|
Acer Notebook, Win 8.1: Pokki-Infektion nach App Store update Guten Abend :crazy:, nach dem Anmelden am Notebook erscheint eine Meldung: "PC App Store aktualisiert"... und die Meldung verlangt eine OK-Bestätitigung, wobei ein Haken gesetzt ist bei Umstellung der Suche auf websearch. Diese Meldung erscheint immer wieder trotz Abbruch (OK habe ich natürlich nicht gedrückt) und Pokki lässt sich nicht komplett deinstallieren. Das Problem erschien erstmals, nachdem eine bereits vorinstallierte Wetter-App ein update verlangte, was ich dann auch angestoßen habe. Dabei ist die Pokki-Seuche installiert worden. So wie hier: http://www.trojaner-board.de/160086-...-loeschen.html Ich hoffe, jemand kann mir freundlicherweise helfen! :bussi: Danke! -------------- - Windows Defender hat nichts gefunden. Eine log-file konnte ich dort nicht erkennen. - FRST64 Part 1 Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015Rest kommt noch... |
Part 2 Code: 2015-03-20 08:57 - 2014-10-29 03:48 - 01364992 _____ (Microsoft Corporation) C:\Windows\system32\connect.dll |
Part 3 Code: 2015-03-20 08:56 - 2014-10-29 04:50 - 02628608 _____ (Microsoft Corporation) C:\Windows\system32\NlsLexicons0009.dll |
Part 4 Code: 2015-03-20 08:56 - 2014-10-29 04:00 - 00044544 _____ (Microsoft Corporation) C:\Windows\system32\uicom.dll |
Part 5 Code: 2015-03-20 08:56 - 2014-10-29 03:35 - 00162304 _____ (Microsoft Corporation) C:\Windows\SysWOW64\perfmon.exe |
Part 6 Code: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015-GMER Code: GMER 2.1.19357 - hxxp://www.gmer.netDas war alles, was ich habe... |
HI, unsere Tools brauchen immer ADminrechte!! Downloade Dir bitte  Malwarebytes Anti-Malware
Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte. |
Hi Schrauber, danke für Deine Hilfe. MBAM Code: Malwarebytes Anti-MalwareCode: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Code: # AdwCleaner v4.200 - Bericht erstellt 05/04/2015 um 21:32:19Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015Part 1 Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015 |
Part 2 Code: 2015-03-20 08:57 - 2014-10-29 04:25 - 00290816 _____ (Microsoft Corporation) C:\Windows\system32\resutils.dllCode: 2015-03-20 08:57 - 2014-10-29 03:07 - 00339456 _____ (Microsoft Corporation) C:\Windows\system32\eapphost.dll |
Part 4 Code: 2015-03-20 08:56 - 2014-10-29 05:10 - 00094464 _____ (Microsoft Corporation) C:\Windows\SysWOW64\RestoreOptIn.exe |
Part 5 Code: 2015-03-20 08:56 - 2014-10-29 04:28 - 00172032 _____ (Microsoft Corporation) C:\Windows\system32\prntvpt.dll |
Part 6 Code: 2015-03-20 08:56 - 2014-10-29 03:58 - 00067584 _____ (Microsoft Corporation) C:\Windows\SysWOW64\spbcd.dll |
Part 7 Code: 2015-03-20 08:56 - 2014-10-29 03:37 - 00032768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\gpprnext.dll |
Part 8 (letzter Teil) Code: 2015-03-20 08:56 - 2014-10-29 03:05 - 00023552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\more.com |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\S-1-5-21-616120764-3817302078-3948594513-1003\...\RunOnce: [Application Restart #1] => C:\Users\Trololo\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-c (the data entry has 553 more characters).Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
ESET Online Scanner
Downloade Dir bitte  SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme? :) |
Vielen Dank! Hier sind die Ergebnisse: Fixlog Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015Code: ESETSmartInstaller@High as downloader log:Code: Results of screen317's Security Check version 0.99.99 Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015 |
Part 2 Code: 2015-03-20 08:57 - 2014-10-29 03:48 - 01364992 _____ (Microsoft Corporation) C:\Windows\system32\connect.dll |
Part 3 Code: 2015-03-20 08:57 - 2014-10-29 02:45 - 00573952 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PortableDeviceApi.dllCode: 2015-03-20 08:56 - 2014-10-29 04:41 - 00281600 _____ (Microsoft Corporation) C:\Windows\system32\drt.dll |
Part 5 Code: 2015-03-20 08:56 - 2014-10-29 04:16 - 00342528 _____ (Microsoft Corporation) C:\Windows\system32\eudcedit.exe |
Part 6 Code: 2015-03-20 08:56 - 2014-10-29 03:50 - 00287744 _____ (Microsoft Corporation) C:\Windows\system32\systemcpl.dll |
Part 7 Code: 2015-03-20 08:56 - 2014-10-29 03:26 - 03788288 _____ (Microsoft Corporation) C:\Windows\SysWOW64\accessibilitycpl.dllCode: 2015-03-20 08:56 - 2014-10-29 02:59 - 00230912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\InkEd.dll |
Dann bitte mal ein FRST log aus diesem Konto. |
Okidoki! Addition: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 11-03-2015Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-03-2015 |
