Guten Abend Community,
mein Notebook hat es mit einem sehr widerlichen Virus/Rootkit zu tun,
dieser erstellt bei der Installation von jeglichem OS einen RAMDISK und installiert von dort aus das Betriebssystem, FINDRAMD bestätigt error Laufwerk c=3.
2 Ordner und paar dateien erstellt dieser Virus/RK $WIN_NT$.~BT und $WIN_NT$.~LS in diesen dann die Ordner I386 und system32 enthalten sind.
und immer wieder diese komischen Präfixe $LPR$ z.B.
BIOS habe ich geflasht jedoch ohne Erfolg, beim booten richtet er sich immer wieder neu ins RAMDISK nach der Meldung NVRAM checking und bei NVRAM updatet ..OK ist er wieder aktiv. Neu ist auch das eine Ausgabe auftaucht mit sämtlichen USB Geräten die angeschlossen sind.
Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens,
Batterie habe ich schon rausgenommen und sämtliche Hardware die ich nicht zum booten brauche, jedoch ohne Erfolg.
Linux habe ich mit und ohne Festplatte gebootet, so richtig als root will er mich nicht rein lassen weil jedesmal nach der Befehlszeile Root: # -- ein Präfix dahinter sitzt
VGA BIOS Version wird angezeigt mit VER009.012.001.013.A05801.012
Ich bin schon längst verzweifelt, Antivirus Software eignet er sich sich an sodass er nichts erkennt und mit WindowsUpdate sich Datenmaterial holt.
Hier noch das Startup Info vom csrss.exe was mich sehr stutzig macht
C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Mainboards, BIOS, Prozessoren, RAM 27.254 Themen, 123.494 Beiträge
Sorry, dass ich hier meinen alten Beitrag ausgrabe, ich habe erst vor kurzem Erfahren, dass hier noch nach langer Zeit geantwortet wurde,
und als Troll abgestempelt zu werden, wollte ich nicht sitzen lassen ;)
ich sehe gerade, dass ich viele nicht relevante Dinge geschrieben, habe die vermutlich nichts mit dem "Virus/RK" zu tun haben, aber ich wollte hier damals keine Details auslassen, die vll. relevant sind, das Thema hatte mich damals mitgenommen, eine Art Phantomjagd.
Es hatte mich sehr beschäftigt, da es allem widersprach was mir bekannt war, also mit Platte plattmachen/austauschen und gut ist ging nicht.
@jrose ich habe seit längerem vermutlich das gleiche Problem an div. PC's vermutlich auch MAC betroffen!
Dazu eine (im nachhinein witzige) Anekdote: Ich habe nachdem ich langsam die Schnauze voll vom RK hatte, beschlossen mir ein sicheres System zu kaufen.
Bis zu dem Zeitpunkt ging ich davon aus, dass MAC Systeme sicher sind vor Viren etc. und habe mir vom MediaMb Berater beschwatzen lassen in punkto Sicherheit und er hat bestätigt, dass er und sein Kollege auf seinem MAC keine Virensoftware benutzen, zudem hat der MAC kein BIOS sondern EFI.
Argument dachte ich, da kein BIOS sondern EFI, also kaufte ich einen Mac Mini, blauaugig habe ich eine vom alten System eine HD angeschlossen um diese zu retten, da ich den Glauben hatte, dass dem MAC nichts anhaben kann. Irrglaube, ich konnte keinen Superuser mehr einrichten und noch mehrere Annomalien. Also ging der Mini zurück zum MM, getauscht habe ich den gegen einen I-MAC.
Diesmal war ich sehr vorsichtig, nichts vom alten System angeschlossen, denkste, als ich wieder annomalitäten feststellen musste, wie veränderte Festplattenstruktur und Installationsroutine, konnte keinen superuser aktivieren, als Übeltäter habe ich das UMTS-Stick vermutet.
Ich habe wieder viel zu viel geschrieben, aber als jrose hier
Bei Nutzung eines anderen PCs wird dieser unweigerlich entsprechend beim Boot/ Anmelden USB-Plug-Play modifiziert. (Vermutlich nach/bei Reboot)
schrieb, habe ich mich in meinen Vermutungen bestätigt gefühlt und musste das hier los werden, bei meinem 1. Opfergerät waren die Modifikationen beim Bootvorgang ersichtlich Neu ist auch das eine Ausgabe auftaucht mit sämtlichen USB Geräten die angeschlossen sind.
Rechts unten erscheint eine Zahl z.B A078 A068 die bei jedem refresh des Screens, vor der Infektion hatte ich beim Bootvorgang keine USB Erkennung auf dem System.
Was mich am meisten überrascht hat, waren die logfiles im TMP Verzeichnis beim starten mit der UBCD, die den Gesprächsverlauf der Angreifer aufzeigte, mehr möchte ich dazu nicht mehr schreiben.