brastk.exe, karna.dat und weitere
 

Hallo. Ich hoffe in diesem tollen Forum, dass mir schon das ein oder andere mal geholfen hat kann mir jemand mit meinem aktuellen etwas schwerwiegenderem Problem helfen.

Ich habe hier einen Laptop an dem eigentlich gerade eine Diplomarbeit geschrieben wird..daher soll ich den schnell wieder klar machen habe aber selber auch so gut wie keine Ahnung. Seit gestern kommt beim Starten die Meldung "Your computer is infected" und ich habe die Dateien brastk.exe und karna.dat gefunden. ZoneAlarm ist dadurch deaktiviert . In einem anderen Forum habe ich gelsen, dies komme einem Totalschaden gleich woanders stand, die Datei C:/windows/system32/drivers/beep.sys schreibt die beiden Dateien in die Registry und durch löschen vonn beep.sys, karna.dat und brastk.exe könnte man das Problem lösen.

Bis jetzt habe ich es geschafft alle Datein zu entfernen und Antivir und Spybot haben dazu noch einiges anderes gekillt. Mit CCcleaner und EasyCleaner habe ich dann noch versucht die Registry zu säubern und smitrem habe ich auch noch gestartet. Zonealarm war wieder aktiv aber die Alert-Meldung kam noch immer.
Beim Neustart heute waren alle Dateien wieder da...Also wieder gelöscht bis nur noch zwei seltsame Dateien in system32 übrig waren die nach dem Entfernen sofort wieder mit neuem Namen und neuer Endung auftauchten.
Momentan lasse ich Antivir mit agressiven Einstellungen drüberlaufen. Bin gerade im abgesichrten Modus und keine der verdächtigen Dateien ist zu finden auch nicht die beiden die ich im normalen Modus nicht löschen konnte.

Nun frage ich mich wie ich weitermachen soll. Von meinen Programmen wird lediglich karna.dat und beep.sys erkannt. brastk.exe kommt immer unerkannt durch und auch die Dateien mit dem wechselnden Namen sind nicht zu greifen. Kann dann lediglich von Hand löschen mit z.B. Spybot Dateishredder.

Ich poste hier mal eine HiJackThis log file und hoffe jemand kann die mal durchschauen.





Der Computer ist ziemlich unaufgeräumt..ich denke es läuft viel unnötiges und es ist nur Servicepack1 installiert..das sind aber alles Sachen an denen ich momentan kurzfristig nichts ändern kann--da wie schon gesagt der Computer nicht meiner ist und zum weiterschreiben der Diplomarbeit dringend benötigt wird.
Vielleicht kann mir ja jemand mit der logfile helfen und mir eventuell helfen in welcher Reihenfolge ich welche Programme drüberlaufen lassen soll.
Besten Dank

Hi
Formatieren und neu installieren. dabei dann auch gleich alle Updates installieren, damit sich das nicht wiederholt. Der einfachste und schnellste weg, sich wieder auf die Diplomarbeit konzentrieren zu können.

Windows XP vor Servicepack 2 hat keinen Support mehr, zu Recht, das ist offen für jeden Wurm. Die von dir genannten Sachen sind ja schon ziemlich nervig, zusätzlich hat der Rechner aber auch noch eine Infektion durch einen Backdoorserver, ist damit gar nicht mehr dein Rechner. Das ist wesentlich gefährlicher wenn auch unauffälliger als der dezente Hinweis darauf, dass dieser Computer verseucht ist.

Karl

Hallo..was meinst du mit dem backdoorserver? wo siehst du das wie bekommt man das weg und was macht das?

Ich habe jetzt nachdem ich alle dateien entfernt hatte auch noch mal Malwarebytes Anti-Malware drübergeschickt und der hat dann auch noch die letzte auffällige exe datei aus system32 gefunden...ausserdem noch einen barskt.exe eintrag in der der registry oder so. Der Computer läuft jetzt also erstmal wieder problemlos (scheint mir so--daher die Frage wegen dem backdoorserver...ich mach nochmal ein highjackthis log jetzt wo ich scheinbar keine Probleme mehr habe)

Das mit dem Neumachen ist ne Option für die nächsten Tage/Wochen ich hoffe bisher reicht es erstmal aus um weiter arbeiten zu können oder ist das mit dem backdoorserver zu gefährlich?

achja...geht neuaufsetzen auch mit nem externen CD-Laufwerk? das im Laptop ist nämlich Schrott

