Firefox 14 langsam, nach umbennen der .exe alles gut

Cruiser57

Guten Tag...

ich habe ein seltsames Problem, bei dem ich hoffe, daß ihr vielleicht weiterhelfen könnt ?

Ich habe ein relativ frisches Win7 Prof 64-Bit am laufen, und darauf einen Firefox 14.

Scheinbar wird der Firefox nie mit dem Laden einer Webseite fertig. Bei Facebook dreht oben im Tab der grüne Kreis bis zum "Weltuntergang", und Foto's werden nicht, oder erst nach einigen F5's geladen.

Ich habe darauf hin die gängigen Tips durchgearbeitet.
Profil löschen, Deinstalliert, und alles neu installiert, Firewall (Windows 7 native) und Virenschutz (Mic. Secu. Essentials) deaktiviert...

Nichts half. Und dann habe ich nen alten - und für mich unlogischen Versuch gemacht: Ich habe die Firefox.exe in Firefox-2.exe kopiert.
Starte ich die Firefox-2.exe ist alles sehr schnell (z.B. Facebook kommt der Kreis im Tab nach 1 Sek. zum Stehen und das Favicon erscheint, alle Bilder sind sofort da), mit der Firefox.exe dagegen weiter das o.g. Problem.

Ich erhielt an anderer Stelle den Hinweis, daß dies ein Virus sei.
OK, via Taskmgr alles gecheckt, keine "unerwünschten Prozesse" im System,
mit 4 Virenscannern nun das System gescannt (Mic. Security Ess, Avira, Malwarebytes Anti Malware und Trend-Mirco bei Festplatte ein anderes System gehangen) - KEINE VIREN gefunden...

An Flashplayer oder ähnliche Plug-Ins glaube ich nicht, da es ja scheinbar nur vom Namen der .exe-Datei abhängig ist, und die anderen Dinge sonst alle gleich sind.

Hat jemand eine Idee, wie man da noch rangehen kann ? :-???

Vielen Dank im Voraus für einen Tip...

Gruß Tom

Boersenfeger

Willkommen im Forum!
Du hast die firefox.exe im Programmordner umbenannt oder nur die Verknüpfung auf dem Desktop bzw. an anderen Stellen?

Cruiser57

Ich habe die Firefox.exe in eine Firefox-2.exe kopiert, und dafür ein neues Icon auf dem Desktop (Senden an) erstellt.
Im Programm-Ordner sind nun also die originale Firefox.exe UND eine Firefox-2.exe, und zwei "Icons" für jeweils eine Exe auf dem Desktop... (Habe auch schon über nen Fehler in der Verknüpfung nachgedacht, und versuchsweise eine neue für die Firefox.exe erstellt, ohne Erfolg, danach kam eine Neu-Inst. des FF14 mit neuen Verknüpfungen - ohne Erfolg)

Hinweis noch: Wenn der Firefox zu ist, laufen keine Tasks unter dem Namen Firefox o.ä.. wenn die Firefox-2.exe benutzt wird, heisst der Task auch Firefox-2

Und ich habe das System vor einiger Zeit mit nem Firefox 10 aufgesetzt, dann war es lange "unbenutzt", und nach "Wiederinbetriebnahme" bin ich gleich "durchgestartet" mit einem Update auf FF14.0.1 .

Daher hatte ich dann auch noch mal "ALLES RAUS" (Deinstallation, alle Registry-Werte auf Mozilla oder Firefox gelöscht etc.) und neu installiert (Nackt ohne alles)... gleiches Problem...

Hardwarebeschleunigung habe ich probiert... ist aus, gleiches Problem...

Ach ja, die einzige Problematik, die noch spannend sein könnte: Ich habe aus dem Windows 7 32 Bit, welches ich hier früher hatte, den "Windows Easy Transfer laufen lassen... habe schon überlegt, ob dabei irgendwas falsch gelaufen sein könnte, aber da ja ALLE Registry bezüge einmal gelöscht waren, würde ich den Gedanken nicht verfolgen...

P.S.: und danke für's Willkommen !

Boersenfeger

:-??
Du hast noch eine Log.-Datei der Malwarebytes-Prüfung? Diese wurde als Admin und als Full-Scan gemacht?
Falls Log-Datei vorhanden, poste den Inhalt hier in der Klammer
[Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg].

Cruiser57

Zitat von Boersenfeger

:-??
Du hast noch eine Log.-Datei der Malwarebytes-Prüfung? Diese wurde als Admin und als Full-Scan gemacht?
Falls Log-Datei vorhanden, poste den Inhalt hier in der Klammer
[Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg].

Passt das so, oder noch mal einen Starten ?

Code

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org


Datenbank Version: v2012.08.03.02


Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tom :: TOM-W7B64 [Administrator]


Schutz: Aktiviert


03.08.2012 08:15:44
mbam-log-2012-08-03 (08-15-44).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 424773
Laufzeit: 21 Minute(n), 32 Sekunde(n)


Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)


Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)


Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)


Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)


Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)


(Ende)

Alles anzeigen

Ergänzend habe ich die Erweiterungen hier mal Abgelegt:
http://nurpaste.de/16c

Viele Grüße
Tom

Bernd.

-----

Cruiser57

Firewall nur die von Windows mitgelieferte...

Habe dort auch schon ein komplettes Löschen aller Einstellungen als Versuch durchgeführt...
Ich habe auch versuchsweise die Firewall schon komplett deaktiviert, oder Firefox-Eintrag gelöscht und neu eingetragen.

Bernd.

-----

Cruiser57

Hallo,

danke schonmal für die Mühe, und anbei die OTL-Logs...

mit dem HiJacksThis kämpfe ich gerade noch, das gewünschte Log zu finden...

Gruß Tom

Cruiser57

So, die HiJack-Prozesse...

... sorry... eben habe ich nen Moment auf der Leitung gesessen...

Gruß Tom

Bernd.

Entscheide dich bitte für Acronis oder Norton, nicht beides.
Acronis gibt es auch für 64bit, warum nutzt du nur 32bit?

Nutze O&O Defrag oder PerfectDisk, nicht beides. Zusammen sind die extrem kontraproduktiv! :idea:

Du hast noch ein veraltetes Flash auf dem System

Zitat

C : \ W i n d o w s \ S y s W O W 6 4 \ M a c r o m e d \ F l a s h \ F l a s h 1 0 e . o c x

Flash bitte komplett deinstallieren, dann den Uninstaller benutzen, Neustart! Anschliessend aktuelles Flash neu installieren.
https://www.camp-firefox.de/forum/viewtopi…=812345#p812345

Dein System ist mit hoher Wahrscheinlichkeit infiziert, diese Kombination gibt es so nicht - entweder der, oder der andere.

Zitat

S R V : [ b ] 6 4 b i t : [ / b ] - [ 2 0 0 9 . 0 7 . 1 4 0 3 : 3 9 : 0 6 | 0 0 0 , 0 0 9 , 7 2 8 | - - - - | M ] ( M i c r o s o f t C o r p o r a t i o n ) [ O n _ D e m a n d | S t o p p e d ] - - C : \ W i n d o w s \ S y s N a t i v e \ d l l h o s t . e x e - - ( S y m a n t e c S y m S n a p V S S P r o v i d e r )

S R V : [ b ] 6 4 b i t : [ / b ] - [ 2 0 0 9 . 0 7 . 1 4 0 3 : 3 9 : 0 6 | 0 0 0 , 0 0 9 , 7 2 8 | - - - - | M ] ( M i c r o s o f t C o r p o r a t i o n ) [ O n _ D e m a n d | R u n n i n g ] - - C : \ W i n d o w s \ S y s N a t i v e \ d l l h o s t . e x e - - ( C O M S y s A p p )

Siehe auch http://www.neuber.com/taskmanager/de…llhost.exe.html

Noch ein Indiz

Zitat

[ c o l o r = # E 5 6 7 1 7 ] = = = = = = = = = = F i l e s / F o l d e r s - C r e a t e d W i t h i n ( A l l ) = = = = = = = = = = [ / c o l o r ]
[ 2 0 1 2 . 0 8 . 1 0 0 8 : 3 3 : 0 4 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 6 0 C 4 D 9 9 3 - D 0 B C - 4 2 C 4 - B 7 2 F - 7 6 2 6 0 3 2 D 6 C F C }

[ 2 0 1 2 . 0 8 . 1 0 0 8 : 3 2 : 2 1 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 6 E 7 7 2 8 B A - 4 5 7 6 - 4 6 2 F - 9 C C A - 3 F A 7 2 8 2 6 5 B 2 B }

[ 2 0 1 2 . 0 8 . 0 9 1 3 : 2 7 : 3 5 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { A B 3 9 F E 1 F - 0 A 1 0 - 4 1 B 4 - A 1 F C - 1 2 4 0 5 1 D 6 D D 3 8 }

[ 2 0 1 2 . 0 8 . 0 9 1 3 : 2 7 : 2 4 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 3 8 7 0 A 7 9 6 - B 9 4 1 - 4 E 5 1 - A C 4 0 - C 1 0 2 3 C 5 5 0 3 B 7 }

[ 2 0 1 2 . 0 8 . 0 7 1 3 : 0 7 : 3 8 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 5 3 1 E 8 D F 9 - 4 C 4 4 - 4 6 E E - 8 D B 0 - 0 9 9 6 5 B D B C 0 C A }

[ 2 0 1 2 . 0 8 . 0 7 1 3 : 0 7 : 2 7 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 2 9 B A E A 9 3 - D 5 C F - 4 9 9 9 - 8 C E 2 - 5 1 7 D 5 A 2 3 6 5 A 5 }

[ 2 0 1 2 . 0 8 . 0 6 1 2 : 5 9 : 4 3 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { A C 2 4 C F B E - 1 C 0 2 - 4 8 3 8 - A C 7 4 - 8 F 1 2 4 7 7 1 8 A 1 8 }

[ 2 0 1 2 . 0 8 . 0 6 1 2 : 5 9 : 3 2 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 0 2 9 8 B 2 7 E - A 2 9 A - 4 2 3 3 - B 7 4 3 - 1 2 E 2 2 9 9 1 2 E C 7 }

[ 2 0 1 2 . 0 8 . 0 5 0 9 : 0 4 : 2 7 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { 0 B D 4 9 B 6 B - 0 9 9 B - 4 2 6 1 - A E 2 3 - 5 6 7 B E 8 0 A 5 C E B }

[ 2 0 1 2 . 0 8 . 0 5 0 9 : 0 4 : 1 6 | 0 0 0 , 0 0 0 , 0 0 0 | - - - D | C ] - - C : \ U s e r s \ T o m \ A p p D a t a \ L o c a l \ { C 8 6 8 8 5 5 C - 6 8 8 8 - 4 C 9 1 - 8 1 D B - 3 3 B 5 7 8 3 E D 6 6 E }

Alles anzeigen

usw.

Ansonsten meine persönliche Meinung - du benutzt Software, deren Legitimität ich anzweifle. Denk mal drüber nach.

Cruiser57

So denn... also wie geschrieben: System ist gerade im Aufbau, eigentlich mache ich mein Backup hier mit Acronis, aber ich brauchte Daten aus einem GHOST-Image, ergo ist ne 30 Tage-Testversion.

Der Sym-Snapshot-Provider ist auf allen Systemen so... mit VOL-Shadow... darum ist er ja Stopped, wird nur Aktiv, wenn ein Norton Backup läuft. Habe ich auf allen Systemen in der Konstellation...

Das alte Flash habe ich gem. Anleitung raus... (auch keine Verbesserung )

O&O und Perf-Disk sind beide von der Automatik aus, weil die nit auf der SSD rumkratzen sollen, aber wohl wahr, eines ist überflüssig...

Nur scheint mit keines der o.g. Probleme irgendwie mit dem FF in Verbindung zu stehen... :-???

Einzig die seltsamen Ordner im AppData\Local sehen mir wirklich seltsam aus...

Frage bleibt: Wie findet man eine mögliche Infektion noch ?
Windows neu installieren wäre ne wirklich umfangreiche Problematik...

Cruiser57

Hmmm,

ich habe etwas auf Tri & Error gespielt, und mittels Security Task-Manager mal den "SpeedBit Video Accelerator" abgeschossen...

... und siehe da... es scheint wieder mit der Firefox.exe normal zu laufen...

Werde das mal weiter verifizieren.

