Adware.Iefeats

Druckansicht

Aktualisiert: February 13, 2007 11:42:05 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Betroffene Systeme: Windows

Verhalten


Adware.Iefeats ist eine Werbesoftware-Komponente, die die Internet Explorer-Startseite umleitet und die Suchfunktionen ohne Berechtigung ändert. Es zeigt Popup-Werbungen an und lädt Dateien ohne das Wissen des Benutzers herunter, wodurch sich wiederum andere Sicherheitsrisiken verbreiten können und möglicherweise weiteren Schaden anrichten können.

Symptome


Ihr Symantec-Programm erkennt Adware.Iefeats.

Übertragung


Diese Werbesoftware-Komponente wird möglicherweise manuell installiert, oder sie wird als Komponente eines anderen Programms installiert.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version October 02, 2014 Änderung 022
  • Latest Rapid Release version April 23, 2018 Änderung 008
  • Erste Daily Certified-Version March 05, 2004
  • Latest Daily Certified version April 23, 2018 Änderung 024
  • Initial Weekly Certified release date March 10, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aktualisiert: February 13, 2007 11:42:05 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Betroffene Systeme: Windows


Bei Ausführung führt Adware.Iefeats folgende Aktivitäten durch:

  1. Erstellt die folgende Datei:


    %SystemDrive%\f2install.log


    Hinweis: %SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.


  2. Fügt den Wert

    "[Name der Installationsprogrammdatei]" = "[Bereich und Name der Installationsprogrammdatei]"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird das Installationsprogramm ausgeführt, sobald Windows gestartet wird.

  3. Erstellt den folgenden Registrierungsunterschlüssel und fügt diesem Werte hinzu:

    HKEY_CLASSES_ROOT\CLSID\[Installationsprogramm-clsid]

    wobei [Installationsprogramm-clsid] eine halb willkürlich gewählte CLSID ist, die durch den Bereich und den Dateinamen des Installationsprogramms festgestellt wird.

  4. Lädt einen verschlüsselten Dienst und ein Browser Helper Object von einer oder mehrerer der folgenden Domänen herunter:

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Entschlüsselt die Dateien, vermischt sie mit bis zu 1024 willkürlichen Bytes und speichert sie als %Windir%\[willkürlicher Name einer ausführbaren Datei] oder %System%\[willkürlicher Name einer ausführbaren Datei], wobei [willkürlicher Name einer ausführbaren Datei] der Dateiname ist, der vom Installationsprogramm generiert wird. Dabei handelt es sich um eine Komnination einer der folgenden Zeichenfolgen:

    • sdk
    • java
    • cr
    • d3
    • ms
    • ie
    • sys
    • win
    • add
    • app
    • atl
    • mfc
    • api
    • net
    • ip
    • nt

      mit zwei willkürlichen Buchstaben, häufig gefolgt von der Zeichenfolge "32", und einer der folgenden Erweiterungen:

    • .dll
    • .exe

      Zusätzlich lädt das Installationsprogramm eine verschlüsselte Ressourcen-Datei von einer der oben aufgeführten Domänen herunter. Entschlüsselt und speichert die Datei als %Windir%\[willkürliche 5 Buchstaben].dll oder %System%\[willkürliche 5 Buchstaben].dll


      Hinweis: %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows (Windows 95/98/Me/XP) oder C:\Winnt (Windows NT/2000).


  5. Fügt den Wert

    "[Name der Dienst-Datei]" = "[Bereich und Name der Dienst-Datei]"

    für den heruntergeladenen Dienst zum folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Dadurch kann der Dienst beim nächsten Start von Windows ausgeführt werden.

  6. Für den heruntergeladenen Dienst und das Browser Helper Object erstellt er den folgenden Registrierungsunterschlüssel und fügt diesem Werte hinzu:

    HKEY_CLASSES_ROOT\CLSID\[service clsid]
    HKEY_CLASSES_ROOT\CLSID\[bho clsid]


    Hinweis: [service clsid] und [bho clsid] stehen für halb willkürliche CLSIDs, die durch den Bereich und den Dateinamen der Komponenten festgelegt werden.


