 2. firefox.exe |
docmarten77
neu im Forum
Dabei seit: 18.07.2006
Beiträge: 10
 |
|
Hilfe, hab da ein Problem:
Ich habe gestern in meinem Taskmanager eine firefox.exe entdeckt, die nicht der firefox ist !!!
Dieser prozess läuft auch schon direkt nach einem Neustart, ohne daß ich Firefox gestartet habe.
Starte ich Firefox, erscheint im Taskmanager die 2., richtige firfox.exe mit ca. 21MB Speicherauslastung (die andere hat ca. 3.400KB - und geht bis 5.5MB)
Wenn man diese 2. firefox.exe manuell beendet, startet sie nach ca. 2 sec erneut.
Ich habe Kaspersky 6.0.0.300 AV die Nacht nen Komplett Scan machen lassen - findet nichts. Ebenso Ad-Aware und Ewido - nix.
Jetzt habe ich Sysinternals Autoruns und RootKit Revealer laufen lassen - finde da aber auch nichts, bzw die logs sind derart groß und ich weiss nicht, ob ich da was auffälliges gesehen hab.
Ebenfalls hijackthis (online-Auswertung) findet keine malware.
Achso, mein System besitzt nur 1 firefox.exe - die von Mozilla - sonst keine!
Was meint Ihr ??? Hab ich da was böses aufm Rechner oder eher nicht. Ich rechne ja eh schon mit einer Neuinstallation :(
MfG docmarten
|
|
30.07.2006 12:20 |
|
|
Konkoni 
Mainboard-Spezi
Dabei seit: 24.12.2005
Beiträge: 1.810
Herkunft: Bochum
|
|
hallo
entweder hast du zusätzlich den Firefox Preloader installiert klick
oder du hast 2 Installationen vom Firefox
wenn du die firefox.exe in die Suche von Windows XP eingibts, welche Pfade werden gefunden?
__________________
Anrufer: "Ich habe mir einen AMD-Prozessor eingebaut."
Hotline: "Ja."
Anrufer: "Mein PC ist total langsam geworden."
Hotline: "Das sagten sie bereits."
|
|
|
30.07.2006 13:01 |
|
|
docmarten77
neu im Forum
Dabei seit: 18.07.2006
Beiträge: 10
Themenstarter 
|
|
also ich habe das Problem wohl nach langem Frickeln behoben bekommen.
vorweg:
Ich kam auf die Idee, die Regel meiner Sygate Firewall für die firefox.exe zu löschen bzw nachdem ich sah, wohin diese wollte, zu blocken:
log der Sygate info:
File Version : 1.8.20060.6376
File Description : Firefox (firefox.exe)
File Path : C:\Programme\Mozilla Firefox\firefox.exe
Process ID : 0x768 (Heximal) 1896 (Decimal)
Connection origin : local initiated
Protocol : TCP
Local Address : 172.16.5.101
Local Port : 1036
Remote Name : bloody90.no-ip.org
Remote Address : 84.185.50.138
Remote Port : 3460 (EDM-MANAGER - EDM Manger)
Ethernet packet details:
Ethernet II (Packet Length: 76)
Destination: 00-0d-88-9b-0c-c6
Source: 00-15-f2-20-c8-ac
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x8025 (Correct)
Source: 172.16.5.101
Destination: 84.185.50.138
Transmission Control Protocol (TCP)
Source port: 1036
Destination port: 3460
Sequence number: 2773822221
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x80e8 (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: 00 0D 88 9B 0C C6 00 15 : F2 20 C8 AC 08 00 45 00 | ......... ....E.
0010: 00 30 DC 8F 40 00 40 06 : 25 80 AC 10 05 65 54 B9 | .0..@.@.%....eT.
0020: 32 8A 04 0C 0D 84 A5 55 : 2B 0D 00 00 00 00 70 02 | 2......U+.....p.
0030: 7F FF E8 80 00 00 02 04 : 05 A8 01 01 04 02 30 05 | ..............0.
0040: 6E 6F 2D 69 70 03 6F 72 : 67 00 00 01 | no-ip.org...
...ich glaub, das sagt alles !
Also wie ich gesagt hatte: Auf meinem PC gab es lediglich den Firefox 1.5.0.5 und Opera - KEINEN Mozilla 1.8 ! Es sei denn, der Firefox is ein Aufsatz für Mozilla 1.8
Beim Versuch, meine Bookmarks mit MozBackup zu sichern, fand das Tool allerdings auch noch Mozilla 1.8, welches ich allerdings NIE installiert habe.
Ein Backup von Mozilla 1.5.0.5 war unmöglich, weil Firefox angeblich noch läft (was er per se aber nicht tat - nur die fake-firefox.exe)
Nur vom Mozilla 1.8 hätten sich Backups machen lassen.
Deinstallieren liess sich Firefox aus dem System auch nicht mehr, weil die Deinstallationsroutine sagte, Firefox müsse erst beendet werden.
Allerdings habe ich es doch hinbekommen, indem ich diese Tarn-firefox.exe aus dem taskmanager gekillt habe und SCHNELL (<2sec, bevor die wieder neustartet) Firefox deinstalliert habe.
Danach lief die firefox.exe aber dennoch wieder im Taskmanager mit Ihren 3.400KB - trotz deinstalliertem Firefox !
Der Ordner C:\Programme\Mozilla Firefox liess sich auch nicht löschen ! (wohl wegen der noch laufenden firefox.exe)
Dann riet mir ein Kumpel, jeden erdenklichen Schlüssel in der Registry mit "firefox" und "mozilla" zu löschen - gesagt - getan.
Danach PC Neustart und siehe da: die firefox.exe war nicht mehr als prozess im taskmanager und auch der Programmordner liess sich löschen.
Dabei fiel mir auf, daß lediglich die firefox.exe und 8 andere .dll allesamt zuletzt am 27.07.2006 geändert wurden - da hab ich mir das Teil wohl eingefangen. Mein IT-Spezi meinte auch, wird wohl was ganz neues gewesen sein. KEIN mir bekanntes Anti-Malware Programm hatte etwas gefunden !
MfG docmarten :)
P.S.: evtl mal in zukunft auf eine 2. firefox.exe im Tasmanager achten !
selbst Sysinternals Tools und der Security Taskmanager klassifizierten diese fake - firefox.exe als die Originale !!!
|
|
|
30.07.2006 15:10 |
|
|
Heaven
Support/Moderatorin
Dabei seit: 02.12.2003
Beiträge: 4.014
Herkunft: Nürnberg
|
|
Sehr seltsame Sache, aber nun ist das Ding ja weg.
Dann machen wir hier mal zu.
- closed -
cu
Heaven
|
|
|
30.07.2006 16:59 |
|
|
docmarten77
neu im Forum
Dabei seit: 18.07.2006
Beiträge: 10
Themenstarter
|
|
|
|
30.07.2006 17:12 |
|
|
|
