Bei der Installation eines kostenfreien Programms, das bei Softonic zum Download angeboten wurde, gab es mit Iminent StartWeb (Iminent Start Search) eine zusätzliche Erweiterung für die installierten Browser Firefox, Internet Explorer und Chrome.
Während der Programminstallation wurde der Nutzer zwar gefragt, ob Iminent mit auf den Rechner kopiert werden soll. Da aber die Schnellinstallation ausgewählt und empfohlen wurde, waren bereits wenige Sekunden später die gewohnten Browser-Einstellungen verändert und Surfen im Internet kein Vergnügen mehr.


Die Software soll neuen Schwung in Chat-Unterhaltungen und Statusmeldungen bringen. Iminent installiert dabei eine Vielzahl an Emoticons, Smileys und weiteren lustigen Figuren auf dem Computer, die sich dann im Messenger oder E-Mails nutzen lassen. Keine Ahnung wer so etwas braucht …

Deshalb: Immer aufpassen, was installiert werden soll und unerwünschte Programmteile abwählen oder ganz auf bestimmte Anwendungen verzichten. Auch die Suche nach sicheren, alternativen Download-Quellen bei kostenfreier Software ist oftmals die bessere Wahl. Für mich kommt die hier genannte Download-Seite somit unter keinen Umständen in Frage.

Softsonic Iminent-Installation

Softsonic Iminent-Installation, aufpassen was man installiert

Inhaltsübersicht

Wie bei anderen Browser Hijackern auch, wurde die gewohnte Startseite und die Standardsuchmaschine in den Browsern verändert. Außerdem wird auch bei dieser Adware gehäuft Werbung eingeblendet und das unsichere Gefühl nicht zu wissen, was die Software im Hintergrund noch alles macht, lassen mich bei Iminent an einen Virus oder Trojaner denken. Vor allem, weil sich die Software nicht ohne weiteres entfernen lässt und Berichte in Foren davon zeugen, dass Iminent trotz Deinstallation immer wieder einen Weg zurück auf den Computer findet.

So lässt sich laut Anbieter die Toolbar “entfernen”

Immerhin stellt Iminent unter de.iminent.com/help/uninstall selbst eine umfassende unvollständige Anleitung zum Deinstallieren der Toolbar bereit, die ich an dieser Stelle nicht ungetestet lassen wollte. Ich kann es vorweg nehmen: Auf diesem Weg wird man das Problem nicht los! Die dort beschriebene Vorgehensweise nicht weiter beachten und die folgende Schritte durchführen:

Schritt 1: Die Erweiterung “Iminent” aus dem Firefox entfernen

Über Extras > Add-ons (Tastenkombination [Strg] + [Umschalt] + [A]) gelangt man im Firefox zum Add-ons-Manager. Hier nach “Iminent” suchen und die Erweiterung entfernen.

Iminent im Firefox entfernen

Iminent im Firefox entfernen

Schritt 2: Deinstallation über die Windows-Softwareverwaltung

Je nach Windows-Version (XP, 7, 8) zur Softwareverwaltung (Systemsteuerung) navigieren und dort nach “Iminent”, “IMINT”, “Iminent Toolbar” o.ä. suchen und die Anwendung(en) deinstallieren. Eine Sortierung nach Datum hilft oftmals dabei, zeitgleich installierte Software zu erkennen, die möglicherweise ebenfalls vom Rechner entfernt werden sollte.

Windows XP: Iminent deinstallieren

Windows XP: Iminent deinstallieren

Schritt 3: Diese Software findet und entfernt die versteckten System-Änderungen der Iminent Toolbar

Die kostenfreie Software AdwCleaner und zum Überprüfen des Rechner Malwarebytes haben bereits beim Browser-Hijacker namens Snapdo sehr gute Arbeit verrichtet. Somit kommen diese beiden Tools nun auch bei der Entfernung von Iminent Search zum Einsatz.

