Firefox lässt sich nicht beenden

    Ich hoffe mal es passt hier rein.

    Seit kurzem habe ich ein Problem mit Firefox, dass mir ziemliche Bedenken macht. Folgendes Problem: Sobald ich Firefox beende, wird er zwar nicht mehr angezeigt, doch "firefox.exe" läuft weiterhin im Hintergrund. Sobald ich ihn beende (Task-Manager), öffnet er sich von alleine wieder (im Hintergrund). Ich habe mit "Process Explorer" unter dem Tab "TCP/IP" etwas aufgefangen, weiss jedoch nicht ob es wirklich was damit zu tun hat. Ich habe bereits Firefox deinstalliert (musste die "firefox.exe" von Hand beim Neustart löschen) und nochmals neu installiert. Ergebniss ist das selbe.

    Einige Daten:
    Betriebssystem: Windows XP SP2
    Firefox Version: Version 2.0

    HiJackThis Logs:

    Bisher hatte ich noch nie so ein Problem :/.

    Screenshot "Process Explorer" -> "TCP/IP" von "firexfox.exe":
    [Blockierte Grafik: http://img225.imageshack.us/img225/9873/wtflt3.png]

    Oder auch x68a4.x.pppool.de:2222

    Einmal editiert, zuletzt von Deadman (13. Juli 2007 um 03:07)

    Road-Runner: SC-QuickStart wirds nicht sein, ich nutze das Programm schon ziemlich lange (aus mit Firefox installiert) und hatte noch nie Probleme.

    Ich habe bereits über die Registry überprüft ob ich eventuell von einem W32/Rbot-ATP infiziert wurde, das Resultat ist jedoch negativ. Ich mach gerade noch ein Scan mit Sophos Anti-Virus.

    Als mich Firefox heute ermahnt hat auf Firefox 2.0.0.4 zu updaten, (was ich gerne wollte), konnte ich dies auch nicht, das "firefox.exe" weiterhin lief und man für das Update "firefox.exe" geschlossen haben muss. Also kann ich zurzeit nicht mal updaten. Nach einigen Versuchen erhielt ich folgende Fehlermeldung:

    [Blockierte Grafik: http://img503.imageshack.us/img503/8642/fehlerch9.png]

    Nun musste ich aus dem Firefox-Ordner "updates" den gesammten Ordner "0" entfernen, damit ich Firefox ohne die Update-Meldung verwenden kann.

    Habe gerade was sehr interessantes gefunden. War gerade am durchstöbern von meiner C: Festplatte und stiess auf folgende Dateien:

    C:\WINDOWS\VoqLer.exe
    C:\WINDOWS\VoqLer

    VoqLer.exe konnte Sophos Anti-Virus nicht überprüfen da er kein Recht dazu hat :/.

    Von Hand kann ich die Datei auch nicht löschen, werde es nun mit nem "Lösche Datei bei Neustart" versuchen. Wenn ich "VoqLer" mit nem Texteditor öffne, sieht es ganz nach Logs meiner Tastaturanschläge aus.

    Kurzes Stück daraus:

    Zitat

    Thread - Mozilla FirefoxÿþSTRGþ%20þ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ6 (ZEHNERTASTATUR)þþRÜCKþþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþRÜCKþ%20þ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ4 (ZEHNERTASTATUR)þþ6 (ZEHNERTASTATUR)þþRÜCKþ%20 Its really slow i guess, but þKOMMA (ZEHNERTASTATUR)þþKOMMA

    EDIT:// "Löschen bei Neustart" hat geholfen. Habe nur die "VoqLer.exe" entfernt, da ich mir die Logs durchsehen werde, um zu sehen, welche Passwörter und Daten ich ändern muss. Die zweite "firefox.exe" ist seitdem ich sie nun aus dem Task-Manager gekillt habe, verschwunden. Wenn ich jedoch Firefox nun updaten will, erhalte ich wiederum die Meldung, es müssten alle Anwendungen die auf Firefox zugreifen vorher geschlossen werden.

    Ich scanne gerade mit eScan AntiVirus Toolkit Utilitiy (welches mir bereits 23 gefundene Viren anzeigt).

    Port 2222 werde ich auf jedenfall so schnell wie möglich in meiner Firewall blockieren.

    EDIT:// Ich bin gerade auf folgende Seite gestossen:
    http://kb.mozillazine.org/Firefox.exe_always_open
    Ich habe mich gleich mal in der Registry umgesehen und folgendes gefunden:

    [Blockierte Grafik: http://img187.imageshack.us/img187/4866/findhx7.png]

    Ein paar Schlüssel weiter:
    [Blockierte Grafik: http://img19.imageshack.us/img19/2475/findfz3.png]

    -> C:\WINDOWS\system32\xxpppp <Log> C:\WINDOWS\system32\xxpppp.exe <UD> Alle Registry Einträge & Dateien gelöscht.

