Mainboards, BIOS, Prozessoren, RAM 27.306 Themen, 124.227 Beiträge

BIOS/Firmware Virus/RK sehr hartnäckig und intelligent

ViruZzzBIOS / 13 Antworten / Baumansicht Nickles

Guten Abend Community,

mein Notebook hat es mit einem sehr widerlichen Virus/Rootkit zu tun,
dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das Betriebssystem, FINDRAMD bestätigt error Laufwerk c=3.

2 Ordner und paar dateien erstellt dieser Virus/RK $WIN_NT$.~BT und $WIN_NT$.~LS in diesen dann die Ordner I386 und system32 enthalten sind.
und immer wieder diese komischen Präfixe $LPR$ z.B.

BIOS habe ich geflasht jedoch ohne Erfolg, beim booten richtet er sich immer wieder neu ins RAMDISK nach der Meldung NVRAM checking und bei NVRAM updatet ..OK ist er wieder aktiv. Neu ist auch das eine Ausgabe auftaucht mit sämtlichen USB Geräten die angeschlossen sind.

Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens,


Batterie habe ich schon rausgenommen und sämtliche Hardware die ich nicht zum booten brauche, jedoch ohne Erfolg.

Linux habe ich mit und ohne Festplatte gebootet, so richtig als root will er mich nicht rein lassen weil jedesmal nach der Befehlszeile Root: # -- ein Präfix dahinter sitzt

VGA BIOS Version wird angezeigt mit VER009.012.001.013.A05801.012

Ich bin schon längst verzweifelt, Antivirus Software eignet er sich sich an sodass er nichts erkennt und mit WindowsUpdate sich Datenmaterial holt.

Hier noch das Startup Info vom csrss.exe was mich sehr stutzig macht

C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem

bei Antwort benachrichtigen
Coolebra ViruZzzBIOS „BIOS/Firmware Virus/RK sehr hartnäckig und intelligent“
Optionen

Am besten du wendest dich an die virenforen der hersteller von avira av, avast, avg, symantec, kaspersky, bitdefender usw. Sehr komplex dein prob. Wie hast du dir den den eingefangen?
Und wenn du die festplatte ausbaust und an eine andere haengst und von dort durchcheckst? Bzw. gleich shredderst und neu formatierst, damit nicht deine gesunde platte auch noch infiziert wird...

Ruhe ist nicht die erste Bürgerpflicht "Irgendwo ist immer eine Schraube locker" (Reinhard Mey in der entkernten Kerner-Show)
bei Antwort benachrichtigen
trilliput Coolebra „Am besten du wendest dich an die virenforen der hersteller von avira av, avast,...“
Optionen

Das würde ich auch sagen, lass die Platte shredden, aber blos nicht an einem produktiven System.

Ultimate Boot CD hat z.B. alle Herstellertools drauf, damit ist oft schon geholfen.

bei Antwort benachrichtigen
SoulMaster ViruZzzBIOS „BIOS/Firmware Virus/RK sehr hartnäckig und intelligent“
Optionen

Ich vernute der Virus hat sich im MBR ( Masterboot record) festgesetzt, infiziert.
Deshalb erwacht er auch immer wieder auf's Neue.

Also einfach mal den MBR neu schreiben.

bei Antwort benachrichtigen
Conqueror ViruZzzBIOS „BIOS/Firmware Virus/RK sehr hartnäckig und intelligent“
Optionen

Ist dies ein richtiges Notebook oder ein Netbook ?
Wenn Notebook dann lad Dir Gparted herunter:
http://gparted.sourceforge.net/download.php
Erstelle Dir eine Boot CD. Auf der Boot CD ist Test Disk drauf, die kann den Bootsektor neu schreiben und sogar den MBR neu schreiben, damit müsste der Spuk vorbei sein.

