Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

mit Adware.Webprefix infiziert - was nun?





Frage

hallo, ich habe gerade den Norton Security Scan durchlaufen lassen und der zeigte mir folgende Meldung an: C:\WINDOWS\system32\ils32.dll is infected with Adware.Webprefix was mach ich nun? wie werde ich diese Datei wieder los? Habe schon gelesen, dass ich da wohl in den abgesicherten Modus muss, aber weiter weiß ich nicht - hab auch ein bisschen Hemmung in den Systemdateien was zu machen - nicht das dann gar nichts mehr geht. Bitte also um Hilfe.

Antwort 1 von superkleb

Ergänzung:

Infektion:
c:\windows\system32\ils32.dll

Registrierung:
HKEY_USERS\S-1-5-21-2000478354-854245398-1801674531-1003\Software\Microsoft\Internet Explorer\Main->WebPrefix
HKEY_USERS\S-1-5-21-2000478354-854245398-1801674531-1003\Software\Microsoft\Internet Explorer\Main->Offline Folder

Browser-Cache
Registrierung:
HKEY_CLASSES_ROOT\CLSID\{9EE2DEF7-84DB-4CD9-A4F1-3FAC62E027A1}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9EE2DEF7-84DB-4CD9-A4F1-3FAC62E027A1}

Antwort 2 von superkleb

HILFE!

Ich brauche wirklich dringend eure Hilfe, da ich das Problem alleine wirklich nicht beheben kann!
Danke

Antwort 3 von Mickey

Folgendes FAQ sieht nach viel Arbeit aus, kann aber schon nach den ersten Schritten zur Lösung verhelfen.
Deswegen in Ruhe und sukzessive abarbeiten und zwischendurch prüfen, ob das Problem schon gelöst wurde.

  • Alle Aktionen bei deaktivierter Systemwiederherstellung (ME & XP)
    und im abgesicherten Modus ausführen - hinterher jeweils neu scannen. Rechner dabei vom Netz trennen.

  • Prüf deine Autostarts auf Auffälligkeiten (unbekannte Programme und Anwendungen):
    a.) im Taskmanager [Strg+Alt+Entf] - entsprechenden Prozess beenden. Hilfreich dabei: die Prozessdatenbank: Wissen, was läuft, und IBProcMan, die Standalone Version eines kleinen Process Managers, der dir die Autostartobjekte ausführlicher anzeigt.
    b.) im Startmenü -> per uninstaller löschen.
    c.) über Start- Ausführen- msconfig -6 [OK] (9x, XP) oder Alternativen (Win2000) - abhaken.
    d.) über die Systemsteuerung -> Software ...,
    e.) die Run-Ordner der Registry,
    f.) leere deinen Verlauf, Cache, Cookies und (unter XP) den Prefetch-Ordner.

  • Alternativ: kopiere ein Logfile der laufenden Programme über den Process Explorer (File - Save as...) hier rein.

  • Prüf deine hosts-Datei. Die Datei dient der Zuordnung von Hostnamen, blockiert Webserver, oder leitet Anfragen um - mit Adminrechten zu finden unter

    c:\windows\system32\drivers\etc\
    oder
    c:\winnt\system32\drivers\etc\

    Öffnen kannst du sie mit einem Editor- lösch eine eventuell vorhandene (und nicht von dir angelegte) untere lange Liste raus (Browser vorher schliessen).
    Kopiere dir die Datei aber vorher noch an einen anderen Ort.

  • Scan mit
    a) dem CWShredder (Fix -->...) &
    b) HijackThis.
    Browser jeweils schliessen, keine Installationen nötig. (1).

    Zu Hijack ein Logtutorial (2) - Logfile hier posten oder automatisch auswerten (3).

  • Sollten obige Tools nicht reichen, lass SpyBot Search & Destroy (besser!) oder Ad-Aware laufen (beide erst Updaten), PC neu booten, nochmals scannen (4).

  • Auch a²a-squared personal kann evtl. helfen. Das ist in erster Linie ein Trojaner Scanner und Remover. Jedoch erkennt a2 personal nicht nur Trojanische Pferde und Backdoors (Hintertüren), sondern auch andere für den PC schädliche Software wie Wurm-Viren, Dialer und Malware (5).

  • Dann beschäftige dich damit, deine Browser-Sicherheitseinstellungen
    anzupassen (6), und fehlende Updates (7) zu ergänzen.

  • Zu guter Letzt installiere dir auch, sofern nicht vorhanden, eine aktuelles Antivirenschutz Programm.

    Tipps für die Zukunft:
  • Windows sicherer machen - Einstellungen anpassen

  • Den SSI testen. Der Secunia Software Inspector untersucht im PC bekannte Software (Windows, Adobe Flash Player und Reader, diverse Browser, etc. ) nach Sicherheitslücken, fehlenden Patches und nicht mehr aktuellen Programmversionen, und unterstützt beim Update.
    Voraussetzung ist Windows 2000, Windows XP, Sun Java JRE 1.5.0_06, Internet Explorer 6.x, Opera 9.x, oder Firefox 1.5.x. Läuft im Browser und erfordert kein ActiveX .
    Nähere Infos + Ausführung unter: http://secunia.com/software_inspector/

    Die "Suche im Forum" rechts hätte dir übrigens mit denselben Lösungsansätzen noch schneller helfen können.

    Gruss,
    Mic

    Bei Eingriffen ins System, die Registry oder Dateien erst eine Sicherung vornehmen©

  • Antwort 4 von superkleb

    oh, endlich eine antwort.
    werde das mal in aller ruhe abarbeiten.
    schon mal ein kleines danke im voraus.

    Antwort 5 von superkleb

    hier meine HijackThis Logfile:

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 23:34:16, on 17.10.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Spyware Doctor\svcntaux.exe
    C:\Programme\Spyware Doctor\swdsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Spyware Doctor\SDTrayApp.exe
    C:\Dokumente und Einstellungen\konny\Desktop\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {9EE2DEF7-84DB-4CD9-A4F1-3FAC62E027A1} - C:\WINDOWS\system32\ils32.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Programme\MegaManager\MegaIEMn.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
    O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [Premium Clock] C:\Programme\Premium Clock\Premium.exe /autorun
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///F:/components/hidinputmonitorx.ocx
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///F:/components/A9.ocx
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///F:/components/wmvhdrating.ocx
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

    --
    End of file - 7819 bytes

    Antwort 6 von superkleb

    was mach ich denn nun mit der besagten datei (C:\WINDOWS\system32\ils32.dll) - kann man die einfach löschen? aber das sind doch die system-datein - ich will ja auch nichts kaputt machen.

    Antwort 7 von Massaraksch

    Antwort 8 von MixMax

    Ja die kannst du löschen, es soll sich bei der datei um eine reine virusdatei handeln die nicht zu windows gehört.
    im zweifelsfall benenne die einfach nur um erstmal.

    Antwort 9 von superkleb^

    habe die datei mit hijackthis gefixt und hinterhr nochmal meine scanner durchlaufen lassen. weder norton security scan noch spyware doctor finden etwas. hoffe das problem wäre damit überstanden.
    ich bedanke mich für die nette hilfe.
    mfg
    superkleb