Virus/Spyware kann sie aber nicht "indentifizieren"

[Thilo55494]

Hallo Leute,

Hatte heute folgendes Symptom:
Mein Standard Browser (Firefox 2.0.0.11) öffnete sich ohne mein zutun und es wurden verschiedene Werdeseiten geladen.
Das ganze ist mir 3 mal aufgefallen. Danach wurde ich stutzig.
Mein erster Ansatz war der Task- Manager - ich konnte keine Auffälligen Prozesse finden/erkennen.
Ok, wird halt das Antiviren Programm gestartet (Nod32)... nichts zu finden. Das Phänomen tritt aber während des Scans auch nicht auf.
3 Ansatz - der Autostart, also "Start" - "Ausführen" - "msconfig" und siehe da eine hxqqattmww.exe - Speicherort: C:/Dokumente und Einstellungen/MeinBenutzerName/Lokale Einstellungen/Anwendungsdaten/ - sehr verdächtig! Aber im genanten Pfad war keine Datei mit solch einen Namen.
Deshalb hab ich den Punkt aus dem Autostart genommen. 5 Minuten später ist ein neuer, aktivierter Eintrag wieder vorhanden.
Ok - Der "Abgesicherte Modus" muss her. Haa, Jetzt ist die Datei vorhanden. Und auch noch 3 weitere Dateien, mit ähnlichen Namen vorhanden:
hxqqattmww.dat (5 kb)
hxqqattmww_nav.dat (340 kb)
hxqqattmww_navps.dat (1 kb)
(Die hxqqattmww.exe ist 286 kb klein)

Hab diese als gegen Maßnahme in einem RAR-Archiv Verpackt und in einen anderen Ordner verschoben. Zusätzlich habe ich SpybotSD jetzt am laufen.
Bis jetzt ist die Werbung noch nicht wieder aufgetaucht.

Nun würde ich gern wiesen was das für ein Schadcode ist und wie ich mir ihn eingehandelt habe. Google und Yahoo haben nichts unter diesem Dateinamen gefunden.
Würde sie ja auch hochladen, aber das Risiko will ich nicht ein gehen. (erst mal euch Fragen :-D)

MFG Thilo

[pad8626]

Scheint ein bekannter "instant Access" bzw. "Dialer" zu sein. Grund warum du nix zu den Dateinamen gefunden hast wird sein das das Ding jedes mal andere Dateinamen anlegt wahrscheinlich werden sie generiert was gleich ist das sie aus irgend welchem kauderwelsch bestehen aber immer die _ENDUNGEN habe such einfach mal nach den Endungen also "_nav.dat" in Kombination mit den anderen Endungen da findest du einiges allerdings nicht in Deutsch ;-)

Was ich bei dir komisch finde wo er sich eingenistet hat bei allen anderen irgendwie im Systemverzeichnis

Eingehandelt?? hehe das könnt ich dir sagen aber ich glaub das weißt du ganz gut selbst ;-) Da reden wir beim nächsten Bier drüber

Wehe du versuchst mein WLAN mit deinen Zeug hier :-)

[Computerdirk]

Hallöchen,

eventuell wäre auch der Einsatz von HijackThis hier nützlich. Unter msconfig sieht man ja nicht alle Autostartmöglichkeiten. Mit HijackThis lassen sich in solchen Fällen häufig die besseren Ergebnisse erzielen. Insbesondere bei Einträgen wo man nicht weiß woher sie kommen...

[Thilo55494]

@ Computerdirk
Danke für den Tipp, hätte ich auch eher drauf kommen können. Habe es jetzt noch mal gemacht und mir sind Folgende Dinge aufgefallen:

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL.exe (file missing)

Also CTFMON.exe soll von MS sein und zur Spracherkennung dienen. Aber 5 Mal? Selbst wenn ich es aus dem Autostart raus nehmen, ist es bein nächsten Start wieder drin.
Und der falsche Pfad zu MySQL, also ich hab MySQL drauf aber es läuft alles. Und alle Verknüpfungen sind ok...
Bedenklich...

[leader]

Also die CTFMON.EXE habe ich ebenso in gleichem Bereich wie du und das ist wohl auch richtig so. Du kannst lediglich dieses hier: O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
auf dauer abstellen.

Mit "CtfmonRemover" kann man das beseitigen, dann startet es auch beim nächsten Neustart nicht mehr mit.

[Thilo55494]

Also die CTFMON.ese ist für mich in so weit nur komisch, das sie 5 Mal aufgeführt wird. Aber wenn das von MS so gewollt ist dann bleibt es so.

Weis einer wie ich den eintrag für die MySQL.exe berichtigen kann? in der Registrie habe ich keinen solchen Eintrag gefunden.

[leader]

Na mit dem Programm HijackThis selbst.

Programm nochmal scannen lassen und den Eintrag "O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL.exe (file missing)" aufsuchen, Haken in das Kästchen vor dem Eintrag und im Programm unten bei "Scan & fix stuff" auf "Fix checked" klicken.


Bei mir wäre die CTFMON.EXE auch 5x vorhanden,wenn ich sie nicht mit "CtfmonRemover" aus dem Autostart entfernt hätte. So ist sie nur noch 4x bei mir vorhanden, also bei dir alles in Ordnung damit.