Frage von Oberlausitz,

Adware: Win32/OpenCandy

Hi,

Mein Antivirenprogramm (Microsoft Security Essentials) hat eine potenzielle Bedrohung erkannt >>> Adware: Win32/OpenCandy. Hab versucht das zu bereinigen aber Microsoft Security Essentials sendet eine Fehlermeldung >>> 0x80501001 Microsoft Security Essentials konnte die ausgewählte Aktion (entfernen) nicht anwenden. Wie bekomme ich das wieder weg? Der IE öffnet sich ständig von selbst.... Habe ein Notebook von ASUS mit Windows 7 Home Premium.

Hilfreichste Antwort von Anthracis,
1 Mitglied fand diese Antwort hilfreich

Das ist kein "Virus", sondern Adware. Ist meistens harmlos. Der Übergang von Adware zu Spyware (Spionage-Software) ist fließend. Wenn sich der IE selbst öffnet, ist das aber ein Zeichen, dass etwas nicht stimmt.

Mach bitte einen Voll-Scan (alle Laufwerke) mit Malwarebytes (www.malwarebytes.org). Installieren, auf Reiter "Aktualisierung" gehen und manuell updaten, Internet ausmachen, sonstige Virenscanner ausschalten und scannen. Funde löschen. Am Ende kommt ein Text-File mit den Ergebnissen. Dieses bitte auf dem Desktop speichern und bei file-upload.net hochladen, Download-Link hier posten. Dann kann ich Dir sagen, was zu tun ist. Kannst mir den Link auch per PN schicken.

Kommentar von Oberlausitz,

Das "Adware: Win32/OpenCandy" Problem ist gelöst. Jetzt hab ich aber immernoch das Problem mit dem IE. Diesbezüglich bin ich mehr oder weniger fündig geworden. >>>Exploit: JS/Blacole.A<<< Microsoft Security Essentials kann es zwar entfernen, aber sobald sich der IE öffnet ist es wieder da. Sobald ich wieder eine Meldung bekomme, werde ich mal ein Volls-San mit mbam machen,weil momentan findet er nichts...

Kommentar von Anthracis,

Ok, da steht "No action taken". Die Funde sollten schon gelöscht werden ;) Die Malware auf Deinem PC ist nicht ohne. Du hast eine Rootkit- + eine Backdoor-Infektion, das ist eigtl. schon das Schlimmste, was Dir passieren konnte.

Lass mal TDSSKiller scannen: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Funde hier bitte NICHT löschen, nur skippen (kann sein, dass Du das noch brauchen wirst) und Logfile bei file-upload.net hochladen.

Es kann sein, dass eine größere Bereinigung auf Dich zukommt. Da Dein System bereits wer weiß wie lange schon backdoorisiert ist, musst Du SOFORT ALLE PASSWÖRTER (ICQ, E-Mail, MSN, Facebook etc.) ändern, wenn die Malware entfernt ist! Falls Du Online-Banking betreiben solltest, ruf bei der Bank an und gib Bescheid, dass Dein PC mit Malware infiziert ist und Deine Bankdaten ausgespäht worden sein könnten.

Behalte auf jeden Fall alle Logfiles von Malwarebytes, die gemacht wurden.

Kommentar von Oberlausitz,

kaspersky hat nichts gefunden...

Kommentar von Anthracis,

Wurden denn die Malwarebytes-Funde gelöscht? Wenn nicht, dann fahr den PC in den abgesicherten Modus (vor dem Erscheinen des Windows-Logos F8 drücken), schalte das Internet aus und mache nochmal einen Full Scan damit. Alle Funde löschen, nochmal Logfile hochladen. Wenn nichts gefunden wird, sag Bescheid.

Wenn nichts gefunden wird, bitte mal mit Gmer (ww.w.gmer.net) scannen. Da dan auf den "Download EXE"-Button klicken, die Datei hat einen komischen Namen, das ist gewollt. Vor dem Scan unbedingt darauf achten, dass das Internet aus ist und jegliche Anti-Viren-Programme deaktiviert sind. Während des Scans am Besten nichts am PC machen, da GMER leicht abstürzt. Nach dem Scan erstmal nichts machen, nur die Ergebnisse wieder speichern und bei file-upload.net uploaden. Das Problem ist, dass die Entfernung von Rootkits unter Umständen Systemschäden nach sich ziehen kann, aber erstmal abwarten, was bei den Scans rauskommt.

