![]() |
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start Hi, habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist. Mit ein paar Freunden haben wir, nachdem wir den verdacht hatten, dass sich ein Rootkit auf unserem System befindet, denen eine Falle gestellt, sodass wir einen nur den kleinen Speicher (Lower MEM glaube ich) denen Bootbar machten . Mit Freedos gestartet konnten wir schon die Rootkit dateien sehen auf Laufwerk A: sowie Laufwerk Q: waren die Verzeichnisse /BIN /LIB /USR/LEVEL0 /USR/LEVEL1 /USR/LEVEL3 /ETC sowie Dateien wie Auotexec.bat Autoexec_ru.bat config.sys kernel zu sehen. Wir konnten ausfindig machen, dass das BIOS so verändert wurde, dass eine erweiterte Addressierung in den ROM von der Grafikkarte vorgenommen wurde. Mit einem Trick konnten wir sogar die Gespräche zwischen den Clients aufzeichnen, da waren massig Clients von der ganzen Welt verbunden RU Ukraine TR USA vor allem, und nach ner Weile begannen sie die Arbeit aufzunehmen und haben unsere Fake HD nach Dateien abgescannt und versucht sie zu recoveren. Befehle im DOS wurden so verändert, dass meine Befehle z.B. als Argumente wie Luft behandelt wurden oder befehle geroutet wurden, sodass meine Befehle wirkungslos wurden. Z.B. stand da in der _MODBOOT.BAT @if "%debug% "==" " echo off" if "%1"==":" if not "%2"==" goto %2 "%shift%"=="" kbfl if not "%shift%"==" " if exist %ramdrv%\bin\el!.com el!1 if err call 0% : _shift Q:\bin\2PERUSE.CAB -y exist Q:\bin\volume.com volume.com Q:RAMDISK -> %ramdrv%\bin exist Q:\bin\umbchk.bat call Q:\bin\umbchk.bat for %%i in (0 1 2 3 4 5 6 7 8 9) do if exist Q:\_autoru%%i.bat call Q:\_autoru%% del %_delq% Q:\_a achja ich verweise noch an den Link hier [link]http://www.hijackthis-forum.de/hijackthis-logfiles/42755-bios-firmware-virus-rk.html?highlight=firmware[/link] die Botclients haben hier im Forum gelesen nachdem sie mein Fake-Mailaccount geknackt hatten und haben sich gewundert woher der , dass mit Bytesession weiss, knapp 60000 bytes haben denen ausgereicht um diverse Skripte aufzuführen. Als Editor wurde der Volkov Commander benutzt. vielleicht findet sich ja eine der Ahnung von der Materie hat oder vielleicht selbst mal in der Szene früher tätig war |
Das ist in der Tat furchtbar. Es handelt sich um den berüchtigten Illuminati-ROM-Trojaner, der mit kleinen schwarzen Löcher sogar Read-Only-Memory und das User-Hirn überschreiben kann. Das Ding wurde von geheimen Logen entwickelt um die Menschheit zu unterwerfen. Wenn erstmal all ihre Computer, elektronischen Zündungen und Toaster beherrscht werden, ist es zu spät. Deshalb ist es ganz wichtig, dass Du sofort einen schweren Hammer nimmt, den befallenen Computer grob zerkleinerst und die Teile dann im Hangar 52 in Roswell abgibst. |
ähm ja witzig? wie wäre es mal mit mit einer konstruktiver Antwort, die den einen oder anderen weiter bringt |
Ich habe unterdessen diverse Threads von dir in diversen Foren entdeckt. Es haben sich mehrere Leute, die eine Menge Ahnung haben, mit der Untersuchung deines Systems beschäftigt. Wenn dann aber nicht herausgekommen ist, was Du gerne haben möchtest, nämlich dass auf deinem System die gefährlichste und heimtückischste Seuche aller Zeiten gefunden wird (Warhols 15 Minuten Rum winken immerhin), dann hörst Du auf zu antworten. Jetzt nur mal ein paar Anmerkungen zu dem ersten Beitrag in diesem Thread, für alles, was Du bereits geschrieben hast, habe ich keine Zeit. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
In einem anderen Forum wurde dir unterdessen von einer Kollegin der Vorschlag gemacht, das System mal richtig neu zu installieren. Wenn Du dich danach allerdings weiterhin in die Recoverypartition reinhackst, wirst Du dort immer noch Dinge finden, die Du nicht verstehst. Das ist nicht schlimm, man muss einfach nur akzeptieren, dass unsere Welt viel zu komplex ist, als dass man alles auf ihr verstehen könnte. Gruß, Karl |
