Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm

l-vis101

Hallo Freunde,

verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof.

Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data).

Mit diesem Verzeichnis kann ich folgendes Verhalten beobachten:
Sobald ich mit Firefox eine Seite öffne, die Login-Daten erfordert, werden dort Dateien angelegt nach folgendem Muster:
3204_FF_0000000989_ifrm.htm
3204_FF_0000000990_ifrm.htm
3204_FF_0000000991.pst
3204_FF_0000000992_ifrm.htm

Die ersten beiden Dateien wurden beispielsweise erstellt in dem Moment, als ich auf die T-Online-Seite kam. Wenn ich dann meine Zugangsdaten eingebe werden die beiden nächsten Dateien erstellt. Die *.htm Dateien scheinen die Abbilder der besuchten Seiten zu sein. Sie enthalten soweit ich das beurteilen kann die URL der Originalseite mit zig Parametern. Die.pst Datei enthält ebenfalls eine URL und mittendrin meine gesendeten Zugangsdaten in Klarschrift. Die letzte Datei gibt dann wohl das Ergebnis wieder, ob der Zugang erfolgreich war oder nicht.

Ich weiß nicht, ob das bei jeder Seite passiert, die ein Formular enthält oder nur bei https . Ich vermute letzteres.

Dieses Verhalten gibt es nur bei Firefox. Dieselbe Seite in IE6 geöffnet passiert nix (hopefully ... zumindest nicht an dieser Stelle). Wenn man das Verzeichnis löscht, wird es neu angelegt und befüllt, sobald man mit FF auf eine entsprechende Seite kommt.

Ich verwende Avira Antivir Personal. Ein Komplettscan des System zeigt keinerlei Infektion oder sonstige Hinweise. Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Hat jemand eine Idee, was das sein könnte und wie man´s wieder los wird.

Vielen Dank für eure Mühe.