Hallo.

Ich bin neu hier und habe ein Problem. Ich habe das "Ihavenet"-Virus und benötige ihre Hilfe.
Mein Antivirenprogramm "AVAST!" hat bei einem kompletten Scan nichts gefunden. Auch das Programm "SpyBot Search and Destroy" hat nichts gefunden. Mein Betriebssystem ist Windows XP.
Ich benutze den Internetbrowser Mozilla Firefox und bei einem Klick auf die Google-Suchergebnisse öffnet sich dann immer "www.ihavenet.com".
Bitte helft mir.

Vielen Dank schon einmal im Voraus!

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo.

Ich habe den Scan durchgeführt und schicke Ihnen die beiden Logfiles als ".zip"-Archiv.

Gruß combo64!

Hallo, danke für die Logfiles,



Wichtig bevor wir anfangen:

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall Tuneup Utilities 2012, CCleaner .

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über

Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)

zu deinstallieren.

Bitte deinstalliere folgende Programme:

Code: Alles auswählenAufklappen

ATTFilter

Tuneup Utilities
CCleaner
Spybot Search and Destroy
         

Schritt 1:

• Downloade der bitte AdwCleaner 3.000. und speichere es auf deinem Desktop. (Dein Antivirenprogramm wird eventuell meckern, das ist aber falscher Alarm.)
• Starte das Programm und drücke den SCAN Button.
• Markiere unter Results (unterer Bereich des Tools) alle Funde
• Drücke den Clean Button.
• Poste das erzeugte Logfile hier.

Schritt 2:
Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 3:
Kontrollscan mit FRST
Führe wie zuvor beschrieben einen Scan mit FRST aus. Es wird nur eine FRST.txt erzeugt. Poste mir diese.

Bitte poste mir in deiner Antwort folgende Logfiles:

AdwCleaner
FRST

Zip Files erschweren mir die arbeit, daher bitte zukünftig so posten:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo.

Ich habe nur die Free-Version von SpyBot. Ich kann die von ihnen angegebene Anleitung nicht ausführen, denn ich finde

Zitat:

klicke dann links unten auf "Werkzeuge"

nicht. Können Sie mir das noch einmal beschreiben oder soll ich SpyBot einfach deinstallieren? Den CCleaner habe ich gerade deinstalliert. TuneUp Utilities habe ich aber schon seit ca. 2 Wochen deinstalliert.
Ihren Rat nehme ich natürlich an. Ich hatte CCleaner nur, weil er die Festplatte von temporären Dateien entfernt.

Hi , ja Spybot einfach deinstallieren und bitte, ich bin der Heiko, kein SIE

Hi!
Ja, wenn das so ist, bin ich Florian. Ich schicke jetzt die 2 Logs.

Entschuldige dass ich dir die Arbeit damit erschwere, aber die 2 LogFiles passen nicht ins Forum rein und deshalb schicke ich die Im Anhang mit!

Gruß Florian

Hi Florian,

machen wir mal so weiter:

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

sag mir bitte ob das Problem noch besteht, und in welchen Browsern es auftritt.

Hi,

es tut mir leid, aber bei mir öffnet sich nur das Kommandozeilen-Fenster mit der Titelleiste "Wget hxxp://thisisudax.org/downloads/md5/newmd5.txt" und sonst tut sich nichts! Meine Antivirensoftware kann ich nicht ganz beenden. Ich kann nur die Schutzmodule abschalten.
Was soll ich tun?

Gruß Florian.

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Task: C:\WINDOWS\Tasks\Giqzofljd.job => C:\WINDOWS\system32\avifil32T.dll
C:\WINDOWS\Tasks\Giqzofljd.job
C:\WINDOWS\system32\avifil32T.dll
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Hallo.

Hier kommt jetzt die Logfile von "Fixlog.txt"!

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 23-08-2013
Ran by Administrator at 2013-08-23 16:41:33 Run:1
Running from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
Task: C:\WINDOWS\Tasks\Giqzofljd.job => C:\WINDOWS\system32\avifil32T.dll
C:\WINDOWS\Tasks\Giqzofljd.job
C:\WINDOWS\system32\avifil32T.dll
         
*****************

C:\WINDOWS\Tasks\Giqzofljd.job => Moved successfully.
"C:\WINDOWS\Tasks\Giqzofljd.job" => File/Directory not found.
Could not move "C:\WINDOWS\system32\avifil32T.dll" => Scheduled to move on reboot.

=========== Result of Scheduled Files to move ===========

C:\WINDOWS\system32\avifil32T.dll => Moved successfully.

==== End of Fixlog ====
         

Gruß Florian.

Hi

ist Ihavenet weg?

und was macht das JRT Logfile, klappt das immer noch nicht?

Hallo.

Also die JRT-Logfile schicke ich jetzt mal mit:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.5.4 (08.22.2013:1)
OS: Microsoft Windows XP x86
Ran by Administrator on 23.08.2013 at 17:55:26,40
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\powerpack



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\WINDOWS\system32\ai_recyclebin"



~~~ FireFox

Successfully deleted the following from C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\firefox\profiles\hyhspvw4.default\prefs.js

user_pref("flagfox.actions", "[{\"name\":\"Geotool\",\"template\":\"hxxp://geoip.flagfox.net/?ip={IPaddress}&host={domainName}\",\"iconclick\":\"click\",\"hotkey\":{\"mods\":\





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 23.08.2013 at 18:01:44,51
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

Der "Ihavenet"-Virus hat sich gerade bei mir im Test...
nicht bemerkbar gemacht!!!!
Hoffentlich bleibt es so!
Wie kann man sich vor dem Virus eigentlich schützen?
Soll ich auch die Programme auf der Festplatte lassen, die ich heruntergeladen habe?
Wenn irgendwann wieder einmal etwas sein sollte, kann ich Euch ja immer noch fragen?!

Ich bedanke mich hiermit auch ganz herzlich bei dir, dass du dir die Zeit genommen hast, um mir zu helfen!

Viele Grüße,
Florian.

Na wunderbar... wir sind aber noch nicht fertig...

Wer sagt uns denn dass da nix anderes mehr im System ist und dann sollten wir das System ja noch absichern oder Oft ist das Problem eine alte Java Version, aber das sehen wir wenn du den Post durchgearbeitet hast.

Wir haben schonmal die verbreitetste Adware gelöscht, deine Tempfiles entsorgt und grob über das System geschaut...

Schritt 1:
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ACHTUNG der Schritt kann mehrere Stunden dauern da es ein Komplettscan ist...


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3:
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hi,

entschuldige, aber ich kann die Datei "Malware Bytes Antimalware" nicht herunterladen, da Firefox (Version 23) bzw. Internet Explorer (Version 8) immer wieder bei 1,96 MB bzw. 2,17 MB abbrechen. Ich habe auch schon die älteren Versionen benutzt, die Angeboten werden auf "FilePony", doch es ist immer wieder das selbe.
Als Internetverbindung benutze ich einen Web-Stick, da unser Haus keine Kabelinternetanbindung hat. Ich benutze mit dem Stick eine GPRS-Verbindung, da ich sonst keinen Empfang hätte. Deswegen geht herunterladen nur mit 7-9 KB/s! Ich glaube aber nicht, dass das mit dem herunterladen zu tun hat, oder?!

Außerdem kann ich nicht alle USB-Sticks anschließen, da ich nur 4 Steckplätze an meinem Rechner besitze und 2 davon durch Maus und Web-Stick belegt sind. USB-Sticks habe ich aber 3. Soll ich den Vorgang dann noch einmal für den einen Stick wiederholen?

Gruß Florian.