Firefox schließt sich zufällig – JSON-Datei taucht immer wieder auf

Astros

Hi zusammen,
ich habe seit längerer Zeit das Problem, dass sich mein Firefox zufällig schließt oder abstürzt. Dabei ist mir aufgefallen, dass dies immer dann passiert, wenn eine JSON-Datei im Verzeichnis
C:\Program Files\Mozilla Firefox\distribution
neu eingefügt wird.
Das Merkwürdige daran: Diese Datei sollte gar nicht existieren, da es sich um meinen privaten PC handelt und dieser nicht von einer Organisation verwaltet wird.
Ich habe bereits versucht, die Datei zu löschen oder umzubenennen, aber nach einer scheinbar zufälligen Zeit wird sie automatisch wieder erstellt.
Folgende Lösungsansätze habe ich bereits ausprobiert, aber ohne Erfolg:
- Löschen/Umbenennen der Datei
- Überprüfen der Registry unter HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox (der Ordner "Mozilla" existiert dort nicht)
- Ich hatte nie ein Antivirenprogramm (außer Windows Defender), das möglicherweise eine Änderung bewirken könnte
Hat jemand eine Idee, woher diese Datei kommt oder wie ich verhindern kann, dass sie immer wieder erstellt wird?
Ich bin technisch nicht sehr versiert, daher wäre ich für einfache Erklärungen und Schritt-für-Schritt-Anleitungen sehr dankbar.
Vielen Dank im Voraus für eure Hilfe!

Sören Hentzschel

Hallo,

Zitat von Astros

oder abstürzt

Rufe bitte about:crashes auf und verlinke hier die letzten paar Absturzberichte.

Zitat von Astros

aber nach einer scheinbar zufälligen Zeit wird sie automatisch wieder erstellt.

Teile bitte den Inhalt dieser Datei.

.DeJaVu

Und/oder auch den Inhalt von about:policies.

Um den Hintergrund für Sörens oder meine Anfrage zu beleuchten:

AdwCleaner Download
Anleitung: https://mozhelp.ddnss.de/guide/mit-adwcleaner-suchen
Das Logbuch bitte hier einfügen (auf [Bericht] klicken, kopieren & einfügen)

Astros

Danke für die schnellen Antworten!

Zitat von Sören Hentzschel

Rufe bitte about:crashes auf und verlinke hier die letzten paar Absturzberichte.

Hier die letzten Absturzberichte.

bp-e9d5b918-81ad-4171-b18a-ba51f0250213	14.02.2025, 00:09	Anzeigen
bp-eda49a23-b4db-499d-8a62-601460220615	15.06.2022, 18:56	Anzeigen
bp-8678b403-03e6-4f22-9b27-b3f220220615	15.06.2022, 18:56	Anzeigen
bp-01bdc056-512f-4efc-a00b-0a5540220615	15.06.2022, 18:56	Anzeigen

Es sind eigentlich viel mehr Abstürze (und auch viel aktueller). Das müsste ja bedeuten, dass das nicht als Crash gewertet/gespeichert wird...

Zitat von Sören Hentzschel

Teile bitte den Inhalt dieser Datei.

Hier der Inhalt der Datei:
{
"policies": {
"AppAutoUpdate": false,
"BackgroundAppUpdate": false,
"ManualAppUpdateOnly": true,
"DisableAppUpdate": true,

"DisableTelemetry": true,
"DisableFirefoxStudies": true,

"DisableProfileRefresh": true,

"LegacySameSiteCookieBehaviorEnabled": true,

"Preferences": {
"browser.tabs.crashReporting.sendReport": {
"Value": false,
"Status": "locked"
},
"extensions.blocklist.enabled": {
"Value": false,
"Status": "locked"
},
"extensions.abuseReport.enabled": {
"Value": false,
"Status": "locked"
}
},

"SecurityDevices": {
"Security Compression Device": "C:/Program Files/Mozilla Firefox/zlib1.dll"
},

"ExtensionSettings": {
"{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}": {
"installation_mode": "force_installed",
"install_url": "file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"
}
},
"Extensions": {
"Install": ["file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"],
"Uninstall": [],
"Locked": ["{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}"]
}
}
}

Zitat von .DeJaVu

Und/oder auch den Inhalt von about:policies.

Hier der Inhalt von about:policies.

AppAutoUpdate	false
BackgroundAppUpdate	false
ManualAppUpdateOnly	true
DisableAppUpdate	true
DisableTelemetry	true
DisableFirefoxStudies	true
DisableProfileRefresh	true
LegacySameSiteCookieBehaviorEnabled	true
Preferences	{"browser.tabs.crashReporting.sendReport":{"Value":false,"Status":"locked"},"extensions.blocklist.enabled":{"Value":false,"Status":"locked"},"extensions.abuseReport.enabled":{"Value":false,"Status":"locked"}}
SecurityDevices	Security Compression Device	"C:/Program Files/Mozilla Firefox/zlib1.dll"
ExtensionSettings	{"{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}":{"installation_mode":"force_installed","install_url":"file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"}}
Extensions	Install	"file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"
	Locked	"{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}"

Vielen Dank nochmals!!

Sören Hentzschel

Für den Inhalt dieser policies.json-Datei gibt es nur eine einzige Erklärung: Du hast Malware auf deinem System. Diese Konfiguration schaltet unter anderem Sicherheits-Updates, Absturzberichte (was erklärt, wieso es keine neueren Absturzberichte gibt), Telemetrie und das Feature zum Zurücksetzen des Profils ab. Außerdem wird eine Erweiterung in deinem Browser installiert, die nicht deaktiviert werden kann und von der niemand weiß, was sie macht. Möglicherweise ein Keylogger, der deine Passwörter abgreift und irgendwo hin versendet. Wenn nicht das, dann was anderes, was du nicht möchtest. Ich würde bei solch starken Alarmzeichen in jedem Fall vom Schlimmsten ausgehen.