Zitat:
TestDisk ist DAS Tool zum Wiederherstellen von verloren geglaubten Partitionen. Es repariert sowohl die Partitionstabelle als auch den Bootsektor (Partitionssektor). Und wenn es mal klemmt, so schreibt es auch noch den MBR komplett neu.

bei Antwort benachrichtigen
ViruZzzBIOS Conqueror „Ist dies ein richtiges Notebook oder ein Netbook ? Wenn Notebook dann lad Dir...“
Optionen

Hallo, danke für die Ratschläge,

leider ist das Problem nicht so einfach, ich habe schon mit UBCD versucht die Festplatte zu raparieren und zig mal die MBR gelöscht, genullt, aber leider ohne ein zufriedenstellendes Ergebnis, die Partitionen sind gelockt wenn ich mit den Tools welches auf der UBCD befinden versuche die Partitionen zu löschen und neu zu erstellen wird statt 1 Partition noch eine 2. Partitionen mit genau diesen 63 Sektoren erstellt durch exchange mit dem Tool Pfdisk konnte ich die beiden Partitionen austauschen und so bootbar machen, weil ich nach der Manupulation der Festplatte nicht mehr booten konnte, aber am Grundproblem ändert sich da leider nichts

Auch wenn ich ohne Festplatte boote, besteht dieses Problem.

und leider ist dieses Rootkit (wie ich später festestellen musste, dass dieses als Botclientserver dient) auf mein anderes System übergesprungen.

Nachdem ich im Menü von UBCD Freedos ausgeführt habe, hat er mir 2 Laufwerke A:(memdisk fake writeable) und Q:(memdisk) erstellt. Zufälligerweise bin ich auf eine .TMP Datei im Ordner Q:\TMP\ gestossen und siehe da ich konnte einige nicknames entziffern die miteinander gechattet haben, und sich über meine wirkungslosen Eingriffe in das System lustig machten, mitbekommen habe ich noch, dass eine config.sys und kernel.sys modifiziert wurden, sodass vermutlich Gerätetreiber in den Speicher nach dem POST geladen werden. Mit mem.exe /a konnte ich einige Device Treiber finden wie z.B.XMSXXX0 EMMQXX0 SETVERXX A:-C:

Diese Leute die sich über meinen PC verbinden haben wahrscheinlich einiges an Hardware Firmware geändert.

Auf der Recherche nach einer Lösung bin ich auf folgenden Link gestossen, was meine Vermutung nur noch gestärkt hat
[URL]http://www.antirootkit.com/blog/category/pci-rootkits[/URL]

mit dem Tool !BIOS habe ich folgende BIOS erweiterungen auslesen können:

PCI-BIOS v3.0
Advanced Power Managment v1.2
Plug and Play BIOS v1.0
IBM/MS Int 13 Extensions v0.3
System Managment BIOS v2.3
Desktop Managment Interface v2.3
VESA BIOS Extensions v3.0
VBE POWER Managment v1.0

vielleicht kann mir jemand erklären oder auf howtos hinweisen wie man diese Erweiterungen deaktiviert oder neu aufspielen kann oder wie man verhindert, dass eine config.sys/kernel.sys am Anfang geladen wird, falls dies für eine eine Lösung relevant ist.

bei Antwort benachrichtigen
Conqueror ViruZzzBIOS „Hallo, danke für die Ratschläge, leider ist das Problem nicht so einfach, ich...“
Optionen
bei Antwort benachrichtigen
trilliput ViruZzzBIOS „Hallo, danke für die Ratschläge, leider ist das Problem nicht so einfach, ich...“
Optionen

mal ganz doof gefragt: wo du schon mit UBCD arbeistest, hats du da auch versucht, mit dem Herstellertool die Platte zu putzen, oder nur mit Partitionstools?

bei Antwort benachrichtigen
Conqueror trilliput „mal ganz doof gefragt: wo du schon mit UBCD arbeistest, hats du da auch...“
Optionen

Ich glaube da ist wieder ein Troll unterwegs !

bei Antwort benachrichtigen
trilliput Conqueror „Ich glaube da ist wieder ein Troll unterwegs !“
Optionen

Wenn, dann einer mit Ausdauer ;)

bei Antwort benachrichtigen
TAsitO trilliput „Wenn, dann einer mit Ausdauer “
Optionen

Hey ~ lasst mir doch meinen Spass !!
Grinsegruss !!

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
jrose ViruZzzBIOS „Hallo, danke für die Ratschläge, leider ist das Problem nicht so einfach, ich...“
Optionen

Hallo an alle.

@ViruZzzBIOS

ich habe seit längerem vermutlich das gleiche Problem an div. PC's vermutlich auch MAC betroffen!