AdwCleaner Suche

AdwCleaner Suche

  1. Das Anti-Spamware-Tool AdwCleaner des General Changelog Teams bei www.heise.de downloaden der dortigen Verlinkung folgen.
  2. Malwarebytes, eine Software die installierte Malware anhand einer täglich aktualisierten Datenbank erkennt, in der kostenfreien Version herunter laden.
  3. Geöffnete Programme beenden und
  4. AdwCleaner starten und auf den Button “Suchen” klicken. Die Anti-Spamware-Anwendung überprüft nun alle installierten Programme nach bekannter Adware, u.a. nach der Iminent-Toolbar. Das kann je nach Menge der gespeicherten Daten auf der Festplatte mehrere Minuten bis Stunden dauern.
  5. Eine lange Liste gefundener Registry-Einträge, Dateien und Ordner sowie der Dienst SProtection wurde durch AdwCleaner gefunden und zum Entfernen ausgewählt. Mit dem Betätigen des Löschen-Button beginnt AdwCleaner mit dem Eliminieren der Schädlinge und startet zum Abschluss den Rechner neu.
  6. Auch wenn damit möglicherweise bereits alle Schädlinge gefunden und in Quarantäne verschoben wurden, so kann ein Systemscan mit der Anti-Malware-Software Malwarebytes nicht schaden. Das Programm muss installiert werden; den Haken bei “Aktualisiere Malwarebytes Anti-Malware” unbedingt aktiviert lassen.
  7. Die Programm-Datenbank wird daraufhin mit den neusten Updates versehen und anschließend kann eine Suche (vollständiger Scan) nach eventuell weiterer vorhandener Malware beginnen. Auch diese Aktion wird wieder eine ähnlich lange Zeit wie beim Scan mit dem AdwCleaner in Anspruch nehmen.
  8. Malwarebytes wird die Objekte im AdwCleaner Quarantäne-Verzeichnis und in den temporären Internetdateien aufspüren. Diese und ggf. weitere Funde können an dieser Stelle gelöscht werden.
  9. Rechner neu starten, aber wir sind leider noch nicht am Ende.

Logfile von AdwCleaner listet über 200 Fundstellen auf

Klick auf “show source” für eine vollständige Ansicht.

# AdwCleaner v3.006 - Bericht erstellt am 06/10/2013 um 21:49:48
# Updated 01/10/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Administrator - DANIEL-WEIHMANN
# Gestartet von : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****

Dienst Gelöscht : SProtection

***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Iminent
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Iminent
Ordner Gelöscht : C:\Programme\Iminent
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\Umbrella
Ordner Gelöscht : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Iminent
Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Iminent
[!] Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl
Datei Gelöscht : C:\Programme\Mozilla Firefox\defaults\pref\all-iminent.js
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cvtccvzg.default\searchplugins\iminent.xml
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cvtccvzg.default\user.js
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage-journal