    2 Mal editiert, zuletzt von Deadman (13. Juli 2007 um 05:13)

    Road-Runner schlug vor:

    Zitat

    Ich tippe mal auf SC-QuickStart als Übeltäter.[...]


    Könnte man fast meinen - ist aber leider Unsinn. SC-QuickStart ist ein separater Hotkey-Starter, der über simple Tastatur-Shortcuts spezielle im Vorfeld definierte Programme und Anwendungen starten kann und somit ganz bestimmt keine Malware darstellt.

    Deadman fragte:

    Zitat

    [...]Sobald ich ihn beende (Task-Manager), öffnet er sich von alleine wieder (im Hintergrund). Ich habe mit "Process Explorer" unter dem Tab "TCP/IP" etwas aufgefangen, weiss jedoch nicht ob es wirklich was damit zu tun hat. Ich habe bereits Firefox deinstalliert (musste die "firefox.exe" von Hand beim Neustart löschen) und nochmals neu installiert. Ergebnis ist dasselbe[...]


    Klingt ganz nach einem XPCom Event Receiver - Kill Out. Bei so einer Meldung spielen notwendige Dateien des Firefoxes, mit dem Betriebssystem eine gewisse Rolle. Downloade folgendes Programm und installiere es anschliessend als Erweiterung.


    http://releases.mozilla.org/pub/mozilla.or…2/xpi/xpcom.xpi


    Beantworte Dir darüberhinaus die folgenden Fragen:


    a.Lässt sich der native FF-Prozess nur noch über Root-Rechte aus dem Task-Manager entfernen?

    b. Läuft der FF-Prozess vielleicht als "Leiche" im System weiter und "frist" obendrein noch CPU-Leistung? Wird der nächste Start einer FF-Session bei Dir eventuell als zweite Instanz gestartet?

    c.Hattest Du bereits aus dem abgesicherten Start heraus versucht, die profiles.ini oder die eventuell vorhandene parent.lock innerhalb des Profil-Ordners zu löschen?

    d.Sind Java, Acrobat Reader aktuell oder wurden die vorherigen Versionen vielleicht deinstalliert?


    Oliver

    Deadman veranschaulichte über eine Grafik:

    Zitat

    svhost.exe /s


    Zeitlich versetzter Nachtrag - Dein System wurde gemäss Deiner Grafik vermutlich über den "AGOBOT-LN WORM" kompromittiert. Unter Umständen wurde bei Dir auf der Socks-Ebene 8080 ein trojanisierender Port geöffnet.


    Der Active Setup Key Deiner Registry veranschaulicht meiner Ansicht nach, dass Du Dich bereits u.U. im Vorfeld über das MS-Netmeeting oder über ein IE-Update infiziert haben müsstest.


    Oliver

    Nun warum ich erst jetzt zurückschreibe hat folgenden Grund:
    Gestern über Nacht, hat die Person, die über den Trojaner reinkam, anscheinend einige Windows Dateien gelöscht und meinen Rechner neugestartet. Als ich am morgen meinen Computer anschaute, war der PC neugestartet und nach dem IDE-Scan war folgende Meldung zu sehen:

    Zitat

    Windows konnte wegen eines Softwarefehlers nicht gestartet werden.
    Bitte melden Sie dieses Problem als:
    Ladeprogramm benötigt DLLs für Kernel.
    Bitte wenden Sie sich an Ihren Supportansprechpartner,
    um dieses Problem zu melden.

    Also legte ich die Windows XP Pro CD ein und ging in die Reperatur Konsole von Windows um zu prüfen ob meine Daten noch da waren. Dort versuchte ich folgendes (Auf Laufwerk E: sind meine gesammten Daten):

    Zitat

    C:\>chdir "C:\Dokumente und Einstellungen"
    Zugriff verweigert

    C:\>chdir "E:"
    E:\

    C:\>dir E:
    Verzeichnis von E:\

    Fehler beim Auflisten des Verzeichnisses

    Danach Formatierte ich Laufwerk C: (auf dem Windows installiert ist) mit Acronis Disk Directorer und begann Windows neu zu installieren. Als jedoch die normale Windows Laufwerk-Überprüfung (kommt immer vor der Windows installation) das Laufwerk E: überprüfte, spukte es nur noch Fehler und Dinge die es fixen musste aus.

    Als Beispiel:

    (. = usw. :P)

    Die Dateien die ich "wiederhergestellt" wurden, waren alle sammt meine Daten auf Laufwerk E:

    Danach konnte ich Windows fertig installieren (Dauerte den ganzen Rest des Tages). Nun habe ich auf Laufwerk E:, jedoch keine Daten darin.

