Iminent entfernen

Bei der Installation eines kostenfreien Programms, das bei Softonic zum Download angeboten wurde, gab es mit Iminent StartWeb (Iminent Start Search) eine zusätzliche Erweiterung für die installierten Browser Firefox, Internet Explorer und Chrome. Während der Programminstallation wurde der Nutzer zwar gefragt, ob Iminent mit auf den Rechner kopiert werden soll. Da aber die Schnellinstallation ausgewählt und empfohlen wurde, waren bereits wenige Sekunden später die gewohnten Browser-Einstellungen verändert und Surfen im Internet kein Vergnügen mehr.

Was macht Iminent auf dem Rechner?

Die Software soll neuen Schwung in Chat-Unterhaltungen und Statusmeldungen bringen. Iminent installiert dabei eine Vielzahl an Emoticons, Smileys und weiteren lustigen Figuren auf dem Computer, die sich dann im Messenger oder E-Mails nutzen lassen. Keine Ahnung, wer so etwas braucht.

Warum ist Iminent gefährlich?

Wie bei anderen Browser-Hijackern auch, wurde die gewohnte Startseite und die Standardsuchmaschine in den Browsern verändert. Außerdem wird auch bei dieser Adware gehäuft Werbung eingeblendet und das unsichere Gefühl nicht zu wissen, was die Software im Hintergrund noch alles macht, lassen mich bei Iminent an einen Virus oder Trojaner denken. Vor allem, weil sich die Software nicht ohne weiteres entfernen lässt und Berichte in Foren davon zeugen, dass Iminent trotz Deinstallation immer wieder einen Weg zurück auf den Computer findet.

So lässt sich laut Anbieter die Toolbar "entfernen"

Immerhin stellt Iminent unter de.iminent.com/help/uninstall selbst eine umfassende unvollständige Anleitung zum Deinstallieren der Toolbar bereit, die ich an dieser Stelle nicht ungetestet lassen wollte. Ich kann es vorweg nehmen: Auf diesem Weg wird man das Problem nicht los! Die dort beschriebene Vorgehensweise nicht weiter beachten und die folgende Schritte durchführen:

Schritt 1: Die Erweiterung "Iminent" aus dem Firefox entfernen

Über Extras > Add-ons (Tastenkombination [Strg] + [Umschalt] + [A]) gelangt man im Firefox zum Add-ons-Manager. Hier nach "Iminent" suchen und die Erweiterung entfernen.

Schritt 2: Deinstallation über die Windows-Softwareverwaltung

Je nach Windows-Version (XP, 7, 8) zur Softwareverwaltung (Systemsteuerung) navigieren und dort nach "Iminent", "Iminent", "Iminent Toolbar" o.ä. suchen und die Anwendung(en) deinstallieren. Eine Sortierung nach Datum hilft oftmals dabei, zeitgleich installierte Software zu erkennen, die möglicherweise ebenfalls vom Rechner entfernt werden sollte.

Schritt 3: Diese Software findet und entfernt die versteckten System-Änderungen der Iminent Toolbar

Die kostenfreie Software AdwCleaner und zum Überprüfen des Rechners Malwarebytes haben bereits beim Browser-Hijacker namens Snapdo sehr gute Arbeit verrichtet. Somit kommen diese beiden Tools nun auch bei der Entfernung von Iminent Search zum Einsatz.

1. Das Anti-Spamware-Tool AdwCleaner des General Changelog Teams bei www.heise.de downloaden der dortigen Verlinkung folgen.
2. Malwarebytes, eine Software die installierte Malware anhand einer täglich aktualisierten Datenbank erkennt, in der kostenfreien Version herunterladen.
3. Geöffnete Programme beenden und
4. AdwCleaner starten und auf den Button "Suchen" klicken. Die Anti-Spamware-Anwendung überprüft nun alle installierten Programme nach bekannter Adware, u.a. nach der Iminent-Toolbar. Das kann je nach Menge der gespeicherten Daten auf der Festplatte mehrere Minuten bis Stunden dauern.
5. Eine lange Liste gefundener Registry-Einträge, Dateien und Ordner sowie der Dienst SProtection wurde durch AdwCleaner gefunden und zum Entfernen ausgewählt. Mit dem Betätigen des Löschen-Buttons beginnt AdwCleaner mit dem Eliminieren der Schädlinge und startet zum Abschluss den Rechner neu.
6. Auch wenn damit möglicherweise bereits alle Schädlinge gefunden und in Quarantäne verschoben wurden, so kann ein Systemscan mit der Anti-Malware-Software Malwarebytes nicht schaden. Das Programm muss installiert werden; den Haken bei "Aktualisiere Malwarebytes Anti-Malware" unbedingt aktiviert lassen.
7. Die Programm-Datenbank wird daraufhin mit den neuesten Updates versehen und anschließend kann eine Suche (vollständiger Scan) nach eventuell weiterer vorhandener Malware beginnen. Auch diese Aktion wird wieder eine ähnlich lange Zeit wie beim Scan mit dem AdwCleaner in Anspruch nehmen.
8. Malwarebytes wird die Objekte im AdwCleaner Quarantäne-Verzeichnis und in den temporären Internetdateien aufspüren. Diese und ggf. weitere Funde können an dieser Stelle gelöscht werden.
9. Rechner neu starten, aber wir sind leider noch nicht am Ende.

