen
Lan verbindung doppelklicken, Eigenschaften, TCP/IP und vergibst eine feste IP: 192.168.12.1 und als Subnetzmask 255.255.255.0 ->Ok

DANKE!!!!!!!!!!!!!!!!!!

Ok ein letzte sache noch

Also kann natürlich sein, dass es an der sache mit dem TCP/IP lag..kA..also beim Start hab ich es so gemacht, dass er Zonealarm und das Antivir automatisch starte....sobald Windows da is, is das antivirschirmchen da..is aber zu! also nich offen.und erst sobald Zonealarm erscheint (nach ca. 2min) geht das Schirmchen auf und ich kann auch ins Netz.

wat das?

[For]Hood2 · 20.08.2005

Es dauert 2 min bis Zonealarm gestartet ist? Ui

Naja Windows läßt Dich erst ins Internet wenn alles gestartet ist.

Picard · 20.08.2005

hm
vertägt sich die windows firewall evtl nicht mit ZA? (wenn sie denn noch aktiv ist..)

[For]Hood2 · 20.08.2005

Zonealarm schaltet die Windwows Firewall ab bei der installation und nicht wieder an wenn man Zonealarm deinstalliert...

Jedenfalls die letzen 3 Versionen mahcten das, aktuelles Zonealarm hast Du ja oder?

sonic · 20.08.2005

Ja hab ich, aber das Problem hat sich wohl durch die Vergabe der IP's geändert, ist jetzt alles ok! 25sek und system is hochgefahrn

DANKE AN ALLE!!! :top2:

pokapoka63.exe

Erweitert

sonic

Picard

bog

[For]Hood2

Guest

sonic

Picard

Squad

Guest

sonic

Picard

Gast

Guest

[For]Hood2

Guest

sonic

sonic

Picard

sonic

Picard

sonic

[For]Hood2

Guest

sonic

[For]Hood2

Guest

Picard

[For]Hood2

Guest

sonic