Der Virus -- falls es einer per Definition ist ;-) -- läßt sich von einer Festplatte nicht entfernen, weder mit linux dd noch mit anderen low level format tools --- wurde mehrfach getestet.

Bei Nutzung eines anderen PCs wird dieser unweigerlich entsprechend beim Boot/ Anmelden USB-Plug-Play modifiziert. (Vermutlich nach/bei Reboot)

Weitere Tests der LBA Funktionalität an Disketten (std. Schnittstelle für blockorientiertes R/W für externe Datenträger des BIOS) lassen hier Modifikationen erkennen!
(HDD ist zum Prüfen etwas zu unübersichtlich)

Melde dich doch bitte mal via email persönlich. Danke.

bei Antwort benachrichtigen
willi55 ViruZzzBIOS „BIOS/Firmware Virus/RK sehr hartnäckig und intelligent“
Optionen

Moin,
hast Du es schon mal mit
sOkill.exe
probiert?
http://www.bjoern-meissner.de/2007/s0kill.html

Bügelt alles platt!!

gruß
willi55

bei Antwort benachrichtigen
ViruZzzBIOS willi55 „Moin, hast Du es schon mal mit sOkill.exe probiert?...“
Optionen

Sorry, dass ich hier meinen alten Beitrag ausgrabe, ich habe erst vor kurzem Erfahren, dass hier noch nach langer Zeit geantwortet wurde,

und als Troll abgestempelt zu werden, wollte ich nicht sitzen lassen ;)

ich sehe gerade, dass ich viele nicht relevante Dinge geschrieben, habe die vermutlich nichts mit dem "Virus/RK" zu tun haben, aber ich wollte hier damals keine Details auslassen, die vll. relevant sind, das Thema hatte mich damals mitgenommen, eine Art Phantomjagd.
Es hatte mich sehr beschäftigt, da es allem widersprach was mir bekannt war, also mit Platte plattmachen/austauschen und gut ist ging nicht.

@jrose ich habe seit längerem vermutlich das gleiche Problem an div. PC's vermutlich auch MAC betroffen!

Dazu eine (im nachhinein witzige) Anekdote: Ich habe nachdem ich langsam die Schnauze voll vom RK hatte, beschlossen mir ein sicheres System zu kaufen.

Bis zu dem Zeitpunkt ging ich davon aus, dass MAC Systeme sicher sind vor Viren etc. und habe mir vom MediaMb Berater beschwatzen lassen in punkto Sicherheit und er hat bestätigt, dass er und sein Kollege auf seinem MAC keine Virensoftware benutzen, zudem hat der MAC kein BIOS sondern EFI.

Argument dachte ich, da kein BIOS sondern EFI, also kaufte ich einen Mac Mini, blauaugig habe ich eine vom alten System eine HD angeschlossen um diese zu retten, da ich den Glauben hatte, dass dem MAC nichts anhaben kann. Irrglaube, ich konnte keinen Superuser mehr einrichten und noch mehrere Annomalien. Also ging der Mini zurück zum MM, getauscht habe ich den gegen einen I-MAC.

Diesmal war ich sehr vorsichtig, nichts vom alten System angeschlossen, denkste, als ich wieder annomalitäten feststellen musste, wie veränderte Festplattenstruktur und Installationsroutine, konnte keinen superuser aktivieren, als Übeltäter habe ich das UMTS-Stick vermutet.

Ich habe wieder viel zu viel geschrieben, aber als jrose hier

Bei Nutzung eines anderen PCs wird dieser unweigerlich entsprechend beim Boot/ Anmelden USB-Plug-Play modifiziert. (Vermutlich nach/bei Reboot)

schrieb, habe ich mich in meinen Vermutungen bestätigt gefühlt und musste das hier los werden, bei meinem 1. Opfergerät waren die Modifikationen beim Bootvorgang ersichtlich Neu ist auch das eine Ausgabe auftaucht mit sämtlichen USB Geräten die angeschlossen sind.

Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens,
vor der Infektion hatte ich beim Bootvorgang keine USB Erkennung auf dem System.

Was mich am meisten überrascht hat, waren die logfiles im TMP Verzeichnis beim starten mit der UBCD, die den Gesprächsverlauf der Angreifer aufzeigte, mehr möchte ich dazu nicht mehr schreiben.

bei Antwort benachrichtigen