|
Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
04.04.2016, 00:42 | #151 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Yep, und ist dank seines fähigen Kerneltreibers auch nicht zimperlich mit bockigen Prozessen Ich weiss nicht, ob das normal ist, aber bei mir läuft das Ding immer aus irgend einem Grund rund um die Uhr =P Grüsse - Microwave Geändert von Microwave (04.04.2016 um 00:45 Uhr) Grund: Zusatz |
08.04.2016, 13:07 | #152 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Link zum Registry eines infizierten Win10-Systems:
__________________RegHODeskWin10INFECT.reg 109.799 MB hxxp://www.fileconvoy.com/dfl.php?id=gf38c360ed38aef779998097211b9ff11d9189c982 Überneme keine Haftung für mögliche Schäden die durch den Download entstehen. Kopie wurde mit Regedit unter Win erstellt.
__________________ |
10.04.2016, 10:01 | #153 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Wenn das nicht gerade die Registry von einer zu diesem Zweck erstellten VM ist, dann enthaelt eine Registry sehr viele private Daten und sollte unter keinem Umstand veroeffentlicht und verbreitet werden. Ich finde schon die Flut an privaten Daten, die hier im Forum fuer jedermann einsehbar ist aeusserst genzwertig.
__________________ |
13.04.2016, 22:54 | #154 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Wie bereits in einigen Posts zuvor erwähnt, nutzen wir seid 6 Monaten keinen einzigen Account/Passwort oder sonstige privaten Daten mehr über infizierte Systeme. Alle Daten die ich hier von den Systemen veröffentliche sind für Untetsuchungszwecke angelegte Accounts, egal ob MS Bebutzerkonten, Google Konten, AV-Konten oder IP-Daten... Das einzigste mit was ansatzweise als "relevant" eizustufen wäre, sind die Zugangsdaten zu diesem Account, da ich mich über infizierte Systeme darüber einlogge... Aber selbst das ist irrelevant,weil ich eifach einen neuen erstellen könnte und die hier geposteten daten auf 3 unterschiedlichen clouds verschlüsselt gesichert sind Folglich darf die Registry vollumfänglich analysiert und ohne Zurückhaltung durchsucht werden.... Sollte die kritischen Nachwuchs-Vierenjägen mit den Daten überfordert sein -wovon man mit Blick auf die vergangenen Beiträfe ausgehen muss- , empfehle ich einen Registry-Vergleich mit einem sauberen Win10-System nach Neuinstallation.
__________________ An mich adressierte, abwertende und persönlich beleidigende Posts/PMs ignoriere ich grundsätzlich. |
13.04.2016, 23:03 | #155 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Dürfen wir deine IP-Adressen und den daraus resultierenden Adressen den örtlichen Krankenhäusern mitteilen? Nur für den Fall der Fälle.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.04.2016, 01:14 | #156 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert aber hallo, zumal ich beteits mind 2 mal erwähnt habe -unabhängig von veröffentlichten daten- das wir in berlin wohnen und der veröffentlichte auszug mehrere wochen alt ist, die ip aber alle 24 std wechselt.. aber das weist du ja alles. zudem hast du als mod sowiso meine aktuelle ip, guck mal genau in deinen überarbeitsungsbereich... Hier nochmals ein bischen nichts aussagender Dünschüss vom aktuellen System: sysinternals via WSCC logonSessions.exe Code:
ATTFilter [CONSOLE] 14.04.2016 01:00:21 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started [0] Logon session 00000000:000003e7: User name: BBS-GROUP\BBS-SERVER$ Auth package: NTLM Logon type: (none) Session: 0 Sid: S-1-5-18 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [1] Logon session 00000000:00009220: User name: Auth package: NTLM Logon type: (none) Session: 0 Sid: (none) Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [2] Logon session 00000000:000003e4: User name: BBS-GROUP\BBS-SERVER$ Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-20 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [3] Logon session 00000000:000003e5: User name: NT-AUTORITÄT\Lokaler Dienst Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-19 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [4] Logon session 00000000:000003e3: User name: NT-AUTORITÄT\IUSR Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-17 Logon time: 13.04.2016 23:09:20 Logon server: DNS Domain: UPN: [5] Logon session 00000000:000a8fee: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [6] Logon session 00000000:000a9024: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [7] Logon session 00000000:00d4d966: User name: IIS APPPOOL\DefaultAppPool Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 Logon time: 13.04.2016 23:35:40 Logon server: DNS Domain: UPN: [8] Logon session 00000000:011beb11: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [9] Logon session 00000000:011beb25: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [10] Logon session 