firefox.exe verschwunden

petit

Hallo, wie in der Überschrift schon steht ist firefox.exe weg, firefox lässt sich also nicht mehr öffnen. Habe Firefox deistalliert und die neueste Version runtergeladen und installiert - alles wieder gut. Nach 2 Tagen das gleiche Problem: exe weg! Hoffe es kann jemand helfen.

Brummelchen

Bitte mehr über das System ausführen!
https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=66525
http://www.firefox-browser.de/wiki/Anleitung…Fragen_im_Forum

Auch nützlich für uns:
http://hijackthis.de/

Beim speziellem Verdacht dies hier:
http://www.malwarebytes.org/

Ich könnte mir zB vorstellen, dass dich entweder jemand ärgern will - oder
du auf deinem System ungebetene Gäste hast.

MaximaleEleganz

Klick [Blockierte Grafik: http://www.imagebanana.com/img/dq2md5e2/Gold.png].

petit

Danke für die Antwort. Mein System ist Windows XP. Die Suche hatte ich schon bemüht, wusste aber nicht, ob ich mich an einen Thread anhängen kann. http://hijackthis.de/ Leider bin ich totaler Laie und weiß nicht wo ich die Logfiles finde. Dieses malwarebytes hatte ich runtergeladen. (Eigentlich lade ich nie was runter!) Installation ging normal. Nach Doppelklick auf das Programm öffnet sich ganz kurz ein Bildschirm/Programm. Das war so schnell verschwunden, daß ich nichts lesen oder anklicken konnte. Kann man außer malwarebytes noch was tun? Danke vielmals.

Brummelchen

Zitat

Das war so schnell verschwunden, daß ich nichts lesen oder anklicken konnte.

Dann vermute ich ganz ganz stark, dass dein System kompromitiert wurde.
Das Norton noch läuft, dürfte an dessen Selbstschutz liegen.

Hijackthis - Download des Programmes oben rechts auf genannter Seite.
Installieren, starten - Logbuch wird automatisch angezeigt.
Sollte das auch direkt danach wieder weg sein, dann isses ganz egal,
was du noch machst. Dann kommst du um eine Neuinstallation nicht drum rum:

- alle (wichtigen) Daten sichern
- formatieren (Laufwerk C, wo Windows für gewöhnlich ist)*
- System (Windows) neu installieren (Windows-CD einlegen, booten, installieren)

*Formatieren geht von der Windows-Boot-CD - bei der Festlegung, wo Windows installiert
werden soll, lassen sich auch Partitionen löschen und formatieren

Falls HijackThis ein Logbuch anzeigen sollte, den Inhalt hier ins Thema kopieren!

boardraider

Zitat

Nach Doppelklick auf das Programm öffnet sich ganz kurz ein Bildschirm/Programm. Das war so schnell verschwunden, daß ich nichts lesen oder anklicken konnte.

Teste es im abgesicherten Modus (beachte Netzwerkunterstützung) deines Betriebssystems.

petit

Danke erstmal. Habe noch eine Frage zum Abgesicherten Modus und Windows Benutzerkonten, da ich keine Ahnung habe, ob das normal ist.
Habe Windows XP, Benutzerkonto 1 heißt K….. (so war es schon beim Kauf), Benutzerkonto 2 wurde von mir mit eingeschränkten Rechten angelegt, es heißt W…..
Malwarebytes lässt sich wie gesagt im Konto 1 nur kurz öffnen, bei Konto 2 geht es, soll ich es dort durchlaufen lassen?
Im abgesicherten Modus gibt es Benutzer Administrator und Benutzer K…., Benutzer W… ist dort nicht aufgeführt??
Danke und Gruss petit
Ach, noch was: Firefox lässt sich in der Systemsteuerung nicht deinstallieren.

boardraider

Zitat

soll ich es dort durchlaufen lassen?

Warum nicht? Wobei ich trotzdem den Versuch im abgesicherten Modus nahe lege.

Cosmo

Zitat von petit

Malwarebytes lässt sich wie gesagt im Konto 1 nur kurz öffnen, bei Konto 2 geht es, soll ich es dort durchlaufen lassen?
Im abgesicherten Modus gibt es Benutzer Administrator und Benutzer K…., Benutzer W… ist dort nicht aufgeführt??
Ach, noch was: Firefox lässt sich in der Systemsteuerung nicht deinstallieren.

Ich fang mal in der Mitte an:
Ja, das ist normal. Im abgesicherten Modus werden keine Konten mit eingeschränkten Rechten angezeigt, weil sie dort nicht verwendbar sind. Und das Konto Administrator ist ein vordefiniertes Konto, daß nur im abgesicherten Modus oder dann erscheint, wenn das benutzerdefinierte Konto (das kann wie bei dir auch vom Lieferanten bereits definiert worden sein) von Windows als defekt erkannt wird. Dieses Konto Administrator ist gewissermaßen ein Backup und sollte auschließlich(!) zu einem einzigen Zweck verwendet werden: Erstellen eines neuen Kontos mit Admin-Rechten, wenn das mit dem vorhanden benutzerdefinierten Konto nicht mehr möglich ist. Sollte das vordefinierte und letzte Konto mit Admin-Rechten nicht mehr funktionieren, gibt es zu einer vollständigen Neuinstallation keine Alternative mehr.

Zum ersten: Ich betrachte das als weniger sinnvoll, weil der eingeschränkte Benutzer in vielen Bereichen keine Schreibrechte und teilweise auch keine Leserechte hat. Ein Scan im eingeschränkten Konto ist deswegen nur von geringem Wert.

Besser ist es, ein neues Konto mit Admin-Rechten anzulegen und Malwarebytes dort zu starten.

Zum letzteren: In welchem Konto hattest du versucht, FF zu deinstallieren? Und was genau passierte weiter? Meldung, Reaktion? Auch hier gilt: Wenn es im vorhandenen K... Konto nicht funktioniert, verwende ein neu angelegtes Konto. Unbeschadet des Verdachts auf Schadware scheint das Konto K... defekt zu sein.

Nicht schlecht wäre es im übrigen, Malwarebytes gleich im abgesicherten Modus arbeiten zu lassen.

petit

Habe im Konto K... versucht FF zu deinstallieren. Klick auf Entfernen - es passierte gar nichts..

mbam-log von abgesichertem Modus:

Malwarebytes' Anti-Malware 1.44
Database version: 3510
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.11

11.03.2010 11:09:05
mbam-log-2010-03-11 (11-09-05).txt

Scan type: Quick Scan
Objects scanned: 117688
Time elapsed: 9 minute(s), 14 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Quarantined and deleted successfully.

boardraider

Also wurde eine Infektion erkannt, was nicht bedeuten muss, dass es die einzige ist. An einer Neuinstallation des Systems in Verbindung mit der Überarbeitung des Sicherheitskonzepts führt kein Weg vorbei.

Brummelchen

Zu diesem besagten Bank-Trojaner habe ich noch das hier gefunden:
http://www.trojaner-board.de/77460-firefox-…ergefahren.html

Es reicht nicht, das System neu aufzusetzen, du solltest auch dringenst Kontakt
mit deiner Bank aufnehmen und prüfen lassen, ob sich verdächtige Kontoaktivitäten getan haben!

boardraider

Der dort angesprochene Trojaner (wuasirvy.dll) steht allerdings nicht im Log-File oben.

Brummelchen

Wenn diese Datei schon anderweitig gelöscht wurde, dann nicht.
Aber der Key bleibt derselbe, daher gehe ich schon davon aus,
dass es sich um diesen oder eine Variante handelt.

boardraider

So oder so ist das System im Arsch und dein Hinweis bzgl. der Bank schadet selbstredend nicht.