  7. Führt den Dienst aus und initialisiert das Browser Helper Object.

  8. Zeigt möglicherweise regelmäßig Meldungsfelder oder Warnungssprechblasen an, die dem legitimen Verhalten des Betriebssystems ähneln, um Benutzer dazu zu veranlassen, schädliche Websites zu besuchen.

  9. Versucht, eine Entfernung zu vermeiden, indem er folgende Aktionen durchführt:
    • Erstellen von Sicherungskopien vom mit dem Risiko verbundenen Dienst und den Browser Helper Object-Komponenten in Dateien mit dem Namen [6 willkürliche Zeichen].dat oder willkürlich benannte alternative Datenströme (NTFS) von vorhandenen Dateien im Ordner %Windir%.
    • Wiederherstellen der fehlenden Komponenten;
    • Herunterladen und Neuinstallation von fehlende Komponenten, wenn notwendig;
    • Neuerstellung der CLSID-Registrierungsunterschlüssel und Aktualisieren der Schlüssel mit den Informationen, die notwendig sind, um andere Komponenten von Adware.Iefeats zu finden.

  10. Versucht unter Umständen, weitere Sicherheitsrisiken und Bedrohungen herunterzuladen.


Wenn der heruntergeladene Dienst ausgeführt wird, führt er die folgenden Aktionen durch:
  1. Versucht, die folgenden Registrierungsunterschlüssel zu entfernen:

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain
    HKEY_CLASSES_ROOT\CLSID\[HTML-Filter-clsid]
    HKEY_CLASSES_ROOT\CLSID\[Normaler-Filter-clsid]

    wobei [HTML-Filter-clsid] und [Normaler-Filter-clsid] Werte von CLSID-Einträgen der Unterschlüssel sind:

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain

    Versucht zusätzlich, die Dateien zu löschen, auf die in den Standardeinträgen der folgenden Unterschlüssel verwiesen wird:

    HKEY_CLASSES_ROOT\CLSID\[html-Filter-clsid]\InProcServer32
    HKEY_CLASSES_ROOT\CLSID\[Normaler-Filter-clsid]\InProcServer32

  2. Versucht, den Wert:

    "AppInit_DLLs"

    vom folgenden Registrierungsunterschlüssel zu entfernen:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    und löscht die Datei, auf die dieser Wert verweist.

  3. Installiert einen seltsam benannten Dienst mit dem Image-Pfad:

    "[Bereich und Name der Dienst-Datei] /s"

    und einem der folgenden Anzeige-Namen:

    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service


Hinweis: Der Dienst kopiert die folgende Funktionalität des Installationsprogramms und versucht dadurch, eine Entfernung zu vermeiden:

    • Neuerstellung des Wertes im Registrierungsunterschlüssel RunOnce;
    • Kopieren und Wiederherstellen von fehlenden Komponenten von Sicherungskopien;
    • Neuerstellung der CLSID-Registrierungsunterschlüssel und Aktualisieren der Schlüssel mit den Informationen, die notwendig sind, um andere Komponenten von Adware.Iefeats zu finden.


Wenn das heruntergeladene Browser Helper Object initialisiert wird, führt es die folgenden Aktionen durch:
  1. Erstellt und die folgenden Registrierungsunterschlüssel und fügt diesen Werte hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW

    Dadurch werden Links zu Webseiten erstellt, die nicht funktionierende Deinstallationsprogramme für die folgenden Programme zur Verfügung stellen:
    • Home Search Assistent
    • Search Extender
    • Shopping Wizard

  2. Erstellt den folgenden Registrierungsunterschlüssel und fügt diesem Werte hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[bho clsid]

    Dadurch registriert er sich als Browser Helper Object.

