Hilfe Bei Entfernung Von Trojaner Tr/oneclicksrch.e.1

#1 HALLO KANN MIR EINER VON EUCH HILFREICHE TIPPS ZUR ENTFERNUNG VON FOLGENDEM TROJANER GEBEN:

TR/OneClickSrch.E.1

DANKE !!

#2 Deswegen brauchst du nicht zu schreien, oder?

Überprüfe die infizierten Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste dann die Virus Log Information.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Danke für deine Hilfe Cidre,

ich bin allerdings noch nicht sehr weit gekommen!

Ich erklär dir das mal genauer!

Ich hab Adaware und Antivir- wenn ich antivir nen komplett Check meiner Platten machen lasse findet er keinerlei Viren o.ä (Version ist auf dem neuesten Stand!)
- wenn ich allerdings adaware laufen lasse, hängt sich das programm immer an dem selben ordner auf "Avpersonal/INFECTED" - Im gleichen Moment startet/öfnet sich das Antivir Window und sagt mir Trojanisches Pferd gefunden C:\Dokumente~1\Marco\Lokale~1\Temp\1649186785609
Egal wie ich jetzt vorgehe ob löschen oder reparieren oder umbennenen usw es passiert immer wieder das gleiche wenn ich adaware drüberlaufen lasse.

Ich hab es mit dem kaspersky versucht allerdings finde ich die ordner nicht diese datei "1649186785609" gibt es nicht ich hab sie nicht gefunden und die suchfunktion auch nicht!!

Falls du mir noch irgendwie weiterhelfen kannst wäre echt nett!!

Gruss Marco

#4 Wenn du mit Ad-Aware scannst, dann solltest du den Guard von AntiVir vorrübergehend deaktivieren, denn sonst passiert genau das was du geschildert hast.
Die unter Quarantäne stehenden infizierten Dateien von AntiVir solltest du löschen.

Um mehr Licht ins Dunkel zu bringen:

Erstelle ein Log-File mit HiJackThis und poste es hier rein.

Poste auch die Virus Log Information des eScan.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 OK DANKE DIR,

werde ich gleich heut abend machen, wenn ich zuhause am pc bin,so bis halb 10 poste ich dann!

Gruss

#6 Leere auch diese Ordner:
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temporary Internet Files
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 HI

also habe das Verzeichnis AVPERSONAL/INFECTED geleert und siehe da Adaware hat kein problem mehr gehabt!

Beim adaware scan ist allerdings so einiges gefunden worden 55 dateien identifiziert!!

Dann habe ich den Hijack drüber laufen lassen, dabei kam folgendes raus:

Logfile of HijackThis v1.98.2
Scan saved at 21:57:18, on 23.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Du hast mir noch geschrieben ich solle 3 ordner leeren =
1. Ich komme nur bis C:\Dokumente und Einstellungen\Benutzername\???? Es gibt keine lokale einstellungne auch die xp-suchfunktion findet diesen ordner nicht?????

2. C:\Windows\D. Programm files -Der Ordner ist leer!!!

3. siehe 1.

soweit erstmal alles erledigt hoffe noch was von dir zu hören!!

DANKE GRUSS
MARCO

#8 Zu 1 und 3:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Danach sind die Ordner sichtbar.

Deinstalliere unter Software => New.net oder Newdotnet

Lade LSP-Fix und repariere deine WinSocks damit.

Lade Spybot und scanne dein System im abgesicherten Modus.

Danach diese Einträge fixen:
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 hi
NOCHMAL DRINGEND HILFESTELLUNG

habe die prdner sichtbar gemacht

zu 1. alles bis auf 2 dateien konnte ich löschen

zu3. konnte alles löschen da war ne menge drin!!

so dann habe ich das lsp fix runtergeladen und jetzt trau ich mich es nicht es zu benutzten!!
Muss ich alle 4 dateien mit dem namen:
winrnr.dll
pnrpnsp.dll
nwprovau.dll
rsvpsp.dll
mswsock.dll
nach rechts in remove packen und dann auf finish gehen oder wie?

Was bedeutet abgesicherter modus und wie gelange ich in diesen?

gruss marco

#10

Zitat

Lade LSP-Fix und repariere deine WinSocks damit.

Sorry, mein Fehler!
Der Satz sollte so lauten:
Lade LSP-Fix und repariere deine WinSocks damit, falls du keine I-net Verbindung herstellen kannst.

Zitat

Was bedeutet abgesicherter modus und wie gelange ich in diesen?

http://www.bsi.de/av/texte/winsave.htm
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#11 OK PERFEKT SOWEIT ALLES KLAR
Jetzt musst du mir nur noch erklären wie ich Einträge fixen kann!?!

#12 Vor den genannten Einträgen einen Haken setzen und auf Fix Checked klicken.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#13 SO HI NOCHMA,

hat ein bisschen gedauer habe im abgesicherten Modus spybot laufen lassen er hat ein paar eintäge gefunden und erfolgreich eliminiert!

Allerdings konnte ich mit dem programm kein einträge fixen wie du mir das gesagt hast!!

Ich habe dann noch wie du zu anfang geschrieben hast den escan im abgesicherten modus laufen gelassen, hier das anschliesende Logfile:

00111011120001111

#14

Zitat

Allerdings konnte ich mit dem programm kein einträge fixen wie du mir das gesagt hast!!

Du solltest die Einträge auch mit HiJackThis fixen und nicht mit Spybot.

Editiere bzw. lösche mal das Log des eScan aus deinem Post.
Auch hier solltest du nur die gefunde Malware posten die eScan erkannt hat.

by the way: Ein neues HJT Log-File wär mal nicht schlecht.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung