Firefox Absturz / Offline ?

pinpin1

Hallo,

ich habe seit neuestem das Problem, dass nach einer weile Firefox (3.6.10) nicht mehr auf Internet zugreifen kann, wie wenn er abgestürzt wäre. Die Seiten können nicht geladen werden, einfach keine Reaktion, aber komischerweise läßt das Programm in Menüpunkten usw. bedienen.

Ich habe als letztes zwar den Firebug installiert, aber das Problem war vorher schon da. Auch half eine Neuinstallation nicht. Wenn das Problem auftritt muß ich Firefox beenden. Hin und wieder kommte beim beenden die Fehlermeldung "Die Anweisung in 0x778177a9 verweist auf Speicher in 0x778177a9. Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden.

Auch hatte ich beim Firefoxstart die Fehlermeldung "Generic Host Process for Win32 Services hat ein Fehler festgestellt und muß beendet werden. Danach startete der Firefox, jedoch schon mit dem o.g. Fehler. Komischerweise ist InternetExplorer 8 davon nicht betroffen, der läuft ohne Probleme.

Vielen DANK für Eure Tipps.

Fox2Fox

Aus diesem Beitrag [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] geht hervor:

Zitat

Ich habe mit Hijackthis und Malwarebytes anti Malware bereits gescannt und die vorgeschlagene Dateein gelöscht.

Dann mach mal folgendes:

Machst du bitte mit HijackThis [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] einen Scan und den Inhalt des Logfiles fügst du per Klammer CODE in deinen nächsten Post ein.

Scanne dein System mal mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png] - Malwarebytes Deutschsprachige bebilderte Anleitung [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]. Vor dem Scan ein Update von Malwarebytes machen, dann einen vollständigen Suchlauf durchführen und den Inhalt des Logfiles in deinen nächsten Post in Klammer CODE einfügen.

pinpin1

Hallo Fox2Fox,

vielen Dank für die Tipps. Also bevor ich Firefox neu installiert habe, habe ich mit Hijackthis ein scan gemacht. Es wurde nichts gefunden. Aber ich machs nochmal. Malwarebytes werde ich ebenfalls machen. Jedoch erst später, da ich jetzt auf dem Sprung bin. Melde mich dann wieder. Nochmal DANKE.

Fox2Fox

Zitat von pinpin1

...habe ich mit Hijackthis ein scan gemacht.

Wir hätten gerne den Inhalt des Loglifes in Klammer Code. Ebenso den Inhalt des Loglifes von Malwarebyte in Klammer Code.

pinpin1

Hallo,

anbei das Logfile von Hijackthis:

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:27:16, on 18.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\sched.exe
C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\astsrv.exe
C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Anwendungen\Microsoft Office 2000\Office\OUTLOOK.EXE
C:\Programme\Anwendungen\Microsoft Office 2000\Office\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Anwendungen\Divers\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Anwendungen\Divers\Mozilla Firefox\plugin-container.exe
D:\Daten\Downloads\Progs\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\ANWEND~1\\Divers\\eBay\\BIET-O~1\\\\AddToBOM.hta
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Anwendungen\Divers\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AST Service (astcc) - Nalpeiron Ltd. - C:\WINDOWS\system32\astsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe


--
End of file - 6398 bytes

Alles anzeigen

Mit Malwarebytes habe ich auch nen scan gemacht. Der hat fünf verdächtige Einträge gefunden, die ich gelöscht habe. Das Programm mit Autorun amwoq.exe ist mir schon aufgefallen ich hatte es auch gelöscht, aber dann hatte ich auf ein Mal mit Soundeinstellungen ein Problem. Zum einen war kein Soundkarte mehr installiert, und dies obgleich WinXP teilweise die Sounds abgespielt hat. Also ich konnte Mediaplayer ganz normal benutzen. Auch wurden die Systemsounds gespielt, jedoch war nirgends Soundeinstellung möglich. Außerdem wurde immer wieder so alle 20 Sekunden für die Outlook Posteingangsbenachrichtigung eingestellte sound abgespielt. Nach einem Neustart war die Soundkarte wieder da, aber das mit dem Posteingangsbenachrichtigung blieb. Nach einem erneuten Start war das Programm wieder da und ließ sich dann nicht mehr löschen.