  3. Ersetzt die Internet Explorer-Suchfunktion durch Entfernen der folgenden Registrierungsunterschlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    und fügt den Wert:

    "[bho clsid]" = "0x00 [38 bedeutungslose Bytes]"

    zum neu erstellten Unterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

  4. Erstellt möglicherweise verschiedene Links in den folgenden Ordnern:
    • %UserProfile%\Favoriten
    • %UserProfile%\Favoriten\Links


      Hinweis: %UserProfile% ist eine Variable, die sich auf den Ordner des aktuellen Benutzerprofils bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\[Aktueller Benutzer] (Windows NT/2000/XP).


Sobald dies eintritt, wenn Internet Explorer geöffnet ist, führt das Browser Helper Object folgende Aktionen durch:
  1. Lädt verschlüsselte Konfigurations- und Datendateien von einer oder mehrerer der folgenden Domänen herunter:

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Entschlüsselt die Dateien und speichert sie als %Windir%\[willkürlicher Dateiname] oder %System%\[willkürlicher Dateiname].

  2. Fügt den Wert

    "Set"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft

  3. Fügt den Wert

    "ImageDescriptor"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CLASSES_ROOT\icofile

  4. Ändert die Werte:

    "Default_Page_URL" = "about:blank"
    "Default_Search_URL" = "res://[Bereich und Name der Ressourcen-Datei]/sp.html#37049
    "Use Search Asst" = "no"

    im Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  5. Ändert die Werte:

    "Search Bar" = "res://[Bereich und Name der Ressourcen-Datei]/sp.html#37049
    "Search Page" = "res://[Bereich und Name der Ressource-Datei]/sp.html#37049
    "Start Page" = "about:blank"

    in den Registrierungsunterschlüsseln:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  6. Ändert die Werte:

    "SearchAssistant" = "res://[Bereich und Name der Ressource-Datei]/sp.html#37049

    im Registrierungsunterschlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

  7. Versucht, verschiedene Sicherheitsrisiken durch Beenden von Prozessen, Löschen von Dateien und Entfernen von Registrierungsunterschlüsseln zu deaktivieren und zu beschädigen. Weil der Algorithmus, der durch diese Werbesoftware benutzt wird, Sicherheitsrisiken nicht richtig erkennen kann, beschädigt er möglicherweise auch legitime Prozesse und Dateien. Zusätzlich löscht er die folgende legitime Datei:

    %System%\drivers\etc\hosts

    und den Ordner:

    %Windir%\LastGood

  8. Erstellt den folgenden Registrierungsunterschlüssel:

    HKEY_CLASSES_ROOT\CLSID\{676575dd-4d46-911d-8037-9b10d6ee8bb5}

  9. Zeigt Popup-Werbungen an und kontaktiert verschiedene Website ohne Benutzerberechtigung.


Hinweis: Das Browser Helper Object dupliziert die folgende Funktionalität des Installationsprogramms, um die Werbesoftware-Entfernung zu erschweren:
    • Kopieren und Wiederherstellen von fehlenden Komponenten von Sicherungskopien;
    • Herunterladen und Neuinstallation von fehlende Komponenten, wenn notwendig;
    • Neuerstellung der CLSID-Registrierungsunterschlüssel und Aktualisieren der Schlüssel mit den Informationen, die notwendig sind, um andere Komponenten von Adware.Iefeats zu finden.



Ältere Versionen dieser Werbesoftware führen möglicherweise folgende Aktionen durch:
  1. Fügt den Wert

    "Image"= "rundll32 [Bereich von image.dll]\image.dll,UpdateDll fs"

    den folgenden Registrierungsunterschlüsseln hinzu:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

  2. Fügt den Wert

    "Updater"= "rundll32 [Bereich von iefeatsl.dll]iefeatsl.dll\1.new,UpdateDll fs"

    dem folgenden Registrierungsunterschlüssel hinzu:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  3. Erstellt den folgenden Registrierungsunterschlüssel und fügt diesem Werte hinzu:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ iefeatsl

  4. Registriert Browser Helper Objects, indem er die folgenden Registrierungsunterschlüssel erstellt und diesen Werte hinzufügt:

