"firefox.exe has changed since the last time you used i

    Hallo,
    leider bin ich mal wieder beunruhigt. Gestern surfte ich ein wenig durch die Gegend und kam dabei auf die Seiten
    http://www.mp3-factory.com
    und
    http://www.mp3factory.com,
    als Sygate Personal Firewall aus heiterem Himmel folgende Meldung brachte:
    "The executable has changed since the last time you used: C:\Programme\Mozilla Firefox\firefox.exe"

    Was soll ich davon jetzt halten?
    Das gefällt mir natürlich gar nicht, wenn man da von außerhalb am Firefox (0.9.3) herumfummeln kann!
    Ich habe keine große Lust, da irgendwelche Würmer, Trojaner oder Zombies großzuziehen.

    Zuerst hatte ich Sygate "no" gesagt, FF soll NICHT verbinden und gleich danach die noch bestehende Verbindung getrennt.
    Dann den FF mit NAV gescannt, da war aber nichts -das soll aber nichts heißen.
    Jetzt bin ich wieder rein in´s Internet, ohne daß Sygate sich nochmals muckte. Was aber komisch war, die Startseite baute sich nicht auf. Erst als ich nach ca. 2 Minuten ein Lesezeichen anklickte ging es dann wieder.

    Tja -und nu? Was sollte ich Eurer Meinung nach tun??
    Etwa FF rausschmeißen und neu installieren? :(
    Oder sagt mir bitte daß ich viel Wind um nix mache!
    Ich habe Win98, DSL und FF 0.9.3.

    Vielleicht könnt Ihr noch Rückschlüsse aus der Meldung von Sygate PFW ziehen, die hab ich hier mal der Vollständigkeit halber angehängt.

    BITTE BITTE gebt mir einen Tip!

    --------------------------------------------------------------------------------
    The executable has changed since the last time you used: C:\Programme\Mozilla Firefox\firefox.exe
    File Version :
    File Description : C:\Programme\Mozilla Firefox\firefox.exe
    File Path : C:\Programme\Mozilla Firefox\firefox.exe
    Process ID : 0xFFE978E3 (Heximal) 4293490915 (Decimal)

    Connection origin : local initiated
    Protocol : TCP
    Local Address : 80.142.224.26
    Local Port : 2692
    Remote Name : http://www.mp3-factory.com
    Remote Address : 212.4.174.100
    Remote Port : 80 (HTTP - World Wide Web)

    Ethernet packet details:
    Ethernet II (Packet Length: 56)
    Destination: 20-53-52-43-00-00
    Source: 44-45-53-54-00-00
    Type: IP (0x0800)
    Internet Protocol
    Version: 4
    Header Length: 20 bytes
    Flags:
    .1.. = Don't fragment: Set
    ..0. = More fragments: Not set
    Fragment offset:0
    Time to live: 128
    Protocol: 0x6 (TCP - Transmission Control Protocol)
    Header checksum: 0x4edc (Correct)
    Source: 80.142.224.26
    Destination: 212.4.174.100
    Transmission Control Protocol (TCP)
    Source port: 2692
    Destination port: 80
    Sequence number: 27229859
    Acknowledgment number: 17082602
    Header length: 20
    Flags:
    0... .... = Congestion Window Reduce (CWR): Not set
    .0.. .... = ECN-Echo: Not set
    ..0. .... = Urgent: Not set
    ...0 .... = Acknowledgment: Not set
    .... 0... = Push: Not set
    .... .1.. = Reset: Set
    .... ..0. = Syn: Not set
    .... ...0 = Fin: Not set
    Checksum: 0xc9c7 (Correct)
    Data (0 Bytes)

    Binary dump of the packet:
    0000: 20 53 52 43 00 00 44 45 : 53 54 00 00 08 00 45 00 | SRC..DEST....E.
    0010: 00 28 6B 6F 40 00 80 06 : DC 4E 50 8E E0 1A D4 04 | .(ko@....NP.....
    0020: AE 64 0A 84 00 50 01 9F : 7E A3 01 04 A8 EA 50 04 | .d...P..~.....P.
    0030: 00 00 C7 C9 00 00 80 06 : | ........

