---

Geschrieben von docmarten77 am 30.07.2006 um 12:20:

  2. firefox.exe

Hilfe, hab da ein Problem:
Ich habe gestern in meinem Taskmanager eine firefox.exe entdeckt, die nicht der firefox ist !!!
Dieser prozess läuft auch schon direkt nach einem Neustart, ohne daß ich Firefox gestartet habe.
Starte ich Firefox, erscheint im Taskmanager die 2., richtige firfox.exe mit ca. 21MB Speicherauslastung (die andere hat ca. 3.400KB - und geht bis 5.5MB)
Wenn man diese 2. firefox.exe manuell beendet, startet sie nach ca. 2 sec erneut.
Ich habe Kaspersky 6.0.0.300 AV die Nacht nen Komplett Scan machen lassen - findet nichts. Ebenso Ad-Aware und Ewido - nix.
Jetzt habe ich Sysinternals Autoruns und RootKit Revealer laufen lassen - finde da aber auch nichts, bzw die logs sind derart groß und ich weiss nicht, ob ich da was auffälliges gesehen hab.
Ebenfalls hijackthis (online-Auswertung) findet keine malware.
Achso, mein System besitzt nur 1 firefox.exe - die von Mozilla - sonst keine!

Was meint Ihr ??? Hab ich da was böses aufm Rechner oder eher nicht. Ich rechne ja eh schon mit einer Neuinstallation :(

MfG docmarten

---

Geschrieben von Konkoni am 30.07.2006 um 13:01:

 

hallo

entweder hast du zusätzlich den Firefox Preloader installiert klick

oder du hast 2 Installationen vom Firefox

wenn du die firefox.exe in die Suche von Windows XP eingibts, welche Pfade werden gefunden?

---

Geschrieben von docmarten77 am 30.07.2006 um 15:10:

 

also ich habe das Problem wohl nach langem Frickeln behoben bekommen.

vorweg:
Ich kam auf die Idee, die Regel meiner Sygate Firewall für die firefox.exe zu löschen bzw nachdem ich sah, wohin diese wollte, zu blocken:
log der Sygate info:


File Version : 1.8.20060.6376
File Description : Firefox (firefox.exe)
File Path : C:\Programme\Mozilla Firefox\firefox.exe
Process ID : 0x768 (Heximal) 1896 (Decimal)

Connection origin : local initiated
Protocol : TCP
Local Address : 172.16.5.101
Local Port : 1036
Remote Name : bloody90.no-ip.org
Remote Address : 84.185.50.138
Remote Port : 3460 (EDM-MANAGER - EDM Manger)

Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-0d-88-9b-0c-c6
Source: 00-15-f2-20-c8-ac
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x8025 (Correct)
Source: 172.16.5.101
Destination: 84.185.50.138
Transmission Control Protocol (TCP)
Source port: 1036
Destination port: 3460
Sequence number: 2773822221
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x80e8 (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: 00 0D 88 9B 0C C6 00 15 : F2 20 C8 AC 08 00 45 00 | ......... ....E.
0010: 00 30 DC 8F 40 00 40 06 : 25 80 AC 10 05 65 54 B9 | .0..@.@.%....eT.
0020: 32 8A 04 0C 0D 84 A5 55 : 2B 0D 00 00 00 00 70 02 | 2......U+.....p.
0030: 7F FF E8 80 00 00 02 04 : 05 A8 01 01 04 02 30 05 | ..............0.
0040: 6E 6F 2D 69 70 03 6F 72 : 67 00 00 01 | no-ip.org...


...ich glaub, das sagt alles !

Also wie ich gesagt hatte: Auf meinem PC gab es lediglich den Firefox 1.5.0.5 und Opera - KEINEN Mozilla 1.8 ! Es sei denn, der Firefox is ein Aufsatz für Mozilla 1.8
Beim Versuch, meine Bookmarks mit MozBackup zu sichern, fand das Tool allerdings auch noch Mozilla 1.8, welches ich allerdings NIE installiert habe.
Ein Backup von Mozilla 1.5.0.5 war unmöglich, weil Firefox angeblich noch läft (was er per se aber nicht tat - nur die fake-firefox.exe)
Nur vom Mozilla 1.8 hätten sich Backups machen lassen.
Deinstallieren liess sich Firefox aus dem System auch nicht mehr, weil die Deinstallationsroutine sagte, Firefox müsse erst beendet werden.
Allerdings habe ich es doch hinbekommen, indem ich diese Tarn-firefox.exe aus dem taskmanager gekillt habe und SCHNELL (<2sec, bevor die wieder neustartet) Firefox deinstalliert habe.
Danach lief die firefox.exe aber dennoch wieder im Taskmanager mit Ihren 3.400KB - trotz deinstalliertem Firefox !
Der Ordner C:\Programme\Mozilla Firefox liess sich auch nicht löschen ! (wohl wegen der noch laufenden firefox.exe)
Dann riet mir ein Kumpel, jeden erdenklichen Schlüssel in der Registry mit "firefox" und "mozilla" zu löschen - gesagt - getan.
Danach PC Neustart und siehe da: die firefox.exe war nicht mehr als prozess im taskmanager und auch der Programmordner liess sich löschen.
Dabei fiel mir auf, daß lediglich die firefox.exe und 8 andere .dll allesamt zuletzt am 27.07.2006 geändert wurden - da hab ich mir das Teil wohl eingefangen. Mein IT-Spezi meinte auch, wird wohl was ganz neues gewesen sein. KEIN mir bekanntes Anti-Malware Programm hatte etwas gefunden !

MfG docmarten :)

P.S.: evtl mal in zukunft auf eine 2. firefox.exe im Tasmanager achten !
selbst Sysinternals Tools und der Security Taskmanager klassifizierten diese fake - firefox.exe als die Originale !!!

---

Geschrieben von Heaven am 30.07.2006 um 16:59:

 

Sehr seltsame Sache, aber nun ist das Ding ja weg.

Dann machen wir hier mal zu.

- closed -

cu
Heaven

---

Geschrieben von docmarten77 am 30.07.2006 um 17:12:

  2. firefox.exe ... goes on

Zu früh gefreut:
Nach der Deinstallation von Firefox habe ich vorübergehend Opera zu meinem Standard Browser in Windows deklariert.
Nun seh ich grade, daß ich nach einem Neustart ein 3.600KB grosse opera.exe im Taskmanager habe, die sich ebenfalls nicht beenden lässt, bzw. sich nach 2 sec wieder neustartet. Hammer !!!!
Ich dreh durch - hoffe ich werde das Teil mit Windows Neuinstallation los :(

MfG docmarten

UPDATE:

Also witzigerweise hat der kostenlose Antivir eine Signatur von Backdoor BDS/PoisonIvy.20.A in der Datei C:\Windows\Startup.exe gefunden (die imho sowieso nicht dahingehört)

Diesen habe ich nach deaktivierter Systemwiederherstellung im abgesicherten Modus gelöscht. System scheint wieder clean zu sein und die Fake-Browser.exe sind weg :)


MfG docmarten