    HKEY_CLASSES_ROOT\CLSID\{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}
    HKEY_CLASSES_ROOT\CLSID\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CLASSES_ROOT\CLSID\ {FD9BC004-8331-4457-B830-4759FF704C22}
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1
    HKEY_CLASSES_ROOT\Image.Image
    HKEY_CLASSES_ROOT\Image.Image.1
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject.1
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{FD9BC004-8331-4457-B830-4759FF704C22}

  5. Stellt die Internet Explorer-Startseite auf eine URL auf der Domäne mshp.dll ein und zeigt dann eine Suchmaschinenseite an, wenn der Browser geöffnet wird.

  6. Lädt die folgenden Dateien herunter:

    • [Werbesoftware-Ordner]\iefeatsl.dll
    • [Werbesoftware-Ordner]\image.dll
    • [Werbesoftware-Ordner]\msiesh.dll
    • [Werbesoftware-Ordner]\mssearch.dll (nicht verfügbar zur Zeit der Verfassung dieser Virusbeschreibung)
    • %Windir%\mshp.dll
    • [Werbesoftware-Ordner]\dict.dat (eine Konfigurationsdatei)
    • [Werbesoftware-Ordner]\keywords.dat (eine Konfigurationsdatei)
    • [adware folder]ate.txt (eine Konfigurationsdatei)

      wobei [Werbesoftware-Ordner] der Werbesoftware-Installationsordner ist, normalerweise %UserProfile%\Application Data\iefeatsl


      Hinweis: %UserProfile% ist eine Variable, die sich auf den aktuellen Benutzerprofil-Ordner bezieht. Standardmäßig ist dies C:\Dokumente und Einstellungen\<Aktueller Benutzer> (Windows NT/2000/XP).

Aktualisiert: February 13, 2007 11:42:05 AM
Typ: Adware
Version: n/a
Herausgeber: n/a
Auswirkung des Risikos: High
Dateinamen: Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Betroffene Systeme: Windows


Entfernung mit dem Adware.Iefeats-Entfernungsprogramm
Symantec Security Response hat ein Entfernungsprogramm für Adware.Iefeats entwickelt. Benutzen Sie dieses Entfernungsprogramm zuerst, da es die einfachste Weise ist, diese Werbesoftware zu entfernen.

Das Programm kann hier gefunden werden:

http://securityresponse.symantec.com/avcenter/FixIefts.exe

Die aktuelle Version des Programms ist Version 1.0.1 und die digitale Unterschrift hat das Datum Donnerstag, 2. Dezember, 3.03 AM (PST).


Hinweis: Das angezeigte Datum und die Uhrzeit werden Ihrer Zeitzone angepasst, wenn Ihr Computer nicht auf die pazifische Zeitzone eingestellt ist.



Die folgenden Anweisungen gelten für alle Virenschutzprodukte von Symantec, die die Erkennung von Sicherheitsrisiken unterstützen.
  1. Aktualisieren Sie die Definitionen.
  2. Drucken Sie diese Entfernungsanweisungen aus
  3. Starten Sie den Computer im abgesicherten Modus oder im VGA-Modus neu.
  4. Führen Sie die Prüfung aus, notieren Sie sich den vollständigen Pfad und den Dateinamen und löschen Sie die Dateien
  5. Starten Sie den Computer im normalen Modus neu.
  6. Finden Sie den Dienst (Windows NT/2000/XP) und deaktivieren Sie ihn.
  7. Machen Sie die an der Registrierung vorgenommenen Änderungen rückgängig.
  8. Löschen Sie die Websites, die dem Internet Explorer Favoriten-Menü hinzugefügt wurden.
  9. Installieren Sie Ihr Symantec-Virenschutzprogramm neu.
  10. Stellen Sie wieder die ursprüngliche Internet Explorer-Startseite ein.
  11. Stellen Sie wieder die ursprüngliche Internet Explorer-Suchseite ein.

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.


1. Aktualisieren der Virendefinitionen
Um die neuesten Definitionen zu beziehen, starten Sie Ihr Symantec-Programm und führen Sie LiveUpdate aus.


