Ich habe unterdessen diverse Threads von dir in diversen Foren entdeckt. Es haben sich mehrere Leute, die eine Menge Ahnung haben, mit der Untersuchung deines Systems beschäftigt. Wenn dann aber nicht herausgekommen ist, was Du gerne haben möchtest, nämlich dass auf deinem System die gefährlichste und heimtückischste Seuche aller Zeiten gefunden wird (Warhols 15 Minuten Rum winken immerhin), dann hörst Du auf zu antworten.
Jetzt nur mal ein paar Anmerkungen zu dem ersten Beitrag in diesem Thread, für alles, was Du bereits geschrieben hast, habe ich keine Zeit.
Zitat:
Zitat von BiosViruZzZ  Hi, |
Hi
Zitat:
|
habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist.
|
Man lässt in einem harmlosen Modboot ein 'o' weg und schon hat man einen extrem gefährlichen ModBot auf dem System. Weißt Du eigentlich, dass deine Festplatte extra einen Bot-Sektor hat? Du kannst ihnen nicht entkommen.
Zitat:
|
Mit ein paar Freunden haben wir, nachdem wir den verdacht hatten, dass sich ein Rootkit auf unserem System befindet, denen eine Falle gestellt, sodass wir einen nur den kleinen Speicher (Lower MEM glaube ich) denen Bootbar machten .
|
Wie genau war denn diese "Falle" beschaffen, wie habt ihr das gemacht? Glauben hilft hier herzlich wenig weiter, wir sind nicht in der Kirche.
Zitat:
|
Mit Freedos gestartet konnten wir schon die Rootkit dateien sehen auf Laufwerk A: sowie Laufwerk Q: waren die Verzeichnisse /BIN /LIB /USR/LEVEL0 /USR/LEVEL1 /USR/LEVEL3 /ETC sowie Dateien wie Auotexec.bat Autoexec_ru.bat config.sys kernel zu sehen.
|
Welche Dateien? Wie heißen sie, was ist in ihnen enthalten? Warum wurden sie nicht zu Virustotal hochgeladen für eine erste Überprüfung? Hast Du schon mal
diese Seite gelesen?
Zitat:
|
Wir konnten ausfindig machen, dass das BIOS so verändert wurde, dass eine erweiterte Addressierung in den ROM von der Grafikkarte vorgenommen wurde.
|
Wie habt ihr das gemacht? Wie genau ist diese erweiterte Adressierung beschaffen? Wenn ich ein DOS boote, gibt es da auch Adressen, die in das ROM der Grafikkarte zeigen, ohne die könnte man die dort vorhandenen Funktionen ja gar nicht ansprechen.
Zitat:
|
Mit einem Trick konnten wir sogar die Gespräche zwischen den Clients aufzeichnen, da waren massig Clients von der ganzen Welt verbunden RU Ukraine TR USA vor allem,
|
Lässt Du uns an dem Trick teilhaben? Das alles unter Freedos?
Zitat:
|
und nach ner Weile begannen sie die Arbeit aufzunehmen und haben unsere Fake HD nach Dateien abgescannt und versucht sie zu recoveren.
|
Die Fake HD hast Du auch nicht weiter erklärt, nach Dateien muss man nicht scannen, die öffent man einfach und was meint hier "recoveren"?
Zitat:
|
Befehle im DOS wurden so verändert, dass meine Befehle z.B. als Argumente wie Luft behandelt wurden oder befehle geroutet wurden, sodass meine Befehle wirkungslos wurden.
|
Welche Befehle? Wie wurden sie verändert? "geroutet"?
Zitat:
Z.B. stand da in der _MODBOOT.BAT
@if "%debug% "==" " echo off"
if "%1"==":" if not "%2"==" goto %2
"%shift%"=="" kbfl
if not "%shift%"==" " if exist %ramdrv%\bin\el!.com el!1
if err call 0% : _shift Q:\bin\2PERUSE.CAB -y
exist Q:\bin\volume.com volume.com Q:RAMDISK -> %ramdrv%\bin
exist Q:\bin\umbchk.bat call Q:\bin\umbchk.bat
for %%i in (0 1 2 3 4 5 6 7 8 9) do if exist Q:\_autoru%%i.bat call Q:\_autoru%% del %_delq% Q:\_a
|
ganz sicher dass das da drin stand? Meine minimalen Batchkenntnisse sagen mir, dass da eine Menge Fehler drin stecken.
Zitat:
achja ich verweise noch an den Link hier
[link]http://www.hijackthis-forum.de/hijackthis-logfiles/42755-bios-firmware-virus-rk.html?highlight=firmware[/link]
|
Hab ich schon gefunden, ebenso deinen zweiten Account im Hijackthis-Forum mit einem weiteren Beitrag. Alles Verhaltensweisen, die nicht gerade dazu führen, dass man ernst genommen wird. Crosspostings werden normalerweise gelöscht.
Zitat:
|
die Botclients haben hier im Forum gelesen nachdem sie mein Fake-Mailaccount geknackt hatten und haben sich gewundert woher der , dass mit Bytesession weiss,
|
Und schwupp hat sich die Fake-HD in einen Fake-Mailaccount verwandelt. Wobei man keinen Mailaccount braucht, um dieses Forum zu lesen. Wurden hier harmlose Bootclients in gefährliche Botclients verwandelt?
Zitat:
|
knapp 60000 bytes haben denen ausgereicht um diverse Skripte aufzuführen. Als Editor wurde der Volkov Commander benutzt.
|
Wie hieß es doch in der Werbung für ein zweifelhaftes Magazin: Fakten, Fakten, Fakten.
Zitat:
|
vielleicht findet sich ja eine der Ahnung von der Materie hat
|
Ich hacke seit der Frühzeiten der Homecomputer auf solchen Maschinen, hab jahrelang DOS-Systeme genutzt, die meisten Windows-Versionen, diverse Linux-Systeme. (Btw: Wenn am Ende einer Eingabeaufforderung unter Linux ein '#' steht, dann bist Du Administrator. Andere Benutzer sehen dort '$'. Du siehst, dass ich mehr von dir gelesen habe.) Von der Materie habe ich aber wohl keine Ahnung. Computer sind nichts esoterisches wo man irgendwas zu glauben hätte.
Zitat:
|
oder vielleicht selbst mal in der Szene früher tätig war
|
Ich bedaure, so tief war ich niemals in die Drogen- bzw. Esoszene verstrickt. Aber von dem Kraut, dass Du da rauchst, hätte ich gerne was.
In einem anderen Forum wurde dir unterdessen von einer Kollegin der Vorschlag gemacht, das System mal richtig neu zu installieren. Wenn Du dich danach allerdings weiterhin in die Recoverypartition reinhackst, wirst Du dort immer noch Dinge finden, die Du nicht verstehst. Das ist nicht schlimm, man muss einfach nur akzeptieren, dass unsere Welt viel zu komplex ist, als dass man alles auf ihr verstehen könnte.
Gruß, Karl
22.03.2010, 11:46
Baum-Darstellung