Du teilst nichts mit, an dem man ansetzen könnte. Klicke in meiner Signatur auf Anleitung für Fragen im Forum und liefere nach.
Zitat von Fibiseit zwei Tagen fragt mich meine firewall etwa eine Minute nach Eröffnung von firefox, ob ich angegebenem Programm den Zugang zum Netz erlauben wolle.
Geschieht das auch bei Verwendung des Internet Explorer?
Welche FW, welches OS ist installiert?
Zitat von BoersenfegerDu teilst nichts mit, an dem man ansetzen könnte. Klicke in meiner Signatur auf Anleitung für Fragen im Forum und liefere nach.
firefox 6.0.1. windows XP, Avira Antivir, Sygate firewall. Das sind meine Daten.
Vor drei Tagen hatte ich eine Art Virus gemeldet bekommen. Es war ADSPY/WhenUSearch. Den habe ich mir auf der Seite Melting-Mindz Games beim Spielen eines Sneaky-Suchspiels eingefangen. Antivir hats gemeldet und er wurde gelöscht. Die Auswirkung auf Firefox war so, dass dieser sich aufgehängt hat und nicht mehr schließbar war. Zwei mal musste ich den PC kalt ausschalten, oder wie auch immer man das nennt. Das Löschen des Virus hatte keine wirkliche Besserung gebracht. Immer hatte firefox sein Schaff.
Ich habe den Virus gegoogelt und erfahren, dass dieser sich in einem Wiederherstellungspunkt verewigt und dass deshalb die Systemwiederherstellung zu einem früheren Zeitpunkt keine Lösung wäre ihn loszuwerden, sondern im Gegenteil nur das Löschen aller Wiederherstellungspunkte die erhoffte Lösung brächte. Zudem erinnerte ich mich, mal eine Meldung gesehen zu haben, wo mir angezeigt worden ist, dass ein neuer Systemwiederherstellungspunkt erzeugt worden ist. Das hatte mich sehr gewundert, weil ich derartiges gar nicht angestoßen hatte. Nun wusste ich also, dass dies eventuell besagter Virus war. Eine weitere Voraussetzung sei, dass der Virus in der Datei: System Volume Information\_restore zu finden ist. Das war auch der Fall. Also entfernte ich die Wiederherstellungspunkte durch kurze Abschaltung der Systemwiederherstellung.
Zusätzlich entfernte ich alle firefox Einträge in meiner firewall, um zu sehen, was alles so erfragt wird, wenn ich firefox laufen habe. Das war nur der Interesse halber und vorbeugend für den Fall, dass ein Update von firefox eventuell mit älteren Firewalleinträgen in Konflikt gekommen sein könnte.
Firefox läuft nun wieder einwandfrei, das heißt er bleibt, soweit ich das bis jetzt sagen kann, nicht mehr hängen und geht einwandfrei auszuschalten. Nur - und jetzt kommts - wenn ich im Internet serve, die Seiten wechsele oder meine E-mail bei yahoo abfrage oder auch auf meiner eigenen Domaine reingehe, werde ich von Sygate firewall gefragt, ob ich folgendes Programm zulassen möchte eine Verbindung ins Netz aufzubauen: sb-ssl.google.com, über den Port 443 .
Da ich noch nie zuvor solch eine Frage gesehen hatte und sie beständig immer wieder kommt - und ich wegen dem Virus im Moment noch überachtsam bin, wollte ich genau wissen, was es ist, was da meine Zustimmung haben will. Also habe ich gegoogelt und nur sehr spärliche und nur halbverständliche und vor allem widersprüchliche Informationen erhalten, noch dazu in Englisch. Was ich aber mitgekriegt habe, ist, dass es Einträge in diversen Foren gibt (auch englisch) die meinen, dass es sich hier um eine malware handelt, die dazu da sei, das Verhalten eines users, der firefox benutzt, auszuspionieren.
So, lieber Boersenfeger, das ist aber nun wirklich alles, was es dazu zu sagen gibt. Ich meine, dass meine erste Frage eigentlich ausreichend ist. Aber hier habe ich nun die gaaaaanze Geschichte preisgegeben und hoffe nun, dass mir irgendjemand eine brauchbare Antwort geben kann auf meine Frage:
Was ist - sb-ssl.google.com - für ein Programm, welches immer über denselben Port 443 eine Internetverbindung aufbauen will, wenn ich mit firefox im Internet unterwegs bin.
:?
Sorry, aber Malware kann man nicht löschen! Somit gilt das System weiterhin als kompromittiert.
Also ist es auch kein Wunder, dass der Rechner derartige Kapriolen zeigt.
Poste bitte ein HijackThis-Logfile. - Bitte nichts fixen oder löschen!!
Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen vollständigen Scan durchführen, anschließend ein Logfile erstellen und hier posten. - Und bitte nichts löschen!!
Zitat von DoccGeschieht das auch bei Verwendung des Internet Explorer?
Welche FW, welches OS ist installiert?
@ Docc,
ich müsste das erst einmal ausprobieren, weil ich den Internet Explorer nie benutze.
Zitat von DoccSorry, aber Malware kann man nicht löschen! Somit gilt das System weiterhin als kompromittiert.
Also ist es auch kein Wunder, dass der Rechner derartige Kapriolen zeigt.
Poste bitte ein HijackThis-Logfile. - Bitte nichts fixen oder löschen!!
Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen vollständigen Scan durchführen, anschließend ein Logfile erstellen und hier posten. - Und bitte nichts löschen!!
@ Docc,
malewarebytes habe ich als zweites Antivirusprogramm. Das habe ich bereits laufen lassen. Es hat nichts gefunden.
Aber ich mache jetzt nochmal alles, wie von Dir vorgeschlagen.
Unabhängig von allen Überlegungen zu Schadprogrammen: Was sb-ssl.google.com angeht, so würde ich annehmen, dass das mit dem Phishing- und Malwareschutz (Safebrowsing) in Firefox zu tun hat.
@ Coce
Das kann gut sein. Ein Programm, wie vom TO vermutet, ist sb-ssl.google.com jedenfalls nicht
@ Fibi
Poste bitte auch noch die Fundreports, die Avira für die aktuellen Funde angelegt hat.
Zitat von Docc
Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen vollständigen Scan durchführen, anschließend ein Logfile erstellen und hier posten. - Und bitte nichts löschen!!
Malwarebytes' Anti-Malware 1.51.1.1800
http://www.malwarebytes.org
Datenbank Version: 7663
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
06.09.2011 17:59:26
mbam-log-2011-09-06 (17-59-25).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 258205
Laufzeit: 53 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Zitat von Docc@ Fibi
Poste bitte auch noch die Fundreports, die Avira für die aktuellen Funde angelegt hat.
Typ: Datei
enthält Erkennungsmuster der Ad-oder Spyware ADSPY/WhenUSearch.F
Quelle: C\System Volume Information\_restore{B601726D-EAD7-404C-B7F8_E353BB9C919D}\RP543\A0115047.exe
Suchengine: 8.02.06.54
Virendefinitionsdatei: 7.11.14.120
Zitat von DoccSorry, aber Malware kann man nicht löschen! Somit gilt das System weiterhin als kompromittiert.
[/u]
@ Docc,
was heißt das im Klartext?
Kann man ein System wieder säubern ?
Besonders Punkt 4
Zitat von Fibiwas heißt das im Klartext?
Es gibt kein einziges Antivirenprogramm, dass nicht verspricht, ein infiziertes System von Malware (Trojaner, Viren, Backdoors, Droppern etc.) befreien zu können. Doch das ist nur ein Werbeversprechen ohne Wahrheitsgehalt.
Selbst wenn ein Antivirenprogramm einen Schädling findet und den Rechner oberflächlich von Schadcode befreit, heißt das nicht, dass der Rechner wieder clean ist. Fast immer bleiben wesentliche Teile des Schädlings in der Tiefe der Systemarchitektur unentdeckt. Diese werden dann zu einem späteren (unbestimmten) Zeitpunkt erneut aktiv, laden weitere Schädlinge aus dem Internet nach und beginnen ihr zerstörerisches Werk von Neuem.
Das lässt sich nur verhindern, indem die Festplatte mit allen Partitionen formatiert und das Betriebssystem komplett neu installiert wird.
Schau dir bitte den Link von 2002Andreas an. Darin ist die ganze Problematik beschrieben.
btt:
ADSPY/WhenUSearch.F: Das ist harmlose Adware (keine Malware), und auch nicht die Ursache des von dir beschriebenen Problems.
Dein Problem liegt wahrscheinlich bei dem reichhaltigen Sortiment an diversen Firewalls und AV-Programmen.
Bei dir sind drei Firewalls aktiv!
C:\Programme\Sygate\SPF\smc.exe (deine Sygate-Firwall)
C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (deine Avira-Firwall)
und
die Firewall deines Routers.
Deaktiviere Sygate und Avira-FW und aktiviere die Windows-FW.
Obendrein wird das System doppelt und dreifach von Antivirenprogrammen überwacht:
C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira AntiVir, on access scanner)
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (der unsinnige Webguard von Avira)
C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Spybot Search & Destroy leistet keinerlei Beitrag zur Systemsicherheit)
Deinstalliere Spybot Search & Destroy.
Deaktiviere Avira Webguard.
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
Hast du das eingerichtet?
Arbeite das bitte ab. Teste, und melde dich dann noch einmal.
PS
Verzichte bitte auf die Fullquotes. Das bläst den Thread unnötig auf und macht ihn unübersichtlich.
Vortwort - Bitte den Knopf "ÄNDERN" benutzen, nicht 12und80-tausend Beiträge hintereinander!
Eben überflogen, aber wirklich Hoffnung kann ich dir auch nicht machen, was die Rettung deines Systems angeht
Typ: Datei
enthält Erkennungsmuster der Ad-oder Spyware ADSPY/WhenUSearch.F
Quelle: C\System Volume Information\_restore{B601726D-EAD7-404C-B7F8_E353BB9C919D}\RP543\A0115047.exe
Diesen Pfad besonders hevorgehoben - warum?
Vor drei Tagen hatte ich eine Art Virus gemeldet bekommen. Es war ADSPY/WhenUSearch. Den habe ich mir auf der Seite Melting-Mindz Games beim Spielen eines Sneaky-Suchspiels eingefangen. Antivir hats gemeldet und er wurde gelöscht. Die Auswirkung auf Firefox war so, dass dieser sich aufgehängt hat und nicht mehr schließbar war. Zwei mal musste ich den PC kalt ausschalten, oder wie auch immer man das nennt. Das Löschen des Virus hatte keine wirkliche Besserung gebracht. Immer hatte firefox sein Schaff.
Ich habe den Virus gegoogelt und erfahren, dass dieser sich in einem Wiederherstellungspunkt verewigt und dass deshalb die Systemwiederherstellung zu einem früheren Zeitpunkt keine Lösung wäre ihn loszuwerden, sondern im Gegenteil nur das Löschen aller Wiederherstellungspunkte die erhoffte Lösung brächte.
Deswegen. Leider fehlt dir die Erkenntnis, das Windows nur Dateien dort hinsichert, die es als schützenswert betrachtet.
IdR sind das Systemdateien und Programmdateien - aber seltenst (!) irgendwelche Dateien aus dem Browsercache!
D.h. die Malware hatte sich schon ins System eingenistet.
Warum deine Firewall, die ich für recht unzuverlässig und verdammt alt halte, jetzt permanent rumnervt,
kann ich nur vermuten. Einerseits wäre eine kompromitierte Firewall möglich - oder Firefox ist nicht mehr Firefox,
oder Firefox ruft nun permanent Seiten auf, die alles andere als "toll" sind.
Da jetzt insgesamt eine Lösung zu finden würde länger dauern als alle wichtigen Daten sichern und das
System neu zu installieren (wahlweise Image). Sagt zumindestens meine Erfahrung.
Zum anderen,w enn du diesen Schritt gehst, solltest du Avira und Spyblöd NICHT mehr installieren, sondern
einzig auf Avast (free) setzen, damit haben einige hier, mich eingeschlossen, recht gute Erfahrung.
Ziehst du eine bezahlte Lösung vor, kann ich dir derzeit keine geben.
Sygate ist auch nicht mehr zeitgemäss, für XP wäre Outpost eine gute Wahl.
Outpost Security Suite 7.5.1 Performance Edition (aktuellste Version), siehe auch hier:
► https://www.camp-firefox.de/forum/viewtopi…=747933#p747933
Das ist die komplette Suite - Komponenten lassen sich später abschalten (WICHTIG!).
Nachtrag
Der Antivir Webguard hat doch einen Sinn. Warum soll der überflüssig sein?
Wenn du AVira Free benutzt, ist jener Webguard Müll - der wird nur per Firefox und Erweiterung/Plugin nutzbar,
effektiv hat Avira Free sonst keinen. Avast Free hatte schon immer einen RICHTIGEN Webguard!
Deswegen ist auch der Scheiss auf deinem System gelandet, weil Avira den nicht gefunden hat!