Logfile von AdwCleaner listet über 200 Fundstellen auf

AdwCleaner Logfile anzeigen (über 200 Fundstellen)

# AdwCleaner v3.006 - Bericht erstellt am 06/10/2013 um 21:49:48
# Updated 01/10/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Administrator - DANIEL-WEIHMANN
# Gestartet von : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****

Dienst Gelöscht : SProtection

***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Iminent
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Iminent
Ordner Gelöscht : C:\Programme\Iminent
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\Umbrella
Ordner Gelöscht : C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Iminent
Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Iminent
[!] Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl
Datei Gelöscht : C:\Programme\Mozilla Firefox\defaults\pref\all-iminent.js
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cvtccvzg.default\searchplugins\iminent.xml
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cvtccvzg.default\user.js
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\chrome-extension_igdhbblpcellaljokkpfhcjlagemhgjl_0.localstorage-journal

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****
... (insgesamt über 200 Einträge)

Mehrere Funde durch den Intensiv-Scan mit Malwarebytes

Neben den erwarteten Virus-Meldungen PUP.Optional.Iminent.A in den temporären Internetfiles bzw. im Temp-Verzeichnis, wurde eine Anwendung namens Umbrella.exe gefunden, die im Zusammenhang mit Iminent Protection steht und wohl ein einfaches Entfernen der Malware verhindern soll. Außerdem wurde die Download-Software von Softonic und ein weiterer Browser-Hijacker namens "Conduit" entdeckt.

Logfile anzeigen

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.06.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Administrator :: DANIEL-WEIHMANN [Administrator]

06.10.2013 22:21:38
mbam-log-2013-10-06 (22-21-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 195550
Laufzeit: 41 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
... (weitere Einträge gekürzt)

Schritt 4: Manuelle Nacharbeiten in den Browser-Einstellungen

Die nächsten Schritte gelten den Anpassungen der Browser an die eigenen Bedürfnisse. Da oftmals noch immer start.iminent.com als Startseite beim Öffnen des Browsers verwendet wird und auch das Öffnen eines neuen Tabs ein unbefriedigendes Ergebnis liefert, gilt es hier noch ein paar Nacharbeiten vorzunehmen.

Startseite Iminent im Firefox entfernen

Unter Extras > Einstellungen > Allgemein die Startseite auf die gewünschte URL abändern. Unter Datenschutz zumindest die Cookies und die Chronik löschen, die bei einer Suche nach Iminent gefunden werden. In die Adressleiste about:config eingeben und nach dem Bestätigen, dass man vorsichtig sein wird, nach "Iminent" suchen und aufräumen. Für browser.newtab.url bietet sich ein leerer Wert an. Also den Adware-Müll an dieser Stelle einfach entfernen (Rechtsklick, bearbeiten). Alle andere Fundstellen zurücksetzen (reset) bzw. mit einem leeren Wert versehen und anschließend den Firefox neu starten. Zum Abschluss noch StartWeb aus der Liste der Suchmaschinen entfernen und der Firefox ist von Iminent befreit.

Startseite Iminent im Chrome entfernen

In die Adressleiste des Browsers "chrome://settings" eingeben und "start.iminent.com" löschen. Einen Blick unter "Suchmaschinen verwalten" werfen, die favorisierte Suchmaschine (z.B. Google) als Standard festlegen und unpassende Einträge entfernen. Den Verlauf leeren und den Chrome neu starten. Unter "Erweitere Einstellungen" lässt sich der Chrome auch mit einem Klick auf die ursprünglichen Standardeinstellungen zurücksetzen.

