Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.10.2017, 08:58   #1
hank33
 
OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? - Standard

OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?



Hi,


ich bin neu hier im Forum und habe ein Problem mit mindesten einem meiner Rechner im Netzwerk. Also, dass Problem ist Folgendes: Ich habe die genannten Dateien oder was auch immer das ist (?) auf meinem Rechner. Sie bewirken wohl so einiges: Bei einem Antivirus Scan mit Avira stürzt das Programm bei 80% ab. Es sind mehr Daten vorhanden bzw. es wirkt so, dass mehr Daten untersucht werden als vorhanden, die Auslastung der Festplatte klettert auf 100% und das Programm beendet irgendwann den Scan oder stürzt ab. Dann wollte ich mir ein Programm gegen Malware und zwar Malwarbytes einsetzten. Beim Laden von Malwarebytes von verschiedenen Seiten fiel mir auf, dass es endlos lange Datei Exen waren und nicht der eigentlichen Datei im Namen entsprachen. Irgendwann habe ich die Datei gefunden und sie sofort geladen, jedoch kann ich im Programm nicht die Funktion "Webschutz aktivieren". Der Scan erfolgt nicht, bzw. bricht ab. Als ich aus dem Urlaub wieder kam und den PC startete sah ich, dass ein Heimgruppennetzwerk auf meinen Desktop entstanden war. Ein Heimnetzgruppe die ich selbst nicht eingerichtet hatte. Habe sie gelöscht. Ich habe aus Erfahrung einen Skriptblocker auf meinen Rechnern, ich bemerkte, dass Dieser immer weniger Aktiv wurde und auftauchte bzw. ganz dann verschwand. Zumindest auf dem einen stark befallenen Rechner war dies der Fall. Als ich versuchte das Malwareprogramm von meinem laut Antivir unbefallenen Rechner zu ziehen, sah ich auch nur wieder eine falsche Datei. Ich habe das W-Lan ausgestellt (am Router) und verwende ausschließlich Lan Kabel. Nur der Hauptbefallene Rechner ist noch am Netz. Eine Sache ist noch ineteressant, auf meinem Iphone ging die Youtube App immer aus bzw. brach auf einmal beim Hören ab. Um das zu beheben musste ich immer in den Flugmodus plus die App neu starten. Erst dachte ich es wäre der Traffic, aber Router neu gestartet immer noch abgebrochen, dann habe ich das W-Lan Passwort geändert und es läuft (bis auf einen Break) ausgezeichnet. Im Ausland hatte ich mein Handy (Iphone6s) mit und habe dort über W-Lan viel Youtube gehört, ohne einen Abbruch. Also hier meine Fragen: Was sind das für Datein? Wie werde ich sie los? Was ist das für ein Problem?
Mein System ist Windows 8 (Hauptbefall), Windows 7 und IOS 9.2.1.

Logfiles habe ich nicht bzw. müsste mir geholfen werden.

Weitere Probleme sind, ich habe keine Rescue Disk (Windows 8), der abgesicherte Modus lässt sich nicht laden (zumindest habe ich es noch nicht geschafft) und meine Windows 7CD lädt er auch nicht. Auch war keine Treiber Disc dabei (Windows 8/Asus).

Also, formatieren? Oder lässt sich noch was machen? Wie gehe ich nun weiter vor?

Ich bin für jeden Tipp sehr dankbar und hoffe sehr auf Eure Hilfe,


Grüße an Alle!



Hank33

Update: So habe das nicht funktionierende (weil Kein Webschutz aktivierbar) Malwarebytes gelöscht und ein anderes installiert, also eins mit einer langen .exe Datei im Namen. Fazit:
Webschutz funktionierte prompt und ich konnte scannen. Entgegen Avira hat er aber nicht PUA/OpenCandy.Gen und PUA/FusionCore.Me.3 als immer wieder autauchende Bedrohung gefunden, sondern 10 Stück mit anderer Bezeichnung (siehe Auswertung/Log). Meine Frage jetzt: Sind das die gleichen "Viren"? Ich lasse jetzt nochmal Avira drüber laufen.

Anbei die Ergebnisse des Scans:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 20.10.17
Scan-Zeit: 13:35
Protokolldatei: c6937372-b58a-11e7-bc45-54a050bbe21d.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.188
Version des Aktualisierungspakets: 1.0.3055
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: Asus\Media

-Scan-Ãœbersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 341641
Erkannte Bedrohungen: 10
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 8 Min., 16 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 3
PUP.Optional.InstallCore, HKU\S-1-5-21-3272909085-1471416209-107826148-1001\SOFTWARE\csastats, Keine Aktion durch Benutzer, [2], [260986],1.0.3055
PUP.Optional.InstallCore, HKU\S-1-5-21-3272909085-1471416209-107826148-1001\SOFTWARE\ICSW1.23, Keine Aktion durch Benutzer, [2], [239562],1.0.3055
PUP.Optional.OffersOlymp, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\bbiilhoacmmppcmcogfmaailncbelbgn, Keine Aktion durch Benutzer, [1963], [344163],1.0.3055

