Pc spinnt / Unknown MBR Code... Bootkit?
 

Hallo,

also teilweise spinnt das Internet an meinem Rechner. Der Seitenaufbau funktioniert dann teilweise und die Seiten laden dann endlos aber laden nur teilweise in Chrome und auch FF IE nutze ich nicht. Leitung 100Mbit und bei anderen Clients ist mir das Problem bisher noch nicht aufgefallen. Des Weiteren hatte ich das Gefühl, dass der PC teilweise ferngesteuert wird z.B. einfach aus dem Ruhezuhstand aufwacht und andere merkwüdige Sachen passieren deshalb auch mein Beitrag.

Gefunden habe ich bisher Unknown MBR code. Anstelle nur zu fixen würde mich auch eine Möglichkeit interessieren um den MBR code zu betrachten und zu sehen was oder eventuell auch wer oder wie der PC infiziert wurde.

Wie sieht es eigentlich aus mit UEFI Rootkits oder Rootkits in Grafikkarten? Auch wenn es noch nicht sehr häufig ist funktionieren tut es ja. Wie kann man Grafikkarte und UEFI überprüfen?

Anbei die Logfiles mir ist nichts besonderes aufgefallen außer GMER und da gab es auch 2 Fehlermeldungen "C:\windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." und C:\users\Frank\ntuser.dat auch. Hab vorher auch schon Trojaner gefunden z.b. Katusha etc ist alles schon gelöscht aber leider läuft der PC noch nicht richtig. MBAM hat nur PUP gefunden.


FSRT.txt

Addition.txt
Bootkit remover

GMER Teil1

GMER Teil2

hi,

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hi schrauber,

leider nichts gefunden. Unknown MBR könnte auch falsch positiv sein?
AswMBR, GMER und BootkitRemover sagen ja Unknown MBR.
Bin aber trotzdem davon überzeugt, dass hier irgendwas nicht stimmt.
Gibt es denn irgendeine Möglichkeit GPU oder UEFI zu prüfen?

GPU? Nein. Sowas gibt es auch nicht. Nur in Laboren und schlechten Science-Fiction Filmen.

Lade dir bitte Emsisoft MBR Master herunter und speichere es auf den Desktop.

• Führe die mbrmastr.exe aus.
• Drücke auf Backup MBR und speichere es als emsi auf den Desktop.
• Schliesse dann das Programm wieder.
• Packe die erstellte emsi.mbr in ein zip-Archiv (Rechtsklick -> Senden an -> Zip-komprimierten Ordner) und hänge die Datei hier an.
• Auf dem Desktop wird ebenfalls eine Textdatei MBRMastr_<date>_<time>.txt erstellt. Poste deren Inhalt bitte hier.

"in schlechten Science-Fiction Filmen" oder auf GitHub https://github.com/x0r1/jellyfish . Also mir hätte auch ein einfaches "Nein gibt es nicht" als Antwort gereicht. Bzgl UEFI hab ich n Vortrag von der BlackHat gefunden schau ich mir den halt mal an war ja auch nur ne Frage :crazy:.

Bei den Logs bisher war alles sauber? Die suspicious Files laut GMER sind auch normal nehme ich mal an. Vielleicht gibt ja die .zip Datei Aufschlüsse wenn nicht mache ich auch gerne weiter wenn es noch mehr Tools zum Scannen gibt.

Vielen Dank schonmal für die Hilfe.

Du hast von GPU geredet ;).
Und das, was Du dort verlinkt hast, wirste auch auf keinem Rechner eines Normalo-Menschen finden.

MBR ist auch sauber, Logs sind sauber :)

Ja GPU genau. Der Link ist ein Proof of Concept eines GPU Rootkits für Linux. Als weitere Quelle zu meiner Aussage würde ich dann mal Heise präsentieren l+f: Der Keylogger in der GPU | heise Security

Es geht hier auch nicht darum funktionsfähigen Code zu präsentieren den jeder einsetzten kann, wir sind hier ja auch nicht in einem Hacker Forum :wtf:.
Wenn es ein PoC gibt kann ich mir doch auch ziemlich sicher sein, dass jemand mit ausreichend Fähigkeit und Zeit sowas umsetzen kann und auch nicht direkt postet. Also theoretisch funktioniert das ganze schonmal, inwiefern es auch benutzt wird bzw. ob man das bei "Normalo-Menschen" findet ist natürlich schwer zu beurteilen wenn es nichtmal die Möglichkeit zur Überprüfung gibt oder? Was "Normalo-Menschen" sind kann ich auch nur vermuten, aber das ganze schweift ja eh schon viel zu weit ab. Es ging ja auch in keinster Weise darum wie häufig es sowas gibt sondern nur ob es eine Möglichkeit zur Überpfüng gibt, wie man auch meinem ersten Beitrag entnehmen kann.

Und UEFI hatte ich ja auch erwähnt das ist auch nur schlechte Science-Fiction ja?
Schade, dass man diesbezüglich keine sachliche Diskussion führen kann sondern einem mit Verunglimpfungen geantwortet werden. Ist anscheinend der falscher Ort für solche Fragen.

Trotzdem :dankeschoen: für die ansonsten nette Hilfe beim Scannen, ich gehe mal davon aus, dass es auch keine weiteren Möglichkeiten mehr zum Scannen gibt, da ja der letzte Beitrag diesbezüglich auch keine Anweisung enthält.

Nö, nach dem 300sten User der denkt, er hätte sowas, wird man halt komisch. Es gibt sowas, im Labor.

Keiner von uns wird sowas auf dem Rechner haben. Und erkennbar an Scans ist es schon zweimal nicht.