Hallo!

Bei mir hat die Firewall gemeldet dass ein neues Programm (bdfik.exe) ins Internet will. Ich hab keine Ahnung um was es sich handelt, ich hab auch nichts installiert. Allerdings war ich am Tag zuvor auf Seiten, wo sich automatisch ein Trojaner runtergeladen hat. Diesen hat mein Antivierenprogramm aber sofort erkannt und gelöscht. Nur bei der bdfik.exe meldet es nichts. Handelt es sich dabei um einen Trojaner, Backdoor, oder so? Oder ist es eine harmlose Systemdatei? Der Speicherort ist in C:\Windows\system32

Thx für eure Antworten

lass die datei mal auf dieser Seite:

http://www.kaspersky.com/de/scanforvirus

untersuchen

gruss Radja

Danke!

Ich habe die Datei überprüfen lassen, hier das Ergebnis:

Zu überprüfende Datei: bdfik.exe
bdfik.exe Infiziert: TrojanDownloader.Win32.VB.dj

Was soll ich jetzt machen? einfach die Datei löschen? Oder sind da noch mehrere Dateien versteckt?

was hast du für ein Betriebssystem?

windows xp

1.zunächst solltest du escan runterladen:
http://www.mwti.net/antivirus/free_utilities.asp
(entpacken in einen von dir erstellten ordner namens c:\bases

2. escan updaten (kavupd.exe ausführen)

3. systemwiderherstellung deaktivieren http://www.systemwiederherstellung-d...indows-xp.html

4. Windows im abgesicherten modus neu starten http://www.bsi.de/av/texte/winsave.htm#WindowsXP

5. Den Prozess bdfik.exe beenden (den solltest du im taskmanager unter prozesse finden)

6. Die bdfik.exe aus dem ordner in dem sie sich befindet ausschneiden und in einen von dir erstellten anderen ordner einfügen)

7. Das Programm aus 1. ausführen (kvss.exe)

dann bitte mal ein Hijack This logfile erstellen und hier posten!
HijackThis gibts hier

viel Erfolg

Radja

also, die datei bdfik.exe taucht bei den laufenden prozessen nicht auf.

ähh.... jetzt is sie auch nicht mehr im ordner c:\windows\system32 .....

wenn du escan schon ausgeführt hattest ist das auch gut so

besser auf jeden fall mal logfile von HJT(HijackThis) posten da kann man mehr sehen

Ich hab hier ein Bild vom Taskmanager gemacht.. schaut es euch mal an... is da alles in ordnung?
http://mitglied.lycos.de/nacanapah_s...askmanager.jpg

Here it is [img]graemlins/dummguck.gif[/img]


Logfile of HijackThis v1.97.7
Scan saved at 14:53:55, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\RAM Idle\RAMIdle.exe
C:\Programme\USB Storage RW\shwicon.exe
C:\WINDOWS\System32\JupitCo.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\anmanl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\LeechFTP\Leechftp.exe
C:\Dokumente und Einstellungen\Basti\Eigene Dateien\Downloads\progs\neue progs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RAM Idle] C:\Programme\RAM Idle\RAMIdle.exe
O4 - HKLM\..\Run: [ShowIcon_Winbond Electronics Corp._USB Storage R/W v1.16r064] "C:\Programme\USB Storage RW\shwicon.exe" -t"Winbond Electronics Corp.\USB Storage R/W v1.16r064"
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [anmanl] C:\WINDOWS\System32\anmanl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12118/CTSUEng.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe
O16 - DPF: {29C13B62-B9F7-4CD3-8CEF-0A58A1A99441} - http://fdl.msn.com/public/chat/msnchat41.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://81.216.10.59/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} - http://fdl.msn.com/public/chat/msnchat42.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://axis.retea.se/activex/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...901.3665856481
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - https://spk-sdb.izb-hb.de/KSPK_Schon...ageinstV10.cab
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://fdl.msn.com/public/chat/msnchat4.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12118/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A73B8C4-6F6F-4ED4-B54F-3ABB3C62BF4A}: NameServer = 217.237.151.97 194.25.2.129

die Datei war weg, ohne dass ich escan laufen hab lassen, ich bin grade dabei escan mal scannen zu lassen, wenn es fertig ist, poste ich wieder.. inzwischen sind schon 3 trojandownloader gelöscht. mein AntiVir hat die gar nicht gemeldet :-(