Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 09.03.2016, 12:12   #16
dennissteins
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zum GMER-log fehlen noch mindestens 10 Teile, aber dann breche ich den mal ab...

Ubuntu ist auch vom Bootkit betroffen, wie alle Linuxsysteme, die ich bisher probiert habe. Nur der Zugriff des Clienten läuft über SSH und Samba, auch wenn ich die dazugehörigen Dienste stoppe und Programme deinstalliere.

MBRR findet nichts, auch wenn ich den von CD mit Schreibschutz laufen lasse, aber kann ich trotzdem nochmal laufen lassen. Etwas Geduld muss Win10 wieder mal neu installieren...

Hier kurz ein etwas älterer:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2016.02.26.05
  rootkit: v2016.02.17.01

Windows 10 x86 NTFS
Internet Explorer 11.0.10586.0
dennis :: DESKTOP-UVJEAAF [administrator]

26.02.2016 19:32:03
mbar-log-2016-02-26 (19-32-03).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 282860
Time elapsed: 9 minute(s), 42 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)
         
Und weil der aussagekräftig ist noch ein etwas älterer RougeKIller

Code:
ATTFilter
RogueKiller V11.0.13.0 [Feb 22 2016] (Free) by Adlice Software
Mail : hxxp://www.adlice.com/contact/
Feedback : hxxp://forum.adlice.com
Website : hxxp://www.adlice.com/software/roguekiller/
Blog : hxxp://www.adlice.com

Betriebssystem : Windows 10 (10.0.10586) 32 bits version
gestarted in : normaler Modus
User : dennis [Administrator]
Started from : C:\Users\dennis\Desktop\Sonstiges\RogueKiller.exe
Modus : Scannen -- Datum : 02/26/2016 19:24:11

¤¤¤ Prozesse : 1 ¤¤¤
[Suspicious.Path] JQAQZP.exe(3140) -- C:\Users\dennis\AppData\Local\Temp\JQAQZP.exe[-] -> beendet [TermThr]

¤¤¤ Registry : 11 ¤¤¤
[PUP] HKEY_LOCAL_MACHINE\Software\Partner -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\JQAQZP (C:\Users\dennis\AppData\Local\Temp\JQAQZP.exe) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ZXWAIKD (C:\Users\dennis\AppData\Local\Temp\ZXWAIKD.exe) -> Gefunden
[Suspicious.Path|Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswMBR (\??\C:\Users\dennis\AppData\Local\Temp\aswMBR.sys) -> Gefunden
[Suspicious.Path|Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswVmm (\??\C:\Users\dennis\AppData\Local\Temp\aswVmm.sys) -> Gefunden
[Suspicious.Path|Hidden.From.SCM] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pwwdqpod (\??\C:\Users\dennis\AppData\Local\Temp\pwwdqpod.sys) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JQAQZP (C:\Users\dennis\AppData\Local\Temp\JQAQZP.exe) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ZXWAIKD (C:\Users\dennis\AppData\Local\Temp\ZXWAIKD.exe) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswMBR (\??\C:\Users\dennis\AppData\Local\Temp\aswMBR.sys) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswVmm (\??\C:\Users\dennis\AppData\Local\Temp\aswVmm.sys) -> Gefunden
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pwwdqpod (\??\C:\Users\dennis\AppData\Local\Temp\pwwdqpod.sys) -> Gefunden