Startseite Iminent im Internet Explorer entfernen

Unter Extras > Internetoptionen > Allgemein die Startseite ändern und den Browserverlauf löschen. Wenn man wie ich den Internet Explorer eigentlich nicht nutzt und die Standardeinstellungen des Browsers in Ordnung gehen, im Reiter Erweitert die Einstellungen zurücksetzen. Damit sind alle Änderungen durch Iminent wieder zurück genommen.

Befindet sich nun noch ein Virus oder Trojaner auf dem Computer?

Ich hatte in meiner Testumgebung für diesen Artikel die AVG Antivirus Free Edition 2013 im Hintergrund laufen, die mich auch bei Installation des Softonic-Downloaders auf Gefahren hingewiesen hat. Diese habe ich wissentlich ignoriert und die Installation trotzdem durchgeführt.

Da mein Labor-Rechner allerdings noch immer eine sehr hohe CPU-Last für die svchost.exe im Task-Manager anzeigt und der PC recht träge reagiert, nutze ich den ESET Online Scanner für einen weiteren Sicherheitscheck. Schließlich sind Malwarebytes und AdwCleaner keine Antiviren-Anwendungen und erkennen möglicherweise bestimmte Muster nicht. Außerdem ist AVG nun vielleicht "sauer auf mich" und ignoriert die Bedrohung aufgrund meiner Anweisung.

Weitere Bedrohungen gefunden

Logfile anzeigen

C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\ADMINI~1\LOKALE~1\Temp\Iminent\IMinentToolbar.exe.vir	Mehrere Bedrohungen	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Smartbar.Installer.Mini.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SJ4XEBQL\IMinentToolbar[1].exe	Mehrere Bedrohungen	Gesäubert durch Löschen - in Quarantäne kopiert
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YXY9YT8T\Smartbar.Installer.Mini[1].exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc1.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc2.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc3.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert
C:\RECYCLER\S-1-5-21-1844237615-1383384898-1343024091-500\Dc4.exe	MSIL/Toolbar.Linkury.A Anwendung	Gesäubert durch Löschen - in Quarantäne kopiert

Der ESET Online Scanner hat weitere Bedrohungen gefunden und gelöscht. Diese befanden sich vor allem im Papierkorb, aber auch in den Temporary Internet Files wurden erneut Schadsoftware gefunden.

Wie lassen sich Bedrohungen dieser Art künftig vermeiden?

Selbst die kostenfreie Version von AVG hat mich gewarnt und mit einem halbwegs klaren Verstand hätte man die Installation nicht durchgeführt. Im Hintergrund sollte immer eine Software laufen, die Bedrohungen erkennt und abwendet. Es gibt zahlreiche kostenlosen und kostenpflichtige Tools dieser Art. Hier streiten sich die Experten welche Software die beste ist. Mit den Microsoft Security Essentials oder dem Windows Defender hat man sicherlich ein gutes und kostenfreies Produkt, das sich bestens ins Betriebssystem einfügt. Ich persönlich nutze seit Jahren die professionelle Avira Internet Security und bin damit absolut zufrieden. In Test werden auch Kaspersky Internet Security und Bitdefender Internet Security stets gut bewertet.

So vermeidest du Adware

Aufpassen, was du dir von welchen Quellen installierst, verhindert die meisten Probleme. Du brauchst kein Downloader-Programm, um kostenfreie Software herunterzuladen. Wenn eine Seite so etwas verlangt, wechsle zum nächsten Anbieter.

Während einer Programm-Installation wird oft in Richtung "Schnellinstallation" gedrängt. Wähle immer die "Benutzerdefinierte Installation" und entferne die Haken bei allem, was du nicht brauchst.

Iminent wird laut Google Trends seit 2011 häufiger gesucht

Vor allem in Südamerika ist die Suche nach "Iminent" bei Google ein großes Thema. So werden Suchanfragen nach "como desinstalar iminent", "desinstalar iminent" oder "eliminar iminent" in der Vergangenheit häufiger durchgeführt. In wie weit der deutschsprachige Raum mit dieser Malware Probleme hat oder haben wird kann ich jetzt noch nicht abschätzen. Da Iminent allerdings über eine recht prominentes Download-Portal augenscheinlich Verbreitung findet, wird diese Anleitung sicherlich einigen Opfern weiter helfen. Hinterlasst eine Rückmeldung oder gern auch eine Frage in den Kommentaren, ich werde versuchen so gut ich kann weiter zu helfen.