Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.03.2010, 23:14   #1
BiosViruZzZ
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Hi,

habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist.

Mit ein paar Freunden haben wir, nachdem wir den verdacht hatten, dass sich ein Rootkit auf unserem System befindet, denen eine Falle gestellt, sodass wir einen nur den kleinen Speicher (Lower MEM glaube ich) denen Bootbar machten .

Mit Freedos gestartet konnten wir schon die Rootkit dateien sehen auf Laufwerk A: sowie Laufwerk Q: waren die Verzeichnisse /BIN /LIB /USR/LEVEL0 /USR/LEVEL1 /USR/LEVEL3 /ETC sowie Dateien wie Auotexec.bat Autoexec_ru.bat config.sys kernel zu sehen.

Wir konnten ausfindig machen, dass das BIOS so verändert wurde, dass eine erweiterte Addressierung in den ROM von der Grafikkarte vorgenommen wurde.

Mit einem Trick konnten wir sogar die Gespräche zwischen den Clients aufzeichnen, da waren massig Clients von der ganzen Welt verbunden RU Ukraine TR USA vor allem,

und nach ner Weile begannen sie die Arbeit aufzunehmen und haben unsere Fake HD nach Dateien abgescannt und versucht sie zu recoveren.

Befehle im DOS wurden so verändert, dass meine Befehle z.B. als Argumente wie Luft behandelt wurden oder befehle geroutet wurden, sodass meine Befehle wirkungslos wurden.

Z.B. stand da in der _MODBOOT.BAT

@if "%debug% "==" " echo off"
if "%1"==":" if not "%2"==" goto %2
"%shift%"=="" kbfl
if not "%shift%"==" " if exist %ramdrv%\bin\el!.com el!1
if err call 0% : _shift Q:\bin\2PERUSE.CAB -y

exist Q:\bin\volume.com volume.com Q:RAMDISK -> %ramdrv%\bin
exist Q:\bin\umbchk.bat call Q:\bin\umbchk.bat

for %%i in (0 1 2 3 4 5 6 7 8 9) do if exist Q:\_autoru%%i.bat call Q:\_autoru%% del %_delq% Q:\_a


achja ich verweise noch an den Link hier
[link]http://www.hijackthis-forum.de/hijackthis-logfiles/42755-bios-firmware-virus-rk.html?highlight=firmware[/link]

die Botclients haben hier im Forum gelesen nachdem sie mein Fake-Mailaccount geknackt hatten und haben sich gewundert woher der , dass mit Bytesession weiss,
knapp 60000 bytes haben denen ausgereicht um diverse Skripte aufzuführen. Als Editor wurde der Volkov Commander benutzt.

vielleicht findet sich ja eine der Ahnung von der Materie hat oder vielleicht selbst mal in der Szene früher tätig war

Alt 20.03.2010, 11:05   #2
KarlKarl
/// Helfer-Team
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Das ist in der Tat furchtbar. Es handelt sich um den berüchtigten Illuminati-ROM-Trojaner, der mit kleinen schwarzen Löcher sogar Read-Only-Memory und das User-Hirn überschreiben kann. Das Ding wurde von geheimen Logen entwickelt um die Menschheit zu unterwerfen. Wenn erstmal all ihre Computer, elektronischen Zündungen und Toaster beherrscht werden, ist es zu spät. Deshalb ist es ganz wichtig, dass Du sofort einen schweren Hammer nimmt, den befallenen Computer grob zerkleinerst und die Teile dann im Hangar 52 in Roswell abgibst.
__________________


Alt 21.03.2010, 19:39   #3
BiosViruZzZ
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



ähm ja witzig? wie wäre es mal mit mit einer konstruktiver Antwort, die den einen oder anderen weiter bringt
__________________

Alt 22.03.2010, 10:46   #4
KarlKarl
/// Helfer-Team
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Ich habe unterdessen diverse Threads von dir in diversen Foren entdeckt. Es haben sich mehrere Leute, die eine Menge Ahnung haben, mit der Untersuchung deines Systems beschäftigt. Wenn dann aber nicht herausgekommen ist, was Du gerne haben möchtest, nämlich dass auf deinem System die gefährlichste und heimtückischste Seuche aller Zeiten gefunden wird (Warhols 15 Minuten Rum winken immerhin), dann hörst Du auf zu antworten.
Jetzt nur mal ein paar Anmerkungen zu dem ersten Beitrag in diesem Thread, für alles, was Du bereits geschrieben hast, habe ich keine Zeit.
Zitat:
Zitat von BiosViruZzZ Beitrag anzeigen
Hi,
Hi
Zitat:
habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist.
Man lässt in einem harmlosen Modboot ein 'o' weg und schon hat man einen extrem gefährlichen ModBot auf dem System. Weißt Du eigentlich, dass deine Festplatte extra einen Bot-Sektor hat? Du kannst ihnen nicht entkommen.
Zitat:
Mit ein paar Freunden haben wir, nachdem wir den verdacht hatten, dass sich ein Rootkit auf unserem System befindet, denen eine Falle gestellt, sodass wir einen nur den kleinen Speicher (Lower MEM glaube ich) denen Bootbar machten .
Wie genau war denn diese "Falle" beschaffen, wie habt ihr das gemacht? Glauben hilft hier herzlich wenig weiter, wir sind nicht in der Kirche.
Zitat:
Mit Freedos gestartet konnten wir schon die Rootkit dateien sehen auf Laufwerk A: sowie Laufwerk Q: waren die Verzeichnisse /BIN /LIB /USR/LEVEL0 /USR/LEVEL1 /USR/LEVEL3 /ETC sowie Dateien wie Auotexec.bat Autoexec_ru.bat config.sys kernel zu sehen.
Welche Dateien? Wie heißen sie, was ist in ihnen enthalten? Warum wurden sie nicht zu Virustotal hochgeladen für eine erste Überprüfung? Hast Du schon mal diese Seite gelesen?
Zitat:
Wir konnten ausfindig machen, dass das BIOS so verändert wurde, dass eine erweiterte Addressierung in den ROM von der Grafikkarte vorgenommen wurde.
Wie habt ihr das gemacht? Wie genau ist diese erweiterte Adressierung beschaffen? Wenn ich ein DOS boote, gibt es da auch Adressen, die in das ROM der Grafikkarte zeigen, ohne die könnte man die dort vorhandenen Funktionen ja gar nicht ansprechen.
Zitat:
Mit einem Trick konnten wir sogar die Gespräche zwischen den Clients aufzeichnen, da waren massig Clients von der ganzen Welt verbunden RU Ukraine TR USA vor allem,
Lässt Du uns an dem Trick teilhaben? Das alles unter Freedos?
Zitat:
und nach ner Weile begannen sie die Arbeit aufzunehmen und haben unsere Fake HD nach Dateien abgescannt und versucht sie zu recoveren.
Die Fake HD hast Du auch nicht weiter erklärt, nach Dateien muss man nicht scannen, die öffent man einfach und was meint hier "recoveren"?
Zitat:
Befehle im DOS wurden so verändert, dass meine Befehle z.B. als Argumente wie Luft behandelt wurden oder befehle geroutet wurden, sodass meine Befehle wirkungslos wurden.
Welche Befehle? Wie wurden sie verändert? "geroutet"?
Zitat:
Z.B. stand da in der _MODBOOT.BAT

@if "%debug% "==" " echo off"
if "%1"==":" if not "%2"==" goto %2
"%shift%"=="" kbfl
if not "%shift%"==" " if exist %ramdrv%\bin\el!.com el!1
if err call 0% : _shift Q:\bin\2PERUSE.CAB -y

exist Q:\bin\volume.com volume.com Q:RAMDISK -> %ramdrv%\bin
exist Q:\bin\umbchk.bat call Q:\bin\umbchk.bat

for %%i in (0 1 2 3 4 5 6 7 8 9) do if exist Q:\_autoru%%i.bat call Q:\_autoru%% del %_delq% Q:\_a
ganz sicher dass das da drin stand? Meine minimalen Batchkenntnisse sagen mir, dass da eine Menge Fehler drin stecken.
Zitat:
achja ich verweise noch an den Link hier
[link]http://www.hijackthis-forum.de/hijackthis-logfiles/42755-bios-firmware-virus-rk.html?highlight=firmware[/link]
Hab ich schon gefunden, ebenso deinen zweiten Account im Hijackthis-Forum mit einem weiteren Beitrag. Alles Verhaltensweisen, die nicht gerade dazu führen, dass man ernst genommen wird. Crosspostings werden normalerweise gelöscht.
Zitat:
die Botclients haben hier im Forum gelesen nachdem sie mein Fake-Mailaccount geknackt hatten und haben sich gewundert woher der , dass mit Bytesession weiss,
Und schwupp hat sich die Fake-HD in einen Fake-Mailaccount verwandelt. Wobei man keinen Mailaccount braucht, um dieses Forum zu lesen. Wurden hier harmlose Bootclients in gefährliche Botclients verwandelt?
Zitat:
knapp 60000 bytes haben denen ausgereicht um diverse Skripte aufzuführen. Als Editor wurde der Volkov Commander benutzt.
Wie hieß es doch in der Werbung für ein zweifelhaftes Magazin: Fakten, Fakten, Fakten.
Zitat:
vielleicht findet sich ja eine der Ahnung von der Materie hat
Ich hacke seit der Frühzeiten der Homecomputer auf solchen Maschinen, hab jahrelang DOS-Systeme genutzt, die meisten Windows-Versionen, diverse Linux-Systeme. (Btw: Wenn am Ende einer Eingabeaufforderung unter Linux ein '#' steht, dann bist Du Administrator. Andere Benutzer sehen dort '$'. Du siehst, dass ich mehr von dir gelesen habe.) Von der Materie habe ich aber wohl keine Ahnung. Computer sind nichts esoterisches wo man irgendwas zu glauben hätte.
Zitat:
oder vielleicht selbst mal in der Szene früher tätig war
Ich bedaure, so tief war ich niemals in die Drogen- bzw. Esoszene verstrickt. Aber von dem Kraut, dass Du da rauchst, hätte ich gerne was.

In einem anderen Forum wurde dir unterdessen von einer Kollegin der Vorschlag gemacht, das System mal richtig neu zu installieren. Wenn Du dich danach allerdings weiterhin in die Recoverypartition reinhackst, wirst Du dort immer noch Dinge finden, die Du nicht verstehst. Das ist nicht schlimm, man muss einfach nur akzeptieren, dass unsere Welt viel zu komplex ist, als dass man alles auf ihr verstehen könnte.

Gruß, Karl

Alt 24.03.2010, 05:08   #5
BiosViruZzZ
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Hallo, danke erstmal, dass du versuchst mit dem Thema auseinanderzu setzen, auch wenn ich das Gefuehl habe nicht ganz ernst genommen zu werden, aber an deiner Stelle haette ich vielleicht genauso reagiert. Aber glaube mir mir macht das keinen Spass mehr, aber aufgeben moechte ich auch nicht weil ich schon viel zu viel Zeit investiert habe.

Zitat:
Weißt Du eigentlich, dass deine Festplatte extra einen Bot-Sektor hat? Du kannst ihnen nicht entkommen.
Ja weiss ich, desshalb habe ich ohne Festplatte das System gestartet und siehe da das Problem war immernoch da

Zitat:
Welche Dateien? Wie heißen sie, was ist in ihnen enthalten? Warum wurden sie nicht zu Virustotal hochgeladen für eine erste Überprüfung? Hast Du schon mal diese Seite
z.B. *.com *.bat *.exe extract.exe getarcs.bat lo.bat .m.bat .nwlan.bat w.bat el!.com pkunzip.exe repath.bat shsurdrv.exe peruse.bat command.com bootdrv.com getarcs.com .about.bat El!.com kbfl MODBOOT.BAT..

ja auf der Seite die du angegeben hast war ich auch schon und habe erst danach Begriffen, dass die Datein mit BartPE erstellt worden sind, backup der Dateien habe ich vergebungslos versucht da ich keinen Zugriff auf meine USB Geraete habe, in der config.sys den sie geladen habe enthaelt folgendes

123456 lastdrivehigh=Z
122 stackshigh= 0,0
43 break=off
45 switches=/E /F
23 set os=fd
set lfn=N
device=\bin\himem.exe /MAX=64000
device=\bin\emm386.exe noems x=test memcheck
device=\bin\emm386.exe noems x=test memcheck novds
device=\bin\umpci.sys /S /Q
device=\bin\lowdma.sys
shell=\command.com /e:2048 /p /f

set usb_ncfg=1
set cdrom_ncfg=1
set aspi_ncfg=1
set keybrd_ncfg=1
set lfn_ncfg=1
set idle_ncfg=1
set Udma=ncfg=1
set mouse_ncfg=1

jetzt weiss ich leider nicht wie man eine saubere config.sys laedt, nachdem loeschen der config.sys sei is in A: (fake writable) oder Q: taucht sie nachdem neustart wieder auf.