¤¤¤ Aufgaben : 0 ¤¤¤

¤¤¤ Dateien : 0 ¤¤¤

¤¤¤ Host Dateien : 0 ¤¤¤

¤¤¤ Antirootkit : 41 (Driver: geladen) ¤¤¤
[SSDT:Inl(Hook.SSDT)] ZwThawTransactions[32] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86322052 (jmp dword [0x81a932b8])
[SSDT:Inl(Hook.SSDT)] ZwSinglePhaseReject[44] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e6a6 (jmp dword [0x81a932f8])
[SSDT:Inl(Hook.SSDT)] ZwSetInformationTransactionManager[73] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86322d24 (jmp dword [0x81a932fc])
[SSDT:Inl(Hook.SSDT)] ZwSetInformationTransaction[74] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321d12 (jmp dword [0x81a932bc])
[SSDT:Inl(Hook.SSDT)] ZwSetInformationResourceManager[77] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631f0a6 (jmp dword [0x81a932c0])
[SSDT:Inl(Hook.SSDT)] ZwSetInformationEnlistment[83] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631dfb8 (jmp dword [0x81a932c4])
[SSDT:Inl(Hook.SSDT)] ZwRollforwardTransactionManager[104] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8632269a (jmp dword [0x81a93310])
[SSDT:Inl(Hook.SSDT)] ZwRollbackTransaction[105] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321ca8 (jmp dword [0x81a932c8])
[SSDT:Inl(Hook.SSDT)] ZwRollbackEnlistment[106] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e3c6 (jmp dword [0x81a932cc])
[SSDT:Inl(Hook.SSDT)] ZwRollbackComplete[107] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e812 (jmp dword [0x81a932d0])
[SSDT:Inl(Hook.SSDT)] ZwRenameTransactionManager[122] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86322532 (jmp dword [0x81a93314])
[SSDT:Inl(Hook.SSDT)] ZwRegisterProtocolAddressInformation[132] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86322e62 (jmp dword [0x81a93318])
[SSDT:Inl(Hook.SSDT)] ZwRecoverTransactionManager[133] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86322752 (jmp dword [0x81a932d4])
[SSDT:Inl(Hook.SSDT)] ZwRecoverResourceManager[134] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631ed32 (jmp dword [0x81a932d8])
[SSDT:Inl(Hook.SSDT)] ZwRecoverEnlistment[135] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631dcfe (jmp dword [0x81a932dc])
[SSDT:Inl(Hook.SSDT)] ZwReadOnlyEnlistment[138] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e75c (jmp dword [0x81a93334])
[SSDT:Inl(Hook.SSDT)] ZwQueryInformationTransactionManager[176] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff863227ae (jmp dword [0x81a93338])
[SSDT:Inl(Hook.SSDT)] ZwQueryInformationTransaction[177] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321470 (jmp dword [0x81a9333c])
[SSDT:Inl(Hook.SSDT)] ZwQueryInformationResourceManager[180] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631ee98 (jmp dword [0x81a93340])
[SSDT:Inl(Hook.SSDT)] ZwQueryInformationEnlistment[185] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631dd5a (jmp dword [0x81a93344])
[SSDT:Inl(Hook.SSDT)] ZwPropagationFailed[201] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff863230f0 (jmp dword [0x81a93348])
[SSDT:Inl(Hook.SSDT)] ZwPropagationComplete[202] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86323026 (jmp dword [0x81a9334c])
[SSDT:Inl(Hook.SSDT)] ZwPrePrepareEnlistment[207] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e256 (jmp dword [0x81a93358])
[SSDT:Inl(Hook.SSDT)] ZwPrePrepareComplete[208] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e536 (jmp dword [0x81a9335c])
[SSDT:Inl(Hook.SSDT)] ZwPrepareEnlistment[209] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e19e (jmp dword [0x81a93350])
[SSDT:Inl(Hook.SSDT)] ZwPrepareComplete[210] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e47e (jmp dword [0x81a93354])
[SSDT:Inl(Hook.SSDT)] ZwOpenTransactionManager[213] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff863222c0 (jmp dword [0x81a93360])
[SSDT:Inl(Hook.SSDT)] ZwOpenTransaction[214] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321272 (jmp dword [0x81a93364])
[SSDT:Inl(Hook.SSDT)] ZwOpenResourceManager[223] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631eb7e (jmp dword [0x81a93368])
[SSDT:Inl(Hook.SSDT)] ZwOpenEnlistment[241] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631db5a (jmp dword [0x81a9336c])
[SSDT:Inl(Hook.SSDT)] ZwGetNotificationResourceManager[277] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631ed8c (jmp dword [0x81a93370])
[SSDT:Inl(Hook.SSDT)] ZwFreezeTransactions[289] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321f7a (jmp dword [0x81a93374])
[SSDT:Inl(Hook.SSDT)] ZwFlushWriteBuffer[293] : C:\Windows\System32\halmacpi.dll @ 0xffffffff81826d46 (call dword [0x81a93134])
[SSDT:Inl(Hook.SSDT)] ZwEnumerateTransactionObject[307] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321a30 (jmp dword [0x81a93330])
[SSDT:Inl(Hook.SSDT)] ZwCreateTransactionManager[338] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff863220a8 (jmp dword [0x81a9332c])
[SSDT:Inl(Hook.SSDT)] ZwCreateTransaction[339] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86320f56 (jmp dword [0x81a93328])
[SSDT:Inl(Hook.SSDT)] ZwCreateResourceManager[349] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e8c8 (jmp dword [0x81a93324])
[SSDT:Inl(Hook.SSDT)] ZwCreateEnlistment[371] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631d958 (jmp dword [0x81a932f4])
[SSDT:Inl(Hook.SSDT)] ZwCommitTransaction[383] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff86321c3e (jmp dword [0x81a932f0])
[SSDT:Inl(Hook.SSDT)] ZwCommitEnlistment[384] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e30e (jmp dword [0x81a932ec])
[SSDT:Inl(Hook.SSDT)] ZwCommitComplete[385] : C:\Windows\System32\drivers\tm.sys @ 0xffffffff8631e5ee (jmp dword [0x81a932e8])