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Iminent.WebBooster.InternetExplorer.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Business.Tinyfying.DownloadArgs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Business.Tinyfying.LinkToPromoteArgs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Business.Tinyfying.RawDataArgs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Business.Tinyfying.TinyUrlArgs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Business.Tinyfying.ViralLinkArgs
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.ClientCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.ContractBase
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.AddToUserContentCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.CheckLoginStatusCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.CleanCacheCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GameOverCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetCreditCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetInstallationContextCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetLoginStatusCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetLoginStatusResult
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetVariableCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.GetVariableResult
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.InstallationContextResult
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.LoadContentCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.LoadContentCommandResult
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.LoginCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.LoginStatusChangedCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.LogoutCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.MergeIdentityCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.MyAccountCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.PlayContentCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.PostContentCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.RecycleViewsCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.SetVariableCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.ShowBrowserWindowCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.ShowControlCenterCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.ShowPluginWindowCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.TestContentCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.UserContentChangedCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.VariableChangedCallback
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.WarmUpCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.DataContracts.WelcomeCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.ServerCommand
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.Communication.ServerResult
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.LightContent
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.LightUri
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Iminent.Mediator.MediatorServiceProxy
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandle.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandler
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler.1
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Iminent]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [IminentMessenger]
Wert Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Programme\Iminent\Iminent.exe]
Wert Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Programme\Iminent\Iminent.Messengers.exe]
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{01994268-3C10-4044-A1EA-7A9C1B739A11}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{01A602A0-D0B9-445B-8081-719E4177C4A7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02C9C7B0-C7C8-4AAC-A9E4-55295BF60F8F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{0398B101-6DA7-473F-A290-17D2FBC88CC0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{0CC36196-8589-4B80-A771-D659411D7F90}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{143D96F9-EB64-48B3-B192-91C2C41A1F43}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{14F7D91F-F669-45C9-9F42-BACBFDB86EAD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{187A6488-6E71-4A2A-B118-7BEFBFE58257}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{26C9BBE4-6D45-4AB6-A5B4-E068C9F5EF6D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2D065204-A024-4C39-8A38-EE7078EC7ACF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{30F5476C-677B-4DB0-B397-51F5BFD86840}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3223F2FB-D9B9-45FC-9D66-CD717FFA4EE5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{351798B1-C1D2-45AB-92B4-4D6C2D6AB5AF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3AEA1BEF-6195-46F4-ACA2-0ED14F7EFA1B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3D7F9AC3-BAC3-4E51-81D7-D121D79E550A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{4498C5E9-93C6-4142-B6BE-F0C6DC48B77A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{479BF2D6-E362-4A99-B1AB-BC764D7B97AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{492A108F-51D0-4BD8-899D-AD4AB2893064}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{4B6D6E60-FBD2-4E79-BF4B-886BC98F1797}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5C176BA0-6FC0-4EBD-8ACF-24AC592506B6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{60893E02-2E5B-43F9-A93A-BAD60C2DF6EF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{6D39931F-451E-4BDD-BAF4-37FB96DBBA5D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{76C684D2-C35D-4284-976A-D862F53ADB81}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{796D822A-C3F9-4A97-BAAB-42FE7628EA63}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{79EF3691-EC1A-4705-A01A-D2E36EC11758}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{82F41418-8E64-47EB-A7F1-4702A974D289}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{85D920CE-63A7-46DC-8992-41D1D2E07FAD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{895ED5E8-ABB4-40C3-A0CA-2571964268E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{8AAC123A-1959-4A45-BFC5-E2D50783098A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A07956CD-81F8-4A03-B524-5D87E690DC83}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B5E3B26B-6E5C-4865-A63D-58D04B10E245}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B84D2DC5-42B2-4E5E-BF61-7B48152FF8EF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B89D5309-0367-4494-A92F-3D4C94F88307}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C014EBF8-8854-448B-B5A4-557C4090EDCE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C31191DB-2F64-464C-B97C-6AC81ACB7AAC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C342C7A7-F622-4EF3-8B7F-ABB9FBE73F14}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C4765B07-BC2F-477B-925C-B2BF24887823}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C875C0A1-09E3-48D5-9F8E-BD337796FD14}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CD126DA6-FF5B-4181-AC13-54A62240D2FA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D8F01233-2DE6-4EE7-8988-37263F00651B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DD438708-AAB4-422D-A322-B619589F5680}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E812AE43-7799-4E67-8CF8-4104297A2D16}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F0BAAEC7-9AE0-49FF-9C4B-86E774FF397F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F92193FD-2243-4401-9ACC-49FF30885898}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FD21B8A2-910B-45AC-9C10-45E6A8B84984}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ACA608DB-A210-4253-B799-3FD24E9A7BF5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C58D664A-3DBC-4925-AE74-0382007DF113}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C776D7F4-BA85-4B75-AAFC-3A0A11FE6E36}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{A9CAF365-EA35-45DA-BD8B-2EFA09D374AC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0AF350D9-3916-454B-AC53-0B0B65F41301}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BFFED5CA-8BDF-47CC-AED0-23F4E6D77732}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{84FF7BD6-B47F-46F8-9130-01B2696B36CB}]
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Iminent
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\smartbar
Schlüssel Gelöscht : HKLM\Software\Iminent
Schlüssel Gelöscht : HKLM\Software\Umbrella
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{81FCC50B-950F-4063-8E4A-D99CAA4FBB1F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Iminent
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IMBoosterARP
Produkt Gelöscht : Iminent

***** [ Browser ] *****

-\\ Internet Explorer v6.0.2900.5512


-\\ Mozilla Firefox v23.0.1 (de)

[ Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cvtccvzg.default\prefs.js ]


-\\ Google Chrome v29.0.1547.76

[ Datei : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [369 octets] - [06/10/2013 21:18:50]
AdwCleaner[R1].txt - [19346 octets] - [06/10/2013 21:29:39]
AdwCleaner[S0].txt - [18717 octets] - [06/10/2013 21:49:48]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [18778 octets] ##########

Mehrere Funde durch den Intensiv-Scan mit Malwarebytes

Neben den erwarteten Virus-Meldungen PUP.Optional.Iminent.A in den temporären Internetfiles bzw. im Temp-Verzeichnis, wurde eine Anwendung namens Umbrella.exe gefunden, die im Zusammenhang mit Iminent Protection steht und wohl ein einfaches Entfernen der Malware verhindern soll.
Außerdem wurde die Download-Software von Softonic und ein weiterer Browser-Hijacker namens “Conduit” entdeckt.

