Firefox Virus / Hack?

Takki29

Hallo und Hilfe!

auf 3 verschiedenen Rechnern (nicht über Sync verbunden) mit FF24 passiert seltsames. In den Favoriten werden 1000de Einträge mit

BookmarksBar(Zahl)

gespeichert was den Browser so aufbläht das er nicht mehr zu benutzen ist. Manuelles löschen ändert nichts, man kann zusehen wie diese automatisch neu angelegt werden?

Gestern war die Welt in Ordnung. Habe ein aktuelles KasperskyEndPointSecurity im Hintergrund laufen, nichts neues Installiert.
Kommt mit schwer verdächtig vor. VirenSCan läuft zur Zeit.

Jemand eine Idee oder ähnliche Probleme?

Gruß

2002Andreas

Hallo und Willkommen hier im Forum.

Mach das bitte mal zur Vorischt...

Nach Malware scannen...../.....Download und Deutsche Anleitung dazu

Da dann bitte nach einem Update einen vollständigen Scan machen und den dann bitte hier im Antwortfenster nach Klick auf den Button: ..Code.. hier einfügen. Und bitte nichts löschen vorher !

Palli

Überprüfe ob auf allen 3 Rechnern etwas identisch ist, ob z. B überall eine Erweiterung vorhanden ist die den Fehler verursachen könnte.

Gesendet von meinem ME173X mit Tapatalk

Takki29

Ok, bin grade beim MalwareScan, da kommt was bei Raus, hat schon 3 infizierte Objekte gefunden, arbeitet noch. Find ich erstaunlich, dachte mit Kaspersky gut und sicher zu sein...

Das Verhalten von FF ist schwer verdächtig. Habe auf dem schnellsten Rechner 13tausend Favoriteneinträge gelöscht, nach 5 Minuten wieder drin gewesen.

Bin über Teamviewer und RemoteDesktop auf 3 Rechnern gleichzeitig unterwegs, einer Scannt Malware, einer mit Kapsersky und auf einem Tippe ich.
Ist diese Verhalten schon bekannt oder bin ich ein Entdecker?

Ergänzung: Auf einem Rechner war ich schon am FF deinstallieren. Nachdem kompletten deinstallieren incl. Lesezeichen etc. und Neuinstallation ist die Welt wieder in Ordnung (hatte zum Glück die Lesezeichen nach Entfernung der 13 tsd. Lesezeichen gesichert). Scans laufen noch... Bin gespannt was mir da untergejubelt wurde....

2002Andreas

Pauschal mal vorweg...

Zitat von Takki29

Ist diese Verhalten schon bekannt oder bin ich ein Entdecker?

Das du evtl. ! einen Virus oder dergleichen hast, liegt nicht am Firefox.

Alles nur eine Vermutung...einen Virus etc. kannst du z.B. per Mail bekommen haben......oder einem Download...oder einer speziellen Webseite.

Zitat von Takki29

dachte mit Kaspersky gut und sicher zu sein...

Wenn das so einfach wäre gäbe es keine Viren mehr :wink:

Warten wir also den Scan ab....dann sehen wir weiter.

Zitat von Takki29

und Neuinstallation ist die Welt wieder in Ordnung

Auch auf dem Rechner solltest du zur Sicherheit den Scan mal machen.

TmoWizard

Zitat von 2002Andreas

Wenn das so einfach wäre gäbe es keine Viren mehr :wink:

Ach wäre das herrlich! Wobei... Mit meinem Linux/Kubuntu bin ich davor ja relativ sicher, bis jetzt zumindest. :mrgreen:

Takki29

So n habe ich ein Ergebnis:

Code

Datenbank Version: v2013.10.27.05


Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16721


27.10.2013 20:28:45
MBAM-log-2013-10-27 (22-36-47).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 372288
Laufzeit: 2 Stunde(n), 7 Minute(n), 21 Sekunde(n) [Abgebrochen]


Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)


Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel: 1
HKCR\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB} (PUP.Optional.BabylonToolBar.A) -> Keine Aktion durchgeführt.


Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)


Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)


Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)


Infizierte Dateien: 13
C:\Users\Katja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B9P2XVE9\Testbundle23w_1254[1].exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Users\Katja\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OFT8AYVL\MyPhoneExplorer_v2_5185[1].exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Users\Katja\AppData\Local\Temp\B323CCEA-BAB0-7891-B296-772586C6CF00\MyBabylonTB.exe (PUP.Optional.BabylonToolBar.A) -> Keine Aktion durchgeführt.
C:\Users\Katja\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe (PUP.Optional.BabylonToolBar.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0EDQM5LV\SPSetup[1].exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VFI3WYXD\spstub[1].exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\utt4923.tmp.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\nsdF169.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\nsi9227.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\nsiED91.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\nsn9775.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.
C:\Users\Matthias\AppData\Local\Temp\nsq7676.exe (PUP.Optional.Conduit.A) -> Keine Aktion durchgeführt.


