Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Karna und brastk Prpblem! (https://www.trojaner-board.de/63190-karna-brastk-prpblem.html)

Ozz2k6 29.10.2008 22:21
Karna und brastk Prpblem!
 
Hallo,
habe seit einigen Tagen ein Problem mit Karna und brastk.exe.
Ich poste hier mal mein Log und bitte um schnelle Hilfe!
Danke

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:17:21, on 29.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222858391701
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PREVXAgent - Prevx - C:\Programme\Prevx2\PXAgent.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 6432 bytes

Ozz2k6 30.10.2008 17:42
Ich hatte gestern ein Test mit Prevx2.0 gemacht und habe mich echt erschrocken,siehe Bild!
Ist es wirklich so schlimm?
http://www.bilder-space.de/thumb/PgW8sKuP07p0ddM.PNG
Außerdem kann ich nur noch mit dem IE surfen,wenn auch nur mit Modemgeschwindigkeit,Firefox hat sich total verabschiedet :(
Hilfee

HoKum 30.10.2008 19:20
hy,

tja, dieser backdoor geht ganz schön die runde momentan....

der trojaner besteht aus 4 files, was ich derzeit weiß, ist aber ein kryptischer und deshalb nur in 1. Instanz 4 files.

1. c:\windows\system32\drivers beep.sys
2. c:\windows\system32 brastk.exe
3. c:\windows\system32 karna.dat
c:\windows karna.dat

beep.sys initialisiert dir die 2 anderen als prozesse und regkeys. beep.sys kannst einfach löschen (windows meldet dann was wennst eine systemdatei löschen willst). mit löschen mein ich shift+del, nicht papierkorb ;o)

brastk.exe istn prozess den du mittels taskmanager zuerst beendest und dann die datei löscht.

eine der 2 karna.dat kannst direkt löschen und die andere mußt mittels hijackthis während dem windows startup löschen, da, und jetzt das wichtigste diese .dat im interrupt fähigen prozess beim windows start initialisiert wird. d.h. die wird vor allen anderen prozessen als erster ausgeführt und kann dir z.B. die firewall, virenscanner blockieren...
das ist dieser HiJackThis eintrag:

O20 - AppInit_DLLs: karna.dat

nachdem du die anderen dateien entfernt hast starte HiJackThis, geh im main screen auf "open the misc tools section" und dann auf "delete a file on reboot..." wo du dann den pfad eingeben kannst dens beim nächsten winboot löscht. eben den karna.dat pfad den du nicht löschen konntest, da der ja im moment im speicher ist und ausgeführt wird......

hab den backdoor bei nem laptop in der 1. Instanz so weg bekommen, wobei der aber ein ganz fieser kryptischer ist. wennst lang einzelne dateien rumlöscht, wird er neue machen und die anders benennen... deswegen hoff ich das das alle files sind. wobei mir HiJack und konsorten nichts böses mir anzeigen....

viel glück,

mfg

Ozz2k6 30.10.2008 20:06
Hallo nochmal,ich habe alles gemacht,wie du es geschrieben hast,bei HiJackThis habe ich dann Karna.dat gesucht,die dll existiert aber nirgendwo,sodass ich sie bei einem Reboot killen kann!
Ich habe den ganzen Rechner durchsucht,nirgend zu finden,HJT zeigt ihn aber an als O20 - AppInit_DLLs: karna.dat.
Was tun? Bin nun richtig ratlos!
Neuaufsetzen?

HoKum 30.10.2008 20:14
Zitat:
Zitat von Ozz2k6 (Beitrag 387241)
Hallo nochmal,ich habe alles gemacht,wie du es geschrieben hast,bei HiJackThis habe ich dann Karna.dat gesucht,die dll existiert aber nirgendwo,sodass ich sie bei einem Reboot killen kann!
Ich habe den ganzen Rechner durchsucht,nirgend zu finden,HJT zeigt ihn aber an als O20 - AppInit_DLLs: karna.dat.
Was tun? Bin nun richtig ratlos!
Neuaufsetzen?
ganz ruhig ^^

hab ich irgendwo .dll geschrieben??? ist schon diese karna.dat

beim laptop hatte ich sie in c:\windows\system32 und in c:\windows
versuch mal mit windows suche oder aktiviere ordentliche ordneroptionen im arbeitsplatz.

arbeitsplatz->extras->ordneroptionen->reiter ansicht.... damit deine daten mit den entsprechenden erweiterungen gezeigt werden!!!


wenn dein windows auf C: liegt als verzeichnis C:\WINDOWS dann gib das einfach in HiJack ein

c:\windows\system32\karna.dat
und ein zweites mal
c:\windows\karna.dat

dann müßte es funzen :daumenhoch:

den anschließenden reboot nicht vergessen!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:00 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129