    Aus früheren Erfahrungen habe ich mir "EasyRecovery Professional" zugetan, mitdem ich nun Laufwerk E: gescannt habe und alle Dateien wieder herstellen konnte.

    Nun endlich ist der Trojaner weg und meine Daten gerettet. Auch wenn beim Systemstart immer ein "unerkanntes Betriebssystem auf Laufwerk C:" auftaucht (neben dem jetzigen installierten), was ich eventuell auch noch beheben kann.

    ^^
    Nur mal interessehalber: Lässt Du den PC 24 Stunden laufen ohne Sicherheitssoftware, Firewall oder ähnliches?

    Also wenn ich so eine Meldung wie oben bekommen würde, bräche mir der kalte Schweiß aus und meine restlichen Haare würden auch noch ausfallen :wink:

    Aber schön für Dich, daß Du es wieder hinbekommen hast :)

    -GA-

    Uhm ja ich lasse ihn meist 24 Stunden laufen. Aber ich habe den benötigten Schutz (Firewall, AntiViren Programm usw.). Und bei einem "undetectable" Trojaner nützen selbst beste Anti-Viren Programme nix. Jedoch habe ich auch ein paar Ports für bestimmte Programme geöffnet, was leider zum Verhängniss werden kann. Ein weiterer Fehler von mir war, dass ich als ich mit eScan am scannen war und meinen PC über die Nacht laufen liess, dass ich ihn da nicht von Internet getrennt hatte.

    Deadman stellte dar:

    Zitat

    [...]Gestern über Nacht, hat die Person, die über den Trojaner reinkam, anscheinend einige Windows Dateien gelöscht und meinen Rechner neugestartet. Als ich am morgen meinen Computer anschaute, war der PC neugestartet und nach dem IDE-Scan war folgende Meldung zu sehen:[...]

    Für wie dumm hältst Du uns eigentlich?

    Undedectable Trojan - weisst Du überhaupt was das ist - und was Du hier genau ansprichst?

    Gemäss Deines Beitrages, versuchst Du uns hier scheinbar einen Bären aufzubinden und zwar mit einer von Dir selbst erschaffenen Realität, die jeglicher System-Logik entbehrt. Du hattest Dir bereits schon in Deinen obigen Beiträgen widersprochen. Verschone daher bitte unsere Zeit und unsere Mühe - auch wenn die Schulferien in Deutschland gerade mal wieder begonnen haben.

    Falls Du wirkliche technische Informationen zum sogenannten RATs - (Remote Access Trojan) benötigen solltest - schulen wir hier zur Not auch noch Kinder nach.


    Oliver

    Was schreibst du eigentlich für einen Müll? Ich weiss ganz genau was ein Undetectable Trojaner ist. Wenn meine AntiVirus Software keinen Trojaner in einer Datei entdeckt, inder etwas vorhanden ist, mitdem man Remote Control über einen Computer erlangt, so ist das in meinen Augen ein UD Trojaner. Und wenn es nunmal ein RAT ist, dann ist er in meinen Augen trotzdem UD.

    Was ich geschrieben habe entspricht dem was ich in meinen Augen am realististen sehe. Wenn du das als Angriff gegenüber deinem Wissen ansiehst, tust du mir leid.

    Zitat von Oliver222

    Zeitlich versetzter Nachtrag - Dein System wurde gemäss Deiner Grafik vermutlich über den "AGOBOT-LN WORM" kompromittiert. Unter Umständen wurde bei Dir auf der Socks-Ebene 8080 ein trojanisierender Port geöffnet.

    Zitat von Oliver222

    Falls Du wirkliche technische Informationen zum sogenannten RATs - (Remote Access Trojan) benötigen solltest - schulen wir hier zur Not auch noch Kinder nach.

    Wenn ich jemals Informationen zu diesem Thema benötigen sollte, werd ich mich 100% nicht an eine so "aggressive" und "nicht-diskusionsfähige" Person wie dich wenden. Ich kann mir gut selbst helfen. Und du hast ausserdem keine Ahnung wie alt ich bin und wo ich lebe, also würde ich dir raten dich nicht zu gross aufzublasen. Danke

    Und kannst du mir bitte mal verraten warum ich euch einen Bären aufbinden sollte, bei einem Problem das ich selbst zu beheben suche? Was würde mir das nützen bei der Lösung des Problems? Siehst du irgent eine Logik? Und es tut mir Leid wenn ich dir deine kostbare Zeit geraubt habe, aber es hat dich niemand dazu aufgefordert hier zu posten! Ich hoffe ich habe mich klar ausgedrückt. In diesem Forum sollte geholfen werden anstatt wies du tust zu "flamen".

    PS: Ich würde gerne die Punkte hören, in denen ich mir (oder sich die Realität?) selbst widersprochen habe (hat).

