ihavenet

[hans1147]

Liebes Forum,
ich habe mir gestern einen offensichtlich sehr hartnäckigen "Virus" eingefangen und bin etwas ratlos darüber, wie ich ihn wieder los werde.

Es handelt sich um den "ihavenet" Schädling, der sich dahingehend äußert, daß beim Anklicken von Links z.B. von Suchergebnissen einer Suchmaschine, (yahoo ,aber auch bei anderen) ich auf eine andere, ungewünschte Seite umgeleitet werde. Im Allgemeinen ist es zunächst ihavenet.com, die sich dann aber in rascher Folge auf andere Seiten weiterleitet, um schließlich meist bei einer Youtube-Seite stehen zu bleiben.
Fieserweise leitet der Schädling aber auf Seiten um, die Hilfe bei der Beseitigung von Malware anbieten.

Ich verwende firefox als Browser, das Bild ist aber mit IE und Google Chrome dasselbe.

Auf meinem PC sind 5 Konten eingerichtet, davon 2 Administratoren. Der Schädling scheint z.Zt. nur auf einem eingeschränktem Konto zu sitzen.

Ich habe bisher versucht, das System mit Virenscanern zu reinigen (McAffee, Spybot-search&destroy, Avira, Malwarebytes). Bisher ohne Erfolg.
Ich habe versucht, das System auf einen älteren Zustand wiederherzustellen: vergeblich, da nur 2 Wiederherstellungspunkte vorhanden, beide offensichtlich nach der Infektion erstellt.
(Frage dazu: wie kann ich das System bewegen, ältere Wiederherstellungspunkte zu behalten?)

In diversen Foren werden Hilfen angeboten, wie man manuell den Schädling loswird. Problem: die dort abgegebenen Dateien und Registry-Einträge, die "ihavenet" zugeordnet werden und gelöscht werden sollen, finde ich nicht auf meinem PC.

Weitere Frage:
Der Schädling scheint z.Zt. nur auf 1 Benutzerkonto aktiv zu sein. Reicht es aus, dieses Konto zu löschen?

Gibt es einen Königsweg, den Virus loszuwerden? Ein Neuaufsetzen des Systems möchte ich möglichst umgehen wegen der 5 Nutzer.
Gibt es Maßnahmen, wie man sich vor Neuinfektionen schützt?

Ich habe meinen Browser absichtlich so eingestellt, daß er die Chronik beim Abmelden löscht. Leider konnte ich jetzt auch nicht mehr nachvollziehen, wo die Infektion aufgetreten sein könnte!

Vielen Dank schon für Eure Hilfe und Erfahrung

[oldi-40]

Hallo hans1147,

um deine Fragen zu beantworten benötige ich/wir ein OTL-Log.

Gibt es einen Königsweg, den Virus loszuwerden? Ein Neuaufsetzen ...

Ein neuer, planvoller Anfang ist das Beste.

Ich habe bisher versucht, das System mit Virenscanern zu reinigen (McAffee, Spybot-search&destroy, Avira, Malwarebytes). Bisher ohne Erfolg.

Alles nur Bastel-Lösungen.

Tschau

[hans1147]

Guten Morgen oldi-40
vielen Dank vorab für Deine Hilfe.

Hier die gewünschten Dateien:


Bis bald!

[oldi-40]

Hallo hans1147,

poste mal alle Logs mit Funden, die Du hast.

Adware suchen mit adwCleaner

• Lade Dir bitte AdwCleaner auf deinen Desktop herunter.
  .
  
  .
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs oeffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner naechsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Poste das Log, dann geht es weiter mit:

Adware beseitigen mit adwCleaner

• Schliesse alle Programme.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestaetige zweimal mit Klick auf OK.
• Rechner startet neu.
• Nach Neustart oeffnet sich eine Textdatei, die hier posten.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Tschau

[hans1147]

Guten Morgen oldi-40

hier die Ergebnisse von AdwCleaner:

Bin gespannt auf das Ergebnis!

[oldi-40]

Hallo hans1147,

Bin gespannt auf das Ergebnis!

Jupp, Du hast den Werbemüll gelöscht.

Poste mal alle Logs mit Funden, die Du hast.

