Firefox update - Virus ?

#0
28.03.2007, 12:04
...neu hier

Beiträge: 8
#1 Hallo allerseits
Habe vor ein Paar Tagen Firefox 2.002 geupdatet. Nach dem Neustart
von Firefox meldet ZoneAlarm einen Trojaner, der aber unter Quaratäne
gestellt wurde. Trojan-PSW.Win32.QQPass.vt
Heute nun gab es Firefox Update 2.003. Nach dem Update und Neustart
von Firefox - meldete ZoneAlarm wieder diesen gleichen Fehler.
Jedesmal nach einem Firefox Update.
Meine Frage nun: Wenn ZoneAlarm diesen Trojaner unter Quarantäne stellt,
ist mein Rechner dann "NICHT" infiziert ? - Bin leider noch nicht so fit
mit dem Umgang von ZA.
Ist Euch irgendwas bekannt, dass man/frau sich beim Firefox Update
diesen Trojaner einfangen kann ?
Danke wieder einmal - und Gruss - seb-soft
__________
XPPro - Firefox 2.0 - ZA - Spybot SD -
Seitenanfang Seitenende
28.03.2007, 17:32
Member
Avatar Chris4You

Beiträge: 694
#2 Hallo,

das wäre mir neu, vielleicht eine Falschmeldung,
lass das gemeldete File bitte hier prüfen (ggf. packen):

Zitat

[b]virustotal[/]
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
um sicher zu gehen, bitte das hier abarbeiten:

Zitat

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)
chris
Seitenanfang Seitenende
29.03.2007, 11:50
...neu hier

Themenstarter

Beiträge: 8
#3 Hi, Danke
Ist nicht so einfach, ich weiß nicht, wo FireFox das update abgelegt hat.
Das geht alles automatisch. FireFox meldet nur : "Firefox wird beim nächsten
Start aktualisiert".

Hier ist mal mein HiJack-Log

Logfile of HijackThis v1.99.1
Scan saved at 11:52:05, on 29.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\xgitray.exe
C:\WINDOWS\system32\xgihook.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Neu-Install-XP\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.1/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.java.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [XGI Tray] C:\WINDOWS\system32\xgitray.exe
O4 - HKLM\..\Run: [XGI Windows KeyHook] C:\WINDOWS\system32\xgihook.exe
O4 - HKLM\..\Run: [AGPDrvDt] E:\Programme\XGI Reactor V1.06.51\Utility\AGPDrvDt.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCLEPCI] E:\PROGRA~1\PINNAC~1\PPE\PPE.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageServer\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Verknüpfung mit Urlaub.exe.lnk = F:\Neu-Install-XP\VB-Projekte\Urlaub\Urlaub.exe
O8 - Extra context menu item: Alles mit FlashGet laden - E:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{95F42D61-0E9F-46C5-B152-5D1233AD233A}: NameServer = 192.168.2.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AshampooDefragService - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




Grus seb-soft
__________
XPPro - Firefox 2.0 - ZA - Spybot SD -
Dieser Beitrag wurde am 29.03.2007 um 11:53 Uhr von seb-soft editiert.
Seitenanfang Seitenende
29.03.2007, 14:17
Member
Avatar Chris4You

Beiträge: 694
#4 Hallo,

nix gefunden, wenn Du willst kannst Du folgende (unwirksame) Einträge von Hijackthis fixen lassen:

Zitat

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe (file missing)
Ablage von Update unter \Dokumente Einstellungen\%user%\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Mozilla Firefox\update
da dort aber aufgeräumt wird, eher die Pugins prüfen lassen:\Dokumente Einstellungen\%user%\Anwendungsdaten\Mozilla\Firefox\Profiles
Bye the way: Welche Extensions hast Du installiert?

Scanne noch mit
FSecure
http://support.f-secure.de/ger/home/ols.shtml
oder
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Denke aber es ist ein False/Positive, have a look at:
http://forums.zonealarm.com/zonelabs/board/message?board.id=Antivirus&message.id=19484

Gruß,
Chris
Dieser Beitrag wurde am 29.03.2007 um 14:25 Uhr von Chris4You editiert.
Seitenanfang Seitenende