2. Drucken dieser Entfernungsanweisungen
Weil Adware.Iefeats als Microsoft Internet Explorer-Plugin funktioniert, ist es notwendig, alle geöffneten Internet Explorer-Fenster zu schließen, um es zu entfernen. Wenn Sie diese Virusbeschreibung im Internet Explorer lesen, drucken Sie diese Virusbeschreibung mit unserer druckerfreundlichen Option oben auf der Seite aus, oder notieren Sie sich die folgenden Anweisungen, und schließen Sie dann alle Internet Explorer-Fenster


3. Neustarten des Computers im abgesicherten Modus oder im VGA-Modus
Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie den Computer dann im abgesicherten Modus oder VGA-Modus neu.

4. Ausführen der Prüfung, Notieren des vollständigen Pfads und des Dateinamens und Löschen der Dateien
  1. Starten Sie Ihr Symantec-Virenschutzprogramm, und führen Sie dann eine vollständige Systemprüfung aus.
  2. Wenn Dateien als Adware.Iefeats oder Adware.CoolWebSearch erkannt werden und abhängig davon, welcher Software-Version Sie benutzen, sehen Sie möglicherweise eine oder mehrere der folgenden Optionen:


    Hinweis: Dies gilt nur für Versionen von Norton AntiVirus, die die Sicherheitsrisiko-Erkennung unterstützen. Wenn Sie eine Version von Symantec AntiVirus Corporate Edition verwenden, die die Sicherheitsrisiko-Erkennung unterstützt, und die Sicherheitsrisiko-Erkennung ist aktiviert worden, sehen Sie lediglich ein Meldungsfeld, das die Ergebnisse der Prüfung angibt. Wenn Sie Fragen zu dieser Situation haben, kontaktieren Sie Ihren Netzwerkadministrator.


    • Ausschließen (nicht empfohlen): Wenn Sie auf diese Schaltfläche klicken, stellen Sie Ihr Programm so ein, dass das Risiko nicht mehr entdeckt wird. Das heißt, das Virenschutzprogramm behält das Sicherheitsrisiko auf Ihrem Computer und erkennt es nicht mehr, um es von Ihrem Computer zu entfernen.

    • Ignorieren oder Überspringen: Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren. Sie wird beim nächsten Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

    • Abbrechen: Diese Option ist neu in Norton AntiVirus 2005. Sie wird verwendet, wenn Norton AntiVirus 2005 festgestellt hat, dass es ein Sicherheitsrisiko nicht löschen kann. Diese Option weist das Prüfprogramm an, das Risiko für nur diese Prüfung zu ignorieren, und folglich wird das Risiko das nächste Mal wieder erkannt, wenn Sie eine Prüfung ausführen.

      Das Sicherheitsrisiko wirklich löschen:
      • Klicken Sie auf den Dateinamen des Risikos (unter der Spalte "Dateiname").
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.

    • Löschen: Diese Option versucht, die erkannten Dateien zu löschen. In einigen Fällen kann das Prüfprogramm dies nicht tun.
      • Wenn Sie eine Meldung darüber erhalten, dass der Löschvorgang nicht durchgeführt werden konnte, löschen Sie die Datei manuell.
      • Klicken Sie auf den Dateinamen des Risikos, den Sie unter der Spalte "Dateiname" finden.
      • Geben Sie in das angezeigte Feld für Informationen den vollen Pfad und Dateinamen an.
      • Verwenden Sie dann Windows-Explorer, um die Datei zu finden und zu löschen.


5. Starten Sie den Computer im normalen Modus neu.


6. Finden und Deaktivieren des Diensts (Windows NT/2000/XP)
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie services.msc ein und klicken Sie dann auf OK.
  3. Suchen Sie den Dienst, der als Adware.Iefeats oder Adware.CoolWebSearch erkannt wurde, und wählen Sie ihn aus.


