Firefox schließt sich automatisch - neuinstallation hilft nicht

[Milchpulver]

Also seit heute morgen hab ich dieses Problem. Firefox schließt sich 2-3 Sekunden nach dem ich es gestartet habe.

Hab Hijack durchlaufen lassen.

Folgendes kam bei raus.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:28:44, on 04.09.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Program Files\Electronic Arts\EADM\EACoreServer.exe
C:\Program Files\Electronic Arts\EADM\EADownloadManager\EADownloadManager.exe
C:\Users\Lars\AppData\Local\Google\Update\1.2.183.29\GoogleCrashHandler.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Java\jre6\bin\jp2launcher.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\Users\Lars\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lars\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\taskmgr.exe
C:\Users\Lars\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Lars\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Users\Lars\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [DelTempFiles] WScript.exe C:\Windows\Deltemp.vbs
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA1875] command.com /c del "C:\Windows\System32\sshnas21.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3071] cmd.exe /c del "C:\Windows\System32\sshnas21.dll_old"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\Users\Lars\AppData\Local\Temp\Fbr.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9250] command.com /c del "C:\Windows\System32\sshnas21.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5593] cmd.exe /c del "C:\Windows\System32\sshnas21.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files\ICQ7.1\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7162 bytes

Weiß jemand wo der Fehler ist ?

 

[RoMa]

Weiß jemand wo der Fehler ist ?

Der Fehler ist die multiple verseuchte Kiste, auf der du versuchst Firefox wieder zum laufen zu bringen. Sogar das vollkommen ungeeignete HJT zeigt schon etwas an:

O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\Users\Lars\AppData\Local\Temp\Fbr.exe

Der übliche Fakealert-Kram. Mein Tipp: Mach den Rechner platt, installiere Windows neu und ändere dann alle Passwörter. Das ist grundsätzlich der schnellste und sauberste Weg. Alternativ kannst du auch 3 Tage lang das System mit diversen Tools auseinander nehmen (lassen), um den Mist zu identifizieren, der für das Fakealert-Zeug verantwortlich ist. Letzteres ist nämlich höchstens die Spitze des Eisberges.

 

[Milchpulver]

Ist der so voll?? Also ich lass jeden tag meine Virenprogramme durchlaufen. Ich mach alles damit mir sowas nicht ins haus kommt -.-

hätte ich jetzt nicht gedacht.

 

[RoMa]

Anti-Virenprogramme garantieren höchstens, dass man stets nur die aktuellsten Schädlinge auf seinem System hat - mehr nicht.
Inwieweit dein Rechner ansonsten vernünftig abgesichert ist, kann ich auf der Ferne nicht beurteilen. IdR. wird das oben Genannte aber selbst installiert, eventuell solltest du da in Zukunft ansetzen. Du schreibst ja "seit heute morgen", da wäre es interessant zu wissen was zu diesem Zeitpunkt geschah.

 

[TomApel]

Moin

Hast du wenigstens 1 bootmark gesetzt ??
Ohne schliesst er sich sofort wieder.

mfg
Tom Apel

 

[Milchpulver]

er schließt sich sofort wieder. Maximal 2-3 sek. Seh nur die Startseite ebend und dann schließt der.

Naja eigentlich ist nix passiert. Ich wollte auf meine Seiten (Meinvz/India/Bild)

Dann 2 sek später passierte es.

Seitdem geht nix mehr.

Naja werde morgen vista neu drauf machen. Hab meine Sachen die wichtig sind verschoben auf externe festplatten.

Naja.. Danke trotzdem @all

 

[Unix]

Versuch mal ein neues Profil bei Firefox einzurichten, das bleibt nämlich bei Neuinstallieren von Firefox erhalten und wenn es sich iwie zerschossen hat, bleibt das Problem auch bei einer Neuinstallation bestehen.

Wie das geht, steht hier gut beschrieben: http://www.firefox-browser.de/wiki/Neues_Profil


Und die Sachen die HijackThis da ausspuckt, sind soweit ich das überblicke eher unbedenklich (Ohne Garantie natürlich ).

 

[RoMa]

Und die Sachen die HijackThis da ausspuckt, sind soweit ich das überblicke eher unbedenklich.

