Trojaner als Firefox!

Hab ein Problem. Im Task-Manager ist ein Prozess mit dem Namen Firefox.exe und 3mb groß. Nicht der Browser Firefox.

Hierbei handelt es sich um einen Trojaner. Soweit bin ich gekommen. Er versucht eine Verbindung an "rundll32.no-ip.info" aufzubauen. Hierbei wird erst recht deutlich, dass es sich um einen Trojaner handelt.

Die Verbindung wird natürlich von meiner Firewall aufgehalten. Nur ist mein Rechner oft lahm, stürzt an etc.

Msconfig hab ich "fast" leer gemacht. Hijack auch. Anti-Vir zeigt nix.

Und wie krieg ich denn jetzt das weg? Weiß das zufällig jemand?

In Google hab ich auch ein paar Meldungen hierzu gefunden in Security-Seiten. Aber keine Lösung bis jetzt.

Währe dankbar für eine Lösung, fange immer mehr an Windows zu zweifeln " LINUX "

 

Hallo,
poste mal den Link zu deinem HijackThis Log wie hier beschrieben.

Windows kann da nichts für, Schuld ist zu 99% die Nase vor dem Bildschirm.


Grüße Jasager

 

Du könntest mit der W2K/XP-CD booten und in der Wiederherstellungskonsole den Prozess deaktivieren.
Danach kann man die Registry säubern.
Vermutlich hat sich das Teil unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services eingetragen.

 

Und wieso passiert das bei Linux so selten??
Da hat man nicht so oft BlueScreen usw.



Hier mein HijackThis! .. zu sehen, 2 mal Firefox ..

 

Du hast dir einen Schädling runtergeladen und installiert. Was kann bitte das OS dafür? Wenn du einen für Linux/BeoS, oder gott weiß was für ein System runterlädst und installierst hast du genau die gleichen Probleme. Die Auswahl bei Windows ist einfach größer und die User unvorsichtiger.
Und bei WinXP hat der Bluesceen schon Seltenheitswert. Da muss dann tatsächlich was aus dem Ruder laufen.

Man sieht zwar zweimal Firefox aber beide sind im original Ordner. Woher weißt du denn, dass es ein Schädling ist? Die Verbindung auf rundll32.no-ip.info könnte einfach die eingestellte Startseite sein.

 

Nein nein.. Ist auf jeden Fall ein Trojaner. Weißt du zufällig was NO-IP ist? Da meldet man sich an, um immer die gleiche ip zu haben, sprich "RUNDLL32.no-ip.info". Das ist dann die, wo sich mein Pc auch immer hin verbindet.

netstat -n zeigt mir auch die Verbindung und IP von dem.

Momentan: 87.4.167.26 und läuft unter Port 8010, wechselt aber ständig. Verbindung ist Hergestellt.

Hier noch von netstat ohne n:

host26-167-dynamic.4-87-r.retail.telecomitalia.it

Also hört sich an, als sei er aus Italien.

Der weiterem hab ich heraußgefunden, dass wenn ich z.B. ein anderen Browser als Standart stelle, wie jetzt IExplorer, versteckt sich nun der Trojaner unter IEXPLORER.exe. Das heißt, immer in den Standart browser. Schlau gemacht, da wenn ich die Verbindung per Firewall nicht zulasse, ich auch nicht ins Internet komme. Aber ich hab ja noch Opera.

Hab auch grad mein Windows mit der BOOT-CD repariert. Aber nicht formatiert. Würde zu lange dauern, alles auf CD etc.

 

@Albanos: Poste bitte mal den Link zu Auswertung eines vollständigen HijackThis-Logs.

Edit:
> H:\Programme\Trojan Remover\Trjscan.exe

Hach, was haben wir denn da? Ist das absichtlich installiert?

 

Ja , trojanremover ist absichtlich. Ist zum entfernen von Trojanern. Hat aber nix gebracht

Ich verstehe nicht richtig was du mit dem Hijack Post meinst zur Auswertung.

 

http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Stickys sind zum Lesen da,

 

HijackThis zeigt nix besonderes..

 

Was hindert Dich daran, den Link zu posten?

 

Er verrät ja auch nicht woher er wissen will dass das ein Trojaner ist... Nachdem es ja kein Antivirus gefunden hat...Und das Ding mal so kurz den NAmen ändert wenn der StandardBrowser geändert wird...
Imho ist die zweite "FIREFOX.exe" eine ganz normale Programminstanz des Browsers. Weshalb, wenn die blockiert wird, auch keine weitere Instanz des gleichen Browsers mit dem Internet verbinden kann.

 

Ok, Lieber Chummer. Vielleicht weißt du nicht richtig was No-Ip.de ist. Welche die ein wenig Erfahrung mit Trojanern haben, müssten das wissen.

Kurz zu No-IP und Trojanern.
Ein Trojaner ist in dem Fall eine Datei, die verteilt wird. Öffnet jemand die Datei, wird der Rechner damit infiziert und um zu wissen wo sich der Kerl befindet der den Trojaner erstellt hat wird dazu dann eine No-IP Adresse gebraucht. Wie ihr wisst bekommt ihr ja bei jedem Login oder alle paar Stunden eine neue IP. Die No-IP Adresse ist dann sozusagen eine feste IP. Mit der ist man immer erreichbar. Der Trojaner nimmt dann Verbindung zu dieser NO-IP Adresse auf.
No-Ip adressen können lauten:
MÜLLER.NO-IP.DE
HANSI.NO-IP.ORG
etc.


2. Grund:

Meine Firewall zeigt doch andauernt an, dass diese Firefox.exe oder nun IExplorer.exe eine Verbindung zu dieser eben genannten IP machen will (Oder auch anders gesagt, zu rundll32.no-ip.info"

3. Grund:
Mein Pc stürzt ab und zu mal ab. Läuft nicht richtig. Langsamer etc.

Hier HijackThis nochmal:
http://www.hijackthis.de/logfiles/5d49d8a90e24504727bba7f56b3512fc.html

 

Also wir alle wissen, was ein Trojaner ist.

Aber das Hijack-Log sieht IMO immer noch nicht vollständig aus. Aber da steht wenigstens drin, dass Deine Winsock LSP nicht in Ordnung ist. Weitere Infos hier:

- http://virus-protect.org/lspfix.html
- http://www.cexx.org/lspfix.htm

 

Albanos arbeitet mit Fritz!DSL Protect. Hat schon mal jemand untersucht, ob diese Firewall mit der WinXP-eigenen problemlos zusammenarbeitet? Eventuell verschwindet ja das Problem, wenn man eine der beiden Firewalls deaktiviert.

 

Ob das nach fast 2 Jahren noch jemanden interessiert?

 

Vielleicht jemanden, der wie gerade eben ich nach AVM IGD Ctrl Service googelt? Aber im Prinzip hast du recht. Ich hatte das Datum im Eifer des Gefechts übersehen.

 

Lang ist´s her. Da gab es auch noch Jasager. Vielleicht liest er das und guckt nochmal hier vorbei.
Auf jeden Fall die besten Grüße.