Hallo

Nach eine neue Installation von Windows XP Prof. mit SP 2, habe ich darauffolgend Avira AntiVir PersonalEdition Classic installiert und das
Computer mit "MicroWorld Anti Virus & Spyware Toolkit Utility"
durchgesucht.

Kurz daran habe ich von MicroWorld Anti Virus
eine Angeblendete Nachricht auf dem Bildschirm bekommen
über entdeckte Virus CTFMON.EXE wie folgt:

Mon Jun 12 20:13:06 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Mon Jun 12 20:13:06 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.

Ich betone ausdrücklich hier das es sich hier nicht um eine ctfmon / ctfmon.exe Programm handelt das zu Microsoft Office gehört.

Ich habe Computer neue Installiert mit Windows XP Prof
und noch kein andere Programm von Microsoft Office
installiert außer Avira AntiVir PersonalEdition Classic.

Mit dem neue Computer habe ich noch keine Verbindung
zum Internet gemacht.

Ich habe versucht alles von den VIRUS zu entfernen bzw. die WIEDERHERSTELLUNG DEAKTIVIERT und alle Einträge von
ctfmon.exe im Registrierung - Editor
und C:Windows/System32/ctfmon.exe entfernt.

Das Problem ist....die Datei CTFMON.EXE Stellt sich wieder von selbst.

Die Anweisungen von:
http://frankn.com/html/ctfmon_exe.html habe ich auch gefolgt aber es bringt nicht.

Mit einem andere Computer habe ich Internet über CTFMON.EXE
durchgesucht und alle Variationen zum entfernen ausprobiert OHNE ERFOLG !!!

Bitte um Hilfe, was soll ich Machen ?!!!

Danke



Bei SOPHOS habe ich folgende gefunden:
Troj/Viran-C ist ein Trojaner für die Windows-Plattform.


Troj/Viran-C enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten

Server über HTTP zu kommunizieren.


Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Viran-C nach:


<Gemeinsame Dateien>\system\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe


Die folgenden Dateien werden erstellt:


<System>\divx5.dll
<System>\h323.txt

Wenn er zum ersten Mal ausgeführt wird, kopiert sich Troj/Viran-C nach:


<Gemeinsame Dateien>\system\lsass.exe
<System>\ctfmon.exe
<System>\userinit.exe


Die folgenden Dateien werden erstellt:


<System>\divx5.dll
<System>\h323.txt


Die Datei divx5.dll wird erkannt als Troj/HideProc-K.


Die folgenden Registrierungseinträge werden erstellt, damit Troj/Viran-C beim Start ausgeführt wird:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Userinit
<Gemeinsame Dateien>\system\lsass.exe


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE
<System>\ctfmon.exe


Der folgende Registrierungseintrag wird verändert, damit userinit.exe beim Start ausgeführt wird:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe


(Der Standardeintrag für diesen Registrierungseintrag lautet "<Windows>\System32\userinit.exe,").


Der folgende Registrierungseintrag wird erstellt:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable
ffffff9d


Der Trojaner

Hallo.

Ctfmon.exe ist ein Microsoft Office Programm
es kann auch auf dem Rechner sein ob wohl man garkein Office hat
für mehr Info kannst du auch hir nach lessen: http://www.frankn.com/html/ctfmon_exe.html

da wird auch beschrieben wie du es abschalten kannst

Hallo,

die Datei ist relativ standartmäßig auf dem Rechner, daher erst mal keine Panik. MW AV bringt oft derlei Falschmeldungen.
@Lot:

Zitat:

Zitat von moreno

Die Anweisungen von:
http://frankn.com/html/ctfmon_exe.html habe ich auch gefolgt aber es bringt nicht.

Klappt also nicht.
@moreno: Scanne die Datei online bei Virustotal.com und poste das Ergebnis hier.

Gruß

Schrulli

@Schrulli
OH Sorry hab ich wohl über sehen, werd mir mal ne Brille holen. Danke.