Darklord666

@ Bernd: Wie du aufgrund deiner Screenshots darauf kommst, dass sein System infiziert ist oder das er illegale Software nutzt erschließt sich mir nicht.
Das: S R V : [ b ] 6 4 b i t : [ / b ] - [ 2 0 0 9 . 0 7 . 1 4 0 3 : 3 9 : 0 6 | 0 0 0 , 0 0 9 , 7 2 8 | - - - - | M ] ( M i c r o s o f t C o r p o r a t i o n ) [ O n _ D e m a n d | S t o p p e d ] - - C : \ W i n d o w s \ S y s N a t i v e \ d l l h o s t . e x e - - ( S y m a n t e c S y m S n a p V S S P r o v i d e r )

S R V : [ b ] 6 4 b i t : [ / b ] - [ 2 0 0 9 . 0 7 . 1 4 0 3 : 3 9 : 0 6 | 0 0 0 , 0 0 9 , 7 2 8 | - - - - | M ] ( M i c r o s o f t C o r p o r a t i o n ) [ O n _ D e m a n d | R u n n i n g ] - - C : \ W i n d o w s \ S y s N a t i v e \ d l l h o s t . e x e - - ( C O M S y s A p p )

bedeutet doch nur, dass die DLLhost.exe von 2 Programmen genutzt wird. Von seinem Sicherheitsprogramm "Symantec" und von einem Systemprogramm "CoMSysApp". Der eine Prozess ist gestoppt und der andere läuft. M.E. völlig unverdächtig, da die DLLhost von Zig-Programmen genutzt wird.

Warum der andere Screenshot ein Indiz für das bereits genannte sein soll, verstehe ich absolut nicht. :-??

Cruiser57

So, ich habe das Teil mal deinstalliert... und die Firefox.exe funktioniert wieder...
ABER: da sind 4 dll's im Ordner C:\Program Files (x86)\SpeedBit Video Accelerator übrig geblieben, die scheinbar auch weiter benutzt werden... wenn ich die umbenne, scheinen TCP-Sockets zu fehlen... (Meldung eines Programmes: no TCP/IP socket or service), Firefox und IE 9 sagen dann garnichts.

ABER: der Windows-Explorer kann via VPN auf ein entferntes Netzlaufwerk zugreifen...
Das heisst, daß die Netzverbindung ansich steht, aber Browser oder Mailprogramme irgendwie nicht rauskommen.

Dafür habe ich auch gerade eine Lösung gefunden:

die cmd.exe als Administrator ausführen, und dort dann folgendes eingeben:
netsh winsock reset

Scheint wieder alles gut zu sein...

Vielen Dank für alle Tips !!!

Darklord666

Speedbit ist ansich keine Malware aber du hast möglicherweise bei der Installation nicht alle Häkchen entfernt und dir Adware installiert. :? Da sich Speedbit in den Browser integriert könnte es etwas schwieriger sein, dass Tool komplett zu entfernen. Ich würde den Ordner mit den 4 dll's sichern und dann die Dll's löschen. Vorher offline gehen und Firewall und evtl. auch Virenscanner deaktivieren oder so konfigurieren, dass sich die Dateien löschen lassen. Wenn das nicht geht, weil aktiver Prozess, über Taskmanager oder mit cports Prozess killen versuchen. Zur Not im abgesicherten Modus das ganze nochmal versuchen. Evtl. musst du danach den FF neu installieren.

Bernd.

-----

Darklord666

Zitat von Bernd.

Die kryptischen Ordner sind immer verdächtig. Es gibt wohl Stimmen, die diese Windows Live Applikationen zuordnen, allerdings kann ich das bislang nicht bestätigen oder auch nachvollziehen - WL hat bei mir noch keine solche Ordner angelegt. Löschen soll möglich sein - wenn ähnliche ohne WL wieder erstellt werden, dann wäre der Fall eindeutig.

Ah ja, jetzt verstehe ich was du meinst .

Zitat von Bernd.

ComSysApp ist korrekt, ansonsten scheint nur Symantec diese Datei auch noch als Dienst zu vergewaltigen (was meine negative Erfahrung mit diesem Hersteller jedesmal bestätigt). Die dllhost.exe wird zwar genutzt, aber eben nur von Windows als Dienst. Ich hatte dazu auch einen Link hinterlassen.

Ja, Norton neigt dazu sich tief ins System einzugraben und das kann sich störend und lästig auf den laufenden Betrieb auswirken. Habe vor x-Jahren mal Norton Crash Guard gehabt. Anfangs fand ich's gut, später einfach nur sch...lecht. :roll:

Cruiser57

Zitat von Bernd.

Was den persönlichen Eindruck angeht, steht der hier nicht wirklich zur Diskussion, sorry.
Ach ja, Informationen werden von Thomas recht einseitig gegeben:
http://forums.mozillazine.org/viewtopic.php?f=38&t=2509499
MfG

Was möchte der Author uns damit sagen ?