    Einmal editiert, zuletzt von Deadman (14. Juli 2007 um 19:42)

    Nur nennen es die meisten (in Foren, z.B. http://www.free-hack.com) "undetectable". Das heisst ja nicht, dass es immer undetectable ist. Damit meint man eher, dass die jetzigen bekannten Anti-Viren Software den Trojaner zu diesem Zeitpunkt nicht erkennen.

    Trotzdem ist das kein Grund zum "flamen".

    Deadman.

    ... ohne die Absicht Dir im Zuge dieses Threads zu nahe treten zu wollen, lässt Dein "Beitragsverlauf" meiner Ansicht nach einer gewissen Logik entbehren. Darüber mögen andere (sehr Fähige) hier vielleicht anderer Ansicht sein.

    Simon1983 schrieb:

    Zitat

    Nur weil ein Virenscanner etwas nicht entdeckt, heißt das noch lange nicht das es sich um einen unfindbaren Trojaner handelt. Sowas gibt es nämlich nicht.[...]

    Das sehe ich genauso. Es sei denn, es handelt sich bezüglich Deines (Deadman´s) Falles um ein sogenanntes virtuelles Rootkit und zwar auf einer VM-Basis. Dazu müsste jedoch als Voraussetzung Deine gesamte Betriebssystemumgebung, ausserhalb Deiner Aufmerksamkeit, über so ein VM-Rootkit in eine virtuelle Maschine hinein "verschoben" (also isoliert) worden sein, um somit ausserhalb des Wahrnehmungshorizontes der meisten Scanner-Ranges zu gelangen. So etwas gibt es auch tatsächlich - allerdings bisher nur in den Entwicklungslabors. (Stichwort: Blue Pill / J. Rutkowska (Test-Authorin) / SVM/Pacifica Virtualization Technology / SubVirt etc.).

    Deadman fragte:

    Zitat

    PS: Ich würde gerne die Punkte hören, in denen ich mir (oder sich die Realität?) selbst widersprochen habe (hat).

    Deine hier eingespeissten Grafiken und Deine persönliche Darstellung dazu, klaffen meiner Ansicht nach weit auseinander. Du personalisierst hierbei einen anonym wirkenden Trojaner - es sei denn - Du hattest Dir "auf die alten Tage" eine bereits "historische" Variante des W32.Sasser.Worm a (LSASS) eingefangen - was ich mir allerdings nicht vorstellen kann. (unkontrollierter System-Shutdown gemäss Deiner Angaben).

    Deadman stellte darüberhinaus dar

    Zitat

    Wenn ich jemals Informationen zu diesem Thema benötigen sollte, werde ich mich 100% nicht an eine so "aggressive" und "nicht-diskusionsfähige" Person wie Dich wenden.[...]

    Wir / (ich) versucht(e)/(n) Dir hier bereits zu helfen - Nur erzähle uns bitte nichts von Gespenstern auf Deinem System. Für Smalltalk und Chats gibt es ganz andere Communities.

    Nur als Vorschlag - setzte doch Dein System über eine Formatierung komplett neu auf, um überhaupt erst die Voraussetzung für weitere Diskussionen zu schaffen.

    Nocheinmal - nichts für ungut...


    Oliver


    http://www.bsi.de/av/vb/sasser.htm
    http://www.eweek.com/article2/0,1895,1983037,00.asp

    oliver: Wie ich bereits erklärt habe, habe ich habe mir den Begriff undetectable angeignet, da auf Seiten wie free-hack.com dieser Begriff verwendet wird, wenn ein Trojaner von vielen Anti-Viren Software nicht erkannt wird. Es ist toll wenn ihr mich so deutlich darauf aufmerksam macht das ich den Begriff falsch verwende.

    Die Grafiken die ich gepostet habe, sind Dinge auf die ich gestossen bin und mir geholfen haben mein System zu säubern. Ich habe deshalb so viele gepostet und geachtet das ich keine Details auslasse, damit jeder davon profitieren kann.

    Zitat

    Wir / (ich) versucht(e)/(n) Dir hier bereits zu helfen - Nur erzähle uns bitte nichts von Gespenstern auf Deinem System. Für Smalltalk und Chats gibt es ganz andere Communities.


    -> Wenn du mir nicht glaubst, hättest du mir ja sowiso nicht helfen können, also warum postet du? Ich werde mich sicherlich nicht rechtfertigen in einem Forum, indem man von Hilfe ausgeht. Was ich gepostet habe entspricht dem, was ich auf meinem System gefunden habe. Wenn du mir nicht glauben willst, lass es ebben sein.

    Zitat

    Nur als Vorschlag - setzte doch Dein System über eine Formatierung komplett neu auf, um überhaupt erst die Voraussetzung für weitere Diskussionen zu schaffen.


    -> Habe ich bereits getan. Danke für den Tipp.