Supportnet / Forum / Security/Viren
Wie kann ich den Trojaner "Pokapoka" entfernen? Eure Tipps?
Frage
Hi!
Ich habe mir auf meinem Rechner trotz akt. Virenscanner & Firewall (BitDefender) einen ziemlich hartnäckigen Trojaner (Pokapoka) eingefangen. Trotz intensiver googelei habe ich aber bislang nichts brauchbares finden können (ausser dem Hinweis auf eine XP-Neuinstallation): das Teil liegt im Autostart, wenn ich den Haken herausnehme und neu starte, ist er wieder drin. Im Taskmanager findet sich der Dienst "pokapoka63", den ich zwar beenden kann, der dann aber nach geraumer Zeit wieder erscheint. Registry-Einträge finde ich nicht, Spybot findet nichts verdächtiges und im Windowsordner /system32 ist komischerweise auch kein Eintrag.
Das ganze wirkt sich so aus, das mein Rechner in unregelmäßigen Abständen Aussetzer hat, sprich für 5-10 Sekunden geht gar nichts. Ansonsten kann ich aber kein weiteres nachteiliges Verhalten feststellen.
Danke für eure Tips,
Karsten
Antwort 1 von Zwerg-
Zitat:
...Registry-Einträge finde ich nicht, ...
...Registry-Einträge finde ich nicht, ...
guckst du obs hilft, #
http://www.heise.de/security/news/meldung/63221
mfg
Antwort 2 von Der_Fisch
Das Teil hat seinen Loader als zusätzliche Shell in die Registry eingetragen. Damit wird es automatisch von Windows neu gestartet, wenn du es per Taskmanager abschiesst. Versuchst du, den Key bei laufendem windows zu ändern, wird der *Z* sofort von den anderen Prozessen wieder eingetragen.
Wenn du dich _sehr_ gut auskennst, kannst du versuchen, mit einer Bart-PE Disk zu booten und die Registry der infizierten Installation zu laden, um den fraglichen Eintrag zu bereinigen. Und alle Run-Schlüssel auf weiteren Mist zu überprüfen.
Deiuse Viecher sind extrem hartnäckig. Eine Neuinstallation ist, ehgrlich gesagt, zuverlässiger und unter Umnständen auch schneller, wenn du sonst kein Backup hast.
MfG
Michael H. Fischer
Wenn du dich _sehr_ gut auskennst, kannst du versuchen, mit einer Bart-PE Disk zu booten und die Registry der infizierten Installation zu laden, um den fraglichen Eintrag zu bereinigen. Und alle Run-Schlüssel auf weiteren Mist zu überprüfen.
Deiuse Viecher sind extrem hartnäckig. Eine Neuinstallation ist, ehgrlich gesagt, zuverlässiger und unter Umnständen auch schneller, wenn du sonst kein Backup hast.
MfG
Michael H. Fischer
Antwort 3 von anno_58
Hi Kasi,
das sieht leider übel aus.Ich habe mal gesucht, nur
bei GData finde ich überhaupt etwas.
Die Bezeichnen dein Pferdchen als
Über Beseitigung leider nichts.
Beim Trojaner Board leider auch nur der Hinweis --> neu installieren!
Lies selbst:
http://www.trojaner-board.de/archive/index.php/t-20854.html
Gruss Anno
Rückmeldung wäre nett.
das sieht leider übel aus.Ich habe mal gesucht, nur
bei GData finde ich überhaupt etwas.
Die Bezeichnen dein Pferdchen als
Zitat:
Name Adware.EliteBar.PokaPoka.A
Version BD 15.0.2110
Erkannt seit 06.Aug.2005
Name Adware.EliteBar.PokaPoka.A
Version BD 15.0.2110
Erkannt seit 06.Aug.2005
Über Beseitigung leider nichts.
Beim Trojaner Board leider auch nur der Hinweis --> neu installieren!
Lies selbst:
http://www.trojaner-board.de/archive/index.php/t-20854.html
Gruss Anno
Rückmeldung wäre nett.
Antwort 4 von kasipoasi
Hi & danke euch allen!
Ich denke, dann werde ich mich in der kommenden Woche mal dranmachen und den Rechner plätten...
Karsten
Ich denke, dann werde ich mich in der kommenden Woche mal dranmachen und den Rechner plätten...
Karsten
Antwort 5 von maymark
Hi,
Eine Sichere Entfernung ist möglich.
Ihr müßt nur eine zweite Festplatte zur Hand haben. Spielt dort ein NTFS taugliches Betriebssystem auf (win XP; win 2000; ... ) und hängt danach die Orginalfestplatte als Slave hintendran. Startet das neue Betriebssystem und ihr könnt auf der Orginalfestplatte den Ordner Windows/ETB löschen. Danach wieder nur von der Orginalfestplatte starten. Windowns versucht zuwar immer noch die Datei zu laden, zeigt aber unter Proze´sse nur noch File an.
Darum unter Start/Ausfühten MSCONFIG eingeben. Dort den automatische Start abschalten.
Gruß Markus
Eine Sichere Entfernung ist möglich.
Ihr müßt nur eine zweite Festplatte zur Hand haben. Spielt dort ein NTFS taugliches Betriebssystem auf (win XP; win 2000; ... ) und hängt danach die Orginalfestplatte als Slave hintendran. Startet das neue Betriebssystem und ihr könnt auf der Orginalfestplatte den Ordner Windows/ETB löschen. Danach wieder nur von der Orginalfestplatte starten. Windowns versucht zuwar immer noch die Datei zu laden, zeigt aber unter Proze´sse nur noch File an.
