| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: brastk.exe, karna.dat und weitereWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2008, 11:39
| #1 |
 |  brastk.exe, karna.dat und weitere Hallo. Ich hoffe in diesem tollen Forum, dass mir schon das ein oder andere mal geholfen hat kann mir jemand mit meinem aktuellen etwas schwerwiegenderem Problem helfen. Ich habe hier einen Laptop an dem eigentlich gerade eine Diplomarbeit geschrieben wird..daher soll ich den schnell wieder klar machen habe aber selber auch so gut wie keine Ahnung. Seit gestern kommt beim Starten die Meldung "Your computer is infected" und ich habe die Dateien brastk.exe und karna.dat gefunden. ZoneAlarm ist dadurch deaktiviert . In einem anderen Forum habe ich gelsen, dies komme einem Totalschaden gleich woanders stand, die Datei C:/windows/system32/drivers/beep.sys schreibt die beiden Dateien in die Registry und durch löschen vonn beep.sys, karna.dat und brastk.exe könnte man das Problem lösen. Bis jetzt habe ich es geschafft alle Datein zu entfernen und Antivir und Spybot haben dazu noch einiges anderes gekillt. Mit CCcleaner und EasyCleaner habe ich dann noch versucht die Registry zu säubern und smitrem habe ich auch noch gestartet. Zonealarm war wieder aktiv aber die Alert-Meldung kam noch immer. Beim Neustart heute waren alle Dateien wieder da...Also wieder gelöscht bis nur noch zwei seltsame Dateien in system32 übrig waren die nach dem Entfernen sofort wieder mit neuem Namen und neuer Endung auftauchten. Momentan lasse ich Antivir mit agressiven Einstellungen drüberlaufen. Bin gerade im abgesichrten Modus und keine der verdächtigen Dateien ist zu finden auch nicht die beiden die ich im normalen Modus nicht löschen konnte. Nun frage ich mich wie ich weitermachen soll. Von meinen Programmen wird lediglich karna.dat und beep.sys erkannt. brastk.exe kommt immer unerkannt durch und auch die Dateien mit dem wechselnden Namen sind nicht zu greifen. Kann dann lediglich von Hand löschen mit z.B. Spybot Dateishredder. Ich poste hier mal eine HijackThis log file und hoffe jemand kann die mal durchschauen. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 11:48:17, on 19.10.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\ctfmon.exe G:\repair\EasyCleaner\EasyClea.exe G:\repair\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe G:\repair\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 194.94.24.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Win service] Winje.exe O4 - HKLM\..\Run: [MSN service] ilm.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [brastk] brastk.exe O4 - HKLM\..\RunServices: [Win service] Winje.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VPN Client.lnk = ? O4 - Global Startup: MA521 Configuration Utility.lnk = C:\Programme\NETGEAR\NETGEAR MA521 Adapter\wlancfg5.exe O4 - Global Startup: Program Neighborhood Agent.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - h**p://site.ebrary.com/lib/ntnu/support/plugins/ebraryRdr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199526982247 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: karna.dat O21 - SSODL: ProcApiSys - {10329226-E73A-B3F3-7F71-0033631CAE13} - C:\Programme\uazvmcb\ProcApiSys.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ewido security suite control - ewido networks - D:\M++\Aufräumen\ewido anti-malware\ewidoctrl.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Microsoft Network Service (Network) - Unknown owner - C:\WINDOWS\msnet32.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Der Computer ist ziemlich unaufgeräumt..ich denke es läuft viel unnötiges und es ist nur Servicepack1 installiert..das sind aber alles Sachen an denen ich momentan kurzfristig nichts ändern kann--da wie schon gesagt der Computer nicht meiner ist und zum weiterschreiben der Diplomarbeit dringend benötigt wird. Vielleicht kann mir ja jemand mit der logfile helfen und mir eventuell helfen in welcher Reihenfolge ich welche Programme drüberlaufen lassen soll. Besten Dank |
| Themen zu brastk.exe, karna.dat und weitere |
| antivir, avg, avgnt, avgnt.exe, avira, computer, dringend, einstellungen, entfernen, excel, explorer, frage, hijack, hijackthis, hijackthis log, internet, internet explorer, jusched.exe, log file, monitor, netgear, neustart, problem, programme, registry, security, security suite, software, starten, unerkannt, urlsearchhook, windows xp, ändern |
Baum-Darstellung