Hier ist nochmal 'ne ausführliche Anleitung, wie GMER benutzt wird: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html

Kommentar von Oberlausitz,

Die Malwarebytes-Funde wurden gelöscht.... hier der Link mit den GMER Ergebnis: http://www.file-upload.net/download-3841962/gmer2.log.html

Kommentar von Anthracis,

Alles cool. Hast Du noch Probleme mit dem IE oder sonstige Symptome? Wird der Browser umgeleitet?

Kommentar von Oberlausitz,

seit gut 24 Std. ist kein Problem mehr aufgetaucht, auch der IE öffnet sich nicht mehr von selbst. Scheint also alles OK zu sein.

Kommentar von Anthracis,

Mach zur Kontrolle nochmal einen Scan mit USEC Nemesis: http://www.usec.at/nemesis.html.

Die Einstellungen auf "Normal" lassen. FileScan und Registry Scan durchführen. Funde löschen. Report uploaden.

Wenn nichts gefunden wird, hattest du offenbar nochmal Dusel. Dann geb ich dir noch Tipps zur Malware-Absicherung.

Kommentar von Anthracis,

Ach ja, bei "Registry Scans" nur den Spyware Scan machen, reicht erstmal.

Kommentar von Oberlausitz,

FileScan: http://www.file-upload.net/download-3844795/Nemesis_Report-1.txt.html

Funde konnte ich nicht löschen, weil der Aktions-Button "Schädlinge löschen" ausgeblendet ist...

Kommentar von Oberlausitz,

Registry Scan: http://www.file-upload.net/download-3844798/Nemesis_Report-1-2-3-4.txt.html

Spyware Scan hat nichts gefunden...

Kommentar von Anthracis,

Schaut ok aus. Weißt du noch, in welchem Ordner oder Bereich die von Microsoft Security Essentials gefundene Adware war?

Was den IE betrifft, lieber auf Mozilla Firefox umsteigen, da sicherer. Zusätzlich dann in Firefox das Add-on "NoScript" installieren, es blockt Flash-Plugins, über die oft Trojaner und Würmer eingeschleust werden. Kann dir eine Menge Ärger in Zukunft ersparen. Dann solltest du immer darauf achten, dass dein Windows und jede installierte Software möglichst auf dem neusten Stand ist. Als Zusatzschutz kannst du ThreatFire installieren, welches problemlos neben MSE laufen kann: www.threatfire.com

Ganz wichtig auch gesundes Misstrauen: ruhig fragen, wenn ein ICQ-, MSN- oder FB-Kontakt iwelche Links sendet, was sich denn da hinter verbirgt. Wenn der Kontakt von nichts weiß, sag ihm direkt, dass er einen infizierten PC hat und alle Kontakte warnen soll. Vorsichtig sein bei Cracks, Streaming-Seiten und Toolbars, denn bei denen ist die Malware-Rate relativ hoch. 1x/Monat Scans machen mit mehreren Sicherheits-Tools. Am allerbesten wäre es natürlich auch, nicht unter Admin-Rechten zu surfen. Denn die geladene Malware kann nur die Rechte haben, die du hast. Bei Admin-Rechten kann sie nat. ihr ganzes schädliches Potenzial ausschöpfen.

Wenn du noch Fragen hast, kannst du sie gerne stellen, ansonsten denke ich, dass wir fertig sind :-)

Kommentar von Oberlausitz,

was ich aber jetzt komisch finde ist, dass nach dem File Scan immer die Meldung kommt, das infizierte Objekte gefunden wurden, die beim Report aber nicht nach zu lesen sind....! Weil die 2 Probleme die nach dem Registry Scan gefunden wurden, gehören nur zum abgespeicherten Report von mbam. Aber so Probleme habe ich keine mehr und den Firefox nutze ich ja von anfang an. Was den Ordner betrifft der hieß C:\Users\Benutzername\AppData\Local\Microsoft\Windows\Temporary Internet Files...... den Rest weis ich nicht mehr, aber ich glaube irgendwas mit Content.IE5 oder so ähnlich. Aufjedenfall Danke erstmal für die Hilfe.

Kommentar von Anthracis,

Ist das mit dem File und Registry Scan auf Nemesis bezogen? Also werden die Funde nicht im Report angezeigt, sind aber dieselben Funde wie bei MB (also Backdoor und Rootkit)? Konntest du die Funde mit Nemesis löschen? Wenn dies noch nicht geschehen ist, bitte nachholen. Sollte das nicht gehen, bitte Nemesis UND anschließend Malwarebytes nochmal im abgesicherten Modus ausführen.

Mal mit CCleaner reinigen bitte. Da scheint sich auch was an Datenmüll angesammelt zu haben.

