"Your Compuer is infected!" Help? Virus....

Hallo ,
ich habe seit gestern ein Problem...was sicher viele haben aber ich versteh das alles nicht. Also gestern habe ich im Internet gesurft und habe Adope Reader deinstalliert (ka ob das was damit zu tun hat) aufeinmal ist mein Computer abgestürtzt. Als ich ihn wieder hochgefahren habe kam dort dieses "windows normal ausführen" das habe ich auch gedrückt aber als das Windows-Lade-Fenster öffnete ,öffnete sich auch ganz schnell ein blaues Fenster mit weißer Schrift ,was aber so shcnell wieder weg war weil der Pc imemr dann abgestützt ist. Dann habe ich den Pc nochmal gestartet und imemr war es das gleich.... Dann habe ich einfach mal auf "Windows nach zuletzt Konfigurationen starten (oder so) gedrückt und Windows hat sich normal gestartet. Aber auf dem Desktop unten rechts war nun dieses Kreuz-Symol was mir die Meldung "Your computer is infected...Windows has deteced spyware infection...." Wenn ich dort raufklicke passiert ersma schonma garnichts >.< ^^ ich krige es auch nicht weg oder so .... Nun habe ich mir undendliche Programme geholt und die installiert :

-Adaware (einmal einen full-scan gemacht hat bissl was gefunden aber brachte nichts)
-SPYWAREFighters (findet auch was und es wird alles in die Quarantäne geschoben aber löschen kann ich es nicht also entfernen bei Quarantäne bedeutet dort was anderes also es wird nur aus der Quarantäne beseitigt glaub ich und nicht gelöschT?!?! )
-PC TOOLS Firewall Plus (damit ich hoffentlich nich noch mehr Viren bekomme :/ )
-Clear Prog (ersma meine cookies und so gelöscht hat aber auch überhaupt nichts gebracht )
-Antivir findet eh nichts läuft aber auch ...findet immer nur paar sachen und die lösch ich dann
-SpyWare Doctor HATTE ich installiert aber da ich keine erwerbliche Lizenz habe konnte ich zwar die viren suchen aber nicht löschen da man fürs entfernen von den viren spywaredoctor erwerblich erwerben muss >.<

hoffe habe das soweit gut erklärt was ich gemacht habe und ich finde es ist natürlich auch noch wichtig das ihr mein Hjack This Log seht damit ihr mir vielleicht etwas auf die Spure helfen könnt :

HJT-Log entfernt.
http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html
TheDoctor


da ich mich in diesen Fach überhaupt nicht auskenne und mit http://www.hijackthis.de/de auch nicht zurecht komme bzw daraus nichts heraus lesen kann bitte ich euch mir zu helfen

wenn dann könnte ich nur entnehmen das dies schädlich ist

O20 - AppInit_DLLs: karna.dat naja aber ist warscheinlich auch falsch und ich wüste noch nichma wie ichd as behebe ^^

MfG Nhedor

 

hast du denn das Programm gelade, das verlangt wird?

btw ist kein Virus... ist ein Backdoortrojaner

 

welches Porgramm was verlangt wird?

 

sprich du hast mal nicht auf den link des Trojaners geklickt.. dann besteht noch Hoffnung:

1. Systemwiederherstellung deaktivieren http://www.bsi.de/av/texte/wiederher.htm

2. im Taskmanager beenden:

Code:

C:\WINDOWS\brastk.exe

3.Fixen (Haken bei HJT setzen und fixen klicken)

Code:

O4 - HKLM\..\Run: [brastk] brastk.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: karna.dat
O23 - Service: PTK License-SPYWARE-8415629 - SPAMfighter - D:\Programme\SPYWARE\licenseservice.exe
O23 - Service: PTK Live Update-SPYWARE-8415629 - SPAMfighter - D:\Programme\SPYWARE\updateservice.exe
023 - Service: PTK SharedAccess-SPYWARE-8415629 - SPAMfighter - D:\Programme\SPYWARE\configservice.exe

 

Also um das jetz mal zu vertsehen soll ich die Systemwiederherstellung deaktivieren damit die danach von HJT gefixeten Dateien nicht wiederhergestellt werden. ^^?

Naja aufjedenfall versteh ich Schritt eins überhaupt nicht ... in dem link steht auch nur was das heißt für mich^^ und nicht wie das geht bin auch etwas blöd aber lässt sich ja nicht ändern...nur wenn ihr mir es erklärt ;-)

schritt zwei brauch ich ja nur taskmanager bei prozesse brask.exe beenden das ja einfach und schritt drei ista uch nicht kompliziert einfach nur nochma bei HJT nochma scanen und dann das ankreuzen udn fixen..auch einfach also das versteh ioch ja aber schritt eins garnicht?


//edit: ah habe doch gefunden wie man es macht einfach nur googeln aber habe grad den fehler gemacht das ich im abgesichterten modus war aber dort mein wlan abgeschaltet war und ich nicht mehr gucken konnte was ich fixen sollte ;D naja jetz nochma versuchen..

oder soll ich überhaupt in den abgesicherten Modus? nich das ich noch was falsch mache xD steht zumin so auf dem link^^

 

So habe es jetzt nicht im abgesicherten Modus gemacht sondern im normalen^^ so wie dus auch gesagt hast in den Schritten... habe den Pc jetz neugestartet nachdem ich gefixed habe und unten rechts ist nun nicht mehr dieses Kreuz... aber ich weiß ja nicht ob ich noch Viren drauf hab ?? Mit welchen Porgramm kann ich das überprüfen und welche Programme soll ich drauflassen? Also SPYWAREFighters ist jetz ja auch nicht mehr geöffnet wurde ja gefixed^^ und bratsk ist auch nicht mehr unter Prozesse im Taskmanager aber das hat ja seine richtigkeit oder?

darf ich denn jetzt eigentlich systemwiederherstellung wieder aktivieren?

MfG Nhedor

 

habe den pc jetzt nocheinmal gestartet und dann ist da wieder dieses kreuz unten rechts und brastk.exe und das andere taucht auch wieder unter Prozesse auf also wohl doch abgespreicherter Modus? naja ich warte ersma auf eine Antwort...

 

liegt an der Systemwiederherstellung...

 

Deoroller das weiß ich lange must ma lesen xD
^^

naja versuche es mal im abgesicherten modus

 

nach dem fixen lösche bitte manuell die gefixten Daten via Explorer


sag mal gutnacht

 

aber ich sollte nicht im abgesicherten modus fixen oda? nämlich dort gibts garkeine brastk.exe unter prozesse^^ also im normalen Zustand ...??
habe ich ja auch geamcht aber das kam dann ja doch nach dem zweiten neustart wieder und jetz soll ich das alles nocheinmal machen und danach also nach dem fixen die gefixten Dateien manuell löschen? Versteh ich nicht! Also die sind doch dann schon weg und ich würde sie auch nicht finden .,.....-.- rofl^^ versteh das nicht^^ bin doch schon kurz davor das es weg ist oda?

 

fixen eliminiert die datei lediglich aus dem autostart...
löschen musst per hand

 

EDIT//:

O4 - HKLM\..\Run: [brastk] brastk.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: karna.dat
O23 - Service: PTK License-SPYWARE-8415629 - SPAMfighter -
O23 - Service: PTK Live Update-SPYWARE-8415629 - SPAMfighter - D:\Programme\SPYWARE\updateservice.exe
023 - Service: PTK SharedAccess-SPYWARE-8415629 - SPAMfighter - D:\Programme\SPYWARE\configservice.exe

^^ die sollte ich ja fixen aber nun finde ich manche von denen ja schon nicht mehr im log^^ also der log sieht so aus:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:31:41, on 19.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\GamerMouse-GM-4200\Panel.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\SPYWARE\spywarefighter\SpywarefighterUser.exe
D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\LevelOne\Common\RaUI.exe
D:\Spiele\Metin2\metin2.bin
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\Hijackthis\HijackThis.exe
D:\Programme\Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Trust Gaming mouse] D:\Programme\GamerMouse-GM-4200\Panel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [spywarefighterguard] D:\Programme\SPYWARE\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [00PCTFW] "D:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = D:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.1\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - D:\Programme\PC Tools Firewall Plus\FWService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 5494 bytes


____________________________________________
so und daher kann ich die anderen ja nicht fixen wenn sie nicht mehr da sind?? bzw brastk.exe ist ja noch da udn habe ich gefixed ...aber ich kann das ja nicht manuell löschen wenn kein pfad angegeben ist oder? und wenn ich das nicht mache kommst beim nächsten systemstart wieder^^

 

das log ist vorerst mal sauber

der pfad:
C:\WINDOWS\brastk.exe

http://www.pcwango.de/Versteckte-Dateien-anzeigen-lassen-bei-Windows-XP-87/

 

habe die datei jetzt gelöscht^^ mache kurz nen neustart um zu gucken^^




...durch löschen der bratsk.exe wird lediglich das Symbol unten rechts entfernt ?? das hat ja nichts mit dem Zusammenhang der Viren,Trojaner zutun ?? Wie kann ich am besten prüfen, ob ich noch weitere Viren habe?


edit//: grad noch entdeckt:

C:\WINDOWS\Prefetch name :BRASTK.EXE-1DA4BC13.pf

die auch löschen?

 

die datei ist der Trojaner

weiters mach einen Systemcheck auf Kaspersky mit IE...
http://www.kaspersky.com/de/virusscanner

dann hast du ne gewisse Sicherheit

So n8

edit: ja hause weg

 

Jo danke ersma^^ Also nurnoch klitze kleine Fragen:

"vorerst" was meinste denn damit (also außer die datei die ich jetz rausgenommen habe)

Und SPYWAREFighter soll ich löschen vom PC ?? weil sollte da ja auch von ne dateifixen und seitdem erscheint nimmer aufm autostart^^
PcTools Firewall Plus auch deinstalieren ? oder lassen ^^ ?oder du hast bestimmt Ahnung ...was empfielst du mir als SIcherheitsbasis (darunter versteh ich Programme die kostenlos sind und eine Vollversion sind ,nicht imemr diese beschränkten Versionen die sind nicht gut)... habe bisher nur antivir und ne die firewall plus (die aber nur kurz eingesetzt^^)^^

MfG Nhedor

 

ja lösch spywarefighter

die FW schmeiss auch gleich weg

http://humster.homepage24.de/PC Sichermachen

es reicht ein av wie avira oder avg+ brain.exe

der rest ist humbug und bringt nur mehr risiko

 

^^ ich hab ja im normalen modus gefixt und nicht im abgesicherten ^^ war ja auch richtig oda?
weil habe grade in deiner Signatur nocheinmal nachgeguckt und da gehört zu einen der Schritten Pc in abgesicherten Modus bringen^^ naja

achja ....systemwiederherstellung kann ich wieder aktivieren oda?

 

wenn er weg ist, is gut

und ja schalt sie wieder an..

ein log bitte noch