Darum unter Start/Ausfühten MSCONFIG eingeben. Dort den automatische Start abschalten.
Gruß Markus
Antwort 6 von kasipoasi
Hi!
Rückmeldung zu der Geschichte: nachdem ich heute mittag meinen Virenscanner (AntiVir Premium) aktualisiert habe, gab´s auch prompt die Meldung über einen erkannten Trojaner, ebend Pokapoka. Nach der Säuberung läuft´s jetzt scheinbar so, das das Teil weder als Task im Hintergrund läuft und auch im Autostart habe ich den Eintrag deaktivieren können. Das mal für alle, die eventuell das gleiche Problem haben oder noch bekommen ;-)
Bunten Abend noch,
Karsten
Rückmeldung zu der Geschichte: nachdem ich heute mittag meinen Virenscanner (AntiVir Premium) aktualisiert habe, gab´s auch prompt die Meldung über einen erkannten Trojaner, ebend Pokapoka. Nach der Säuberung läuft´s jetzt scheinbar so, das das Teil weder als Task im Hintergrund läuft und auch im Autostart habe ich den Eintrag deaktivieren können. Das mal für alle, die eventuell das gleiche Problem haben oder noch bekommen ;-)
Bunten Abend noch,
Karsten
Antwort 7 von futzifutzmann
Ich habe´s mit Antispyware Beta 1 von Microsoft entfernen können.
Microsoft download Seite (auch engl. downloads anzeigen!)
Microsoft download Seite (auch engl. downloads anzeigen!)
Antwort 8 von NSFF
Folgendes hilft:
1. Dos-Fenster aufmachen
2. Auf c:\Windows\etb schalten
3. alles in diesem verzeichnis löschen
4. Was nicht löschbar ist mit Rename umbenennen
(damit wird es beim nächsten Systemstart nicht mehr geladen)
5. PC neu starten
6. In der Registry alle Keys mit Pokapoka löschen
7. Den Rest in C:\windows\etb löschen
Es gibt auch noch Vorteile bei der guten alten DOS Kommandozeilen-Eingabe !!
1. Dos-Fenster aufmachen
2. Auf c:\Windows\etb schalten
3. alles in diesem verzeichnis löschen
4. Was nicht löschbar ist mit Rename umbenennen
(damit wird es beim nächsten Systemstart nicht mehr geladen)
5. PC neu starten
6. In der Registry alle Keys mit Pokapoka löschen
7. Den Rest in C:\windows\etb löschen
Es gibt auch noch Vorteile bei der guten alten DOS Kommandozeilen-Eingabe !!
Antwort 9 von Ole
inzwischen pokapoka73, versteckt sich hinter Windows\\etb- da hilft kein Suchprogramm. selbst bei Löschung in Reg keine Abhilfe - besser ist doch eine fest eingebaute Festplatte, die mit neuen System aufgeschaltet wird und dann alte Daten retten und rest formatieren !
Antwort 10 von Karacho
Inzwischen gibt es schon die Version pokapoka79!!!
Das entfernen ist aber relativ einfach!?
1. Windows im abgesicherten Modus starten
2. Als Administrator anmelden
3. Die DOS-Shell öffnen
4. C:/Windows/etb auswählen
5.Wie bei NFSS (Antwort 8) in diesem Forum, alles im Verzeichnis etb löschen
6. Was nicht löschbar ist umbennenen
7. Das Verzeichnis etb umbenennen
8. Nicht neu starten wie bei Antwort 8 (ist nicht nötig), direkt alle einträge in der Redistry mit pokapoka löschen!!!
9. Das Verzeichnis etb was umbenannt worden ist kann jetzt gelöscht werden
10. Pc im Normal Modus neu starten
Ist halt nur eine andere Variante als in der Antwort von NFSS.
Da einige Benutzer vielleicht nicht wissen wie man beim start von Windows in die DOS-Shell gelangt.
Denn das aufrufen der DOS-Shell unter Windows bringt nichts, da mann dort den Trojaner zwar umbenennen kann, er aber wieder automatisch neu gestartet wird!!!
mfg Kpt. Karacho
Das entfernen ist aber relativ einfach!?
1. Windows im abgesicherten Modus starten
2. Als Administrator anmelden
3. Die DOS-Shell öffnen
4. C:/Windows/etb auswählen
5.Wie bei NFSS (Antwort 8) in diesem Forum, alles im Verzeichnis etb löschen
6. Was nicht löschbar ist umbennenen
7. Das Verzeichnis etb umbenennen
8. Nicht neu starten wie bei Antwort 8 (ist nicht nötig), direkt alle einträge in der Redistry mit pokapoka löschen!!!
9. Das Verzeichnis etb was umbenannt worden ist kann jetzt gelöscht werden
10. Pc im Normal Modus neu starten
Ist halt nur eine andere Variante als in der Antwort von NFSS.
Da einige Benutzer vielleicht nicht wissen wie man beim start von Windows in die DOS-Shell gelangt.
Denn das aufrufen der DOS-Shell unter Windows bringt nichts, da mann dort den Trojaner zwar umbenennen kann, er aber wieder automatisch neu gestartet wird!!!
mfg Kpt. Karacho