| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei startWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
20.03.2010, 00:14
| #1 |
 |  ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start Hi, habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist. Mit ein paar Freunden haben wir, nachdem wir den verdacht hatten, dass sich ein Rootkit auf unserem System befindet, denen eine Falle gestellt, sodass wir einen nur den kleinen Speicher (Lower MEM glaube ich) denen Bootbar machten . Mit Freedos gestartet konnten wir schon die Rootkit dateien sehen auf Laufwerk A: sowie Laufwerk Q: waren die Verzeichnisse /BIN /LIB /USR/LEVEL0 /USR/LEVEL1 /USR/LEVEL3 /ETC sowie Dateien wie Auotexec.bat Autoexec_ru.bat config.sys kernel zu sehen. Wir konnten ausfindig machen, dass das BIOS so verändert wurde, dass eine erweiterte Addressierung in den ROM von der Grafikkarte vorgenommen wurde. Mit einem Trick konnten wir sogar die Gespräche zwischen den Clients aufzeichnen, da waren massig Clients von der ganzen Welt verbunden RU Ukraine TR USA vor allem, und nach ner Weile begannen sie die Arbeit aufzunehmen und haben unsere Fake HD nach Dateien abgescannt und versucht sie zu recoveren. Befehle im DOS wurden so verändert, dass meine Befehle z.B. als Argumente wie Luft behandelt wurden oder befehle geroutet wurden, sodass meine Befehle wirkungslos wurden. Z.B. stand da in der _MODBOOT.BAT @if "%debug% "==" " echo off" if "%1"==":" if not "%2"==" goto %2 "%shift%"=="" kbfl if not "%shift%"==" " if exist %ramdrv%\bin\el!.com el!1 if err call 0% : _shift Q:\bin\2PERUSE.CAB -y exist Q:\bin\volume.com volume.com Q:RAMDISK -> %ramdrv%\bin exist Q:\bin\umbchk.bat call Q:\bin\umbchk.bat for %%i in (0 1 2 3 4 5 6 7 8 9) do if exist Q:\_autoru%%i.bat call Q:\_autoru%% del %_delq% Q:\_a achja ich verweise noch an den Link hier [link]http://www.hijackthis-forum.de/hijackthis-logfiles/42755-bios-firmware-virus-rk.html?highlight=firmware[/link] die Botclients haben hier im Forum gelesen nachdem sie mein Fake-Mailaccount geknackt hatten und haben sich gewundert woher der , dass mit Bytesession weiss, knapp 60000 bytes haben denen ausgereicht um diverse Skripte aufzuführen. Als Editor wurde der Volkov Commander benutzt. vielleicht findet sich ja eine der Ahnung von der Materie hat oder vielleicht selbst mal in der Szene früher tätig war |
| Themen zu ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start |
| .com, 0 bytes, ahnung, anfang, aufzeichnen, autoexec, bios, dateien, diverse, fake, freunde, geknackt, grafikkarte, kleine, kleinen, laufwerk, link, not, problem, rechner, rootkit, speicher, start, system, trick, ukraine, verdacht, verweise, verändert |
Baum-Darstellung