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.06.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Administrator :: DANIEL-WEIHMANN [Administrator]

06.10.2013 22:21:38
mbam-log-2013-10-06 (22-21-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 195550
Laufzeit: 41 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\CT2679725 (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 15
C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\ADMINI~1\LOKALE~1\Temp\Iminent\IminentMinibarIE.exe.vir (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\ADMINI~1\LOKALE~1\Temp\Iminent\MinibarChrome.exe.vir (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\ADMINI~1\LOKALE~1\Temp\Iminent\MinibarFirefox.exe.vir (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\AdwCleaner\Quarantine\C\Programme\Gemeinsame Dateien\Umbrella\Umbrella.exe.vir (PUP.Optional.Iminent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader_fuer_4free-video-converter.exe (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\tb_Delta_Search_brch (1).exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\tb_Delta_Search_brch.exe (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_0001d6 (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\IminentSetup-1-.exe (PUP.Optional.Iminent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2HYZGRQJ\MinibarChrome[1].exe (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SJ4XEBQL\iminent[1].msi (PUP.Optional.Iminent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SR49UNUL\IminentMinibarIE[1].exe (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXY9YT8T\MinibarFirefox[1].exe (PUP.Optional.Iminent.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc5.exe (PUP.Optional.Softonic) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\CT2679725\ddt.csf (PUP.Optional.Conduit.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Weitere Iminent-Funde mit Malwarebytes

Weitere Iminent-Funde mit Malwarebytes

Schritt 4: Manuelle Nacharbeiten in den Browser-Einstellungen

Die nächsten Schritte gelten den Anpassungen der Browser an die eigenen Bedürfnisse. Da oftmals noch immer start.iminent.com als Startseite beim Öffnen des Browsers verwendet wird und auch das Öffnen eines neuen Tabs ein unbefriedigendes Ergebnis liefert, gilt es hier noch ein paar Nacharbeiten vorzunehmen.

Startseite Iminent im Firefox entfernen

Unter Extras > Einstellungen > Allgemein die Startseite auf die gewünschte URL abändern. Unter Datenschutz zumindest die Cookies und die Chronik löschen, die bei einer Suche nach Iminent gefunden werden.

In die Adressleiste about:config eingeben und nach dem Bestätigen, dass man vorsichtig sein wird, nach “Iminent” suchen und aufräumen. Für browser.newtab.url bietet sich ein leerer Wert an. Also den Adware-Müll an dieser Stelle einfach entfernen (Rechtsklick, bearbeiten). Alle andere Fundstellen zurücksetzen (reset) bzw. mit einem leeren Wert versehen und anschließend den Firefox neu starten.

Zum Abschluss noch StartWeb aus der Liste der Suchmaschinen entfernen und der Firefox ist von Iminent befreit.

Firefox: Suchmaschinen verwalten

Firefox: Suchmaschinen verwalten

Startseite Iminent im Chrome entfernen

In die Adressleiste des Browsers “chrome://settings” eingeben und “start.iminent.com” löschen. Einen Blick unter “Suchmaschinen verwalten” werfen, die favorisierte Suchmaschine (z.B. Google) als Standard festlegen und unpassende Einträge entfernen. Den Verlauf leeren und den Chrome neu starten.
Unter “Erweitere Einstellungen” lässt sich der Chrome auch mit einem Klick auf die ursprünglichen Standardeinstellungen zurücksetzen.

Chrome: Startseite festlegen

Chrome: Startseite festlegen

Startseite Iminent im Internet Explorer entfernen

Unter Extras > Internetoptionen > Allgemein die Startseite ändern und den Browserverlauf löschen. Wenn man wie ich den Internet Explorer eigentlich nicht nutzt und die Standardeinstellungen des Browsers in Ordnung gehen, im Reiter Erweitert die Einstellungen zurücksetzen. Damit sind alle Änderungen durch Iminent wieder zurück genommen.

