Zitat:

Zitat von deeprybka

Also, in meinem ersten Posting stehen klare Regeln. Eine "Bereinigung" macht keinen Sinn, wenn zwischenzeitlich (ohne Anweisung) Veränderungen am System vorgenommen werden.

'tschuldigung ... ich werde mich jetzt auf die Fingerchen setzen

Zitat:

Zitat von deeprybka

Schritt 1

Bitte deinstalliere folgende Programme:

Classic Shell
Start Menu


Versuche es bei Windows 8 mit der Windowstaste + X über .


Hat das funktioniert?

Die Deinstallierung lief, es kam eine Meldung auf Englisch, dass manche Files erst nach einem Neustart gelöscht werden können. Nach dem Neustart läuft Pokki aber wieder. Und wenn ich auf das Startmenü klicke, öffnet sich der Explorer nach C:\windows\system32

Du hast auch alle drei Start Menu Einträge deinstalliert?

Also Classic Shell ist weg und Start Menu reagiert nicht auf den "Deinstallieren-Button" bzw. öffnet sich wieder das Explorer-Fenster.

Ehrlich gesagt dachte ich, dass Classic Shell Start Menu ein Programm sei ... Habe es jetzt erst nach deinem Hinweis gesehen, dass es ein Extraprogramm ist.

Welches dritte Programm meinst du?

Code: Alles auswählenAufklappen

ATTFilter

Start Menu (HKU\S-1-5-21-3849078824-1998892333-212427256-1001\...\Pokki_Start_Menu) (Version: 0.269.7.575 - Pokki)
         

Ist ja noch installiert. Mal mit revo versuchen...

Gefunden und deinstalliert. Revo ist aber noch nicht abgeschlossen, denn nun fragt er mich unter "Übriggebliebene Dateien und Ordner gefunden", ob ich 871 Einträge löschen will. Darf ich die alle löschen?

Programme entfernen mit Revo Uninstaller - Anleitungen

Das ist Dir bekannt?

Erledigt.

Pokki ist aus der Symbolleiste verschwunden. Das "Haus" hat keine Funktion mehr.

Langsam wird mir auch klar, was es mit Pokki auf sich hat

Muss ich mir jetzt noch Gedanken um diese homepage-web-com-Seite machen?

Hi,
mach bitte folgende Scans:

Schritt 1

• Schließe alle offenen Programme und Browser.
• Starte bitte Adwcleaner.
• Klicke auf Suchen und warte, bis der Suchlauf abgeschlossen ist.
• Klicke nun auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
  Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Sx].txt. (x = fortlaufende Nummer).

Neue Version:

Schritt 2

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4



Bitte starte FRST erneut, markiere auch die checkbox und drücke auf Scan.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Hallo

Schritt 1



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code: Alles auswählenAufklappen

ATTFilter

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\...\RunOnce: [Application Restart #4] => C:\Users\Andrea\AppData\Local\Pokki\Engine\
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [Application Restart #4] => C:\Users\Andrea\AppData\Local\Pokki\
C:\Users\Andrea\AppData\Local\Pokki\ 
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage-web.com/?s=hp&m=start
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage-web.com/?s=hp&m=start
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3849078824-1998892333-212427256-1001 -> {C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} URL = hxxp://search.homepage-web.com/?src=omnibox&partner=hp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} URL = hxxp://search.homepage-web.com/?src=omnibox&partner=hp&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://homepage-web.com/?s=hp&m=start"
         

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

• Starte FRST und drücke auf den Fix-Button.
• Das Tool erstellt eine "Fixlog.txt" -Datei.
• Poste mir bitte deren Inhalt.

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?

