ich hab mir eine lässtige spyware in firefox eingefangen, so alle 5min. wird
A.: firefox gestartet und eine unterschiedliche site, meistens ohne inhalt angezeigt
oder
B.:wenn firefox schon läuft wird ein neuer tab geöffnet, auch mit einer unterschiedlichen site ohne inhalt

zb. so schaut das dann aus(site wo auch mal was angezeigt wird)(alle sites haben dieses schachbrett favicon gemeinsam,)
http://img227.imageshack.us/img227/7105/sw2jb.jpg

nun meine frage:
a. wo sind die cookies&CO abgespeichert, wo sich dieser mist möglicherweise angesiedelt haben könnte?
b. wie kann ich firefox komplett deinstallieren??

PS: atm verwend ich opera, und hab die firefox.exe umbenannt, da dann firefox nicht mehr geöffnet werden kann(siehe 1. punkt A)
PPS: Spybot S&D und AntiVir haben nix gefunden

Immer diese Daus mit ihren Viren- und Spyware-Problemen...

Es gibt hier in diesem Unterforum einen Sticky wo recht gut beschrieben ist, wie man seinen Rechner absichert. Lies dir da mal durch und halte dich an die Anweisungen, dann kommt sowas auch nicht mehr vor.

Lass mich raten: Als Admin unterwegs?

den sticky hab ich schon vor nem monat gelesen. wie ich mein windoof halbwegs siche rmach weis ich aber auch so. allerdings hab ich mit dem ganzen zeugs keine so guten erfahrungen gemacht.
atm sind AntiVir und ZoneAlarm installiert und upgedatet. so ein DAU der einfach irgendwelche .exe ausführt bin ich auch nicht. frag mich eh wie diese spyware auf meinen pc gekommen ist

Ich glaube nicht das die Spyware was mit FF zu tun hat.
Lade dir mal Stinger (http://vil.nai.com/vil/stinger/) runter.
Auch die anderen Tools wie Spybot S&D, Ad-Aware und HijackThis aml laufen lassen.

'edit'
CWShredder (http://www.intermute.com/spysubtract/cwshredder_download.html) könnte auch nicht schaden.

Stinger hat nix gefunden
CWShredder hat auch nix gefunden


PS: Spybot S&D hat einige Cool Web Search dinger gefunden, aber es is noch immer da, alledings immer weniger häufig :|

Zuppel Dir mal Hijackthis und poste das Logfile in das Fensterchen bei hijackthis.de das sagt Dir ziemlich genau wo der Hase im Pfeffer liegt.

http://www.hijackthis.de/logfiles/e6e5685eca410541522275d43e2967fa.html
sagt Hijack This
nix böses dabei

PS: diese Trap, das unbekannte, is nur ein proggi, das anzeigt wie viel h der pc läuft

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\t08u0al9edq.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
Was sind das für Dateien?
Die erste sieht auf jedenfall nicht Vertrauenswürdig aus.

*WARNUNG*

..... TROLLPOSTING ;)
Mit IE7 Beta2 + Windows Defender wäre das nicht passiert

*WARNUNG ENDE*

so nun aber zurück zum thema. Also das Verhalten ist Spyware Typisch... jedoch.. keines der bekannten Tools zeigt etwas an?

Wie sieht es mit dem Windows Defender aus? (sorry wenn ich mir hier keine Freunde mache aber ich halte das Tool für TOP. Schon alleine weil man damit Rasks killen und in Quarantäne schicken kann.

erstere will nicht weg weil
wir bereits verwendet....
wie krieg ich die weg bzw. kann sie umbenennen??

€: diese spyware tritt immer beim standardbrowser auf, egal ob das Opera, FF oder IE ist

Mike1[/POST]']erstere will nicht weg weil
wir bereits verwendet....
wie krieg ich die weg bzw. kann sie umbenennen??

€: diese spyware tritt immer beim standardbrowser auf, egal ob das Opera, FF oder IE ist Im abgesicherten Modus entfernen und Systemwiederherstellung vorher deaktivieren.

Mike1[/POST]']€: diese spyware tritt immer beim standardbrowser auf, egal ob das Opera, FF oder IE ist
Und sicherheitshalber mal einen Blick in die Hosts-Datei werfen, die findet sich bei \WINNT\system32\drivers\etc.

# localhost: Needs to stay like this to work
127.0.0.1 localhost

Mehr sollte da nicht drinstehen, alles wo ein '#' am Anfang der Zeile ist, ist Kommentar und ohne Bedeutung.

C:\WINDOWS\system32\t08u0al9edq.dll
war plötzlich nicht mehr da
und die hosts datei is auch in ordnung.

ich will nicht schon wieder format c:!!! ;( :(

Diese Datei war wohl eine mit zufällig generiertem Dateinamen, kontrolliert von einer anderen Datei die sich irgendwo im System versteckt.

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
->Du könntest mal versuchen diese als möglicherweise unseriös genannte Datei mit HJT zu entfernen, sollte das System dann eien Zeit lang ohne Probleme laufen ist der Störenfried gefunden.

Bitte diese Datei mal bei Kapersky hochladen - mal sehen was deren Scanner dazu sagt: http://www.kaspersky.com/scanforvirus

is clean
€: ad-aware hat auch eine .dll mit anscheinend zufälligem namen gefunden. scheint als würde sich die bei jedem start neu benennen, darum schaffen spybot und ad-aware es auch nicht, sie nach nem neustart wegzubekommen
€²: die spyware tritt sogar im abgesicherten modus mit LAN treibern auf, atm scann ich grad im abg. modus mit ad-aware

http://www.firefox-browser.de/forum/viewtopic.php?t=28904
inst. TXT Datei ersetzen und feddisch.

wleche txt datei soll ich erstetzen???
€: ich habs satt, das sys. ist jetzt, 10tage nach dem letzten format c: schon wieder instabil ->format c: ruuulllzz, is eh alles gesichert macht mir nen aufwand von 3h
€²: so, es hat sich gelohnt, alles läuft jetzt so wie es soll. THX für eure mühen, aber schlussendlich war das dann die beste möglichkeit

Na irgendwoher muss die Spyware doch kommen. Von alleine installiert sich da nix. Eingeladen haste die wohl doch selbst. Also per Mail oder klick auf eine Seite. Da würde ich nicht so schimpfen *g* Ausserdem gibt "format C:" wenigstens Routine beim neumachen *g*

Alex

das faszinierende war ja, das firefox irgendwas von infizierung und reparieren gefaselt hat, und ich idiot wollt einfach nur meinen post fertig posten und hab auf abrechen geklickt :(