Part 2: Code: 2015-03-20 08:57 - 2014-10-29 04:16 - 00297472 _____ (Microsoft Corporation) C:\Windows\system32\comsnap.dll |
Part 3: Code: 2015-03-20 08:57 - 2014-10-29 03:03 - 00474112 _____ (Microsoft Corporation) C:\Windows\system32\pcasvc.dll |
Part 4: Code: 2015-03-20 08:56 - 2014-10-29 04:43 - 00061440 _____ (Microsoft Corporation) C:\Windows\system32\offreg.dll |
Part 5: Code: 2015-03-20 08:56 - 2014-10-29 04:18 - 01609216 _____ (Microsoft Corporation) C:\Windows\system32\NlsData0000.dll |
Part 6: Code: 2015-03-20 08:56 - 2014-10-29 03:53 - 00035328 _____ (Microsoft Corporation) C:\Windows\SysWOW64\traffic.dll |
Part 7: Code: 2015-03-20 08:56 - 2014-10-29 03:28 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\wsmplpxy.dllCode: 2015-03-20 08:56 - 2014-10-29 03:03 - 00032768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\MirrorDrvCompat.dll |
Bitte mal einen Screenshot von der Meldung. |
screenshot Meldung Liste der Anhänge anzeigen (Anzahl: 1) Danke, Schrauber :singsing: Die Meldung erscheint immer direkt nach der Windows-Nutzerkonten-Anmeldung. Sie ist anders als normale Meldungen, weil sie unten nicht in der Task-Leiste erscheint, sondern nur in der Mitte des Bildschirms. Wenn man die Meldung wegklickt, erscheint sie erst wieder beim nächsten Anmelden auf dem Konto. Oberflächlich nur nervig, aber keine Ahnung, was das Ding noch kann... Aber wenn Du meinst, dass die Kiste jetzt wieder sicher ist, kann ich damit leben. |
Bitte Pokki komplett deinstallieren, dann nochmal ein frisches FRST log. |
Liste der Anhänge anzeigen (Anzahl: 1) Was meinst Du mit Deinstallieren? Über Windows? Oder mit den bisher von Dir verordneten tools? Normale Deinstallation geht ja nicht, deswegen bin ich ja im Trojaner-Board gelandet. Pokki lässt sich nicht "normal" deinstallieren; es kommt eine Fehlermeldung (siehe Anhang). Daher gehe ich auch davon aus, dass es sich um malware o.ä. handelt. |
Ich doof :D Lade Dir bitte von hier  Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
Wenn das nicht klappt: Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. SystemLook (64 bit)
|
Liste der Anhänge anzeigen (Anzahl: 1) Revo Uninstaller hat Pokki nicht aufgelistet und mit der Suche nicht gefunden. Systemlook hat diese Treffer: Code: SystemLook 30.07.11 by jpshortstuff |
Das sind Tempfiles und Ordner. Den Ordner in Appdata kannste löschen. Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen) Code: Windows Registry Editor Version 5.00 |
Nerv-Meldung ist weg Erledigt. Es kam eine Erfolgsmeldung. :huepp: Nach dem Anmelden kam auch keine "App store Aktualisierung"-Meldung mehr. Scheint soweit bereinigt zu sein. Klasse. Ist der Computer jetzt wieder sicher und kann ich damit wieder Internetbanking machen? Sollte ich noch irgendwelche Maßnahmen ergreifen? Ich nutze firefox mit Adblocker/noscript, gehe nur mit Benutzerkonto ins Internet und Windows Defender. Reicht das? Ach so, den Windows App-Store werde ich wie hier beschrieben am besten deaktivieren, damit ich darüber nicht noch mehr malware kriege. hxxp://praxistipps.chip.de/windows-8-app-store-deaktivieren-so-gehts_36051 schrauber :bussi: Kaltduscher |
Passwörter ändern, und ein richtiges AV zulegen. http://deeprybka.trojaner-board.de/b...cleanupneu.png Cleanup: (Die Reihenfolge ist hier entscheidend) Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken. Falls Combofix verwendet wurde: http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren
Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: http://deeprybka.trojaner-board.de/b...ast/schild.png Absicherung: Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen: Browser Java Flash-Player PDF-Reader Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren. Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen. Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig. Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank. Meine Empfehlung: http://filepony.de/icon/emsisoft_anti_malware.png Emsisoft Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen. Optional: http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen. Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif. Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen. Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner . Abschließend noch ein paar grundsätzliche Bemerkungen: Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems. Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden. |
Vielen Dank, Schrauber! :dankeschoen: :party: |
Gern Geschehen :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board
dann auf 
und dann auf 
.