ComputerBase Menü
Aktuelles

Firefoxprozess ruft fremde IP auf

T

toffkriss

Newbie
Registriert
Apr. 2008
Beiträge
5
Hallo Leute,

ich hab ein recht merkwürdiges Problem.
Vor einigen Tage ist mir aufgefallen, dass ich einen Firefoxprozess laufen habe, der, sooft ich ihn auch kille, immer wieder gestartet wird. Wenn ich Firefox normal starte, so wird ein zweiter Prozess aufgemacht, der dann auch dargestellt wird und alles. Ich habe daraufhin Avast und Spybot S&D durchlaufen lassen, ohne etwas zu finden. Eine daraufhin installierte Firewall (COMODO) zeigte mir immerhin an, dass dieser Prozess über Port 443 die IP 87.96.214.156 aufruft und das der Prozess von explorer.exe gestartet wird. Diese IP ließ sich dann auf "changeme99.ath.cx" zurückführen (sieht nach dyndns aus, die IP konnte ich in schweden lokalisieren). Unter Zuhilfenahme des Sniffers Wireshark versuchte ich, herauszufinden, was an Daten zu dieser Adresse geschaufelt wird, aber es war kein ASCII-Klartext. Ich habe dann herausgefunden, dass eben jender Firefoxprozess mit den Parametern -requestPending -osint -url "%1" gestartet wird, was irgendwie die standard-Parameter sind (zumindest find ich die in registry wieder, bei den Dateitypverknüfpungen für html usw.).
HiJackThs gibt mir folgendes aus:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\CTHELPER.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Samurize\Client.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\7-Zip\7zFM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\Notepad++\notepad++.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [RemoteControl8] C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programme\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL C:\WINDOWS\system32\guard32.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

Ich bin mit meinem Latein am Ende. Habt ihr Vielleicht ne Idee, was ich machen könnte?
 
Hab ich schon gemacht, hat auch nich weitergeholfen, waren alles Prozesse, die ihre Daseinsberechtigung hatten.
 
wenn da welche mit einem Fragezeichen waren solltest du diese fixen wenn nicht ... KA
 
Kannst es dir ja einfach machen und die oder den Port sperren und sehen ob firefox mosert.
Oder mal deinstallieren.
Könnte aber auch einer der vielen Plug-Ins sein die es für den Firefox gibt
 
Habe bei Google changeme99 eingegeben und bin letztlich auf die Seite mit Infos zu deinem Trojaner gestoßen:

http://www.threatexpert.com/report.aspx?uid=1981dc2c-4b59-42d3-b1fe-679b9bee4cb3
(sollte der direkte Link nicht gehen und man bei einer Sucheingabe landen, dort 'changeme99' eingeben und man landet bei einem Trojan Banker)

Trojan.Banker steals information such as bank accounts, usernames, passwords and credit card details from your computer and sends it to the attacker.

Dein Problem sollte demnach die Datei sein:
%System%\intel.exe 11.776 bytes

Aber merkwürdig, dass kein Virenscanner Alarm schlägt.
 
Danke, dass ihr versucht mir zu helfen.

@MoeAFJ12
Keine Fragezeichen weit und breit

@Oiski Poiski
Ich hab die IP geblockt, kommt keine Rückmeldung.
Was machen die denn, wenn ich denen ne Mail schicke? Helfen die mir? Ich mein, das klingt irgendwie zu schön um wahr zu sein (hab keinen Supportpaket oder sowas).

@CPat
Die Seite hab ich auch schon gefunden, aber alle Infos treffen nicht auf mein System zu. Keine der aufgeführten exe-Dateien konnte ich finden.


Ich mein, es läuft ja nicht mal ein Prozess, der irgendwie verdächtig ist. Ich hab auch bei "Geplante Tasks" geguckt, ob da vielleicht n Job immer wieder ausgeführt wird, fehlanzeige.

Ich hatte gestern mal kurz n Konsolenprogramm geschrieben, dass mit die Übergabeparameter ausgibt und dann auf ne Eingabe wartet (damit ichs noch lesen kann und es nicht gleich wieder weg is), wenn es aufgerufen wird, es in firefox.exe umbenannt und in den Firefox-Ordner getan. Wurde auch aufgerufen und zeigte mir oben genannte Parameter an. Aber interessanterweise wurde es immer wieder aufgerufen, sodass eine Konsole nach der anderen aufpoppte.

Ich werd jetzt mal mitm abgesichterten Modus rumprobieren, Firefox deinstallieren usw.
 
Das ist merkwürdig. Die Beschreibung trifft genau auf dein Problem zu. Gleiche IP, gleicher Port.
Hast du auch bei den Registry-Keys geschaut, ob dort vielleicht eine andere Datei eingetragen ist, statt der intel.exe?
 
Ich hab meinen Rechner mal im Abgesicherten Modus gestartet und nach und nach alle Programme, die HiJackThis aufgelistet hat, gestartet, um zu sehen, ob dabei vielleicht das Problem plötzlich wieder auftritt (also die Komplette Autostart, alle im Registryschlüssel "Run" aufgeführten Programme und die Dienste). Aussichtslos, nix passierte.
Ich frag mich wirklich, was bei Windows denn noch so im Hintergrund läuft, was aber nicht an diesen Klassischen Stellen aufgeführt wird.
Der Witz ist, dass wenn ich den Firefox-Ordne rumbenenne, dann passiert nix mehr. Sobald ich ihn aber wieder seinen ursprünglichen Namen gebe, ZACK, is da wieder der unerklärliche Prozess. Was mich auch wundert, ist dass Firefox um die 13 Threads hat, der uminöse Firefoxprozess jedoch nur zwei.
 
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
Hast Du 2x Firefox auf dem Rechner?
 
Nee, is ein und der selbe Pfad, nur einmal in alter "DOS-Notation" (Ordnername durfte damals aus nicht mehr als acht Zeichen bestehen) und einmal standard.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Megapixel
Google-Kontoverwaltung, fremde IP-Adresse
Antworten
17
Aufrufe
3.859
snaxilian
S
dB-Freak
Fremde IP im WLAN - Wie ist das möglich?
2
Antworten
20
Aufrufe
13.156
weihberg
weihberg
scratch
Firefox mit Malware belastet? Scans ergebnislos
Antworten
16
Aufrufe
2.421
Markus78
M
El_Ko
Windows freezt dauernd
Antworten
16
Aufrufe
2.231
El_Ko
El_Ko
S
Google Chrome öffnet falsche Seiten
Antworten
5
Aufrufe
6.568
Pitam
Pitam
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz