Mainboards, BIOS, Prozessoren, RAM 27.254 Themen, 123.494 Beiträge

BIOS/Firmware Virus/RK sehr hartnäckig und intelligent

ViruZzzBIOS / 13 Antworten / Flachansicht Nickles

Guten Abend Community,

mein Notebook hat es mit einem sehr widerlichen Virus/Rootkit zu tun,
dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das Betriebssystem, FINDRAMD bestätigt error Laufwerk c=3.

2 Ordner und paar dateien erstellt dieser Virus/RK $WIN_NT$.~BT und $WIN_NT$.~LS in diesen dann die Ordner I386 und system32 enthalten sind.
und immer wieder diese komischen Präfixe $LPR$ z.B.

BIOS habe ich geflasht jedoch ohne Erfolg, beim booten richtet er sich immer wieder neu ins RAMDISK nach der Meldung NVRAM checking und bei NVRAM updatet ..OK ist er wieder aktiv. Neu ist auch das eine Ausgabe auftaucht mit sämtlichen USB Geräten die angeschlossen sind.

Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens,


Batterie habe ich schon rausgenommen und sämtliche Hardware die ich nicht zum booten brauche, jedoch ohne Erfolg.

Linux habe ich mit und ohne Festplatte gebootet, so richtig als root will er mich nicht rein lassen weil jedesmal nach der Befehlszeile Root: # -- ein Präfix dahinter sitzt

VGA BIOS Version wird angezeigt mit VER009.012.001.013.A05801.012

Ich bin schon längst verzweifelt, Antivirus Software eignet er sich sich an sodass er nichts erkennt und mit WindowsUpdate sich Datenmaterial holt.

Hier noch das Startup Info vom csrss.exe was mich sehr stutzig macht

C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem

bei Antwort benachrichtigen
ViruZzzBIOS Conqueror „Ist dies ein richtiges Notebook oder ein Netbook ? Wenn Notebook dann lad Dir...“
Optionen

Hallo, danke für die Ratschläge,

leider ist das Problem nicht so einfach, ich habe schon mit UBCD versucht die Festplatte zu raparieren und zig mal die MBR gelöscht, genullt, aber leider ohne ein zufriedenstellendes Ergebnis, die Partitionen sind gelockt wenn ich mit den Tools welches auf der UBCD befinden versuche die Partitionen zu löschen und neu zu erstellen wird statt 1 Partition noch eine 2. Partitionen mit genau diesen 63 Sektoren erstellt durch exchange mit dem Tool Pfdisk konnte ich die beiden Partitionen austauschen und so bootbar machen, weil ich nach der Manupulation der Festplatte nicht mehr booten konnte, aber am Grundproblem ändert sich da leider nichts

Auch wenn ich ohne Festplatte boote, besteht dieses Problem.

und leider ist dieses Rootkit (wie ich später festestellen musste, dass dieses als Botclientserver dient) auf mein anderes System übergesprungen.

Nachdem ich im Menü von UBCD Freedos ausgeführt habe, hat er mir 2 Laufwerke A:(memdisk fake writeable) und Q:(memdisk) erstellt. Zufälligerweise bin ich auf eine .TMP Datei im Ordner Q:\TMP\ gestossen und siehe da ich konnte einige nicknames entziffern die miteinander gechattet haben, und sich über meine wirkungslosen Eingriffe in das System lustig machten, mitbekommen habe ich noch, dass eine config.sys und kernel.sys modifiziert wurden, sodass vermutlich Gerätetreiber in den Speicher nach dem POST geladen werden. Mit mem.exe /a konnte ich einige Device Treiber finden wie z.B.XMSXXX0 EMMQXX0 SETVERXX A:-C:

Diese Leute die sich über meinen PC verbinden haben wahrscheinlich einiges an Hardware Firmware geändert.

Auf der Recherche nach einer Lösung bin ich auf folgenden Link gestossen, was meine Vermutung nur noch gestärkt hat
[URL]http://www.antirootkit.com/blog/category/pci-rootkits[/URL]

mit dem Tool !BIOS habe ich folgende BIOS erweiterungen auslesen können:

PCI-BIOS v3.0
Advanced Power Managment v1.2
Plug and Play BIOS v1.0
IBM/MS Int 13 Extensions v0.3
System Managment BIOS v2.3
Desktop Managment Interface v2.3
VESA BIOS Extensions v3.0
VBE POWER Managment v1.0

vielleicht kann mir jemand erklären oder auf howtos hinweisen wie man diese Erweiterungen deaktiviert oder neu aufspielen kann oder wie man verhindert, dass eine config.sys/kernel.sys am Anfang geladen wird, falls dies für eine eine Lösung relevant ist.

bei Antwort benachrichtigen