    Hinweis: Um den Dienst zu finden, müssen Sie möglicherweise die folgenden Einträge im Dienste-Fenster überprüfen:
    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service


  4. Klicken Sie auf Aktion > Eigenschaften.
  5. Stellen Sie sicher, dass im Feld Pfad zur EXE-Datei auf eine der erkannten Dateien verwiesen wird, dann klicken Sie auf Beenden und ändern den Starttyp in Manuell.
  6. Klicken Sie auf OK und schließen Sie das Dienste-Fenster.


7. Rückgängigmachen der an der Registrierung vorgenommenen Änderungen

Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Lesen Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen .


  1. Klicken Sie auf Start > Ausführen.

  2. Geben Sie regedit ein.

    Klicken Sie dann auf OK.

  3. Navigieren Sie zum Unterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Löschen Sie diesen Wert im rechten Teilfenster:

    "[Name der erkannten Datei]" = "[Bereich und Name der erkannten Datei]"

  4. Navigieren Sie zum Unterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    und löschen Sie im rechten Teilfenster den folgenden Wert, wenn er vorhanden ist:

    "[Name der erkannten Datei]" = "[Bereich und Name der erkannten Datei]"

  5. Navigieren Sie zum Unterschlüssel:

    HKEY_CLASSES_ROOT\

    Klicken Sie dann auf Bearbeiten > Suchen. Geben Sie im Feld "Suchen nach" den Namen der .dll-Datei ein, die in Abschnitt 7 als Adware.Iefeats erkannt wurde. Suchen Sie nach Einträgen wie:

    "(Standard)" = "[Bereich und Name der erkannten .dll-Datei]"

    im Registrierungsunterschlüssel:

    HKEY_CLASSES_ROOT\CLSID\[halb willkürliche clsid]\InProcServer32

    notieren Sie dann den [halb willkürliche clsid]-Wert. Sie müssen möglicherweise diesen Schritt für andere .dll-Dateien wiederholen, die in Abschnitt 7 erkannt wurden.

  6. Navigieren Sie linken Teilfenster zum folgenden Unterschlüssel und löschen Sie ihn:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[halb willkürliche clsid]

    wobei [halb willkürliche clsid] für den Wert steht, der in der vorherigen Suche gefunden wurde.

  7. Navigieren Sie zu folgendem Unterschlüssel:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    Löschen Sie diesen Wert im rechten Teilfenster:

    "[halb willkürliche clsid]"

    wobei [halb willkürliche clsid] für den Wert steht, der in der vorherigen Suche gefunden wurde.

  8. Navigieren Sie linken Teilfenster zu den folgenden Unterschlüsseln und löschen Sie sie:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW
  9. Navigieren Sie zum Schlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

  10. Wählen Sie im linken Teilfenster den Schlüssel "Internet Explorer", klicken Sie mit der rechten Maustaste darauf und wählen Sie Neu -> Schlüssel. Nennen Sie den neuen Schlüssel "UrlSearchHooks".

  11. Navigieren Sie zu diesem neuen Schlüssel und erstellen Sie einen neuen Wert, indem Sie im rechten Teilfenster mit der rechten Maustaste darauf klicken und Neu -> Zeichenfolge wählen. Nennen Sie den Wert {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

  12. Schließen Sie den Registrierungseditor.


8. Löschen der Websites, die dem Internet Explorer Favoriten-Menü hinzugefügt wurden
  1. Starten Sie den Microsoft Internet Explorer.
  2. Klicken Sie auf Favoriten > Favorite verwalten.
  3. Löschen Sie sämtliche verdächtigen Favoriten, die vom Risiko hinzugefügt wurden.


9. Neuinstallation Ihres Symantec-Virenschutzprogramms
Da dieses Werbeprogramm versucht, die Dateien und die Registrierungsunterschlüssel zu entfernen, die Ihr Symantec-Virenschutzprogramm verwendet, müssen Sie das Programm möglicherweise erneut installieren. Wenn Ihr Symantec-Virenschutzprogramm nicht korrekt funktioniert, deinstallieren Sie es und installieren Sie es dann erneut.


