Wie entferne ich den Ihavenet-Trojaner, andere Trojaner, Viren, Ransomware (Erpressersoftware) und andere Schadsoftware (Malware) mit Rescue-CDs von meinem PC?
Ein PC mit Windows XP als Betriebssystem wurde von einem Trojaner befallen, der umgangssprachlich "Ihavenet" oder "Ihavenet-Virus" genannt wird. Der Nachfolgende Artikel beschreibt, wie man diesen und ähnliche Plagegeister auf Windows-Rechnern wieder los wird, welche eine ungewollte Suchmaschinen-Umleitung vornehmen.
Die Symptome und was der Ihavenet-Trojaner verursacht? Sie surfen wie gewohnt mit Google oder einer anderen Suchmaschine mit einem Browser wie z.B. Firefox oder MS-Internetexplorer und stellen fest, dass Sie, wenn Sie eine Seite aufrufen wollen, ohne es zu wollen umgeleitet werden. Sie gelangen dann erst für kurze Zeit auf www.ihavenet.com und von dort geht es auf viele andere unterschiedliche zweifelhafte Seiten, vor denen das Firefox-Add-on WOT meistens mit einem roten oder gelben Kringel warnt. Was Ihavenet sonst noch mit dem befallenen System anstellt, ist unbekannt. Mit Sicherheit wird auch die Registry manipuliert. Der Ihavenet-Trojaner ist eine Schadsoftware, die sich fest und tief in Ihrem System eingenistet hat und Ihre Internetverbindungen manipuliert. Ihavenet ist allem Anschein nach aber kein Virus, der sich über ihren PC weiter verbreitet. Diesen Trojaner haben Sie sich wahrscheinlich eingefangen, weil Sie versehentlich eine Aktion auf einer unsicheren Internetseite ausgelöst haben.
Erste Maßnahme: Als erste Maßnahme wählen Sie bei Suchmaschinen eine sicherere Verbindung mit "https://", wie dies zum Beispiel über https://www.google.de möglich ist. Sie werden dann wahrscheinlich feststellen, dass die Symptome dort nicht auftreten. Auf diese Weise können Sie wenigstens wieder vernünftig arbeiten und surfen. Selbstverständlich geht dies mit allen anderen Suchmaschinen, die eine sichere Verbindung über "https://" ermöglichen.
Was alles nicht geholfen hat: Sämtliche Programme, welche ich für den Viren- und Trojaner-Scan von Windows aus startete, waren nicht in der Lage das Problem zu beheben. Nur ein Programm (aswMBR) wies auf eine verdächtige DLL hin, aber konnte diese jedoch nicht entfernen. Ein Überschreiben des MBR (Master Boot Record) der Festplatte half auch nichts. Nach dem Entfernen von über 100 relativ harmlosen Tracking-Cookies ging das Surfen zwar schneller, aber der nervige Ihavenet-Trojaner war immer noch vorhanden. Ich versuchte die Datei Hosts so zu verändern, so dass wenigstens der Zugriff auf ihavenet.com gesperrt ist. Aber auch das half nichts. Die Wiederherstellung einer alten Registry führte auch nicht zum Erfolg.
So können Ihavenet und andere Schadsoftware in einem Rutsch mit einer Rescue-CD entfernt werden: In meinem Fall war, wie ich später feststellte, eine ir50_325.dll verantwortlich, die sich unter C:\WINXP\system32\ eingenistet hatte. Unter laufendem Windows scheitert jeder Versuch diese Datei zu löschen, zu verschieben oder ihren Namen zu verändern, da diese DLL gerade aktiv ist. Diese Datei kann nur entfernt werden, wenn Windows nicht in Betrieb ist. Sie brauchen deshalb eine Rescue-CD, die über das CD-ROM-Laufwerk oder einem USB-Stick ein eigenes Betriebssystem startet, um dann diese DLL entfernen zu können. Verschiedene Anbieter stellen solche CDs kostenlos zum Download zur Verfügung. Weitere Links zu solchen CDs finden Sie z.B. unter http://answers.microsoft.com … forum …e3.
Ich habe in meinem Fall die ebenfalls kostenlose "Kaspersky Notfall-CD 10" eingesetzt, welche Sie unter http://support.kaspersky.com … 2 als ISO-Datei herunterladen können. Diese ISO-Datei müssen Sie dann mit einem CD-Brennprogramm als Image-CD auf eine CD-ROM brennen. Keinesfalls dürfen Sie diese ISO-Datei als Daten-CD auf eine CD-ROM brennen, weil es sonst nicht funktioniert und Sie nicht von dieser CD booten können.