00000000:011c51ac: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: [11] Logon session 00000000:011c51e6: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: Logonsessions v1.3 Copyright (C) 2004-2015 Mark Russinovich Sysinternals - wwww.sysinternals.com [CONSOLE] 14.04.2016 01:00:27 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished [CONSOLE] 14.04.2016 01:01:01 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started [0] Logon session 00000000:000003e7: User name: BBS-GROUP\BBS-SERVER$ Auth package: NTLM Logon type: (none) Session: 0 Sid: S-1-5-18 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [1] Logon session 00000000:00009220: User name: Auth package: NTLM Logon type: (none) Session: 0 Sid: (none) Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [2] Logon session 00000000:000003e4: User name: BBS-GROUP\BBS-SERVER$ Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-20 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [3] Logon session 00000000:000003e5: User name: NT-AUTORITÄT\Lokaler Dienst Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-19 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [4] Logon session 00000000:000003e3: User name: NT-AUTORITÄT\IUSR Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-17 Logon time: 13.04.2016 23:09:20 Logon server: DNS Domain: UPN: [5] Logon session 00000000:000a8fee: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [6] Logon session 00000000:000a9024: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [7] Logon session 00000000:00d4d966: User name: IIS APPPOOL\DefaultAppPool Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 Logon time: 13.04.2016 23:35:40 Logon server: DNS Domain: UPN: [8] Logon session 00000000:011beb11: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [9] Logon session 00000000:011beb25: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [10] Logon session 00000000:011c51ac: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: [11] Logon session 00000000:011c51e6: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: Logonsessions v1.3 Copyright (C) 2004-2015 Mark Russinovich Sysinternals - wwww.sysinternals.com [CONSOLE] 14.04.2016 01:01:02 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished Code:
ATTFilter [CONSOLE] 14.04.2016 01:25:27 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started [0] Logon session 00000000:000003e7: User name: BBS-GROUP\BBS-SERVER$ Auth package: NTLM Logon type: (none) Session: 0 Sid: S-1-5-18 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [1] Logon session 00000000:00009220: User name: Auth package: NTLM Logon type: (none) Session: 0 Sid: (none) Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [2] Logon session 00000000:000003e4: User name: BBS-GROUP\BBS-SERVER$ Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-20 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [3] Logon session 00000000:000003e5: User name: NT-AUTORITÄT\Lokaler Dienst Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-19 Logon time: 13.04.2016 23:09:16 Logon server: DNS Domain: UPN: [4] Logon session 00000000:000003e3: User name: NT-AUTORITÄT\IUSR Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-17 Logon time: 13.04.2016 23:09:20 Logon server: DNS Domain: UPN: [5] Logon session 00000000:000a8fee: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [6] Logon session 00000000:000a9024: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 1 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:12:07 Logon server: DNS Domain: UPN: [7] Logon session 00000000:00d4d966: User name: IIS APPPOOL\DefaultAppPool Auth package: Negotiate Logon type: Service Session: 0 Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415 Logon time: 13.04.2016 23:35:40 Logon server: DNS Domain: UPN: [8] Logon session 00000000:011beb11: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [9] Logon session 00000000:011beb25: User name: Window Manager\DWM-2 Auth package: Negotiate Logon type: Interactive Session: 2 Sid: S-1-5-90-0-2 Logon time: 13.04.2016 23:46:26 Logon server: DNS Domain: UPN: [10] Logon session 00000000:011c51ac: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: [11] Logon session 00000000:011c51e6: User name: BBS-SERVER\BBSS Auth package: CloudAP Logon type: Interactive Session: 2 Sid: S-1-5-21-4091997533-1736783634-658159155-1001 Logon time: 13.04.2016 23:46:36 Logon server: DNS Domain: UPN: Logonsessions v1.3 Copyright (C) 2004-2015 Mark Russinovich Sysinternals - wwww.sysinternals.com [CONSOLE] 14.04.2016 01:25:28 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished
__________________ --> Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Geändert von dennissteins (14.04.2016 um 01:27 Uhr) |
14.04.2016, 07:56 | #157 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Berlin ja, aber genaue Adresse?
