Ergebnis v. Search & Destroy

#1 Hallo,

Zunächst einmal habe ich mit Serach & Destroy folgende Dateien entdeckt aber bin mir noch nicht sicher, ob es sinnvoll ist, sie "endgültig" zu löschen.

- Alexa Related \Win\Web\Related.HTM
- Acdelerartion \WIN\SYSTEM\sporder.dll

letztere Date ist gerade neulich erstellt worden, also Anfang diesen Monats und ich weiß im Moment nicht von wem und wofür.

Ich suche also nach dem Datum für alle erstellten Dateien und ich finde AVira AntiVir PersonalEdition Classic, das ich aber erst einige Stunden zuvor installierte.

Mir fällt aber auf, daß solche Dateien noch im Verz sind: /WIN/TEMP/RARSFX0/basic ohne elöscht gewesen zu sein. Sicherlich waren die Dateien entpackt. Ich gehe davon aus, daß ich sie noch manuell löschen kann.

Beunruhigend dagegen ist, daß ich solche Dateien, die also erst 3 Stunden nach Erstellung von sporder.dll, gekommen sind:

- avcmd.exe
- avewin32.dll
- avguard.vxd

Die Daei sporder.dll ist auch dabei, sowohl in diesem Verz. als auch im Verz. von AV-Programm.

Mich wundert es nur daß sporder.dll erst etwa 5 Stunden später im /WIN/SYSTEM erstellt worden ist. Das wäre verdächtig oder?

Das gilt auch für avguard.vxd, auch wenn die Checksumm stimmt, schon wegen der Tatsache, daß die Erstellung Uhrzeit an demselben Tag auf spätere Uhrzeit als die Installation von AV-Programm aufweist, allerdings erst nach der von sporder.dll im System-Verz.

Ich habe habe danach einige Udates von AV geholt aber avguard bleibt gleich, so daß es nicht damit zusammenhängen würde.

Auffällig im Browser, sicher unabhängig vom o. g. Errreignissen, war, daß der Maus-Cursor zuweilen bremste oder aufhielt, aber scho ziemlich oft nach links oder rechts auf langer Strecke rutschte, als ich die Scroll-Leister des Browsers nach oben oder untern ziehen wollte.

Last but not least, merke ich nach dem Booten, wie sich der Desktop (v. WinMe) nach seiner vollständigen Darstellung auf dem Bildschirm, am Ende nur noch am rechten Rand um etwa 1 Millimeter sprunghaft vergrößert, was ich zuvor noch nicht gemerkt hatte. Wäre das normal?

Grüße,




Vielleicht handelt es sich um Udpdates

#2 sporder.dll koennte zum New.Net gehoeren...
poste ein Log vom HijackThis, ich schau mal nach
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

Hier ist das Ergebnis.

Nach der Auswertung bei www.hijackthis.de sollte ich die Zeile entfernen, die ich rechts mit <<<<<<<<<<<<<<< markiert habe oder?

Ggf. sollte ich das per Hand mit RegEdit vornehmen oder kann hijackthis selbst fixen, d.h. nach Haken gesetzt im Programm, allerdings ohne die eine mit Safeguard?

Vermutlich habe ich ein Hardwareproblem, denn das Lämpchen für Datenzugriffe flimmert ständig ziemlich schwach aber nur ganz hell, wenn es ein Dateizugriff tatsächlich stattfindet. Merkwürdigerweise bremst das ganze System nur unter WinMe und generell nur nachmittags... so daß es schwer vom Zufall zu sprechen wäre.

Ich prüfe später nach, woran es liegen könnte, indem ich jede Festplatte ausschalte...

Ich hätte noch diese Fragen am Rand:

1) Antivirus System Tray Tool überträgt ständig Daten nach Außen oder? Wozu tut es dies?

2)Macspeed Spyware/Adware: search.htm (oder searchx.htm) wäre von der Platte ganz zu löschen? (wahrscheinlich habe ich früher bloß mit x deaktiviert)

Dies kann ich aber auch im Reg ganz entfernen, nicht wahr?

HKLM\Microsoft office\Templates\1031\Pages\search.tem\search.htm

Ich benutze aber nicht mehr IE sondern nur noch Mozilla Firefox seit langer Zeit.