Das ist leider nicht richtig. Es handelt sich um eine neue Variante davon: http://www.threatexpert.com/report.aspx?md5=cebd4a20e77e9c2525b843bc3b87dac5

@Milchpulver
- War die UAC aktiv?
- Hast du irgendwo ein angeblich fehlendes Plugin heruntergeladen und installiert?
- Wobei es auch nicht zwingend zu dem von dir genannten Zeitpunkt zur Erstinfektion gekommen sein muss. Downloader wie Renos sorgen eben für andauernde Schädlings-Vielfalt.

 

[Milchpulver]

- War die UAC aktiv? (was das ?)
- Hast du irgendwo ein angeblich fehlendes Plugin heruntergeladen und installiert? (Ne)
- Wobei es auch nicht zwingend zu dem von dir genannten Zeitpunkt zur Erstinfektion gekommen sein muss. Downloader wie Renos sorgen eben für andauernde Schädlings-Vielfalt.

Also ich hab nix in letzter zeit installiert außer die geplanten Updates von Vista.

 

[RoMa]

UAC=Benutzerkontensteuerung
Das mit Abstand wichtigste und beste Sicherheits-Feature von Microsoft in den letzten Jahren.

Edit: Gut, so ohne weiteres Nachbohren in Form von Logfiles lässt sich das ("wann kam es zur Infektion?") nur schwer sagen. Es wäre nur eine Sache für die Zukunft, um so etwas zu vermeiden.

 

[Milchpulver]

ok danke. Ja war aktiv. ich leg eigentlich sehr viel auf sicherheit. Hmm.. Naja dann noch mehr aufpassen.

Was wäre denn das beste ???

Also was am sichersten ist?

 

[RoMa]

Das Beste hinsichtlich Sicherheit? Es gibt kein 100%-Patentrezept aber man sollte wenigstens versuchen, möglichst wenig Angriffsfläche zu bieten. Die Schädlinge, die auf den Otto-Normalverbraucher wie du und ich abziehlen, sind quasi alles Stangenware. Dagegen gibt es Möglichkeiten und mit etwas Disziplin und Überlegung ist das eigentlich kein Problem.

- Konsequent als Benutzer arbeiten bzw. die UAC nicht abschalten. Letzteres liest man leider als "Tipp" sehr häufig, was grober Unfug ist.
- Programme und Plugins aktuell halten. Momentan und einige Zeit schon eine der häufigsten Infektionsursachen. Dabei hilft z.B. http://secunia.com/vulnerability_scanning/personal/
- Filesharing ist der zweite große Umschlagplatz für Malware. Generell meiden. Das geht zu früher oder später ganz sicher in die Hose.
- Starke, komplexe Passwörter verwenden: http://www.kuno-kohn.de/crypto/passw.htm
- Onlinescanner wie
http://scanner2.novirusthanks.org/
http://www.virustotal.com/
http://virscan.org/
nutzen. Ist natürlich auch keine Garantie, aber allemal besser als nur eine Meinung des lokal installierten Scanners.
- Stichwort Virenscanner. Hier gibt es zwei große Probleme:
1.) Fehlalarme, d.h. man darf auf gar keinen Fall seinem Scanner blind glauben und alles löschen lassen. Das endet irgendwann in einem kaputten System. Vorher sollte man die o.g. Online-Dienste befragen und weitere Meinungen einholen und dann seine Schlüsse ziehen.
2.) Brandneue Schädlinge werden nicht oder fast nicht erkannt. Es vergehen manchmal einige Tage oder gar Wochen bis eine durch die Bank gute Erkennung gewährleistet ist. Man sehe sich das hier an: http://www.virustotal.com/stats.html (Detection ratio distribution).
- Im Zweifelsfall kann man Dateien auch sandboxen lassen, wobei man in der Lage sein muss, die Ergebnisse zu interpretieren.
http://anubis.iseclab.org/
http://www.threatexpert.com/submit.aspx
Auch das ist allerdings kein Persilschein, denn einige Schädlinge (z.B. Bredolab) suchen explizit nach einer solchen Sandbox-Umgebung und stellen sich für diesen Fall tot. Das Ergebnis wird somit verfälscht bzw. zeigt halt eben nichts verdächtiges an.
- Man habe ein Image, sodass man im Fall der Fälle sein System schnell wieder in einen sauberen Zustand versetzen kann. Das fehlt bei dir offensichtlich. Tipp: Ab Vista Business und jeder Window7-Version ist das bereits an Bord. Ansonsten muss man externe Lösungen wie z.B. TrueImage zukaufen.
- Für heikle Sachen wie Online-Banking/Einkäufe überlege man sich folgendes: http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html