__________________ Logfiles bitte immer in CODE-Tags posten |
17.04.2016, 10:08 | #158 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert HIHO Leute von Heute, Mal Ganz ehrlich da hat einer ein Problem und dann sowas....wenn man sowas ließt....könnt man echt denken....das hier die beiden die regelmäßig antworten so nette leute von heute sind die seulch lustigen spaß fabraktizieren und mit charme u melone dezent auf kann ja nicht sein....was?trojaner???was ist den das?nee nee sowas gibts doch garnicht das ist....nein mal im ernst ich habe mir nicht alles angeschauen und sind echt eventl übertrieben viele logs etc usw und sofort aber das was ich "überfliegen" konnte....hm......wenn ich jetzt ein wenig dumm wäre was ich nicht bin..dann könnte ich dummer weise denken leute die helfen können auch nicht helfen -auf deutsch:leute die so lustige bits u bytes u codes in die welt setzen = leute die vermeindlich lustige bits u bytes u codes "bekämpfen" u nebenbei verleugnen.....ein wenig weit her ich weiß.....aber mal ehrlich....auch wenn der jenige der hier mit logs um sich "schmeißt" hat nicht ganz unrecht.....leider....u möglich wäre es das er sich das sich in die heimischen laufwerke gehollt hat...aber da ich ja "dumm" bin kann ich das natürlich nicht einschätzen. Hab vor jedem Respekt der hier sich die mühe macht u helfen tut auch von allen Proganoisten in diesem Threat....sorry aber....man könnte echt fast denken was man halt so denken könnte. jetzt könnt ihr gern noch meine Gramatische belächeln oder auch nicht Fakt ist doch aber das hier jemand ein problem hat was durchaus eins ist.und da ist nichts gegen zu sagen. Mit Freundlichen Grüßen Main Neme |
17.04.2016, 11:43 | #159 | |
/// the machine /// TB-Ausbilder | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Ich musste den Text jetzt 5 mal lesen..... Ich geh aber nur auf eines ein: Zitat:
Wir haben uns lediglich erdreistet zu erwähnen, dass die Chance dass ein normaler Bürger so was bekommt ungefähr so hoch ist wie: 2mal direkt hintereinander einen 6er im Lotto zu haben, und beim Einlösen der Scheine vom LKW überfahren zu werden. Aber ok, gehen wir einfach mal davon aus es ist so, ändert es nichts an der Kernaussage: WIR, ONLINE, mit irgendwelchen TOOLS und LOGFILES von irgendwelchen TOOLS, werden da nie, never, niemals in diesem Leben einen echten BEWEIS finden und sehen, geschweige denn irgendwas dagegen machen können. Ist das endlich mal bei jedem angekommen? Und wenn der TO noch 200 Logs postet, ändert sich NULL. So eine Infektion (wenn überhaupt vorhanden) wird NIEMALS durch so ein Tool 100 % NACHWEISBAR erkannt werden. Und NIEMALS auch entfernt werden können. Und kein theoretisch möglicher Eingriff durch uns oder den TO selbst, physisch vor dem Rechner, wird die Situation je ändern. Also gibt es hier 2 Optionen: 1) endlich mal lesen und das Gegebene hin nehmen > Thread zu machen 2) weiter wild Logs posten die nix bringen, und weiter erwähnen dass es nix bringt > das wird ein verdammt langer Thread.....
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches |