# cjphnmli.dat, was ist das?



## WolArn (3 April 2009)

Hallo,

ich habe bei mir im Temp-Ordner von WinXP dieses cjphnmli.dat gefunden, was sich nicht löschen läßt. In den Eigenschaften von dem Ding findet man auch keine Informationen. Und bevor ich mein System neu aufsetze, wollte ich hier erst mal fragen, welche Möglichkeiten es noch gibt dieses Teil zu entfernen?
Ich habe auch schon verschiedene Scanner benutzt. Gefunden wurde aber nichts, außer den Hinweis, daß die Firewall von WinXP ausgeschaltet war. 
Ansonsten habe ich keine Antivirenprogramme im Hintergrund am laufen, weil mein System dann instabil wird, zumindest mit dem Paket von Kaspersky, und normaler Weise wird mein privater Rechner auch überhaupt nicht von Viren befallen. Und das ich gestern unüberlegt auf einer Torrent-Seite war, kommt normalerweise auch nicht vor, und werde diese auch in Zukunft wieder meiden.


----------



## Unregistriert (3 April 2009)

*cjphnmli.dat, was ist das? Vielleicht ein Hinweis auf Schadsoftware?*

Hallo WolArn,
es könnte eventuell eine harmlose Datei sein, wahrscheinlicher ist aber eine Schadsoftware auf dem Rechner aktiv (gewesen)!

> Und bevor ich mein System neu aufsetze, wollte ich hier erst mal fragen, welche Möglichkeiten es noch gibt dieses Teil zu entfernen?

Ganz schlechte Idee! Laut Avast soll es sich um Win32:Agent-NGL (trj) handeln, andere Quellen nennen es (Rootkit.Agent) usw.
Nehmen wir mal an, Dein System wäre erfolgreich attackiert worden, dann reicht eine Reinigung, also eine Entfernung der Schadsoftware, fast nie aus.
Grund: Insbesondere bei Rootkits und Backdoors kannst Du nicht mehr sicher sein, dass nicht schon so stark von unbekannten Dritten in Deinem System herumgepfuscht worden ist. 
Die Wahrscheinlichkeit, dass ein  Antivirusprogrammen alle Schadsoftware finden kann, sinkt zwar mit der Länge der Zeit, die die Schadsoftware auf Deiner Platte war. 
Aaaaber, eben die Wahrscheinlichkeit. Du kannst Dir also _NIE!_ sicher sein, dem Spuk ein  Ende bereitet zu haben. 
Ausnahme: von einer Live-CD/DVD gestartete Antivirusprodukte sind praktisch nicht von Rootkits beeinflussbar. Leider habe ich bisher mit Knoppicilin der c't bereits zweimal die Registry infizierter Systeme final geschrottet. 
Kurz: Wenn es geht, setzte Dein System so schnell wie möglich neu auf!

Da Schadsoftware praktisch nie "Artengrenzen" übersprigen kann, ist es klug, die Datensicherung auf eine andere Festplatte mit einem von CD/DVD gebooteten Live-Linux durchzuführen.

Hinweis: Betrachte Passwörter für Deine Mailaccounts und, so denn vorhanden, für Deine Webseite(n) als den bösen Buben bekannt. Logge Dich also mit einem von CD gebooteten Knoppix oder einem anderen Live-Linux(Deine Festplatte klemme dabei ab, verkürzt die Bootzeit) bei Deinen Mail-Accounts/Webseiten ein und ändere die Passwörter. Jetzt!

Gleiches solltest Du mit allen anderen Accounts machen, Online-Spiele, Communities etc
Nutzt Du Online-Banking? HBCI-Karten sollen sich nicht so ohne weiteres auslesen/modifizieren lassen, Du könntest also die Karte weiter nutzen. Deine TAN-Liste solltest Du VERBRENNEN! und Dir eine neue PIN besorgen. Trotzdem betrachte Deine Bankverbindung als bekannt in "interessierten Kreisen".
Du solltest Du von nun an Deine Kontoauszüge sehr genau prüfen, denn auch kleine aber unberechtigete Abbuchungen können über die Monate hinweg nett Kosten verursachen.

Und flashe Deinen Smartcard-Leser mit der neuesten Firmware. Wäre zwar ein echt exotischer Angriff, aber sicher ist sicher. Ebenso einfach nochmal das BIOS Deiners Mainboards erneut mit der gleichen Version überschreiben. Sicher ist halt sicher.
Hast Du mit Deiner Kreditkarte(n) in letzter Zeit im Netz bezahlt? Wenn ja, dann sprich mal mit der Hotline der Kartenfirma.

Ich will Dir hier keine Angst machen, aber Du kannst Dir bei genügend Nachlässigkeit und ein wenig Pech große Probleme einhandeln. 
Deshalb ist es auch reichlich mutig zu sagen:

> Ansonsten habe ich keine Antivirenprogramme im Hintergrund am laufen, weil mein 
> System dann instabil wird

Antivirenprogramme stellen natürlich _keine_ absolut unüberwindliche Mauer gegen alle Schadprogramme dar, sind aber eine durchaus sinnvolle zusätzliche Barriere.
Sehr wahrscheinlich ist ein 
_komplett_ _gepatchtes_ System _ohne_ erheblich schwieriger anzugreifen als ein _ungepatchtes_ System _mit_ Antivirusprogramm. Mach doch einfach beides, Patchen mit Antivirus  
Achja, ich nehme nicht an, dass Du nicht alle Sicherheitspatches von MS installiert hattest?
Jetzt hast Du ja gerade eine prime Möglichkeit, auszuprobieren, was Dein System instabil macht und was nicht. Von Avast und Avira gibt es übrigens abgespeckte kostenlose Versionen.
Übrigens:
> Gefunden wurde aber nichts, außer den Hinweis, daß die  Firewall von WinXP 
> ausgeschaltet war. 
Das ist _könnte_ auch von vorherigen (De-)Installationen irgendwelcher Sicherheitssoftware herrühren oder eben von einer Schadsoftware. Zu Firewalls gilt grundsätzlich ähnliches wie zu Antivirusprogrammen.
Es sollte übrigens immer die Sicherheitssoftware Brain 0.99beta oder besser installiert sein, wenn man sich auf Torrentseiten irgendwas herunterlädt. Von Prüfsummen und deren Anwendung hast Du schon gehört?


----------



## WolArn (4 April 2009)

*AW: cjphnmli.dat, was ist das?*

Hallo,

Danke für die ausführliche Antwort.
Nein, Geld und auch kleine Mengen, wurde noch nie von meinem Konto abgehoben, und daß prüfe ich eigendlich immer.

Nun habe ich gestern mal dieses kostenlose Antivir installiert, und der Scan hat nach einem Update viele Schädlinge gefunden, und die in Quarantäne gesteckt, aber dieses cjphnmli wurde nicht als schädlich erkannt.



> Es sollte übrigens immer die Sicherheitssoftware Brain 0.99beta oder besser installiert sein, wenn man sich auf Torrentseiten irgendwas herunterlädt. Von Prüfsummen und deren Anwendung hast Du schon gehört?


Nein, interessiert mich jetzt auch nicht weiter, weil ich in Zukunft diese Seiten meiden werde. Und kann auch sein, daß ich dieses cjphnmli von dort bekommen habe, also es auch erst seit vorgesten in dem Temp-Ordner steckt. Vom 4. August 2004 ist das Teil, also schon einige Jahre alt.


----------



## WolArn (6 April 2009)

*AW: cjphnmli.dat, was ist das?*

Hallo, ich noch mal.

Wie ich ja bereits schrieb, habe ich jetzt bei mir Avira's Antivir installiert, und damit ist mein PC bis jetzt noch nicht instabiel geworden. 
Aber auch der Services von Avira ist klasse, und das obwohl ich nur das kostenlose Antivir installiert habe. Denn ich habe dieses cjphnmli.dat gezipt, und mit einem Passwort versehen und diese Zip mit dem Passwort nach Avira geschickt. 
Heute kam die Antwort: "Die Datei 'cjphnmli.dat' wurde als 'KNOWN CLEAN' eingestuft. Dies  bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben  wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies  mailscan administrator 4.0.1.0' ist."
Einerseits bin ich jetzt beruhigt, anderseits frage ich mich immer noch, warum ich dieses Teil nicht löschen kann?! :unzufrieden: Da kommt ja immer die Meldung, daß der Zugriff verweigert wurde, und ich u.a. sicher stellen soll, daß die Datei gerade nicht verwendet wird. Aber soviel ich weiß habe ich keinen Mailscan installiert. :-?


----------