Ich weiß nicht, ob schon alles wieder okay ist,bis jetzt scheint es okay zu sein. Das hoffe ich zumindest.

nochmals DANKE

Fox2Fox

Zitat von pinpin1

Mit Malwarebytes habe ich auch nen scan gemacht. Der hat fünf verdächtige Einträge gefunden, die ich gelöscht habe.

Nein, ist nicht alles OK. Ich hatte um den Inhalt des Logfiles von Malwarebytes gebeten.

MBAM zeigt Funde. Es hilft nicht, dass diese Funde gelöscht werden, denn ein befallenes System kann nicht bereinigt/repariert werden.

Dann freunde dich mit einem Neuaufsetzen deines Systems an. Danach alle Passwörter ändern!
Lies diesen Artikel - wichtig ab Punkt #4
Säubern eines gefährdeten Systems [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

Malware - was nun?
* Daten sichern (Dokumente, Musik, Bilder usw. kopieren)
* Windows-CD/DVD einlegen, booten
* mit Windows-CD/DVD Systemlaufwerk formatieren
* Windows neu installieren
* alle Windows-Updates installieren
* sicheren Browser benutzen
* nur Programme aus sicheren Quellen installieren
* Sicherheitskonzept überdenken!
* nicht mehr als Admin surfen!

Brummelchen

Zitat

amwoq.exe

Ungeachtet des MBAM-Logs sieht das sehr nach einem Trojaner aus - Lösung wurde einen über mir genannt!

pinpin1

Hallo,
nach dem ich einiges gemacht habe, hier nun das Log-Datei von Malwarebytes

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org


Datenbank Version: 4870


Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702


18.10.2010 16:08:20
mbam-log-2010-10-18 (16-08-20).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 267338
Laufzeit: 44 Minute(n), 40 Sekunde(n)


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1


Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)


Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{f8b1b62d-b110-1291-5eee-39c8f07a539f} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.


Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.


Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)


Infizierte Dateien:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Biil\amwoq.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Alles anzeigen

Also ich hoffe nicht, dass ich das System neu aufsetzen muß. Oder? Wenn ich nach diesem Artikel gehe, dann müßte ich ja alle ungesicherte Daten löschen. Was fast unmachbar ist oder? Klar nach stand der Dinge wurde das System befallen, aber gleich alles löschen, halte ich für übertrieben, denn nach diesem Artikel müßten alle befallene Systeme und Daten erneuert werden, wenn die Sicherung wie in vielen Firmennetzen ein paar Tage alt sind, dann sind sie auch nutzlos. Jetzt schein alles wieder zu laufen, natürlich werde ich in der nächsten Zeit hellwach sein.

Nochmal vielen tausend DANK - Malwarebytes hatte ich ganz außer acht gelassen.

Fox2Fox

Zitat von pinpin1

Also ich hoffe nicht, dass ich das System neu aufsetzen muß. Oder?

Doch. Klare Sache - ich habe in meinem Beitrag weiter oben alles verdeutlicht. Du kannst es machen oder lassen, deine Entscheidung. Aber über die Notwendigkeit kannst du hier nicht diskutieren.

Wenn du uns dann noch deine Entscheidung mitteilen würdest...

Cosmo

Zitat von pinpin1

... wenn die Sicherung wie in vielen Firmennetzen ein paar Tage alt sind, dann sind sie auch nutzlos.

Wenn ein Firmen-Administrator nicht mindestens(!) eine Sicherung pro Tag fährt, gehört er (bildlich gesprochen) gevierteilt.

Wenn ein Privat-Benutzer nicht entsprechend der Wichtigkeit der Daten eine regelmäßige Sicherung durchführt, erklärt er damit zwangsläufig seine Daten als zur Löschung freigegeben. Das ist eine Benutzer-Entscheidung, mit den Konsequenzen muß der Benutzer leben.