IE8 Browsereinstellungen

IE8 Browsereinstellungen

Befindet sich nun noch ein Virus oder Trojaner auf dem Computer?

Ich hatte in meiner Testumgebung für diesen Artikel die AVG Antivirus Free Edition 2013 im Hintergrund laufen, die mich auch bei Installation des Softonic-Downloaders auf Gefahren hingewiesen hat. Diese habe ich wissentlich ignoriert und die Installation trotzdem durchgeführt.

AVG hat Bedrohung erkannt

AVG hat Bedrohung erkannt

Da mein Labor-Rechner allerdings noch immer eine sehr hohe CPU-Last für die svchost.exe im Task-Manager anzeigt und der PC recht träge reagiert, nutze ich den ESET Online Scanner für einen weiteren Sicherheitscheck. Schließlich sind Malwarebytes und AdwCleaner keine Antiviren-Anwendungen und erkennen möglicherweise bestimmte Muster nicht. Außerdem ist AVG nun vielleicht “sauer auf mich” und ignoriert die Bedrohung aufgrund meiner Anweisung.

Weitere Bedrohungen gefunden

C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\ADMINI~1\LOKALE~1\Temp\Iminent\IMinentToolbar.exe.vir	Mehrere Bedrohungen	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Smartbar.Installer.Mini.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SJ4XEBQL\IMinentToolbar[1].exe	Mehrere Bedrohungen	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXY9YT8T\Smartbar.Installer.Mini[1].exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc1.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc2.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc3.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc4.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
ESET Online Scanner hat weitere Bedrohungen gefunden

ESET Online Scanner hat weitere Bedrohungen gefunden

Der ESET Online Scanner hat weitere Bedrohungen gefunden und gelöscht. Diese befanden sich vor allem im Papierkorb, aber auch in den Temporary Internet Files wurden erneut Schadsoftware gefunden.

Wie lassen sich Bedrohungen dieser Art künftig vermeiden?

Selbst die kostenfreie Version von AVG hat mich gewarnt und mit einem halbwegs klaren Verstand hätte man die Installation nicht durchgeführt. Im Hintergrund sollte immer eine Software laufen, die Bedrohungen erkennt und abwendet. Es gibt zahlreiche kostenlosen und kostenpflichtige Tools dieser Art. Hier streiten sich die Experten welche Software die beste ist.

Mit den Microsoft Security Essentials oder dem Windows Defender hat man sicherlich ein gutes und kostenfreies Produkt, das sich bestens ins Betriebssystem einfgügt. Ich persönlich nutze seit Jahren die professionelle Avira Internet Security und bin damit absolut zufrieden. In Test werden auch Kaspersky Internet Security und Bitdefender Internet Security stets gut bewertet.


Aber auch das bereits weiter oben erwähnte Aufpassen was man sich von welchen Quellen installiert, kann oftmals schon Ärger dieser Art vermeiden. Mit Sicherheit benötigt man kein Downloader-Programm, um sich kostenfreie Software herunter zu laden. In einem solchen Fall wechsle ich lieber zum nächster Anbieter. Persönlich habe ich mit Downloads bei www.heise.de sehr gute Erfahrungen.

Während einer Programm-Installation wird oft in Richtung “Schnellinstallation” gedrängt. Haltet Ausschau nach einer “Benutzerdefinierten Installation” und wähl hier ab, was ihr nicht benötigt!

Iminent wird laut Google Trends seit 2011 häufiger gesucht

Vor allem in Südamerika ist die Suche nach “Iminent” bei Google ein großes Thema. So werden Suchanfragen nach “como desinstalar iminent“, “desinstalar iminent” oder “eliminar iminent” in der Vergangenheit häufiger durchgeführt.

In wie weit der deutschsprachige Raum mit dieser Malware Probleme hat oder haben wird kann ich jetzt noch nicht abschätzen. Da Iminent allerdings über eine recht prominentes Download-Portal augenscheinlich Verbreitung findet, wird diese Anleitung sicherlich einigen Opfern weiter helfen.

Hinterlasst eine Rückmeldung oder gern auch eine Frage in den Kommentaren, ich werde versuchen so gut ich kann weiter zu helfen.

Iminent Google Trends

Iminent Google Trends