N'Abend, Jürgen,

hier ist der Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by Andrea at 2015-04-07 21:49:59 Run:1
Running from C:\Users\Andrea\Desktop
Loaded Profiles: Andrea &  (Available profiles: Andrea)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\...\RunOnce: [Application Restart #4] => C:\Users\Andrea\AppData\Local\Pokki\Engine\
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [Application Restart #4] => C:\Users\Andrea\AppData\Local\Pokki\
C:\Users\Andrea\AppData\Local\Pokki\ 
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage-web.com/?s=hp&m=start
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage-web.com/?s=hp&m=start
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3849078824-1998892333-212427256-1001 -> {C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} URL = hxxp://search.homepage-web.com/?src=omnibox&partner=hp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} URL = hxxp://search.homepage-web.com/?src=omnibox&partner=hp&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://homepage-web.com/?s=hp&m=start"
         
*****************

Processes closed successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => value deleted successfully.
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #4 => value deleted successfully.
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #4 => value deleted successfully.
C:\Users\Andrea\AppData\Local\Pokki => Moved successfully.
C:\windows\system32\GroupPolicy\Machine => Moved successfully.
C:\windows\system32\GroupPolicy\GPT.ini => Moved successfully.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\S-1-5-21-3849078824-1998892333-212427256-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully.
HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main\\Start Page => Value was restored successfully.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
"HKU\S-1-5-21-3849078824-1998892333-212427256-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C2C51AE5-D5FE-11E4-829C-A0D3C14240F3}" => Key deleted successfully.
HKCR\CLSID\{C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} => Key not found. 
"HKU\S-1-5-21-3849078824-1998892333-212427256-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C2C51AE5-D5FE-11E4-829C-A0D3C14240F3}" => Key deleted successfully.
HKCR\CLSID\{C2C51AE5-D5FE-11E4-829C-A0D3C14240F3} => Key not found. 
Chrome StartupUrls deleted successfully.


The system needed a reboot. 

==== End of Fixlog 21:50:15 ====
         

Zitat:

Zitat von deeprybka

Gibt es jetzt noch Probleme mit dem PC? Wenn ja, welche?[/COLOR][/B]

Hm, nein, mir ist nichts aufgefallen Ich benutze ja nur FF und die genannte Webseite wird nicht mehr geöffnet. Startmenü Pokki macht keine Probleme mehr, ist sozusagen von der Bildfläche verschwunden Allerdings suche ich noch nach einer Tipp, an alle meine Programme zu kommen ...
Ich hatte gesehen, dass ich noch eine Software von Pokki am Laufen habe, nämlich Audible und überlege, ob ich die auch deinstallieren sollte. Damit kann man halt Hörbücher von der Audible-Webseite hören, aber das geht auch übers iPhone und die beiden synchronisieren sich.

Was ist mit dem Fund, welches Eset aufgespürt hat? Dieses "Variante von Win32/DownloadSponsor.C" - was ist das?

Hi,

Zitat:

Zitat von sopran

Was ist mit dem Fund, welches Eset aufgespürt hat? Dieses "Variante von Win32/DownloadSponsor.C" - was ist das?

Adware in den Temps. Irrelevant.

Gut dann sind wir fertig...


Cleanup:

Alle Logs gepostet? Ja! Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

>>clean<<
Wir haben es geschafft!
Die Logs sehen für mich im Moment sauber aus.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.

Wie kann ich mich in Zukunft besser schützen?

Tipps, Dos & Don'ts

Updates & Software

• Beim Betriebsystem Windows die automatischen Updates aktivieren.
  
  Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:
• Browser
• Java
• Flash-Player & PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.



Firewall, Antivirus & Co.

• Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
  
• Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. (Updatefunktion aktivieren!)
  Meine Empfehlungen:
  Kaspersky Antivirus
  Emsisoft Anti-Malware
  avast Free Antivirus
• Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.
  
  Optional:
• NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
  
  

Cracks, Downloads & Co.


Neben unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.
Der Besuch dubioser Websites kann bereits Risiken bergen. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher und beliebter Weg um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kann man nie sicher sein, ob auch wirklich drin ist, was drauf steht. (Trojanisches Pferd^^)

• Auch virustotal.com ist Dein Freund! Lade dubiose oder unbekannte Dateien hoch, bevor Du diese startest oder installierst.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden zu verleiten, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

• Surfe daher mit Vorsicht und klicke mit Verstand.
• Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von Dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo Deine Daten eingeben.
• Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst Du von einem Deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und Du solltest nicht denselben Fehler machen.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

• Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
• Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
• Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwarecleaner .
  

Abschließend noch ein paar grundsätzliche Bemerkungen:

• Erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
• Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Danke, Jürgen! Alles gut gelaufen ...

Prima!

Alles Gute!