Ein kompromittiertes System wird um kein Jota deswegen besser, weil wichtige Daten nicht gesichert wurden und man nun vor dem Scherbenhaufen steht. Im Gegenteil, je wichtiger die Daten sind, desto wahrscheinlicher ist es, daß Schadware diese Daten mißbraucht und desto größer wird der Folgeschaden sein, wenn man jetzt noch lange hadert und zaudert.

Wenn du auf dein Auto beruflich angewiesen bist, dich aber nie um die Pflage gekümmert hast und nun eine (seriöse) Werkstatt feststellt, daß die Bremsscheiben so weit herunter sind, daß das Auto nicht mehr verkehrssicher ist, werden sie dich damit auch nicht vom Hof lassen, auch wenn du noch so sehr beteuerst, daß du unbedingt heute noch damit von A nach B fahren mußt.

pinpin1

Hallo Cosmo,
die Antwort von Fox2Fox ist sachlich und kurz. Er sagt "die Notwendigkeit kannst du hier nicht diskutieren" Dies sollte auch für Dich gelten!!!

spaddel

Zitat

(Brummelchen)..amwoq.exe..und so..

[Blockierte Grafik: http://www.cosgan.de/images/midi/verschiedene/c050.gif] (aber heut abend..nich wieder soooviel "brummelbeerchensirups-saft"..´ne) :mrgreen:

also außer HJT-faselsophierungen..und natürlich abgesehen des..ääh mbam-logs..

ist das o.g.(ecodete) HJT-log in Unkenntnis nich komplett....c&p-stet :-?? vermutung im Bereich 04er +..
oder gefäkt..also kwasi ma wieder faselsophiert..´do :mrgreen:

z.b. >von der heise.sockenschuß.gMBh< oooodäääär knuddels..wie dazugelernt.. :mrgreen:

Cosmo

Zitat von pinpin1

Hallo Cosmo,
die Antwort von Fox2Fox ist sachlich und kurz. Er sagt "die Notwendigkeit kannst du hier nicht diskutieren" Dies sollte auch für Dich gelten!!!

Falsche Baustelle: Derjenige, der unverantwortlich handelnde Administratoren und eigene Versäumnisse bei der Datensicherung zum Anlaß einer Diskussion machen wollte, um das Unvermeidliche wegzudiskutieren, warst ausschließlich du.

Da es dir aber so wichtig zu sein scheint, was für mich gilt:
Für mich gilt, daß sich die Komprimierung eines Systems nicht gegen andere Umstände aufwiegen läßt. Darüber diskutiere ich nicht, das konstatiere ich. Für mich gilt außerdem, daß jemand, der anderer Firmen Administratoren und fehlende Backups zum Gegenstand einer Diskussion über die Notwendigkeit im Umgang mit einem kompromittierten System macht, den massiven Eindruck hinterläßt, die Bedeutung des Problems noch nicht richtig erkannt zu haben - mit der folgenden Notwendigkeit, diese fehlende Erkenntnis mit zusätzlichem Nachdruck zu vermitteln. Im übrigen liegst du - noch einmal - falsch: Hier gilt für alle eins und zwar für alle: die Forenregeln, und nicht deine freie Interpretation von Fox2Fox'Antwort (die im übrigen eindeutig erkennbar an dich gerichtet war). (Solltest du dich über eine Verletzung der Regeln beschweren wollen, ist die Forumsleitung der zutreffende Ansprechpartner.) :lol:

pinpin1

ha ha ha

Fox2Fox

Zitat von pinpin1

[Hallo Cosmo,...] Dies sollte auch für Dich gelten!!!

Nein, das habe ich nur dir mitgeteilt. Das ergibt sich auch aus der Sache heraus, aber wenn du nicht in der Lage bist, das erkennen zu können, ziehst du mit deinem verhunzten System gleich. Und damit wünsche ich dir noch viel Vergnügen.