Wenn das Problem immer noch nicht gelöst ist, kommt ESET an die Reihe: http://www.eset.com/home/products/online-scanner/ Alle Hintergrundwächter ausschalten, das ESET Add-On in den Browser integrieren, Haken bei "Scan archives" und "Remove Threats". Log posten.

Kommentar von Oberlausitz,

ja das ist auf Nemesis bezogen. Hat im abgesicherten Modus auch nicht funktioniert. Dafür hat aber ESET was gefunden... http://www.file-upload.net/download-3849182/ESET.txt.html

Kommentar von Anthracis,

Ok, jetzt ist die Adware weg. In Zukunft wirklich Finger von Toolbars lassen. Weißt du noch, wie die von Nemesis beanstandeten Funde hießen? Stand da was von "Trojan" oder "Backdoor" oder "Rootkit" oder sowas?

Kommentar von Oberlausitz,

nö da stand nichts, das einzige was eingeblendet wird von anfang an, das halt was gefunden wurde. Aber es steht nirgends was genau gefunden wurde...

Kommentar von Anthracis,

Also wenn du willst, kannst du noch mal mit Nemesis scannen (im normalen Modus) und die Bezeichnungen der Funde hier notieren. Aber ich glaube, dass wir es so belassen können. Es wäre auf jeden Fall aber trotzdem angebracht, alle Passwörter zu ändern (E-Mail, ICQ, FB/StudiVZ etc.). Können halt noch weiter rumgraben, wenn du möchtest.

Kommentar von Oberlausitz,

ich hab mit Nemesis mal einen easy scan gemacht und siehe da, er hat mir angezeigt, was für infizierte objekte gefunden wurden, die beim file scan nicht angezeigt wurden... es sind die selben dateien, die bei Malwarebytes angezeigt wurden, also rootkit + backdoor. ich hatte die malwarebytes- funde aber gelöscht, deswegen hab ich mich gewundert warum Nemesis das jetzt gefunden hat. Beim näheren hinsehen habe ich aber gemerkt, dass die ordner leer sind...hab sie jetzt gelöscht und nochmal einen scan gemacht, sowohl mit Malwarebytes, als auch mit Nemesis und diesmal hat er nichts mehr gefunden. Ist also alles wieder sauber, denke ich zumindest, wenn man von einer meiner Festplatten mal weg sieht, da sind die ganzen Dateien weg, aber da war jetzt auch nichts wichtiges drauf...! die Passwörter von Facebook, etc. hab ich geändert.

Kommentar von Anthracis,

Ok, Hauptsache die Parasiten sind weg... Wir können noch ein allerletztes Tool zur Endkontrolle laufen lassen, wenn du es wünschst. Spezialisiert auf Backdoor-Aktivitäten und Trojaner. Aber wenn MB u. Nemesis nichts mehr beanstanden, könnte das Problem aus der Welt sein.

Ich würd dir übrigens empfehlen, MSE vom System zu schmeißen! Geh in den Zeitschriftenladen und besorg dir die Computerbild. Auf der Heft-CD ist die Kaspersky Security Suite CBE 11, eine kostenlose Variante der Kaspersky Internet Security. Die ist echt ein Gewinn. Als Ergänzung noch ThreatFire und der Schutz ist 10x besser als mit MSE allein. Davor MSE natürlich wegputzen.

Kommentar von Oberlausitz,

ich benutz ja eigentlich Avast, aber das Programm hängt sich laufend auf, deswegen hab ich den MSE, aber danke für den Tipp... Sollte wieder irgendwas sein bezüglich Viren o.ä. meld ich mich...

Kommentar von Anthracis,

Yo, alles clear.

Antwort von diroda,

Den Computer mit einer Start CD starten und dann den Virus löschen.

Kommentar von wolfshund66,

erzähl mir mal wie du mit einer Start BS CD einen Virus löschen tust ? ich möchte ja auch nicht dumm sterben. so einen blödsinn hab ich lange nicht gelesen

Antwort von wolfshund66,

laß die Finger von Softonic nur da kannst den bekommen haben ! Win32/OpenCandy beinhaltet eine Untergruppe eines Trojaners ist nur ein Plug-in tu dein Defender scannen lassen: wenn er Adware:\win32/OpenCandy steht dann nimmst Always allow dann tust den löschen mit Remove All

Antwort von diroda,

Die gemeldere Datei mit Unlocker entsperren und dann löschen. http://www.chip.de/downloads/Unlocker-32-Bit_18414122.html#sp=unlocker&N=0&pos=1

Keine passende Antwort gefunden?

Verwandte Fragen

Fragen Sie die Community