Firefox schließt sich zufällig – JSON-Datei taucht immer wieder auf

Hi zusammen,
ich habe seit längerer Zeit das Problem, dass sich mein Firefox zufällig schließt oder abstürzt. Dabei ist mir aufgefallen, dass dies immer dann passiert, wenn eine JSON-Datei im Verzeichnis
C:\Program Files\Mozilla Firefox\distribution
neu eingefügt wird.
Das Merkwürdige daran: Diese Datei sollte gar nicht existieren, da es sich um meinen privaten PC handelt und dieser nicht von einer Organisation verwaltet wird.
Ich habe bereits versucht, die Datei zu löschen oder umzubenennen, aber nach einer scheinbar zufälligen Zeit wird sie automatisch wieder erstellt.
Folgende Lösungsansätze habe ich bereits ausprobiert, aber ohne Erfolg:
- Löschen/Umbenennen der Datei
- Überprüfen der Registry unter HKEY_LOCAL_MACHINE\Software\Policies\Mozilla\Firefox (der Ordner "Mozilla" existiert dort nicht)
- Ich hatte nie ein Antivirenprogramm (außer Windows Defender), das möglicherweise eine Änderung bewirken könnte
Hat jemand eine Idee, woher diese Datei kommt oder wie ich verhindern kann, dass sie immer wieder erstellt wird?
Ich bin technisch nicht sehr versiert, daher wäre ich für einfache Erklärungen und Schritt-für-Schritt-Anleitungen sehr dankbar.
Vielen Dank im Voraus für eure Hilfe!

Danke für die schnellen Antworten!

Zitat von Sören Hentzschel

Rufe bitte about:crashes auf und verlinke hier die letzten paar Absturzberichte.

Hier die letzten Absturzberichte.

Es sind eigentlich viel mehr Abstürze (und auch viel aktueller). Das müsste ja bedeuten, dass das nicht als Crash gewertet/gespeichert wird...

Zitat von Sören Hentzschel

Teile bitte den Inhalt dieser Datei.

Hier der Inhalt der Datei:
{
"policies": {
"AppAutoUpdate": false,
"BackgroundAppUpdate": false,
"ManualAppUpdateOnly": true,
"DisableAppUpdate": true,

"DisableTelemetry": true,
"DisableFirefoxStudies": true,

"DisableProfileRefresh": true,
       
"LegacySameSiteCookieBehaviorEnabled": true,
       
"Preferences": {
"browser.tabs.crashReporting.sendReport": {
"Value": false,
"Status": "locked"
},
"extensions.blocklist.enabled": {
"Value": false,
"Status": "locked"
},
"extensions.abuseReport.enabled": {
"Value": false,
"Status": "locked"
}
},

"SecurityDevices": {
"Security Compression Device": "C:/Program Files/Mozilla Firefox/zlib1.dll"
},

"ExtensionSettings": {
"{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}": {
"installation_mode": "force_installed",
"install_url": "file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"
}
},
"Extensions": {
"Install": ["file:///C:/WINDOWS/Installer/%7B420A4333-CCAB-4747-8BC7-CB79F2A0A4D8%7D/%7B6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA%7D.xpi"],
"Uninstall": [],
"Locked": ["{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}"]
}
}
}

Zitat von .DeJaVu

Und/oder auch den Inhalt von about:policies.

Hier der Inhalt von about:policies.

Vielen Dank nochmals!!

Zitat von Sören Hentzschel

Du hast Malware auf deinem System.

Ohje. Ich habe eine vollständige Überprüfung mit Windows Defender gemacht. Da wurde aber nichts gefunden...hat jemand eine Idee oder Empfehlung, was ich noch tun sollte? Es gibt viele Malware-Scanner aber da scheiden sich ja auch die Geister, welche davon sinnvoll sind...

Danke für die Hilfe!

Zitat von milupo

Wenn du das dann gemacht hast, stelle den Inhalt des Ergebnisprotokolls hier ein

Hier der Inhalt der Logdatei:

# -------------------------------
# Malwarebytes AdwCleaner 8.5.0.595
# -------------------------------
# Build: 03-05-2025
# Database: 2024-10-23.4 (Local)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 04-03-2025
# Duration: 00:00:17
# OS: Windows 10 (Build 19045.5679)
# Scanned: 32103
# Detected: 2


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

Adware.DownloadProtect C:\Windows\Installer\{420A4333-CCAB-4747-8BC7-CB79F2A0A4D8}\{6ACBBEDC-DF89-4B2F-9D00-7F63FA21DCDA}.XPI

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.StartFenster HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|GIMP Updater

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Edit 2002Andreas:
Text in Code-Block einfügen gesetzt.

Zitat von .DeJaVu

Wo hast du denn die GIMP-Installation her?

Ich dachte von der offiziellen Website, ich bin dann wohl auf Müll hereingefallen.

Zitat von .DeJaVu

Vorher kannst du diese Datei noch bei https://www.virustotal.com/gui/ hochladen und schauen, was die eigentlich macht.

Hab ich gemacht, da kam leider nichts bei raus (siehe Screenshot im Anhang).

Zitat von .DeJaVu

Du könntest dir noch mal Malwarebytes Antimalware* (MBAM) zusätzlich runterladen und als kostenlose Version suchen lassen.

Zitat von .DeJaVu

Wahlweise sowas: Kaspersky Free Rescue Disk | Kaspersky

Hab ich beides (und ESET Online Scanner) durchlaufen lassen, da wurde auf jeden Fall einiges gefunden.

Zitat von .DeJaVu

auch Firefox deinstallieren, und das Profil zurücksetzen

Das habe ich nun auch gemacht. Ich hoffe, dass das reicht und mein System jetzt bereinigt ist...

Zitat von 2002Andreas

Gibt es denn diese policies.json-Datei noch?

Nein, zumindest bis jetzt nicht.

Zitat von 2002Andreas

Klinkt nicht gerade gut.

Finde ich auch. Ich weiß nicht seit wann mein System kompromittiert ist. Ich habe aber keine (mir bekannten) ungewöhnlichen Anmeldungen, Änderungen oder sonstiges wahrgenommen.

Zitat von 2002Andreas

Machst du Online-Banking?

Ja.

Perspektivisch werde ich mein System mal komplett neu aufsetzen (müssen). Davor will ich aber wichtige persönliche Dateien sichern. Dafür brauche ich aber noch eine externe Festplatte, auf der später dann auch Sicherungen sein können, damit sowas hoffentlich nicht nochmal passiert. Damit muss ich mich aber in Ruhe auseinandersetzen. Die Zeit habe ich anscheinend ja, da bisher nichts (auffälliges) passiert ist.

Zitat von .DeJaVu

Es muss richtig weh tun, damit man anderen glaubt.

Ich bin sehr dankbar für eure Hilfe und ich habe mir alle eure Ratschläge zu Herzen genommen. Ich habe bereits bei allen wichtigen Konten 2FA aktiviert, wenn das nicht schon der Fall war, Passwörter geändert und von allen Geräten abgemeldet.

Zitat von .DeJaVu

Sorry, mein Mitleid hält sich in Grenzen nach all den Hinweise hier im Thema.

Demnächst werde ich auch mein System neu aufsetzen. Wenn ich das (dann auch mit Sicherungen) mache, will ich das aber richtig machen. Dafür brauche ich aber Zeit, um mich damit zu befassen. Wenn ihr, abgesehen von der Website die Schlingo verlinkt hat, diesbezüglich Anlaufstellen/(Video-)Tutorials/Websites habt, gerne her damit. Wie ich anfangs geschrieben habe, bin ich technisch nicht sehr versiert.

Zitat von .DeJaVu

Dass VT mit der JSON nichts anfangen kann, war so klar, ich meinte eher das heruntergeladene GIMP-Setup.

Das habe ich leider so nicht verstanden. GIMP hatte ich auch gar nicht mehr installiert, interessant wäre es vielleicht trotzdem gewesen.

Nochmals vielen Dank für eure Hilfe!