ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start

BiosViruZzZ

Hallo, danke erstmal, dass du versuchst mit dem Thema auseinanderzu setzen, auch wenn ich das Gefuehl habe nicht ganz ernst genommen zu werden, aber an deiner Stelle haette ich vielleicht genauso reagiert. Aber glaube mir mir macht das keinen Spass mehr, aber aufgeben moechte ich auch nicht weil ich schon viel zu viel Zeit investiert habe.

Ja weiss ich, desshalb habe ich ohne Festplatte das System gestartet und siehe da das Problem war immernoch da

z.B. *.com *.bat *.exe extract.exe getarcs.bat lo.bat .m.bat .nwlan.bat w.bat el!.com pkunzip.exe repath.bat shsurdrv.exe peruse.bat command.com bootdrv.com getarcs.com .about.bat El!.com kbfl MODBOOT.BAT..

ja auf der Seite die du angegeben hast war ich auch schon und habe erst danach Begriffen, dass die Datein mit BartPE erstellt worden sind, backup der Dateien habe ich vergebungslos versucht da ich keinen Zugriff auf meine USB Geraete habe, in der config.sys den sie geladen habe enthaelt folgendes

123456 lastdrivehigh=Z
122 stackshigh= 0,0
43 break=off
45 switches=/E /F
23 set os=fd
set lfn=N
device=\bin\himem.exe /MAX=64000
device=\bin\emm386.exe noems x=test memcheck
device=\bin\emm386.exe noems x=test memcheck novds
device=\bin\umpci.sys /S /Q
device=\bin\lowdma.sys
shell=\command.com /e:2048 /p /f

set usb_ncfg=1
set cdrom_ncfg=1
set aspi_ncfg=1
set keybrd_ncfg=1
set lfn_ncfg=1
set idle_ncfg=1
set Udma=ncfg=1
set mouse_ncfg=1

jetzt weiss ich leider nicht wie man eine saubere config.sys laedt, nachdem loeschen der config.sys sei is in A: (fake writable) oder Q: taucht sie nachdem neustart wieder auf.

MEM.exe zeigt mir Upper memory und Lower memory
wahrscheinlich wie du sagst auch das ROM der Grafikkarte welches sie mit einem Firmware flash veraendert haben sowie andere Devices dazu aber spaeter, mem.exe zeigt mit nachdem Eintrag BIOS Programme und Geraete Treiber ausser DOS noch folgendes: CON AUX PRN CLOCK$ COM1 COM2 COM3 COM4 LPT1 LPT2 LPT3 A:-B: und folgende Device Treiber $MMXXXX0 DPMSXXX0 USBD$ USBCD001 SETVERXX

Zur Zeit bin ich mit der auf dem UBCD enthaltenem PartedMagic Live Linux drin, und in dem Ordner /lib/firmware sind saemtliche Firmwares enthalten nur weiss ich nicht wie man die Original Firmware mit Linux wieder auf die Geraete aufspielt.

Hardinfo zeigt mir bei meiner PCI Bridge
-PCI Devices-
Host bridge : Intel Corporation Core Processor DMI
PCI bridge : Intel Corporation Core Processor PCI Express Root Port 1
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 1
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 2
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 3
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 4
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 5

Auf einmal habe ich noch nen SATA controller bekommen, den ich vorher nicht hatte, den wuerde ich auch gerne los werden.
SATA controller : JMicron Technology Corp. JMB362/JMB363 AHCI Controller
IDE interface : JMicron Technology Corp. JMB362/JMB363 AHCI Controller

richtig Dateien muss man nicht scannen, aber wenn vorher die Festplatte mit killdisk vorher mit 00 loescht und man der Meinung ist, da ist nicht mehr ausser den 00 drauf und dann spater in der .tmp Datei von den Clients rauslesen kann, dass sich die Typen ueber die auf der Platte gefundenen Dateien unterhalten nachdem sie meine Dateien gerippt haben, da war ich auch erstmal baff und habe nicht schlecht gestaunt wie gerissen diese Jungs nunmal sind

Bedaure auch, Rauchen tu ich schon lange nicht mehr, aber wenn du den Drang danach hast kann ich jederzeit etwas organisieren.

Aehm ja ich wuerde ja gerne ein System richtig neu installieren, wenn ich den vom Hersteller gedachte Ausgangsyustand bekommen wuerde.

Aber kurios nicht wahr, dass wenn ich Windows 7 64bit image von MSDNA herunter lade und spater wenn ich diese Dateien in einen Ordner extrahiere oder auf eine DVD brenne, die Dateien mit den Rootkitdateien mitintegriert werden oder veraendert werden wie z.B die autorun.inf in der nun folgendes enthalten ist

[AutoRun.Amd64]
open=setup.exe
icon=setup.exe,0

[AutoRun]
open=sources\sperr32.exe x64
icon=sources\sperr32.exe,0



Diese Dateien wird weder Virustotal noch andere Virenscanner als Schaedling melden.

Zuletzt habe ich meine saemtliche Dateien in / mit Fprot scannen lassen, was er als schaedling gemeldet hat war GMER als Trojan.gen

Das ist Philosophie, im nachhinein empfinde ich es auch nicht als soo schlimm, denn dieser IO? stealth hybrid? Rootkit hat mich endlich dazu gebracht mit Linux auseinanderzusetzen, bin zwar noch ein noob in vielen Dingen z.B habe ich Iptables heruntergeladen konnte es aber nicht installieren weil "make" einfach fehlt und ich nicht weiss wie man diese Integrieren kann.

Naja ich poste das hier mal, auch wenn ich mir nicht viel daraus verspreche


Gruesse aus Darmstadt MG