Für deine Arbeit brauchst du sicherlich kein Internet, sonst würdest du Datenverlust riskiren. Also jick würd mahl sajen Stecker raus!:party:
:)Natürlich fürs Internet.
Viel Glück, bei deiner Diplom-Arbeit!:daumenhoc

also neuaufsetzen werde ich aufjedenfall sobald ein neues CD-Laufwerk vorhanden ist (nochmal die Frage: kann man mit externem CD-Laufwerk neuaufsetzen?)

nochmal zum backdoorserver: was kann da genau passieren? hat dadurch jemad zugriff auf meine dateien? auf mein internet? oder was genau? Internbet bröäuchte ich nämlich schon ab und zu mal die nächsten Tage

Hängt davon ab dass der Computer bereits vom Bios aus das Gerät unterstützen muss. Prognose schwierig, einfach ausprobieren. Wenn das Installationsprogramm lädt sollte es klappen. Sonst muss wohl das interne Laufwerk getauscht werden.

Da kann eigentlich alles passieren. Das ist ein Programm, mit dem jemand anders von außen auf dem Computer arbeiten kann. Da Du ihm freundlicherweise auch Administratorrechte eingeräumt hast, darf er alles tun. Was er kann, hängt nur von seinen persönlichen Fähigkeiten ab, die dürften deine vermutlich übersteigen (sonst würdest Du nicht hier nachfragen sondern wüsstest so was zu tun ist).

Heißt er kann Programme deinstallieren und installieren, hat Zugriff auf alle auf seinem Computer gespeicherten Dateien, kann sie verändern, kann deine Internetverbindung komplett nutzen, kann sein (ja, deins ist es nämlich nicht mehr, Du bist nur noch geduldeter Mitnutzer) System beliebig konfigurieren, usw. Um die Backdoor nutzen zu können ist natürlich eine Verbindung des Computers ins Netz erforderlich. Deshalb kam wohl auch die Empfehlung den Computer nicht mehr mit dem Netz zu verbinden.

so...habe alle persönlichen Daten runtergenommen und in Internetkabel schliesse ich nur noch für einige Sekunden an--wie um das hier zu Posten.

Nun meine Frage: kann sich jetzt etwas auf meiner externen HD befinden was Probleme nach dem neuaufsetzen macht?

und noch ne Frage---gibt es Möglichkeit wie ichs ehen kann ob wirklich jemand auf meinem Rechner aktiv ist? hab da mal was von Task-manager gelesen.

Habe jetzt auch erfahren, dass es schon vor ca 1 Jahr Probleme gab irgendwelche Einstellungen zu machen da man keine Administratorenrechte besässe---ist der Mist also schon so lange drauf?

Der Plagegeist hat mich heute auch geärgert. Inzwischen bin ich ihn aber wieder los.

Ganz wichtig: Aus Windows/system32/drivers muss die Datei beep.sys mit entfernt werden!!! Warnhinweis kann ignoriert werden. Erst dann hat es geklappt. Vorher kam das Biest immer wieder.

Alles wichtige steht hier im Forum, daher nur kurz der Ablauf, wie ich es gemacht habe:

1. Im Ordner Windows können die beiden Dateien einfach gelöscht werden. In system32 lässt sich nur karna.dat löschen.

2. In der Regiytry suchen nach brastk und karna. Alle Werte löschen.

3. Windows/system32/drivers --> dort beep.sys löschen.

4. Temporäre Internetdaten alle löschen.

5. Mit HijackThis scannen. Der Virus blockiert aber das Programm. Dies muss vorher umbenannt werden in einen Namen, der mit .com endet. Dann kann man es starten. Mit diesem Programm die Schädlinge markieren und über die Funktion "Fix checked" löschen. Dann Rechner neu starten.

Dann war er weg. Hoffentlich bleibt er auch weg, aber ich habe jetzt den Rechner 2x neu gestartet und bisher scheint es dabei zu bleiben.

Die Cracks mögen mir verzeihen, dass ich das so laienhaft geschrieben habe. Aber alle diese Schritte habe ich hier im Forum gesammelt und mangels Ahnung könnte ich es gar nicht besser beschreiben.

Hallo, ich hatte auch das Problem mit der Meldung "Your computer is infected" und habe die Dateien brastk.exe, karna.dat und beep.sys gefunden.
Nach der Löschung habe ich nun ein hijackthis-log erstellt und wollte mal die Experten unter Euch fragen, ob der PC nun sauber ist. Hier ist der Log-Eintrag:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:16, on 08.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Mozilla\mozilla\mozilla.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\PMAIL\winpm-32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD62AFE5-C120-47B4-9AAB-B10CBE3950C6}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4138 bytes


Vielen Dank im Voraus!

Gruß
sedie