Darauf bin ich gespannt.

Tschau

[hans1147]

hallo oldi-40,

ich habe die Virenscanner nocheinmal laufen lassen. Hier die Ergebnisse:

Ich möchte aber nocheinmal auf das Schadbild zurückkommen:
Wie gesagt, ich habe auf meinem Rechner 5 Benutzer eingerichtet, davon ist einer (eingeschränktes Konto) beschädigt.
Symtome sind:
Wenn ich in einer Suchmaschine (standardmäßig Yahoo, gelegentlich Google) einen Suchbegriff eingebe, erhalte ich eine "vernüftige" Ergebnisliste.
Rufe ich dann ein einzelnes Ergebnis auf, werde ich zunächst auf die Seite von "ihavenet.com" umgeleitet, anschließend in rascher Folge auf andere Seiten
(ohne daß sich diese vollständig aufbauen), um dann auf irgend einer ungewünschten Seite stehen zu bleiben.
Gebe ich jedoch die Internetadresse des Suchergebnisses manuell oder per copy & paste in (einen neuen Tab) den Browser ein, erhalte ich die gewünschte Seite.
Clicke ich die verschieden Links des Startbildschirmes (homepage von "1 und 1") an, werden die korrekten Seiten aufgebaut.
Gleiches gilt für andere Internetseiten, die keine Suchmaschinen sind.
Clicke ich Links in selbst erstellten Dokumenten an, erhalte ich ebenfalls die richtigen Seiten angezeigt.
Ich benutzte probeweise die Suchmaschine blekko, die ich bisher so gut wie nie benutzte. Dabei erhielt ich ca. 5 bis 10 Minuten lang korrekte Ergebnisse,
danach die gleichen Fehler wie bei der Standardsuchmaschine.
Suche ich nach dem Stichwort "ihavenet virus", so wird im beschädigten Konto eine offizielle Seite von Windows angezeigt, im nicht beschädigten Konto dagegen
eine vernünftige Ergebnisliste.
Für mich muß Logik neu erfunden werden.

Bis dann.

[oldi-40]

Hallo hans1147,

Ich möchte aber nocheinmal auf das Schadbild zurückkommen:
Wie gesagt, ich habe auf meinem Rechner 5 Benutzer eingerichtet, davon ist einer (eingeschränktes Konto) beschädigt.

Das ist mir alles bekannt.

Ich möchte die Logs mit den Funden sehen.

Die Lösung deines Problems ist der DNS-Cache, aber ohne Kenntnis der bisher beseitigten/gelöschten Dateien bringt das nichts.

Und : Sicherheit kann man nicht in Pappschachteln kaufen.

Tschau

[hans1147]

Guten Morgen oldi-40,

Ich möchte die Logs mit den Funden sehen.

Erkläre mir bitte, welche Logs von welchen Programmen zu welchem Zeitpunkt mit welchen Befunden.

Bis dann.

[oldi-40]

Hallo hans1147,

Erkläre mir bitte, welche Logs von welchen Programmen zu welchem Zeitpunkt mit welchen Befunden.

Na Du hast doch eine ganze Palette von Tools verwendet.

McAffee, Spybot-search&destroy, Avira, Malwarebytes, Ad-Aware Antivirus, Avira DE-Cleaner

Jedes Tool dürfte etwas gefunden haben, von Adware über Cookies zu Malware.
Nehmen wir als Beispiel Avira, da kann man die Berichte mit Funden leicht erkennen. Da wird ein Fund rot markiert.
Bei MalwareBytes findet man die Logs unter "Logdateien", ob etwas gefunden wurde, läßt sich nur durch das Öffnen feststellen.

Wenn OTL nicht lügt, dann hast Du die Umleitung schon länger als 30 Tage.
- Oder die gesuchte *.dll wurde von deinen Tools gelöscht.

Frage dazu: wie kann ich das System bewegen, ältere Wiederherstellungspunkte zu behalten?

Da mußt Du mehr Speicherplatz zulassen, Normal werden 12% des Laufwerks verwendet. Das kann man aber verändern.

Mache mal ein Log mit dem TDSSKiller, bei Funden wähle Skip.

Tschau