(Ende)

Alles anzeigen

Abgebrochen habe ich den Scan als angefangen wurde die RECOVERY Partition des Rechners zu scannen, dort ist sicher nix drauf.
Ich bin auch weitergekommen was den Verlauf betrifft. Zwar waren alle 3 Rechner nicht mit FF Sync verbunden, wohl aber mit der iCloud3 und den FF AddIn der ICloud. Deswegen erklärt sich warum nur 1 Rechner infiziert ist, alle 3 Rechner aber die entsprechenden Lesezeichen hatte da die Lesezeichen über die ICloud synchronisiert wurden. Ich glaube auch warum ich jetzt verstehe warum mein IPhone gestern extrem schnell leer war. Die Batterie war nach 1/2 Tag alle.

Kann jemand eingrenzen was der Einträge nun direkt dafür verantwortlich ist?

Boersenfeger

Benutze AdwCleaner [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] nach dieser Anleitung http://nurpaste.de/mit_adwcleaner3_suchen
Lasse Adwcleaner die Dateien löschen und gestatte den System-Neustart..
Wie konnte das passieren? Lies das und lerne...
https://www.camp-firefox.de/forum/viewtopi…=886547#p886547

Takki29

Also.... nun hab ich auf allen drei Rechner alles mögliche gelöscht, weiter rumprobiert und bin etwas schlauer. Als komplette Neuinstallation funktioniert FF sehr gut, einfach normal. Kurios wird es wenn ich das von mir geschätzte IClou Sync PlugIn installiere. Dann kommt aus der Cloud tausendfach ein Bombardement von "BookmarksBar(Zahl) Einträgen. Nun frage ich mich ob die Cloud nun einfach voll damit ist und ich einfach nur munter weiter löschen muss bis diese leer ist, oder ob ich hier gelinkt werde und mir auf welchem Wege auch immer OpenEnd dieses untergejubbelt wird

Interessant erscheint mir das offensichtlich niemand dieses Phänomen kennt! ?

Über den richtigen Umgang zur Vermeidung bin ich bestens informiert, allerdings gebe ich zu hat der Rest der Famile Nachholbedarf. Das Verhalten ist aber auch weniger ein typisches Verhalten einer Malware wie ich finde, sondern ist klar destruktiv auf die Unbrauchbarkeit / Zerstörung des FF ausgelegt der mit 20tsd Bookmarks zumindest mein System beim geöffnetem FF vom Speicher her lahm legt.

Fox2Fox

Kommt da noch was bezgl. Adwcleaner?

Takki29

das einzeige was er identisch auf allen 3 Rechnern rauswirf ist u.s. Bericht. Der taucht aber immer wieder auf und den Firefoxeintrag kann ich nicht ändern.?!

Ich kann mir schon vorstellen das der ganze Mist den ich drauf hatte das Problem erzeugt hat, und mir dann die ICloud voll gehauen hat und ich das ganze nun tausendfach aus der Cloud zurückgespielt bekomme. Dumm nur das man in die Cloud mit Win nicht reinschauen kann...

Code

# AdwCleaner v3.010 - Bericht erstellt am 29/10/2013 um 12:07:03
# Updated 20/10/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : Systemadministrator - HEMPEL
# Gestartet von : C:\Users\Systemadministrator\Desktop\adwcleaner.exe
# Option : Suchen


***** [ Dienste ] *****




***** [ Dateien / Ordner ] *****




***** [ Verknüpfungen ] *****




***** [ Registrierungsdatenbank ] *****




***** [ Browser ] *****


-\\ Internet Explorer v10.0.9200.16720




-\\ Mozilla Firefox v24.0 (de)


[ Datei : C:\Users\Systemadministrator\AppData\Roaming\Mozilla\Firefox\Profiles\pqgfodb1.default\prefs.js ]




*************************


AdwCleaner[R0].txt - [838 octets] - [28/10/2013 21:00:47]
AdwCleaner[R1].txt - [956 octets] - [28/10/2013 22:02:04]
AdwCleaner[R2].txt - [1075 octets] - [28/10/2013 22:06:19]
AdwCleaner[R3].txt - [1136 octets] - [29/10/2013 08:51:15]
AdwCleaner[R4].txt - [938 octets] - [29/10/2013 12:07:03]
AdwCleaner[S0].txt - [898 octets] - [28/10/2013 21:02:00]
AdwCleaner[S1].txt - [1016 octets] - [28/10/2013 22:02:48]


########## EOF - C:\AdwCleaner\AdwCleaner[R4].txt - [1116 octets] ##########

Alles anzeigen

Boersenfeger

Wenn adwcleaner diesen Eintrag nicht löschen kann.... dann mache es händisch mit Admin-Rechten. Bezüglich Cloud bedarf es einer vernünftigen, nachvollziehbaren Schilderung, was genau damit gemeint ist.
Edit: Rechtschreibfehler beseitigt..

bigpen

Zitat von Takki29

...und den Firefoxeintrag kann ich nicht ändern.?!

-\\ Mozilla Firefox v24.0 (de)
[ Datei : C:\Users\Systemadministrator\AppData\Roaming\Mozilla\Firefox\Profiles\pqgfodb1.default\prefs.js ]

Das Ist auch nur der Hinweis vom adw-Cleaner, dass er ein Firefoxprofil gefunden hat, wo es liegt und wie es heisst.
Einträge die zu löschen wären, würden darunter aufgeführt.