Ich füge aber auch einen Auszug v. Protokoll vom Escan hinzu...

MfG

+++

Escan- Protokoll:

Tue Apr 18 17:11:09 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Apr 18 17:11:09 2006 => Loading Spyware Signatures from FIXED Database...
Tue Apr 18 17:11:10 2006 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Apr 18 17:11:17 2006 => Offending value found in HKLM\Software\180Solutions !!!
Tue Apr 18 17:11:17 2006 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Apr 18 17:11:19 2006 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Tue Apr 18 17:11:19 2006 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Apr 18 17:11:40 2006 => System found infected with MaxSpeed Spyware/Adware (searchx.htm)! Action taken: No Action Taken.

Tue Apr 18 17:11:42 2006 => ***** Scanning Registry for errors created because of Adware/Spyware *****

usw ... es gibt da eine ganze Menge aber ich weiß nicht, ob ich da alles einfach llöschen sollte... <g>

+++

Logfile of HijackThis v1.99.1
Scan saved at 08:53:04, on 19.04.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINME\SYSTEM\KERNEL32.DLL
C:\WINME\SYSTEM\MSGSRV32.EXE
C:\WINME\SYSTEM\mmtask.tsk
C:\WINME\SYSTEM\MPREXE.EXE
C:\WINME\SYSTEM\MSTASK.EXE
C:\WINME\SYSTEM\ZONELABS\VSMON.EXE
C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINME\EXPLORER.EXE
C:\WINME\TASKMON.EXE
C:\WINME\SYSTEM\SYSTRAY.EXE
C:\WINME\SYSTEM\RESTORE\STMGR.EXE
D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
D:\MULTISYSTEM\LOTUS\ORGANIZE\EASYCLIP.EXE
C:\WINME\SYSTEM\WMIEXE.EXE
D:\MULTISYSTEM\SPYWAREGUARD\SGMAIN.EXE
C:\WINME\DRWATSON.EXE
D:\MULTISYSTEM\SPYWAREGUARD\SGBHP.EXE
D:\MULTISYSTEM\TOOLS\WINTOOLS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.254
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\MULTISYSTEM\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - D:\MULTISYSTEM\SUPERADBLOCKER\SABBHO.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MULTIS~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\MULTISYSTEM\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINME\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) <<<<<<<<<<<<<<<<<<<<<<<<<
O4 - HKLM\..\Run: [ScanRegistry] C:\WINME\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINME\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Iomega Startup Options] d:\syswinme\system\iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] d:\syswinme\system\iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINME\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [PCHealth] C:\WINME\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINME\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINME\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [SMTPAuth] D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE
O4 - HKCU\..\Run: [ZBroadband Router Utility] F:\GATE-MON V3.00.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = D:\MultiSystem\lotus\organize\easyclip.exe
O4 - Startup: SpywareGuard.lnk = D:\MultiSystem\SpywareGuard\sgmain.exe
O4 - Startup: DRWATSON.EXE.lnk = C:\WINME\DRWATSON.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .de/erwerbslose/anlaufpunkte_&_adressen/musterbriefe_alg_ii/anzurechnende_vermoegen: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257ba076f1619db12f16/netzip/RdxIE601_de.cab
O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
O16 - DPF: {7085E4EE-7531-11D8-B7AD-00E04CAB5EB7} (Installer Class) - http://getsafeguard.com/cab/safeguardfree.CAB <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.5.115.141,194.25.2.129

#4 Merlinux

ich denke, die Spyware kommt vom :

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL
O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html

-------------------------
ueberpruefe es mit Spyxposer
http://virus-protect.org/antispytools.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

Danke für die Mühe, aber ich möchte erstmals bezweifeln, daß es daran liegt, zumal ich dieses Programm seit über einem Jahr habe. Wenn es so wäre, hätte ich schon längst dieses Problem gehabt.

Die von Ihnen erwähnte Dateien sind übrigens aus dem Jahr 2002 und 2004.
NeTtransport ist übrigens nicht mehr aktiv, seitdem alle Download vom Mozilla Firefox kontrolliert wird.

