2-ter Firefox Prozess startet automatisch

Das muss nicht immer etwas bedeuten.
Einen, welcher speziell die firefox.exe klaut, kann ich noch nachreichen:
http://www.sophos.de/security/analyses/w32rbotatp.html

 

Hallo Leute,

ich hab auch dieses Phänomen, dass bei mir zwei Prozesse "firefox.exe" auftreten, von denen einer nur startet wenn Firefox genutzt wird und von denen der andere dauerhaft im System verweilt und auch nicht gekillt werden kann, da er sich sofort wieder einschaltet.

Ich habe allerdings herausgefunden, dass es sich wirklich im ein und dieselbe firefox.exe Datei im Mozilla Firefox Ordner handelt, mit der auch der gleichnamige Brower startet.
Versucht mal Firefox zu deinstallieren (die eigenen Dateien, wie Favoriten etc. sind ja im Windows Benutzerordner abgelegt und sollten nicht mitgelöscht werden bei der DeinstallatioN).

Ihr werdet sehen, dass der Firefox Ordner NICHT verschwindet nach der Deinstallation. Die Firefox.exe bleibt auch bestehen und lässt sich per Hand auch NICHT löschen.

Sie denoch zu löschen habe ich folgendermaßen geschafft:
Taskmanager einschalten, firefox.exe im Explorer markieren und denn Taskmanager in den Vordergrund holen. Jetzt flink mit "entf"-Taste den Task beenden und sofort die Datei mit "entf"-Taste löschen lassen.

Und siehe da, zum einen lässt sie sich nun öffnen, zum Anderen taucht der Prozess nicht mehr auf.

Werde gleich mal Firefox 1.5 wieder drauf machen, da das Problem anscheinend nur mit Version 2.0 auftritt.

Maybe handelt es sich doch um einen Trojaner, der die exe nutzt, oder vielleicht um den DOM-Inspektor? Who knows?!

 

Interessant. Ist das erste Mal, dass ich diese Version lese.
Ich nutze die Entwicklungs- (Nightly-) Builds der Branch-Linie Firefox 2 ab Beginn. Noch ist das von Dir beschriebene Phänomen bei mir nicht aufgetreten!

Durch was wurdest Du auf diesen 2-ten Prozess aufmerksam?

PS. Ein Zusammenhang mit den DOMI ist mir auch nicht bekannt. Muss aber nichts bedeuten!

 

Habe FX 2.0 ohne den DOM-Inspektor installiert: keine Probleme dieser Art erkennbar... :nixwissen

 

So ich push das Thema nochmal Hoch, und zwar habe ich nun genau das gleiche Problem.

Mir ist das erst bewusst geworden als ich für ein spiel (diablo2) nen Tool geladen habe und dieses nicht ging. und da es nen Virus war denke ich ist diese Frage schonmal geklärt.

Also ich hab nun Firefox 2.0 gehabt und es 3 mal neu installiert. es war sofort wieder da.

Nun habe ich wieder Firefox 1.5 und es war nen halben tag ca. nicht mehr im Task Manager zu sehn.
Doch nun ist es wieder da.

Es verbraucht 2,668 K speicher.
Meine Richtige Firefox.exe über 50,000 K also daran erkenn ich den virus schonmal.

Manchmal hängt mein ganzer PC einfach seit dem ich diesen 2. Firefox im Task habe.

So nen paar sekunden hängt alles ich kann nichts mehr anklicken etc. und wenn wieder alles geht dann macht mein PC erst alles was ich geklickt habe, also fenster verschieben etc.

Und nun habe ich schon mein AVG und Antivir meine PC Checken lassen.... Nichts... garnichts wurde gefunden... was mache ich nun ?? ich kann nicht formatieren da ich zu viele wichtige daten auf dem pc habe und es ein zu großer aufwand wäre alles zu sichern weil es an die 100 GB geht.

Nun bitte ich euch um einen Rat, was soll ich nun tuen ??

MfG
Dominik

 

@ SonixDBG

> Also ich hab nun Firefox 2.0 gehabt und es 3 mal neu installiert. es war sofort wieder da.

Wenn der/die Profilordner vom Firefox nicht gelöscht werden, nutzt eine Fx "Neu-Installation" rein gar nichts!

Hast Du nach dem Versionswechsel Fx2.0 -> Fx1.5.x ein "Clean Profil" angelegt und war der Fx2.x, als Standardbrowser auf deinem PC eingerichtet?


> nun habe ich schon mein AVG und Antivir meine PC Checken lassen
Hoffentlich sind nicht bei beiden Virenscanner, die Hintergrundwächter aktiv Es darf nur einen ... geben.


Bevor es weitergeht, beantworte bitte die Fragen zum Betriebssystem, welches I-Net, Firewall; welche Extentions, Themes und Plug-ins waren/sind im Firefox installiert?


Wichtig:
Mach einen Scan Deines Systems mit HighjackThis nach dieser Anleitung poste das Ergebnis der Auswertung (nur den Link) hier in Forum!




MfG, Manfred

 

Ne hab kein Clean Profile dings da gemacht ^^

Ich habe AVG nur zum virenscan an, sonnst ist immer nur Antivir im background an.

