Hi,

seit einiger Zeit habe ich gemerkt, daß mein IE8 auf WinXP SP3 immer beim ersten Start das DOS-Programm C:\Windows\System32\ctfmon.exe mitstartet. Anhand der Felermeldung, die heute irgendwie mitgekommen ist vermute ich, daß es sogar ein 16Bit-Programm ist.

Wieso wird denn ein DOS-Programm beim Start vom IE mitgestartet?
Und wieso wird dieses Programm eigentlich nicht im Task-Manager angezeigt (beendet et sich etwa sofort)?

Ist es normal, daß es gestartet wird, oder sieht et eher nach einem Wurm/Trojaner/Virus aus? (Allerdings haben weder AdAware noch AntiVir was gefunden.

Hier ganz gut erklärt:

http://www.wintotal.de/tipparchiv/?id=676

Hier ganz gut erklärt:

http://www.wintotal.de/tipparchiv/?id=676


Ja, aber bei Office habe ich nicht das Problem.


Es startet nur mit dem Internet Explorer. Nicht mit Excel oder Word.
Es startet als DOS-Fenster
Es gibt sich als 16-Bit-Programm aus!


ist das so tatsächlich normal?

Als DOS Fenster sollte es nicht starten. Es sollte nur im Hintergrund mitlaufen ohne groß aufzufallen. Mit Office hat es nicht zwingend was zu tun, da es ab XP im OS integriert ist und nicht erst mit Office installiert wird.

Das Remover Tool von der Seite würd ich trotzdem mal ausprobieren.
Erstens sollte es anzeigen, ob ctfmon läuft und wenn ja, kannst du es darüber deaktivieren. Falls die Funktionen des Programms brauchst, kannst du die Datei auch einfach mal löschen. Sollte sie von irgendeinem anderen Programm benötigt werden, wird sie vom OS/Office neu erstellt.

Datei gelöscht, Problem weg.

Aber jetzt täte mich doch interessieren, wieso meine ctfmon eine DOS-Datei war ! Gibt leider keine Dateibeschreibung dazu. Kann ich irgendwie anhand der Dateigröße (36.864Byte) rausfinden, wo die herkam?
Kann mal jemand, der seine ctfmon unter WinXP noch hat mir diese geben zum Vergleich?

15360 Byte bei mir.

15360 Byte bei mir.Bei mir auch.

Man hätte die Datei mal bei www.virustotal.com hochladen können.

MfG
Rooter

Bei mir auch.

Man hätte die Datei mal bei www.virustotal.com hochladen können.

MfG
Rooter


Hmm, virustotal sagt: unbedenklich (http://www.virustotal.com/reanalisis.html?1c0273095382988333e2f2b5ae487cea460737ed9be65cbad9c5de537f95bf75-1272190178). Aber wo kommt das Teil her?

Lade die Datei hoch.

Lade die Datei hoch.


hier die komische Datei...

Die Datei ist vollkommen leer...

Die Datei ist vollkommen leer...

:confused:

wie das?

Keine Ahnung. Vielleicht wurde sie durch ein fehlerhaftes Programm manipuliert. Zumindest ist die Datei mit gleichem Hash schon 2007 bei Virustotal hochgeladen worden. Sie ist demnach wahrscheinlich nicht zufällig oder individuell entstanden.

Die Datei ist vollkommen leer...
*lol* Und ich hab mich schon gewundert wieso das Zip-Archiv nur 170 Bytes groß ist... ;D
36864 Nullen...

Keine Ahnung woher die stammt. Ich wurde trotzdem mal mit einem der zahlreichen Online-Scanner den kompletten PC prüfen, sicher ist sicher.

MfG
Rooter