Sicherheitshalber habe ich diese beiden merkwürdigen Dateien vorläufig umbenannt.

Leider kann ich Spyxposer nicht benutzen, da es nur mit IE geht und ich Mozilla Firefolx benutze...

Ich frage aber hier nochmals: soll ich mit HijackThis die von mir markierten Einträgen fixen lassen?

Außerdem und unabhängig davon gibt es nun seit heute eine deutliche Verbesserung, als wären alle Probleme weg, obwohl ich bisher nichts unternommen habe, außer dieser Ausnahme. Mein CD-Writer-Laufwerk ist defekt, zwar schon seit einiger Zeit aber neulich konnte ich meinen PC nicht mehr booten und es leuchtete ständig an diesem Laufwerk. Ich habe nun dessen Strom herausgezogen und ich kann wieder Booten. Seitdem habe ich alle Probleme mit der Maus oder mit der Bremse bzw. Frieren am Desktop mit Leistungsverlust oder mit merkwürdigen Dingen beim Scrollen auf dem Browser nicht mehr. All diese Probleme sind einfach zum ersten Mal weg!!

Ich beobachte aber noch weiter und was sporder.dll angeht, schreibe ich mal dem Hersteller mit der Bitte um Angabe von Datum und Checksum.

Gruß

#6 du benutzt es sowieso nicht mehr:

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL
O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ergänzend zu der unteren Nachricht füge ich hier hinzu.

Ich habe den Rechenr erneut gebootet und habe dieses Problem mit ZA erstmals nicht mehr. (Siehe Protokoll unten)

Ich habe aber dann dieses Programm heruntergeladen, um alle Prozesse unter der Lupe zu nehmen: http://www.neuber.com/taskmanager/deutsch/index.html

Dabei ist mir diese Meldung aufgetaucht: "Der Ordner Ihrer Host Datei wurde zu "" umgeändert. Er sollte aber %WinDir% sein. Korrigieren?

Den Ordner "" finde ich aber nicht. Korrigiert habe ich momentan nicht und lmhosts.sam befindet sich doch im Windowsverz., allerdings in anderen Name als bloß /Windows. Was kann ich noch da nachprüfen oder korrigieren? Wo sollt ich bitte unter Winme manuell checken und evtl. fremde Ips entfernen?

Im ZA finde ich sonst dieses Programm: \SYSTEM\WBEM\WINmGMT.EXE das vielleicht nicht zuvor überwacht worden war, d.h. ich habe es anscheinend vorher noch nicht gemerkt, bis zu diesem Vorfall unten. Im Prozeß ist aber im Moment nicht...

+++

Hallo,

am Nettransport berühre ich im Moment nicht, falls ich das wieder in Zukunft verwenden möchte. Das startet übrigens nur mit IE und ich benutze nur FireFox.

Allgemeines habe ich solche Probleme nicht mehr, seitdem ich das CD-Writer Laufwerk vollkommen vom Rechner getrennt habe, als dieser plötzlich nicht mehr booten wollte. Nun arbeitet der PC mit voller Leistung und das Lämpchen für Dateizugriffe flimmert nicht mehr schwar wie bisher wegen des CD.Writer-Laufwerks, das sicherlich Konflikte in der Elektronik verursachte und somit die Leitung des Betriebssystems bremste, als wäre es ein Trojaner gewesen.

So Vorgestern und noch gestern lief alles einfwandfrei, außer der merküwrdigen Tatsache, daß ich nicht immer Profile von icq-Users im Details-Viewer sehen konnte.

Seit heute morgen scheint aber ZoneAlarm zu klemmen, mit solch unendlichen Meldungen, daß ein unbekanntes Programm ins Internet versucht. Namen der Datei gleicher Größe sehe ich aber nur auf Info der Webseite v. ZA, wie weiter unten:

Ich habe nur die ersten kopiert, da es scheint unendlich zu sein, so daß ich sicher den PC neu booten muß, damit ZA damit aufhört. Merkwürdig ist die IP Adresse von Remote-Rechner nur 0.0.0.0. Ich gehe also davon aus, daß es sich um einen falschen Alarm.