Ich benutzte Windows XP SP2 Professional, und habe keine firefox plugins installiert. habe ne 16Mbit Leitung von Arcor und habe die Normale Service Pack 2 Firewall da ich keine ahnung habe welche ich sonnst nehmen soll.

Edit:
Hijackthis Link

 

Die als "Böse" deklarierten Einträge solltest du fixen.

 

http://www.file.net/prozess/zango.exe.html

 

hallihallo

hab das selbe prob.

http://www.hijackthis.de/logfiles/d292e4f1505fbbfe9901d54bf96adca9.html

hatte beim scan mein firefox aus
hab winXP SP2 und benutze FF 1.5.0.8

 

Ich schließe mich mal an, ich habe das Firefox.exe Problem auch!

Ein paar Sachen, die ich bereits getestet habe:

1. Das Löschen der Firefox.exe bringt nur soviel, dass der Prozess nicht gestartet wird. Sobald eine neue saubere EXE eingespielt wird, wird diese wieder automatische gestartet.

- Schlussfolgerung: nicht die exe ist verseucht, ein anderes Programm benutzt den Firefox aus um Daten am Firewall vorbei zu schleusen.

2. Es wird dann bei mir eine Verbindung zu troj.no-ip.biz aufgebaut, was ich sehen kann, wenn mein Firewall blockt.

Hat vielleicht schon jemand eine Lösung? Kann man vielleicht mitprotokolieren, welches Programm die firefox.exe startet?

- hijack
- Spybot
- Antivirenprogramme

bringen leider bisher nix!
hier trotzdem mal mein logfile:

http://www.hijackthis.de/logfiles/16e51e22b2c01b067beb8d4e896ae87a.html
... jetzt das richtige!

 

So ich hab mal noch ein bissl rumgespielt:

- ich habe eine Textdatei firefox.exe genannt und angeboten
- daraufhin geht ein CMD Fenster auf und die ntvdm.exe wird gestartet
- diese soll nun die vebindung zu besagter Adresse unter Port 3460 herstellen

vielleicht hilft das weiter?

 

@ Matmun

Eine zweite gestartete firefox.exe, sollte eigentlich nicht vorhanden sein und deutet eher auf einen Schädlingsbefall deines System hin.

Ausnahme: Du hast 2 verschiedene Firefox Versionen in deinem System installiert, und diese mit der Systemvariablen MOZ_NO_REMOTE eingerichtet, damit du mit beiden Füchsen oder / und mehreren Profilen, parallel arbeiten kannst (wovon ich aber nicht ausgehe).

Hast du den Fx komplett neu installiert und dein "altes" Profil übernommen oder hast du das "alte" Profil gelöscht bzw durch umbenennen (in zB Profilname_ALT), unkenntlich gemacht?
War der Firefox zur Zeit der Deinstallation als Standardbrowser auf deinem System eingerichtet?
Startet die zweite firefox.exe auch im Safe_Mode mit?


Die gestartete ntvdm.exe ist lt. Prozessliste von"HighjackThis", eine reguläre Anwendung (Link).
Kleiner Tipp dazu, HighjackThis Auswertungen sollten hier nach dieser Anleitung und möglichst im Forenbereich "Sicherheit" gepostet werden, da dort die Wahrscheinlichkeit am größten ist, das jemand vorbeischaut der sich mit der Auswertung besser auskennt als ich.

Welcher Prozess sie aufruft, kannst du zB im Prozess Explorer von Spybot Search &Destroy ersehen. Dazu musst du in Spybot die erweiterte Ansicht aktivieren, dann unter Werkzeuge > im rechten Fenster den [v] Haken bei "Prozess-Liste" reinmachen, damit du ihn links auch aufrufen kannst.


Aber wie schon gesagt, ich denke du bist mit deinem Problem im Sicherheitsforum, besser aufgehoben.



MfG, Manfred

 

Das es sich um einen Schädlingsbefall handelt war mir 100% klar

Ebenso war mir klar, dass ich den Firefox nicht neu installieren muss, da dieser nicht verseucht, sondern nur als Träger der Trojaner Daten genutzt wird, da dieser am Firewall vorbei darf.
Wie ich geschrieben habe, versucht der Virus eine Firefox.exe zu nutzen, egal ob es wirklich der Firefox ist oder nicht.

--- Diese wird selbst nicht infiziert! ---

Das ich mit "Spybot Search & Destroy" sehen kann, welcher Prozess die EXE startet, werde ich dann mal bei der nächsten Gelegenheit ausprobieren. Ich habe mir dann mit den Programmen "Process Monitor" und "Process Explorer" geholfen.

Eine endgültige Lösung habe ich leider nicht gefunden. Ich habe den Rechner doch neu installieren müssen!

 

@ Matmun

System ist neu aufgesetzt und (hoffentlich) sauber.
Schöner wär's gewesen, man hätte den "Übeltäter" identifizieren können.



MfG, Manfred

 

Ja richtig, sonst habe ich ihn demnächst wieder drauf. Leider hat die GDATA InternetSecurity ihn nicht erkannt!