Hallo zusammen.
ich meinte eigentlich relativ sicher zu sein. Surfe über Router (relativ strikt konfiguriert), Zonalarm läuft, Antivir läuft - regelmäßig Scan mit Spybot und Hijackthis. Surfen nur mit Firefox - Mail nur mit Thunderbird... Denkste ....

Habe heute morgen eine Virenwarnmeldung bekommen:

In der Datei 'C:\Programme\Tweak-XP Pro 4\tweak-xp.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.1922177' [WORM/Rbot.1922177] gefunden.

Das Virus konnte gelöscht werden.

HJackThis gab mir aber eine Warnmeldung aus:
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
wurde als unsicher eingestuft - Hinweise andere User -Virus - Trojaner.

Ansonsten war das Log clean. Habe noch Spybot drüber laufen lassen und Spohos Antir-Rootkit. Spybot: 0 Fehler / Probleme - Sophos ne ganze Menge einträge- die kann ich aber nicht einnorden.

Hat jemand einen ähnlichen Fall gehabt? Bzw. hat eine Idee, ob die server.exe wirklich gefährlich ist?

ich fände es lieber, wenn du hier deinen komplette logfile von HijackThis posten würdest.. und dies hier beachtest

mOIn

Zitat:

Hat jemand einen ähnlichen Fall gehabt? Bzw. hat eine Idee, ob die server.exe wirklich gefährlich ist?

Ich fürchte sogar sehr

Mache alle Dateien und Ordner sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

Lasse die Datei beiden Dateien
C:\WINDOWS\system32\server.exe
C:\Programme\Tweak-XP Pro 4\tweak-xp.exe
mal hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Vielen Dank für die Antwort - hier das komplette Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:37:36, on 25.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Security\AntiVir PersonalEdition Classic\sched.exe
C:\Security\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Security\AntiVir PersonalEdition Classic\avgnt.exe
C:\Security\ZoneAlarm\zlclient.exe
C:\Hardware\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Web\Firefox\firefox.exe
C:\Helpers\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://****/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Accessibility Toolbar - {11352A67-0178-46B1-8855-D50B2F81C054} - C:\Programme\WAT_DE\Accessibility_Toolbar.dll
O4 - HKLM\..\Run: [nForce Tray Options] REM sstray.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Security\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Security\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] REM "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Easy-PrintToolBox] REM C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: JAP.lnk = I:\Programme\Jap\jap.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B386EEBF-4CE2-474A-856E-94E118354E10}: NameServer = ***
O17 - HKLM\System\CCS\Services\Tcpip\..\{F651BEAE-B53C-440D-8162-5FD7855F0001}: NameServer = ***
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Security\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Security\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo nochdigger,
danke für die Tipps. Die Odner und Dateien waren bei mir so eingestellt wie du beschrieben hast.

Das verrückte: Die Server.exe ist bei mir nirgends zu finden....Die Tweaksoftware habe ich gestern deinstalliert.. diese Datei gibt es also auch nicht mehr...

Ich bin noch etwas unentschlossen, ob das System noch vertrauenswürdig ist und ich nur noch den Key aus der Registry nehmen soll... oder neu aufbauen

mOIn

Zitat:

Ich bin noch etwas unentschlossen, ob das System noch vertrauenswürdig ist

im zweifelsfalle würde ich neu aufsetzen, es hat sich, auch wenn die Datei nun nicht mehr zu finden ist, mit sehr großer Wahrscheinlichkeit um Troj/Bifrose-B gehandelt.
Da es sich hier sehr wahrscheinlich um den o.g. Backdoortrojaner handelt, rate ich dir zum Neuaufsetzen mit anschließender Absicherung nach dieser Anleitung.

Es bleibt aber deine Entscheidung.

MFG

Hi,
Habe auch die Meldung von Antivir bekommen, daß mein Tweak-XP nen wurm haben soll.

[edit]
eröffne bitte für dein problem einen eigenen beitrag

danke
GUA
[/edit]

??
Aber es ist doch genau dasselbe, wie im Start des Thread. Warum dafür extra ein weiteres Thema, das hier ist doch nicht erledigt und vielleicht trägt mein Scan der, möglicherweise identischen Datei, zur Fehlersuche bei!

(ist nämlich EXAKT der gleiche Fund bei EXAKT der gleichen Datei!
Und das klingt doch schon ziemlich nach gleichem Thread! )

Aber bitte..ist unübersichtlicher aber wenn es gewünscht ist, fasse ich es gerne nochmal zusammen obwohl obsolet.

Hallo Fischkopp

natürlich ist es schöner wenn zu einem Problem auch ein Beitrag erstellt wird (wegen der Übersicht).

Ich denke aber, hier liegt der Fall klar, die Datei ist leider relativ eindeutig von mehreren Scannern als Bot (Backdoor) identifiziert worden, darum solltest auch du der oben verlinkten Anleitung zum Neuaufsetzen folgen.

MFG