Besonders merkwürdig ist mit Systeminformation von Winme und Netzwerkdiagnose, daß Loopback 127.0.0.1, Netzwerkadapter, und DefaultGateway - ich benutze einen Router - nicht erreichbar seien, obwohl ich mit Ping im MS-Dos Fenster erfolgreich pingen kann. Ich kann übrigens im Internet wie hier surfen...

Irgend etwas stimmt also nicht...

+++

Alert property Alert property value Technical explanation
Program Name �FFFFA0�FFFFE6o A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
Filename �FFFFA0�FFFFE6o The filename of the program that ZoneAlarm found on your computer.
Program Version �FFFFA0�FFFFE6o The version of �FFFFA0�FFFFE6o running on your computer.
Program Size 28376344 The size of the program executable file in bytes.
Program MD5 a0e66f003c006c00547970653a207465 The MD5 hash, or number, that uniquely identifies the executable.
Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity.
Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFA0�FFFFE6o was most recently modified.
Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFA0�FFFFE6o or Server, which indicates that �FFFFA0�FFFFE6o is waiting for connections coming in from the Internet.
Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert.
Alert Date Apr-24-2006 11:22:28 PM PDT The time when ZoneAlarm detected the alert on your computer.


Inside the program alert



Alert property Alert property value Technical explanation
Program Name ^L A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
Filename ^L The filename of the program that ZoneAlarm found on your computer.
Program Version ^L The version of ^L running on your computer.
Program Size 28376344 The size of the program executable file in bytes.
Program MD5 0c006c003c006c000000000000000000 The MD5 hash, or number, that uniquely identifies the executable.
Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity.
Date Modified Jan-17-1981 07:40:48 AM The date when ^L was most recently modified.
Connect Type Access This value can be either Access, which is an Internet connection attempt by ^L or Server, which indicates that ^L is waiting for connections coming in from the Internet.
Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert.
Alert Date Apr-24-2006 11:22:28 PM PDT The time when ZoneAlarm detected the alert on your computer.

Inside the program alert



Alert property Alert property value Technical explanation
Program Name �FFFFB4�FFFFB0p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
Filename �FFFFB4�FFFFB0p The filename of the program that ZoneAlarm found on your computer.
Program Version �FFFFB4�FFFFB0p The version of �FFFFB4�FFFFB0p running on your computer.
Program Size 28376344 The size of the program executable file in bytes.
Program MD5 b4b07000a0e66f00455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable.
Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity.
Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFB4�FFFFB0p was most recently modified.
Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFB4�FFFFB0p or Server, which indicates that �FFFFB4�FFFFB0p is waiting for connections coming in from the Internet.
Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert.
Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer.

Inside the program alert



Alert property Alert property value Technical explanation
Program Name �FFFFB4�FFFFB0p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
Filename �FFFFB4�FFFFB0p The filename of the program that ZoneAlarm found on your computer.
Program Version �FFFFB4�FFFFB0p The version of �FFFFB4�FFFFB0p running on your computer.
Program Size 28376344 The size of the program executable file in bytes.
Program MD5 b4b07000a0e66f00455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable.
Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity.
Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFB4�FFFFB0p was most recently modified.
Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFB4�FFFFB0p or Server, which indicates that �FFFFB4�FFFFB0p is waiting for connections coming in from the Internet.
Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert.
Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer.

Inside the program alert



Alert property Alert property value Technical explanation
Program Name �FFFF8C�FFFFD5p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
Filename �FFFF8C�FFFFD5p The filename of the program that ZoneAlarm found on your computer.
Program Version �FFFF8C�FFFFD5p The version of �FFFF8C�FFFFD5p running on your computer.
Program Size 28376344 The size of the program executable file in bytes.
Program MD5 8cd5700020c37000455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable.
Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity.
Date Modified Jan-17-1981 07:40:48 AM The date when �FFFF8C�FFFFD5p was most recently modified.
Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFF8C�FFFFD5p or Server, which indicates that �FFFF8C�FFFFD5p is waiting for connections coming in from the Internet.
Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert.
Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer.

#8 HijackThis (Host)

HOSTFILE:

*öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager

kopiere ab, was du findest.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

hier ist das Ergebnis: "cannot find the hostfile"

Gruß

#10 Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.
__________
MfG Sabina

rund um die PC-Sicherheit