leeres addon

  • Firefox-Version
    121.0.1 (64-Bit)
    Betriebssystem
    Windows 10

    Ich habe ein leeres Addon, ich weiß nicht was es macht, Es könnte mit ein paar anderen Problemen die ich momentan habe (zufällige crashes etwa ein mal pro Tag, weiterleiten auf google suche, anstatt dem Link zu folgen) zusammenhängen, vielleicht auch nicht. Reinstallieren von Firefox half nicht, und da ich die Fehler zeitlich nicht vorhersehen kann, kann ich es auch schwer im abgesicherten Modus testen. Ich kann das addon weder entfernen noch ausschalten, es hat keine Beschreibung oder sonst etwas. Die Erweiterungs ID lautet: {2ED24B7C-73F9-42A5-BB3B-AC9DA782F7F3}. Das manifest habe ich als txt angehängt.

    Zudem hat es sehr viele Berechtigungen. Ist es von Firefox? Wenn nein, wie werde ich es los? Und hat es etwas mit meinen anderen Problemen zu tun?

  • Ich habe ein leeres Addon

    Hallo und Willkommen hier im Forum:)

    Gib bitte oben in die Adressleiste das mal ein:

    about:debugging#/runtime/this-firefox

    Dann Enter.

    Dann bekommst du eine Aufstellung deiner installierten Erweiterungen.

    Ist sie dort mit der Erweiterungs - ID:

    {2ED24B7C-73F9-42A5-BB3B-AC9DA782F7F3}

    eingetragen?

    Ansonsten kann du auch in deinem Firefox Profilordner im Unterordner: Extensions nachsehen.

    Wenn sie dort eingetragen ist, dann bei geschlossenem Firefox löschen und danach überprüfen.

  • Nein, bitte vor dem löschen woanders hin kopieren und statt .xpi in .zip umbenennen und hier anhängen. Ich würde diese Erweiterung gerne mal genauer unter die Lupe nehmen.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • ffl.js, das könnte das hier sein, auch die Min-Version von Firefox mit v53 passt dann logischerweise:

    Trojan.Script.Agent.gen in Windows/Install...A0D8FE457).xpi//ffl.js

    PS. wenn es sich nicht im Profilordner befindet, könnte es auch eine Quelle für die anderen Probleme geben, nämlich eine Malware auf deinem System, dann wäre das System kompromittiert und nicht mehr vertrauenswürdig.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!

    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich. Das Netz wird dominiert von Goof:ienen:ies und Dullek:innen:s vom Dienst. Schlabokka!

  • Wenn man sich den Code dieser Erweiterung ansieht, muss man definitiv von Malware auf dem System ausgehen. Aber das war ehrlicherweise ja auch zu erwarten, wenn eine Erweiterung ohne sichtbaren Namen installiert war. So etwas macht nur eine Erweiterung, die ihren Zweck verbergen möchte.

    Siehe dazu auch hier:

    Analysing a latent malware infection on a recently MDE-onboarded machine (Part 2) – White Hat IT Security
    Recently, an interesting latent malware infection was found on a newly onboarded machine at one of our clients (Client). Microsoft Defender for Endpoint (MDE)…
    whitehat.eu

    Auch wenn da eine Erweiterung für Edge untersucht wurde: Auch dort geht es um eine Erweiterung ohne Namen, dafür mit vielen Berechtigungen, auch dort wird mit der exakt gleichen Domain kommuniziert, auch dort wird Google Analytics injiziert und auch die Versionsnummer der Erweiterung ist exakt gleich. Insofern gehe ich auch davon aus, dass alles andere, was der Artikel beschreibt, ebenfalls in der Firefox-Erweiterung passiert.

    Mit dem Entfernen der Erweiterung ist es demnach auch nicht getan. Denn die Malware, welche für diese Erweiterung verantwortlich ist, platziert nicht nur eine Erweiterung, sondern ersetzt auch eine DLL-Datei des Browsers und deaktiviert Browser-Updates. Siehe dazu auch Teil 1:

    Analysing a latent malware infection on a recently MDE-onboarded machine (Part 1) – White Hat IT Security
    Recently, an interesting latent malware infection was found on a newly onboarded machine at one of our clients (Client). Microsoft Defender for Endpoint (MDE)…
    whitehat.eu

    Das System ist definitiv infiziert.