    Ich kann mir eigentlich nicht vorstellen, dass eine Internetseite die firefox.exe ändern kann. Es könnte höchstens so sein, dass du dir ein Virus irgendwo anders eingefangen hast und der dann die Datei geändert hat. Wenn du aber eine Firewall hast und auch ein Virenscanner der auf dem aktuellen Stand ist würde ich das eigentlich auch ausschließen. Die letzte Möglichkeit wäre, dass sich Sygate Personal Firewall irgendwie "geirrt" hat und die Datei wurde gar nicht geändert.

    Was benutzt du denn für eine Version vom Firefox und welches Betriebssystem?

    @tga,
    ...dann tu´s doch auch nicht :)


    mirko2000,
    an die Möglichkeiten habe ich auch schon gedacht, vor allem was Sygate betrifft. Nur die hat nunmal Alarm geschlagen und ich kann den jetzt nicht einfach ignorieren. Dann kann ich gleich auf eine Firewall verzichten.
    Der Norton und Win98 sind auf dem neuesten Stand.
    Ich werde jetzt noch online mit dem Kaspersky den firefox scannen, glaube aber nicht daß der was findet.

    In der Sygate-Meldung kann man nichts erkennen, oder??

    Zitat von 7on9

    In der Sygate-Meldung kann man nichts erkennen, oder??


    Also zumindest ich nicht so sehr arg viel.

    Um ganz sicher zu gehen, kannst du ja Firefox deinstallieren und nochmal neu installieren. Dann kannst du auf jeden Fall mal sicher sein, dass das die originale Datei ist ohne irgendwelche Änderungen.

    Ich würde sagen, falsches Forum...

    http://forums.sygate.com/vb/

    Hier kannst Du die Frage erklären lassen.

    Ich benutze auch Sygate mit der Option "Enable DLL Authentication" und habe immer wieder solche Meldungen für verschiedenne Programme.
    Ich weiß nicht genau, aber ich vermute die Seite braucht dll's die noch nicht registriert waren (Fingerprint), für Sygate wäre es so als FireFox sich verändert hätte...

    Gruß

    Bird

    Danke Euch.

    Deinstallieren will ich nicht -no risk, no fun :wink:
    Das war ein Mords-Aufwand, den FF so hinzukriegen wie er jetzt ist, mit den ganzen Erweiterungen und Einstellungen, daher laß ich die Finger von einer Neuinstallation.

    Im Sygate-Forum geht´s aber extrem in´s Eingemachte, das ist mir zu kompliziert. Und dann noch in englisch, wo ich`s nichteinmal in deutsch richtig verstehe :oops:

    Habe jetzt nochmal firefox online bei Kaspersky und Trendmicro gescannt und es wurde nichts gefunden. Der PC verhält sich auch "normal" (ich kann es fühlen wenn mein Schätzchen was hat :? ), daher mach ich erstmal nichts mehr weiter.
    Die Sache mit dem Fingerprint beruhigt mich auch ein wenig.
    Danke nochmal.

    wenn es nur um die firefox.exe geht, könntest du auch nochmal die gezippte Version runterladen (dieselbe Versionsnummer 0.9.3 natürlich!) und nur die Datei firefox.exe überschreiben.

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2

    Vielleicht springt die Warnung bei dir auch an weil sich eine Extension geändert hat. Ich hatte kürzlich "FlashGot" akualisiert und beim nächsten Mal hat die Kerio Firewall dies gemeldet. Allerdings stand bei mir dabei daß es die FlashGot-Komponente war und nicht Firefox selber, evtl. zeigt deine Firewall es nur nicht so detailliert an.

    Das ist völlig normal!!! Sygate sammelt die dll's die ein Programm nutzt und macht diesen "Fingerprint". Wenn Firefox ein dll nutzt das ein neuer Programm installiert hat, bekommst Du diese Meldung.
    Du kannst das ganze über Tools wie "Process Explorer" beobachten.
    Sygate versucht so "dll Injection" zu vermeiden.
    Also... Ich hoffe damit Dich ein Bisschen beruhigt zu haben.

    Gruß

    Bird

    Zitat von bird

    ...Wenn Firefox ein dll nutzt das ein neuer Programm installiert hat, bekommst Du diese Meldung....


    Eben das beunruhigt mich ja, weil ich nichts installiert hatte. aher der Gedanke, daß sich da was eingeschlichen hat.
    Im Prozess Explorer steht allerdings auch nichts ungewöhnliches, soweit ich das beurteilen kann.


    harald,
    ich finde schon, daß das Protokoll recht detailiert ist. Früher hatte ich ZoneAlarm drauf, das war auch nicht viel anders.