¤¤¤ Web Browser : 0 ¤¤¤

¤¤¤ MBR Überprüfung : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKX-60U6AA0 ATA Device +++++
--- User ---
[MBR] 460fec65a733cabb21d0dda791f6f41c
[BSP] 81052d5fb4596d0fffc65f9b899d6319 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 500 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1026048 | Size: 99499 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
         
Aber aktueller AntimalwarebytesAR kommt auch noch.

Alt 09.03.2016, 12:44   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zitat:
Ubuntu ist auch vom Bootkit betroffen, wie alle Linuxsysteme, die ich bisher probiert habe.
Wenn du das schon immer wieder erwähnst dann schreib auch bitte endlich mal woran du das im Log festmachst. Ubuntu zu infizieren ist mehr als schon ein Kunststück es sei denn man scheißt auf alle default Sicherheitsmaßnahmen die bei so einer typischen Linux-Distro umgesetzt werden. Deswegen glaub ich an ein Bootkit so nicht.
__________________

__________________

Alt 09.03.2016, 13:28   #18
dennissteins
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Aber das ist doch völlig egal, welches OS du installiert hast, das Rootkit hat - quasi wie im Netzwerk- eine oder mehrere verstecke Partitionen direkt "neben" dir und kann alles beliebig manipulieren. Da hilft auch die Verschlüsselung nichts, wenn du mit dem System hochgefahren bist.

Bei mir in Ubuntu werden die Packetlisten manipuliert und sie sie auch schon direkt nach Installation des OS, wenn ich nur einen download starte, dann habe ich automatisch manipulierte Packete installliert....wenn ich keine Packete installierte, werden irgednwann welche versteckt installiert. Und das sind nur Zugangswege des Rootkit, die mir bekannt sind....

Hier auch nochmal eine kleine Gallerie:

Rootkit nimmt Kaspersy auseinander, Hooks



So oder ähnlich ist es mit fast alles Anti-Rootkit Tools








Wenn man sich gegen die Malware wehrt, passiert bei den Security Suiten das:

Windows 10: Ein paar Minuten nach der Neuinstallation:
Das Rootkit hat schon alles vorbereitet, Win total maipuliert:











Ein weiterer Zugriff ging über eine VOIP-Schwachstelle in der FritzBox,
wir hatten nie Telefone eingerichtet, schongar nicht mit Rufumleitung




Meines Erachtens müssen dies die verstecketen Volumes sein (loop),
das Bild zeigt nämlich die Volumes auf der Festplatte; aber es dürfte gar keine geben, weil ich vorher
alle Partitionen mit DBAN gelöscht habe.



@cosinus
Ich denke, ich habe auch für Ubuntu ausreichend Belege für eine Infektion, aber konzentrieren wir uns doch -wie gewünscht - zunächst auf Windows.
__________________

Alt 09.03.2016, 13:33   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Sry aber mir wird das hier ein wenig zu müßig. Du postest da wild ein Screenshot nach dem anderen mit mehr als schwammigen Beschreibungen. Wo Windows zB direkt nach der Installation manipuliert sein woll geht da überhaupt nicht raus. Oder du hast irgendwo was aufgeschnappt und schlussfolgerst aus dem falschen Wissen bzw der falschen Annahme irgendwelchen Lötzinn?

