2-ter Firefox Prozess startet automatisch

Jungs und Mädels,

Servus, ich hab da a Problem. ^^ ;(

Und zwar folgendes:

Beim letzten Start von Firefox hieß es, dass ein Firefox update zur Verfügung stehen würde. (Autoupdate) Ja klar installieren dacht ich mir, ja ne neustart des Browsers is klar. Ich also erstmal weitergesurft. Am nächsten Tag dann die böse Überraschung; Firefox meldet sich brav und meldet mir, dass das Update installiert wird, dabei stellt er allerdings fest, dass im Hintergrund bereits die firefox.exe läuft. Was machste da?, klar taskmanager auf, prozess beenden. Firefox uberprüft beim Versuch zu updaten also wieder ob die firefox.exe läuft, und ja sie lief wieder. Hä, was solln das?; Zuerst die Vermutung von nem Virus bwz. Trojaner, der die exe starten, demnach ich also den Rechner daraufhin überprüft. Aber nichts, werder das eine noch das andere.

Meine Frage dazu, warum startet die exe, normal oder nicht? also wenn der browser nicht läuft, sollte es eigentlich nicht.
Wenn es nun doch irgendein böses prog is, dass mir die exe immer wieder startet, wie kann ich herausfinden welches es ist? bzw. Warum startet der Prozess, ich seh aber kein Fenster?

Bitte klärt mich in diesen Dingen auf.

Danke hierfür, fG munichboy

 

Fx 1.5 gibt es. Fx 1.6 (1.6a1) gab es vor einiger Zeit - jedoch nie mit AUS-Update! So richtig schaue ich nicht, was Du meinst. Wieviele Firefox - Prozesse siehst Du?

 

Warum überhaupt den 1.5 auf 1.6 updaten,
wenn es doch schon 2.0 gibt ?

 

Also im Moment ist die Version 1.5.0.7 installiert, und vorgestern kam der Auto-Updater mit der Meldung, dass eine neuere Version zur Verfügung steht, ich dachte es wär die 1.6 version, aber die gibts ja gar nicht.
Auf welche nun tatsächlich upgedatet werden sollte weiß ich nicht. Für die Fehlinfo, und das bereits im Topic steck natürlich ich die Prügel ein^^

Nun zu den Prozessen, ich sehe genau zwei Prozesse, der eine ist zu 100% von FF, da er erst gestartet wird, wenn ich den FF starte, und dieser dann das update installieren will. Die andere firefox.exe scheint ein getarnter Prozess zu sein, da sich dieser auch nach killen im taskmgr automatisch "wiederbelebt".

Und nochmal sry wg der Fehlinfo meinerseits

 

@KlinCh: nicht jeder muss immer das Neueste haben^^

 

Die aktuelle Version ist die 1.5.0.8 oder wer es will 2.0

 

Das ist doch eine Info !
Letzte Frage: Dieser 2-te nicht-killbare Prozess tritt auch unabhängig von einem Update auf - also "immer"?

 

Jep, der Prozess läuft immer, unabhängig vom Firefox

 

Ich war nur durch Dein Ausgangspost und den nicht vorhandenen Zusammenhang zum AUS-Update verwirrt .

2-ter Prozess. Mglw. hast Du Besucher auf dem Rechner. Lese nachfolgenden ENG-Thread (zu DE-Threads verlinkt, Viehzeug ist benannt) [1], überprüfe und säubere im Bedarfsfall mit den entsprechenden Mitteln Dein System. Entsprechende Anleitungen dazu kannst Du bei Bedarf im entsprechenden Forenfenster [2] finden.

[1] http://forums.mozillazine.org/viewtopic.php?p=2553556#2553556
[2] http://www.pcwelt.de/forum/sicherheit-viren-wuermer-trojaner-rootkits/

 

Hijack This

Nur den Link zur Auswertung oder die Log-Datei als Textdatei-Anhang.

Vielleicht wird so klar, was für ein Prozess der zweite FX ist.

 

ich hab hijack this mal drüber laufen lassen, mir is folgender porzess im autostart der registry aufgefallen:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

 

http://www.frankn.com/html/nwiz_exe.php

Gib doch mal die gesamte Auswertung an.

 

Mein logfile

 

Während Thor Branke an der Log-File-Auswertung sitzt, könntest Du vllt. über einen Moderator des Forums den Beitragstitel ändern lassen. Da Dein Problem mit sehr hoher Wahrscheinlichkeit weder mit ausgelieferten Firefox-Version 1.5, noch mit dem Entwicklungsbuild 1.6a1 (Trunk) und auch nichts mit dem AUS-Update zu tun hat, wäre mein Vorschlag:

"2-ter Firefox Prozess startet automatisch".

Wäre auch für künftig Suchende sicher nicht von Nachteil!

PS. Sollte wider Erwarten die Auswertung dieses Programmes nicht zu einen zählbaren Erfolg führen, schau Dir vllt. nochmal den Beitrag #9 genauer an .

 

@ pcinfarkt

Ich hab deinen Vorschlag mal in die Tat umgesetzt.


@ munichboy

Ich bin begeistert. Endlich mal ein Hilfesuchender, der die aktuelle Java-Version auf'm Rechner hat.

Die als Böse deklarierten Einträge würde ich fixen, ausgenommen diese Einträge:

• C:\WINDOWS\system32\drivers\CDAC11BA.EXE
• O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
• O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

Der O7-Eintrag bewirkt, dass Regedit nicht aufgerufen werden kann. Hast du das so eingerichtet? Wenn nicht, dann kannst du den Eintrag auch fixen.

Die Datei CDAC11BA.EXE, was ist das für eine Datei? Falls sie dir nicht bekannt vorkommt oder du nicht weißt, was das für eine Datei/Programm ist, dann kannst die die anderen beiden Einträge auch fixen.

Die als "Unnötig" deklarierten Einträge kannst du auch fixen. Nach dem Fixen bitte nochmal ein neues Log posten (nur den Link zum ausgewertetem Log).

Gruß
Nevok

 

Werd ich morgen machen, jetzt geh ich auch erst mal schlafen.

Gut Nacht.

PS: logfile folgt

 

So logfile

Denn ich bin zur Erkenntnis gekommen, dass es sich zu 100% um einen Trojaner handeln muss.

Folgende Phänomene sind aufgetreten:

1. Aktuelle Prozesse laufen weiter, Tastatur- und Mauseingaben werden ignoriert. (only windows-key works)

2. Mein Benutzerkonto wird gesperrt, so dass ich keinen Zugriff auf meine Daten mehr habe.

3. Entfernen der verdächtigen Einträge aus dem hijackthis logfile haben nichts gebracht.

4. Die verschiedenen Dateien, welche in den anderen Foren angesprochen wurden, konnte ich auf meinem System nicht wiederfinden. (Damit sind mögliche Trojaner gemeint)

5. Zur Sicherheit hab ich noch nen Online-Scan mit Bit-Defender gemacht, und Spybot drüber laufen lassen, die gefunden Einträge von Spybot wurden entfernt. Geändert hat sich nichts.


EDIT: Autoruns und der Prozessexplorer von Sysinternals konnten auch nicht weiterhelfen. Einzig Erkenntnis, der gestartete Firefox-Prozess läuft mit dem Parameter -url "%1".
Daran dürfte es aber auch nicht liegen.

 

Sollte es sich um einen Backdoor-Trojaner handeln, dann würde ich das System neu aufsetzen und sämtliche Passwörter ändern.

 

Das hatten wir schon weiter oben

Ich hätte diesen Thread in meine LZ aufgenommen - Du wärst der Erste gewesen .
Ich verweise noch mal auf den Link in Beitrag #9. Da sind 2 (der möglw. 3) Trojaner angegeben. In den DE-Links könntest Du ggf. für diese GENANNTEN einen Lösungsweg finden!

 

also ich hab die angegebenen Dateien mal durch meinen Virenscanner geschickt, der fand nichts.

EDIT: die firefox.exe sendet nen syn an 89.13.203.245:3460