Astros

Zitat von Sören Hentzschel

Du hast Malware auf deinem System.

Ohje. Ich habe eine vollständige Überprüfung mit Windows Defender gemacht. Da wurde aber nichts gefunden...hat jemand eine Idee oder Empfehlung, was ich noch tun sollte? Es gibt viele Malware-Scanner aber da scheiden sich ja auch die Geister, welche davon sinnvoll sind...

schlingo

Zitat von Astros

hat jemand eine Idee oder Empfehlung, was ich noch tun sollte?

Hallo

Was tun bei Kompromittierung des Systems?

Gruß Ingo

2002Andreas

Zitat von Astros

hat jemand eine Idee oder Empfehlung

Zur Vorsicht würde ich erstmal alle Passwörter ändern.

Das dann aber auf jeden Fall mit einem anderen System/PC

Und dann siehe Beitrag Nr. 7.

milupo

Zitat von Astros

Ich habe eine vollständige Überprüfung mit Windows Defender gemacht. Da wurde aber nichts gefunden...hat jemand eine Idee oder Empfehlung, was ich noch tun sollte?

In Beitrag #3 hat dich .DeJaVu gebeten, mit dem Programm Adwcleaner nach Schadsoftware zu suchen. Hast du denn das mal gemacht? Wenn du das dann gemacht hast, stelle den Inhalt des Ergebnisprotokolls hier ein, lösche aber erst einmal nichts!

Astros

Danke für die Hilfe!

Zitat von milupo

Wenn du das dann gemacht hast, stelle den Inhalt des Ergebnisprotokolls hier ein

Hier der Inhalt der Logdatei:

Code

# -------------------------------
# Malwarebytes AdwCleaner 8.5.0.595
# -------------------------------
# Build: 03-05-2025
# Database: 2024-10-23.4 (Local)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 04-03-2025
# Duration: 00:00:17
# OS: Windows 10 (Build 19045.5679)
# Scanned: 32103
# Detected: 2


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

Adware.DownloadProtect C:\Windows\Installer\{420A4333-CCAB-4747-8BC7-CB79F2A0A4D8}\{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}.XPI

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.StartFenster HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GIMP Updater

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Alles anzeigen

Edit 2002Andreas:
Text in Code-Block einfügen gesetzt.

.DeJaVu

GIMP-Updater sagt mir jetzt nichts

Zitat von Astros

PUP.Optional.StartFenster

Wo hast du denn die GIMP-Installation her? Es gibt Fake-Seiten, die das anbieten, das ist auch GIMP (oder VLC, oder oder), aber das Setup ist gar nicht das Original, sondern ein mit Adware-bestückter Misthaufen.

Wegen

Code

{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}.XPI

Würde mich dieses XPI mal brennend interessieren. Aber ich vermute, dass das eher Zitronella begutachten würde, Er/Sie ist Spezialist(in darin. Der Name selbst dürfte random sein, um einer Malwaresuche zu entgehen.

Du könntest dir noch mal Malwarebytes Antimalware* (MBAM) zusätzlich runterladen und als kostenlose Version suchen lassen.

Und erst dann Firefox komplett deinstallieren, weil nicht nur die policies ungewöhnlich ist, sondern auch die angezeigte zlib1.dll in diesem Ordner nichts verloren hat.

Vorher kannst du diese Datei noch bei https://www.virustotal.com/gui/ hochladen und schauen, was die eigentlich macht. Diese Datei gibt es wohl auf zwei Systeme bei mir bei einer Hand voll Software, verschiedene Dateigrößen - wohl nicht auf diesem System. Aber die hat nichts im Firefox-Ordner zu suchen. Da würde ich auf einen Exploit tippen, und bei sowas schrillen bei mir die Alarmglocken wegen Passwörtern.

Also nicht nur System weiter untersuchen und bereinigen lassen - insofern möglich, sondern auch Firefox deinstallieren, und das Profil zurücksetzen - und alle Passwörter ändern.

*MBAM offline Setup: https://downloads.malwarebytes.com/file/mb5_offline 400mb

Wahlweise sowas:

Kaspersky Free Rescue Disk | Kaspersky

Das ISO mit rufus auf einen Stick installieren, wahlweise Ventoy nutzen (kann mehrere ISO).
Die Rescue Disk lädt aktuelle Signaturen und durchsucht dann das System ohne störendes Windows.

2002Andreas

Die OT-Beiträge habe ich mal abgetrennt und verschoben nach:

Beitrag

AdwCleaner - Wann sollte man die die "Basis-Reparatur" laufen lassen?

[…]

Das habe ich gerade auch einmal gemacht - alles ok.

Wann sollte man die die "Basis-Reparatur" laufen lassen? Sollte man den Win-Installer zurücksetzen lassen?

KurtK.

5. April 2025 um 17:18

Firefox schließt sich zufällig – JSON-Datei taucht immer wieder auf

AdwCleaner - Wann sollte man die die "Basis-Reparatur" laufen lassen?

Ähnliche Themen

Der tragische Niedergang von Firefox

Firefox fordert mich immer wieder auf, zum Abschluss des Updates Firefox neu zu starten

Suchergebnis bei Google wird in kleinem Frame links angezeigt

Website Isolierung

Firefox Software Updater

Firefox Sitzung lässt sich kaum wieder herstellen