Eine einfache Googlesuche nach "loopdevice" oder den besagten S-Usern usw hätte dir ein wenig Panik genommen. Rootkit in dxgkrnl.sys und tm.sys? Die Prüfsummen sind i.O.

Rootkit, das in eingebildeter versteckter Partition sein soll, gleichzeitig in Windows und Linux läuft? Also ich glaub du siehst vor lauter Hysterie alles mögliche....
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (10.03.2016 um 11:17 Uhr) Grund: typo

Alt 09.03.2016, 13:53   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zitat:
Ich denke, ich habe auch für Ubuntu ausreichend Belege für eine Infektion
Wenn du meinst du hast die dann BITTE ausführlich und DEUTLICH und KLAR zusammengefasst in dem Thread im Linuxbereich posten.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2016, 13:55   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



und btw:

Zitat:
12:13:04.868 Disk 0 Windows 7 default MBR code
default code. nix bootkit. Auf GMER kannst du im Übrigen auf W8 und W10 nix mehr geben.
__________________
--> Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert

Alt 09.03.2016, 13:59   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



da ich bisher noch nicht daran glaube, dass es hier was zu bereinigen gibt, werd ich mal in den Diskussionsbereich verschieben.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.03.2016, 15:21   #23
dennissteins
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Die Frage ist nicht ob es etwas du bereinigen gibt, sondern ob das die geeignete Plattform/ hinreichende Kompetenz für diese komplexe Malware ist. Und das ist weniger eine Kritik an das Board als vielmehr an mir, denn ich hätte viel füher AV-Hersteller direkt kontaktieren müssen.

Vor mehr als 6 Monaten als die Infektion deutlich wurde, wollte ich - wie viele andere die darüber informiert sind - das Ausmaß auch nicht wahr haben. Heute sehe ich das anders.

PS: Ubuntu, das ich heute neu installiert habe fährt jetzt schon nicht mehr hoch und zeigt Fehlermeldungen, trotz Vollverschlüsselung. Bin wieder mit einem LIVE-OS online.

Alt 09.03.2016, 21:46   #24
rwkraemer
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Bei sowas wie Viren und Trojaner kann man schnell in Paranoia verfallen. Vor einigen Jahren wurde angeblich ein Super-Biosvirus entdeckt, den letzten Beweis blieb man allerdings schuldig:

hxxp://www.chip.de/news/BadBIOS-Potentieller-Supervirus-befaellt-alle-Systeme_65235066.html

Ich bin ja Linux-Nutzer, vor einigen Jahren verhielt sich mein System auch merkwürdig. Wenn ich ein Programm startete, zeigte System Monitor immer einen Netzwerkverkehr an. Laut Firestarter sendete mein Notebook Pakete über wlan, obwohl mein Laptop per Kabel und DSL-Modem mit dem Internet verbunden war. Denn Ubuntu-Beitrag finde ich leider nicht wieder. Bis heute weiss ich nicht, was da genau vorgefallen war. Mein Modem konnte jedenfalls kein Wlan. Irgendwann bekam ich einen neuen Router, ich setzte das System auch neu auf, und seitdem scheint Ruhe zu sein.

Man muss sich halt vor Augen halten, dass man als normaler Nutzer sich vor einem gewissen Prozentsatz an bösartiger Software schützen kann, aber eben nicht vor jeder. Allerdings sind die Typen mit professioneller Software sind sowieso nicht an normale Nutzer wie du und ich interessiert.

Alt 10.03.2016, 09:16   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zitat:
Zitat von dennissteins Beitrag anzeigen
Die Frage ist nicht ob es etwas du bereinigen gibt, sondern ob das die geeignete Plattform/ hinreichende Kompetenz für diese komplexe Malware ist.
Du haust da wieder einfach ne Behauptung einer "Supermalware" raus, weil dein Linux und Windows "herumspinnt" (was auch immer das genau heißen soll). Und weil GMER irgendeinen Blödsinn angezeigt. Kommentar dazu gab es. Es ist auch nicht verwunderlich, dass Anti-Rootkit-Tools gerade über Einträge von Kaspersky oder anderen AVs stolpern.

Fakt jedenfalls ist, dass MBAR nix gefunden hat und aswMBR Standardcode im MBR fand. Also nix Bootkit. Und FRST war auch unauffällig.

Also zum letzten Mal, poste die genauen Zeilen aus den Logs, die eine Infektion belegen oder ich bin hier raus. Einfach nur behaupten und sich einreden da sei ne Infektion, weil ja alles was man nicht kennt durch einen Virus kommt, ist nur eine Behauptung, kein Beleg.


Zitat:
Zitat von dennissteins Beitrag anzeigen
Vor mehr als 6 Monaten als die Infektion deutlich wurde, wollte ich - wie viele andere die darüber informiert sind - das Ausmaß auch nicht wahr haben. Heute sehe ich das anders.

PS: Ubuntu, das ich heute neu installiert habe fährt jetzt schon nicht mehr hoch und zeigt Fehlermeldungen, trotz Vollverschlüsselung. Bin wieder mit einem LIVE-OS online.
Das ist doch total schwammiger Dünnschiss...

Was genau soll vor sechs Monaten Passiert sein? Erläuterung fehlt
Fehlermeldungen - ja welche denn genau? Weil man deren Ursache nicht kennt ist alles ein Virus oder wie?
Was hat eine Vollverschlüsselung mit Schädlingen zu tun? Genau, ziemlich wenig, wenn das System gestartet ist, sind die cryptodevices gemountet und man sieht sie normal als wenn sie unverschlüsselt seien
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (10.03.2016 um 11:16 Uhr) Grund: typo

Alt 10.03.2016, 10:58   #26
schrauber
/// the machine
/// TB-Ausbilder
 

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Jungs, das Thema ist doch in ein paar Sekunden vom Tisch.

Spinnen wir mal etwas rum, und bleiben bei der Theorie:

Wenn dieses Bootkit es jemals, jemals, aus dem Labor raus geschafft haben sollte (falls es existiert, auch hier fehlen schlussendlich Fakten) und dann auch noch anstatt große Firmen und Finanzinstitute einen stinknormalen, langweiligen Normalbürger infiziert (nix gegen Dich @TO, aber so Dinger findet ein Normaluser nie im Netz), und sogar schon Festplatten getauscht wurden, ist eine "Bereinigung" nicht möglich.

Also ist das Thema schon beendet. Wenn selbst ne neue HDD und alle Tools dieser Welt nix können, bleiben nur 2 Schlussfolgerungen:

1) da war nie was
2) da geht nie was, in Sachen "Bereinigung"

fertig.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 10.03.2016, 19:14   #27
dennissteins
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Evtl. wäre es sinnvoll wenn ihr interne mal darüber diskutiert, wie hier mit Usern die Hilfe suchen umgegangen wird und ob das angemessen ist.
Ich habe mich hier aus meiner Sicht angemeldet um Hilfe zu erhalten und so viel wie möglich Informationen zu liefern, damit das Problem analysiert und evtl. behoben werden kann. Dazu habe ich meine Sicht der Ding zur Infektion ergänzt.

Ergbnis: Ich erhalte Beiträge im Wortschatzbereich der Fäkalsprache und werde - so kommt es bei mir an - als Spinner hingestellt, der Aufmerksamkeit sucht. Und dass von den Verantwortlichen hier..

Angemessener wäre z.B. sicher Folgendes Fazit gewesen:

"Also anhand der Logs und bisherigen Infos ist nicht anzunehmen, das du infiziert bist, evtl. solltest du das zur Sicherheit nochmal bei XY abklären. Du dafst einige Funde einzelner Tools nicht überinterpretieren"
Das wäre vollkommen okay für mich gewesen.

Zudem solltest ihr auch dringend klären, wo die Grenzen eurer Hilfe sind. Es kann nicht sein, dass sich User, die hier Hilfe suchen, sich beleidigt fühlen, weil ihr an eurer Kompetenzgrenze angekommen seid oder etwas für unmöglich haltet.

Alt 10.03.2016, 21:18   #28
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zitat:
Zitat von dennissteins Beitrag anzeigen
Evtl. wäre es sinnvoll wenn ihr interne mal darüber diskutiert, wie hier mit Usern die Hilfe suchen umgegangen wird und ob das angemessen ist.
Ob das angemessen ist oder nicht, kann jeder im Thread hier nachlesen. Es scheint, dass die User ganz zufrieden sind mit unserer Arbeit.

Hinsichtlich der Kompetenzen sei Dir gesagt, dass wir eng mit AV-Herstellern zusammenarbeiten.
Ich habe den Thread nur kurz überflogen - aber Du postest wild und unaufgefordert irgendwelches Zeug.

Poste doch mal ein Log von TDSS-Killer. (Scan mit allen Parametern)

So wie Schrauber schon sagt, ist es äußerst unwahrscheinlich mit solcher Malware in Kontakt zu kommen. Und zusätzlich ist sie für Win 8 oder 10 auch nicht konzipiert (Secure Boot).
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 10.03.2016, 22:49   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



Zitat:
Zitat von dennissteins Beitrag anzeigen
Zudem solltest ihr auch dringend klären, wo die Grenzen eurer Hilfe sind. Es kann nicht sein, dass sich User, die hier Hilfe suchen, sich beleidigt fühlen, weil ihr an eurer Kompetenzgrenze angekommen seid oder etwas für unmöglich haltet.
Wie deeprybka auch schon bemerkt: du postest wild irgendwelche Screenshots, die null Informationen hinsichtlich deines "Problems" bringen. Antworten auf meine Fragen, die uns viel eher hier weiterbringen können, postest du einfach nicht. Stattdessen erklärst du einfach, wir hätten eine Kompetenzgrenze. Wenn du hier nach mehrfach wiederholten Aufforderungen einfach nicht mitarbeiten willst, solltest du dir vllt mal besser überlegen warum meine Postings so verfasst sind...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.03.2016, 23:47   #30
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Standard

Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert



@dennissteins: sagma, ganz ehrlich bist du auch als Lazarus Long im Heiseforum bekannt? => Rootkit löschen?!? | Forum - heise online

Anfang/MItte Februar 2016 hast du auch was ins Kundenforum von HP gepostet => Bios-Rootkit auf meinem HP280 G1 MT - HP Kundenforum - 394037
Und da hast du ja erwähnt, dass man dich woanders schon als einen "Spinner" bezeichnete...
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert
anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches




Ähnliche Themen: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert


  1. Malware in Firmware und Hardware
    Diskussionsforum - 18.08.2015 (26)
  2. Virus infiziert mehrere Systeme, verbreitet sich scheinbar auch übers Netzwerk. Virenprogramme "blind"
    Log-Analyse und Auswertung - 04.03.2015 (17)
  3. Malware für das Bios... gibt es Schutz?
    Antiviren-, Firewall- und andere Schutzprogramme - 02.01.2014 (8)
  4. Malware trotz OS X Internet Reccovery - VM Malware? Ubuntu in EFI ? Win7 im gleichen Netz infiziert
    Alles rund um Mac OSX & Linux - 26.06.2013 (5)
  5. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Mülltonne - 20.04.2013 (15)
  6. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Mülltonne - 10.04.2013 (2)
  7. PC infiziert mit Claro Search - Alle Bereinigungsmaßnahmen bisher erfolglos
    Plagegeister aller Art und deren Bekämpfung - 25.12.2012 (19)
  8. Windows 7; Alle Dlls infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.09.2012 (3)
  9. Infiziert BKA Trojaner weitere Systeme?
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (4)
  10. (Unbekanntes) Bootkit
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (6)
  11. alle dll´s infiziert. Tropper.Generic 3 u. Win32/zbot G
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (15)
  12. 3 Systeme infiziert, auch Probleme mit der Registry
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (6)
  13. Bootkit Remover
    Anleitungen, FAQs & Links - 30.05.2010 (1)
  14. BIOS/Firmware Virus/RK sehr hartnäckig und intelligent
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (11)
  15. Notebook infiziert? Browser verweigern alle den Dienst
    Log-Analyse und Auswertung - 18.08.2009 (6)
  16. PC infiziert! Alle Töne verzerrt, Rechner langsam.
    Plagegeister aller Art und deren Bekämpfung - 03.02.2008 (2)
  17. W32.virut.w - alle exe-Dateien infiziert- brauchen Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 23.10.2007 (6)

Zum Thema Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert - Zum GMER-log fehlen noch mindestens 10 Teile, aber dann breche ich den mal ab... Ubuntu ist auch vom Bootkit betroffen, wie alle Linuxsysteme, die ich bisher probiert habe. Nur der - Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert...
Archiv
Du betrachtest: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.