Hallo, danke erstmal, dass du versuchst mit dem Thema auseinanderzu setzen, auch wenn ich das Gefuehl habe nicht ganz ernst genommen zu werden, aber an deiner Stelle haette ich vielleicht genauso reagiert. Aber glaube mir mir macht das keinen Spass mehr, aber aufgeben moechte ich auch nicht weil ich schon viel zu viel Zeit investiert habe. Zitat:
Zitat:
ja auf der Seite die du angegeben hast war ich auch schon und habe erst danach Begriffen, dass die Datein mit BartPE erstellt worden sind, backup der Dateien habe ich vergebungslos versucht da ich keinen Zugriff auf meine USB Geraete habe, in der config.sys den sie geladen habe enthaelt folgendes 123456 lastdrivehigh=Z 122 stackshigh= 0,0 43 break=off 45 switches=/E /F 23 set os=fd set lfn=N device=\bin\himem.exe /MAX=64000 device=\bin\emm386.exe noems x=test memcheck device=\bin\emm386.exe noems x=test memcheck novds device=\bin\umpci.sys /S /Q device=\bin\lowdma.sys shell=\command.com /e:2048 /p /f set usb_ncfg=1 set cdrom_ncfg=1 set aspi_ncfg=1 set keybrd_ncfg=1 set lfn_ncfg=1 set idle_ncfg=1 set Udma=ncfg=1 set mouse_ncfg=1 jetzt weiss ich leider nicht wie man eine saubere config.sys laedt, nachdem loeschen der config.sys sei is in A: (fake writable) oder Q: taucht sie nachdem neustart wieder auf. Zitat:
wahrscheinlich wie du sagst auch das ROM der Grafikkarte welches sie mit einem Firmware flash veraendert haben sowie andere Devices dazu aber spaeter, mem.exe zeigt mit nachdem Eintrag BIOS Programme und Geraete Treiber ausser DOS noch folgendes: CON AUX PRN CLOCK$ COM1 COM2 COM3 COM4 LPT1 LPT2 LPT3 A:-B: und folgende Device Treiber $MMXXXX0 DPMSXXX0 USBD$ USBCD001 SETVERXX Zur Zeit bin ich mit der auf dem UBCD enthaltenem PartedMagic Live Linux drin, und in dem Ordner /lib/firmware sind saemtliche Firmwares enthalten nur weiss ich nicht wie man die Original Firmware mit Linux wieder auf die Geraete aufspielt. Hardinfo zeigt mir bei meiner PCI Bridge -PCI Devices- Host bridge : Intel Corporation Core Processor DMI PCI bridge : Intel Corporation Core Processor PCI Express Root Port 1 PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 1 PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 2 PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 3 PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 4 PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 5 Auf einmal habe ich noch nen SATA controller bekommen, den ich vorher nicht hatte, den wuerde ich auch gerne los werden. SATA controller : JMicron Technology Corp. JMB362/JMB363 AHCI Controller IDE interface : JMicron Technology Corp. JMB362/JMB363 AHCI Controller Zitat:
Zitat:
Zitat:
Aber kurios nicht wahr, dass wenn ich Windows 7 64bit image von MSDNA herunter lade und spater wenn ich diese Dateien in einen Ordner extrahiere oder auf eine DVD brenne, die Dateien mit den Rootkitdateien mitintegriert werden oder veraendert werden wie z.B die autorun.inf in der nun folgendes enthalten ist [AutoRun.Amd64] open=setup.exe icon=setup.exe,0 [AutoRun] open=sources\sperr32.exe x64 icon=sources\sperr32.exe,0 Diese Dateien wird weder Virustotal noch andere Virenscanner als Schaedling melden. Zuletzt habe ich meine saemtliche Dateien in / mit Fprot scannen lassen, was er als schaedling gemeldet hat war Gmer als Trojan.gen Zitat:
Naja ich poste das hier mal, auch wenn ich mir nicht viel daraus verspreche Gruesse aus Darmstadt MG |
Zitat:
www.antirootkit.com/blog/category/pci-rootkits mit !BIOS habe ich BIOS erweiterungen gelesen: PCI-BIOS v3.0 Advanced Power Managment v1.2 Plug and Play BIOS v1.0 IBM/MS Int 13 Extensions v0.3 System Managment BIOS v2.3 Desktop Managment Interface v2.3 VESA BIOS Extensions v3.0 VBE POWER Managment wenn mir jmd. mit knowhow erklärt wie man diese Erweiterungen deaktiviert oder z.T. neu aufspielen kann, werde ich das Board hier eine zeitlang nicht mehr betreten und einige werden :Boogie: |