Rescue-CDs laden Sie als ISO-Dateien (Disk-Image-Dateien) herunterladen und müssen unbedingt als Image-CD auf einer DVD oder CD-ROM gebrannt werden, hier im Bild als Beispiel mit dem Brennprogramm Nero, das bei vielen DVD-Brennern mitgeliefert wird. Als kostenloses Brennprogramm gibt es zum Beispiel unter anderem CDBurnerXP.
Damit Sie von dieser oder allgemein von einer Rescue-CD booten können, legen Sie diese CD in das CD-Laufwerk und starten den Rechner neu. Beim Hochfahren des Rechners erfahren Sie ganz am Anfang, wie Sie in das Bios gelangen, um die Boot-Sequenz (Boot-Reihenfolge) zu verändern. Oft kommen Sie mit "Del" ins Bios und folgen den Beschreibungen. In meinem Fall war es einfach, da man mit "F11" ein Menü aufrufen konnte, um die Boot-Reihenfolge zu ändern. Probieren Sie es mit "F11" oder "F12" Das CD-ROM-Laufwerk muss natürlich vor der Festplatte (Harddisk, Harddrive) aufgerufen werden.
Bei vielen BIOS kann mit der Tastatureingabe "F11" oder "F12" beim Booten ein Fenster aufgerufen werden, um die Bootreihenfolge zu ändern, damit der Rechner von der Rescue-CD booten kann.
Bei älteren Notebooks bietet das Bios keine Möglichkeit von der CD-ROM zu booten. Dann können Sie eine Smart-Boot-Manager-Diskette anlegen. Die Vorgehensweise ist unter http://elektronikbasteln.pl7.de/thinkpad-390e-2626-aufruesten.html beschrieben.
Eine als Image-CD selbst gebrannte Rescue-CD, von der Sie Ihren Rechner booten können, ist oft die einzige Möglichkeit, sich von hartnäckiger Schadsoftware zu befreien. Verschiedene Hersteller bieten für das Brennen solcher CDs kostenlose ISO-Dateien zum Download an. Eine Aktualisierung über das Internet ist wichtig. Wenn kein optisches Laufwerk vorhanden ist, kann auch ein USB-Stick als Datenträger verwendet werden.
Nun können Sie den Rechner von der Rescue-CD booten lassen. Befolgen Sie die Anweisungen. Der Vorgang ist selbsterklärend. Es gibt allerdings ein paar kleine Dinge zu beachen. Bei der Kaspersky-CD müssen Sie innerhalb von 10 Sekunden irgendeine Taste drücken, da sonst Windows wieder startet. Wenn sich der Mauszeiger in der Mitte des Bildes an einem Kringel zeigt, dürfen Sie die Maus noch nicht bewegen, da sonst die Maus nicht gefunden werden kann. Von der Rescue-CD wird übrigens Linux gestartet, ohne das es auf ihrem Rechner installiert wird. Bevor Sie allerdings mit dem Scan loslegen, werden Sie darauf hingewiesen die Datenbank zu aktualisieren. Ohne Aktualisierung hatte in meinem Fall die CD keine Schadsoftware entdeckt. Für die Aktualisierung benötigen Sie eine Internetverbindung. Auf der unteren Leiste finden Sie ähnlich wie bei Windows in der unteren, rechten Ecke des Bildschirms ein Symbol mit zwei Rechnern. Klicken Sie es an und wählen Sie bei einer WLAN-Verbindung ihr Netzwerk aus und tragen Sie ihren Netzwerkschlüssel ein, um ins Internet zu gelangen. Nun können Sie die Datenbank aktualisieren, was etwa 20 Minuten dauern kann. Erst jetzt können Sie den Scan starten. Es reicht, wenn Sie nur die System-Ordner untersuchen lassen. Sie brauchen nicht die gesamte Festplatte durchwühlen lassen. Nach ein paar Minuten wurde die ir50_325.dll entdeckt. Der Aufforderung diese Datei in die Quarantäne zu verschicken, bin ich dann nachgekommen. Sie sollten die Option "Quarantäne" wählen, da bei einem Fehlalarm die Löschung wieder rückgängig gemacht werden kann, denn es kann ja sein, dass ohne diese DLL ihr Betriebssystem nicht mehr funktioniert. Nachdem die Rescue-CD ihren Dienst geleistet hat, können Sie das Betriebssystem auf der Rescue-CD herunterfahren, die CD entnehmen und Windows wieder ganz normal starten.
WLAN-Verbindung aufbauen: Das hat bei mir bei schlecher Verbindungsqualität mit verschiedenen CDs Probleme bereitet, weil der Netzwerkschlüssel nicht akzeptiert wurde. Starten Sie die CD neu und vielleicht auch in einer anderen Sprache. Oder gehen Sie, wenn es sich um ein Notebook handelt, möglichst dicht an den WLAN-Router. Dann klappt es.
Eine Rescue-CD hat einen Trojaner gefunden und gemeldet. Er wurde dann gelöscht.
Auf jeden Fall war nach dem Scannen, Finden und Beseitigen des Trojaners das Problem gelöst. Seitdem gab es keine Suchmachinen-Umleitungen mehr, Firefox ließ sich schneller aufrufen und das Surfen geht nun auch wieder schneller. Ein gelegentlicher Scan der gesamten Festplatte mit Rescue-CDs verschiedener Anbieter lohnt sich auf jeden Fall.
Falls es auf Anhieb nicht geklappt haben sollte, können weitere Versuche mit Rescue-CDs anderer Anbieter unternommen werden. Selbstverständlich arbeitet der Ihavenet-Trojaner wie die meisten Trojaner immer mit wechselnden Strategien. Deshalb kann es ein paar Tage oder vielleicht eine Woche dauern, bis die nötige Aktualisierung der Datenbank für die Rescue-CD vorliegt.
Weiterführende Informationen zur Internetsicherheit:
Ransomware: Es handelt sich hierbei um Erpressersoftware, die Sie zwingt eine bestimmte Summe zu zahlen, damit Sie von der Schadsoftware befreit werden. Diese Ransomware können Sie zum Beispiel auch mit der Kaspersky-Notfall-CD entfernen. Die Anleitung finden Sie hier.
Surfen in einer virtuellen Maschine: Wenn Sie sich auf Downloadseiten bewegen, bei denen sie sich nicht sicher sind, empfehle ich den Einsatz eines Betriebssystems als virtuelle Maschine. Dies geht zum Beispiel mit der kostenlosen Virtualisierungssoftware VirtualBox, welche Sie unter https://www.virtualbox.org finden. Wenn das Betriebssystem der virtellen Maschine infiziert ist, wird es einfach gelöscht und wieder neu aufgesetzt. Diese Methode halte ich für noch sicherer als einen Virenscanner im Hintergrund laufen zu lassen.
Hardware-Fehler. Es muss nicht immer gleich ein Virus oder Trojaner sein: Falls sich Ihr Rechner merkwürdig verhält, kann es auch an einem Hardware-Problem liegen. Häufige Abstürze, besonders wenn der Rechner noch kalt ist, können ihre Ursache in einem defekten Netzteil haben. Häufig sind defekte Elkos im Netzteil und auf dem Mainboard die Fehlerquelle. Wenn die Kommunikation mit Peripherie-Geräten ab und zu Schwierigkeiten macht, kann es an einer verbrauchten Puffer-Batterie (meistens eine Knopfzelle) liegen. Werden Fenster nach dem Booten mehrfach aufgerufen, kann eine defekte Tastatur die Ursache sein. Eine defekte Maus kann auch dafür sorgen, dass mit einem einzigen Klick die Fenster nicht nur einmal aufgerufen werden. Häufiges Abstürzen und Aufhängen des Systems kann auch daran liegen, dass es ihrer CPU zu warm wird, weil der CPU-Lüfter mit Staub und Fusseln verdreckt ist. Wenn Ihr Rechner eine Fehlermeldung beim Booten liefert, muss nicht unbedingt die Festplatte defekt sein. Es kann auch auch an einem defekten Arbeitsspeicher (RAM) liegen. Manchmal ist es auch nur ein Wackelkontakt oder schlechter Kontakt einer Steckverbindung im PC.
Weitere Tipps zur Internetsicherheit:
- Anti-Botnet Beratungszentrum (sehr nützliche Tipps)
- Firefox schneller machen und konfigurieren (auch über den Umgang mit Cookies)
Unvollständige Linkliste zu Rescue-CDs: Suchen Sie auf den verlinkten Seiten immmer nach der ISO-Datei, welche Sie als Image auf eine CD brennen.