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 3
PUP.Optional.OffersOlymp, C:\PROGRAM FILES (X86)\OFFERS OLYMP, Keine Aktion durch Benutzer, [1963], [344140],1.0.3055
PUP.Optional.OffersOlymp, C:\Users\Media\AppData\Roaming\Mozilla\Firefox\Profiles\md9rppht.default\jetpack\@offersolymp\simple-storage, Keine Aktion durch Benutzer, [1963], [344143],1.0.3055
PUP.Optional.OffersOlymp, C:\USERS\MEDIA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MD9RPPHT.DEFAULT\JETPACK\@OFFERSOLYMP, Keine Aktion durch Benutzer, [1963], [344143],1.0.3055

Datei: 4
PUP.Optional.OffersOlymp, C:\USERS\MEDIA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\MD9RPPHT.DEFAULT\EXTENSIONS\@OFFERSOLYMP.XPI, Keine Aktion durch Benutzer, [1963], [344162],1.0.3055
PUP.Optional.OffersOlymp, C:\Program Files (x86)\Offers Olymp\bbiilhoacmmppcmcogfmaailncbelbgn.crx, Keine Aktion durch Benutzer, [1963], [344140],1.0.3055
PUP.Optional.OffersOlymp, C:\Users\Media\AppData\Roaming\Mozilla\Firefox\Profiles\md9rppht.default\jetpack\@offersolymp\simple-storage\store.json, Keine Aktion durch Benutzer, [1963], [344143],1.0.3055
PUP.Optional.DownloadSponsor, C:\USERS\MEDIA\APPDATA\LOCAL\TEMP\DMR\DMR_72.EXE, Keine Aktion durch Benutzer, [521], [373684],1.0.3055

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

Habe also Antivir laufen lassen. Wieder scannte er sehr lange, über 3 Stunden! Bei ca.80% wechselte er auf meine zweite Partition auf der aber so gut wie nichts (ein paar MB) drauf sind und beendete den Scan diesmal ohne Fehlermeldung. Er scannte über 1000000 Dateien, hauptsächlich bei Windows 8.

Ist das normal für Windows 8?

Geändert von hank33 (20.10.2017 um 00:54 Uhr)

Alt 21.10.2017, 14:28   #2
M-K-D-B
/// TB-Ausbilder
 
OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? - Standard

OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?







Ich habe dein Thema in den Malwarebereich verschoben, da es hier u. a. um die Entfernung von Schadsoftware geht.



Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:
  1. Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.

  2. Lies dir meine Anleitungen immer sorgfältig durch, arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste immer alle Logdateien (auch wenn nichts gefunden wurde). Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.

  3. Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!

  4. Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
    Außerdem bitte ich dich, nicht eigenmächtig irgendwelche Sicherheitsprogramme auszuführen und damit deinen Rechner zu überprüfen/bereinigen, da ich so leicht den Überblick verlieren kann.
    Außerdem hättest du dir das Eröffnen eines Themas in diesem Fall auch gleich sparen können, wenn du dann doch wieder alleine rumhantierst.


  5. Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!

  6. Alle zu verwendenen Programme sind auf dem Desktop ( C:\users\dein Benutzername\Desktop\ ) abzuspeichern und von dort als Administrator zu starten!

  7. Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.

  8. Sollten die Logdateien einmal die zulässige Länge (~ 120.000 Zeichen) überschreiten, so teile die Logdateien auf mehrere Posts auf.
    Zur Not kannst du die Logdateien dann auch zippen (in ein .zip Archiv packen) und als Anhang hochladen.


  9. Bitte arbeite so lange mit mir zusammen, bis ich dir sage, dass wir fertig sind und dein Rechner "sauber" ist. Das vorzeitige Verschwinden von Symptomen heißt nicht automatisch, dass dein Rechner bereits vollständig sauber ist.

  10. In der Regel antworte ich dir innerhalb von 24 Stunden, oft sogar wesentlich schneller.
    Jedoch habe auch ich einen normalen Beruf und Familie. Ich bin daher nicht jeden Tag stundenlag hier im Forum unterwegs. Es kann unter Umständen bis zu 2 Tage dauern, bis du eine Antwort von mir erhältst. Sollte diese Zeit überschritten sein, so kannst du mir gerne eine PM als Erinnerung schicken.





Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:
So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!







Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)







Schritt 2
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.






Schritt 3
Formuliere deine Fragen nochmals. Dieses Mal kurz und präzise. Was genau möchtest du alles wissen?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei von TDSS-Killer,
  • die beiden neuen Logdateien von FRST,
  • alle für dich relevanten Fragen.
__________________

__________________

Alt 21.10.2017, 22:55   #3
hank33
 
OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? - Standard

OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?



Hi,


habe mir die Sache nochmal genau angeschaut und festgestellt, dass da gar nichts mehr zu machen ist. Werde alle Rechner platt machen müssen, das Handy zurücksetzen oder formatieren, den Router mindestens zurücksetzen. Man ist das toll. Das ganze Netzwerk reseten. Keine Ahnung wo der Angriff herkam, sowas habe ich noch nicht erlebt und ein bissel Ahnung habe ich auch davon. Einen Man-In-The-Middle Angriff schließe ich nicht aus, ohne Skribtblocker war ich nicht unterwegs und das ändern des W-Lan Passworts brachte bzgl. der YouTube App ja deutlichen Erfolg. Aber das ist nur ne Vermutung. Es ist echt überall was. Zu viel. Wo man auch hinguckt.
Das Krasse ist, dass die Systeme immer noch so stabil laufen. Krank. Es funktioniert nur immer das nicht, was man gerade will. Z.B. Webschutz, Firewall, Netzwerke. Als ob jemand dagegen denkt.
Habe auf Partizipation d:/ die eigentlich leer sein sollte, folgende Datein gefunden: VS_EXBSLNx64_deu . Einmal als Installer und einmal als CAB Datei. Vielleicht kennt ihr die ja. Außerdem Reste vom ApowerSoftRecorder. Also die Temp. Natürlich leer.
Naja, sollte aber letztlich mein Reset auch nicht funktionieren melde ich mich nochmal!

Vielen Dank für die angebotene Hilfe!


Hank33
__________________

Alt 22.10.2017, 14:33   #4
M-K-D-B
/// TB-Ausbilder
 
OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? - Standard

OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?



Neu aufsetzen ist wohl hier der beste Weg.



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM inklusive Link zum Thema.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.
__________________
Gruß
M-K-D-B


==========================================================
offline vom 22.12.2018 bis 01.01.2019
==========================================================

Das Trojaner-Board unterstützen

Antwort

Themen zu OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?
100%, antivirus, auslastung, avira, dateien, desktop, exe, festplatte, formatieren, frage, lädt, malware, malwarebytes, namen, neu, passwort, problem, programm, router, scan, seite, seiten, system, treiber, windows



Ähnliche Themen: OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?


  1. Eset Scan findet: Variante von Win32/FusionCore.J
    Plagegeister aller Art und deren Bekämpfung - 18.12.2016 (16)
  2. Malwarebytes findet PUP.Optional.OpenCandy..., Windows 7
    Log-Analyse und Auswertung - 01.12.2016 (11)
  3. Windows 8.1 - Malware gefunden: PUA/OpenCandy.4574 + PUA/InstallMonetizer
    Log-Analyse und Auswertung - 19.04.2016 (20)
  4. Rechner friert ein - Windows 7 - Avira Fund PUA/OpenCandy
    Log-Analyse und Auswertung - 23.02.2016 (13)
  5. Antivir meldet unter Windows 10: Funde von PUA/OpenCandy.Gen
    Log-Analyse und Auswertung - 15.02.2016 (20)
  6. Windows 7 Ultimate 64bit: Avira findet PUA/OpenCandy.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.11.2015 (14)
  7. Windows 7 Ultimate 64bit: Avira findet PUA/OpenCandy.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.11.2015 (9)
  8. Windows 7: MBAM findet pup.opional.opencandy
    Log-Analyse und Auswertung - 27.11.2014 (19)
  9. Windows XP: Malwarebytes hat PUP.Optional.OpenCandy gefunden
    Log-Analyse und Auswertung - 28.07.2014 (3)
  10. OpenCandy, Win32/BundledToolbar.ASK.D/F - Windows XP
    Plagegeister aller Art und deren Bekämpfung - 17.03.2014 (15)
  11. Windows7: PUPOptional.OpenCandy in C:\Users\*****\AppData\Roaming\OpenCandy
    Plagegeister aller Art und deren Bekämpfung - 07.02.2014 (7)
  12. Windows 7, Malwarebytes findet PUP.Optional.OpenCandy
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (9)
  13. Windows 7: MBAM Fund: PUP.Optional.Opencandy
    Log-Analyse und Auswertung - 29.10.2013 (9)
  14. Windows 8: Virus PUP.Optional.OpenCandy
    Plagegeister aller Art und deren Bekämpfung - 17.10.2013 (3)
  15. Windows 7: PUP.Optional.OpenCandy
    Log-Analyse und Auswertung - 19.09.2013 (29)
  16. Windows 7: PUP.Optional.OpenCandy von MBAM gefunden
    Plagegeister aller Art und deren Bekämpfung - 14.08.2013 (9)
  17. Windows 7: PUP.Optional.OpenCandy mit Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.08.2013 (2)

Zum Thema OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? - Hi, ich bin neu hier im Forum und habe ein Problem mit mindesten einem meiner Rechner im Netzwerk. Also, dass Problem ist Folgendes: Ich habe die genannten Dateien oder was - OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun?...
Archiv
Du betrachtest: OpenCandy.Gen/FusionCore.Me3.-Windows 8! Was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.