Auch hier sehe ich nichts, aber auch gar nichts, was mich davon überzeugen könnte, dass da was illegales zugange wäre. Das Papier über PCI-Rootkits von antirootkit.com ist einige Jahre alt und war bisher eine theoretische Studie, darüber was denkbar ist. Glücklicherweise kommt nicht alles in der Realität an, was solche Gestalten entwickeln. Und sollte das dennoch Jahre später ausgerechnet auf deinem System passiert sein, dann gehe ich zurück zu meiner Empfehlung aus meinem ersten Beitrag hier. Der mit dem Hammer, nur dass es dann reicht, die Trümmer bei einer Sondermüllannahmestelle abzugeben, in den Hausmüll gehören sie nicht. In die USA muss man deshalb nicht reisen. Ich betone aber: Alles andere, was Du hier berichtest, halte ich für komplett harmlos. Ich kann z.B. an dieser config.sys nichts auffälliges finden, wie sollte denn die saubere config.sys aussehen, die Du gerne laden möchtest? Du kannst es natürlich mal mit Darik's Boot And Nuke probieren. Die software putzt wirklich ALLES von ALLEN Festplatten, die sie finden kann. Danach hast Du aber auch keine Recoviery mehr, von der sich ein System installieren ließe, dann musst Du alles haben, was installiert werden soll. Aber all diese Dateien, die Du da bisher in der versteckten Partition gefunden hast, sind zuverlässig weg. iptables ist zwar eine feine Sache, aber ich sehe da keinen Bezug zu diesem Thread. Und ich weiß ja nicht, was für ein Linux Du dir angelacht hast, aber ein Linux ohne make, das habe ich noch nicht gesehen. Probiere es doch mal mit Debian oder dem darauf aufbauenden Ubuntu, was da nicht sofort installiert ist, lässt sich mit der Paketverwaltung unkompliziert nachinstallieren. Ich meine mich aber zu erinnern, dass make Teil des Basissystems ist. Bei der nächsten Installation werde ich mal genauer drauf achten. |
Guten Abend und schoene Feiertage wuensche ich erstmal allen, @Karl bevor ich zum Hammer greife, dachte ich zeige ich meine halb abgebautes Notebook einem PC-Fachmann der Reparaturen fuer Computer anbietet, sowas was auf meinem System laueft haette er nicht gesehen, aendern konnte er auch nichts weil das Problem tief im System sitzt, geraten hat er mir damit zum Antivirenhersteller zu gehen oder zur BKA, die sollen ja eine extra Abteilung haben fuer Cyberkriminalitaet . Bevor ich mit der Kiste zur Polizei renne :kaffee: mache ich doch erstmal einen Exploit mit den Tools die mir DrDos so bietet, was mir auch teilweise gelungen ist mit nwcache und Smartdrv :party: Command.com persistend in den Speicher geladen mit Setver die Versionsnummer geaendert, mit sys config die kernel.sys bearbeitet und schon ging es los UBCD CD eingelegt mit (in der Tat) abgeheangter Festplatte Ramdisk at 0xb7f47000, length 0x00067505 Moving compressed data from 0xb7f47000 to 0xb7e00a00 <- Addresse VIDEO ROM gzip image:decompressed addr 0xb7e68000, len 0x00168000: ok Disk is fd0,1440 k,C/H/S=80/2/18 (FAT/FAT), rw Using safe Int 15h access to high memory code 1340 meminfo 192, cmdline 61, stack 512 Total size needed=2105 bytes, allocating 3K Old dos memory at 0x9f000 (map says 0x9fc00), loading at 0x9f000 1588: 0xffff 15E801: 0x3c00 0xb6e6 Int 13 08: Failure, assuming this is the only drive Drive probing gives drive shift limit: 0x03 old int13 = 9f00000a int 15 =9f0002d1 int1e=9f00051c Loading boot sector......booting.... . FreeDos kernel build 2036 cvs [version Aug 2006 compiled Aug 18 2006] jetzt konnte ich sogar mit F5 die Autoexec.bat Prozedur umgehen (bypass) was mir zuvor nicht gelungen ist, Zugriff auf mein USB-Laufwerk hatte ich jetzt auch nun konnte ich alles was auf A: geladen war auf meinen USB Stick ziehen was sagen dir deine minimalen Batch Kenntnisse zu dieser Autoexec.bat? Code: @set debug= UBCDFolder hxxp://www.filedump.net/dumped/ubcdbartsfolder1270404759.zip Fuer mich ist hier sense |
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board