10. Zurücksetzen der Internet Explorer-Startseite
  1. Starten Sie Microsoft Internet Explorer.
  2. Stellen Sie eine Verbindung zum Internet her und wechseln Sie dann zur Seite, die Sie als Ihre Startseite einstellen möchten.
  3. Klicken Sie auf Extras > Internetoptionen.
  4. Klicken Sie auf der Registerkarte Allgemein im Abschnitt Startseite auf Aktuelle Seite > OK.

Wenn Sie zusätzliche Informationen benötigen oder wenn dieses Verfahren nicht funktioniert, lesen Sie den Microsoft® Knowledge Base-Artikel Einstellung der Startseite ändert sich unerwartet oder lässt sich nicht ändern .


11. Zurücksetzen der Internet Explorer-Suchseite
Befolgen Sie die Anweisungen für Ihre Windows-Version.

Windows 98/Me/2000
  1. Starten Sie Microsoft Internet Explorer.
  2. Klicken Sie auf die Schaltfläche Suchen in der Werkzeugleiste.
  3. Klicken Sie im Suchteilfenster auf Anpassen.
  4. Klicken Sie auf Zurücksetzen.
  5. Klicken Sie auf Einstellungen für die automatische Suche.
  6. Wählen Sie eine Such-Site aus der Dropdown-Liste aus und klicken Sie dann auf OK.
  7. Klicken Sie auf OK.

Windows XP
Weil Windows XP standardmäßig so eingestellt ist, dass animierte Figuren in der Suche benutzt werden, kann Ihre Vorgehensweise hier variieren. Lesen Sie alle Anweisungen, bevor Sie starten.
  1. Starten Sie Microsoft Internet Explorer.
  2. Klicken Sie auf die Schaltfläche Suchen in der Werkzeugleiste.
  3. Führen Sie einen der folgenden Schritte durch:
    • Wenn das geöffnete Teilfenster der folgenden Abbildung ähnlich sieht, klicken Sie auf das Wort Anpassen und fahren Sie bei Schritt h fort:




    • Wenn fahren das geöffnete Teilfenster oben das Wort "Search Companion" aufweist und die Mitte ähnlich der folgenden Abbildung sieht, klicken Sie auf Einstellungen ändern und fahren Sie mit Schritt d fort.




  4. Klicken Sie auf den Link Internetsuchverhalten ändern.
  5. Klicken Sie unter Internetsuchverhalten auf Klassischer Internetsuche.
  6. Klicken Sie auf OK. Schließen Sie dann Internet Explorer. (Schließen Sie das Programm, damit die Änderung in Kraft tritt.)
  7. Starten Sie Internet Explorer. Wenn das Suchfenster sich öffnet, sollte es der folgenden Abbildung ähnlich sehen:





    Klicken Sie auf das Wort Anpassen und fahren Sie dann fort mit dem folgenden Schritt.

  8. Klicken Sie im Suchteilfenster auf Anpassen.
  9. Klicken Sie auf Zurücksetzen.
  10. Klicken Sie auf Einstellungen für die automatische Suche.
  11. Wählen Sie eine Such-Site aus der Dropdown-Liste aus und klicken Sie dann auf OK.
  12. Klicken Sie auf OK.
  13. Führen Sie einen der folgenden Schritte durch:
    • Wenn Sie die klassische Internetsuche verwendet haben (oder weiter verwenden möchten), sind Sie jetzt fertig (oder fahren Sie mit dem nächsten Abschnitt fort).
    • Wenn Sie zur "Search Companion"-Suche zurückwechseln möchten (normalerweise durch eine animierte Figur auf der Schaltfläche gekennzeichnet), fahren Sie mit Schritt n fort.

  14. Klicken Sie erneut auf das Wort Anpassen.
  15. Klicken Sie im Fenster Anpassen der Sucheinstellungen auf Search Companion verwenden > OK.
  16. Schließen Sie den Internet Explorer. Wenn Sie den Explorer das nächste Mal öffnen, verwendet er wieder den Search Companion.