Zitat:
Wie genau ist diese erweiterte Adressierung beschaffen? Wenn ich ein DOS boote, gibt es da auch Adressen, die in das ROM der Grafikkarte zeigen, ohne die könnte man die dort vorhandenen Funktionen ja gar nicht ansprechen.
MEM.exe zeigt mir Upper memory und Lower memory
wahrscheinlich wie du sagst auch das ROM der Grafikkarte welches sie mit einem Firmware flash veraendert haben sowie andere Devices dazu aber spaeter, mem.exe zeigt mit nachdem Eintrag BIOS Programme und Geraete Treiber ausser DOS noch folgendes: CON AUX PRN CLOCK$ COM1 COM2 COM3 COM4 LPT1 LPT2 LPT3 A:-B: und folgende Device Treiber $MMXXXX0 DPMSXXX0 USBD$ USBCD001 SETVERXX

Zur Zeit bin ich mit der auf dem UBCD enthaltenem PartedMagic Live Linux drin, und in dem Ordner /lib/firmware sind saemtliche Firmwares enthalten nur weiss ich nicht wie man die Original Firmware mit Linux wieder auf die Geraete aufspielt.

Hardinfo zeigt mir bei meiner PCI Bridge
-PCI Devices-
Host bridge : Intel Corporation Core Processor DMI
PCI bridge : Intel Corporation Core Processor PCI Express Root Port 1
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 1
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 2
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 3
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 4
PCI bridge : Intel Corporation 5 Series/3400 Series Chipset PCI Express Root Port 5

Auf einmal habe ich noch nen SATA controller bekommen, den ich vorher nicht hatte, den wuerde ich auch gerne los werden.
SATA controller : JMicron Technology Corp. JMB362/JMB363 AHCI Controller
IDE interface : JMicron Technology Corp. JMB362/JMB363 AHCI Controller

Zitat:
Dateien muss man nicht scannen, die öffent man einfach und was meint hier "recoveren"?Welche Befehle? Wie wurden sie verändert? "geroutet"?ganz sicher dass das da drin stand? Meine minimalen Batchkenntnisse sagen mir, dass da eine Menge Fehler drin stecken.Hab ich schon gefunden, ebenso deinen zweiten Account im Hijackthis-Forum mit einem weiteren Beitrag. Alles Verhaltensweisen, die nicht gerade dazu führen, dass man ernst genommen wird.
richtig Dateien muss man nicht scannen, aber wenn vorher die Festplatte mit killdisk vorher mit 00 loescht und man der Meinung ist, da ist nicht mehr ausser den 00 drauf und dann spater in der .tmp Datei von den Clients rauslesen kann, dass sich die Typen ueber die auf der Platte gefundenen Dateien unterhalten nachdem sie meine Dateien gerippt haben, da war ich auch erstmal baff und habe nicht schlecht gestaunt wie gerissen diese Jungs nunmal sind

Zitat:
Ich bedaure, so tief war ich niemals in die Drogen- bzw. Esoszene verstrickt. Aber von dem Kraut, dass Du da rauchst, hätte ich gerne was.
Bedaure auch, Rauchen tu ich schon lange nicht mehr, aber wenn du den Drang danach hast kann ich jederzeit etwas organisieren.

Zitat:
In einem anderen Forum wurde dir unterdessen von einer Kollegin der Vorschlag gemacht, das System mal richtig neu zu installieren. Wenn Du dich danach allerdings weiterhin in die Recoverypartition reinhackst, wirst Du dort immer noch Dinge finden, die Du nicht verstehst. Das ist nicht schlimm, man muss einfach nur akzeptieren, dass unsere Welt viel zu komplex ist, als dass man alles auf ihr verstehen könnte.
Aehm ja ich wuerde ja gerne ein System richtig neu installieren, wenn ich den vom Hersteller gedachte Ausgangsyustand bekommen wuerde.

Aber kurios nicht wahr, dass wenn ich Windows 7 64bit image von MSDNA herunter lade und spater wenn ich diese Dateien in einen Ordner extrahiere oder auf eine DVD brenne, die Dateien mit den Rootkitdateien mitintegriert werden oder veraendert werden wie z.B die autorun.inf in der nun folgendes enthalten ist

[AutoRun.Amd64]
open=setup.exe
icon=setup.exe,0

[AutoRun]
open=sources\sperr32.exe x64
icon=sources\sperr32.exe,0



Diese Dateien wird weder Virustotal noch andere Virenscanner als Schaedling melden.

Zuletzt habe ich meine saemtliche Dateien in / mit Fprot scannen lassen, was er als schaedling gemeldet hat war GMER als Trojan.gen

Zitat:
Das ist nicht schlimm, man muss einfach nur akzeptieren, dass unsere Welt viel zu komplex ist, als dass man alles auf ihr verstehen könnte.
Das ist Philosophie, im nachhinein empfinde ich es auch nicht als soo schlimm, denn dieser IO? stealth hybrid? Rootkit hat mich endlich dazu gebracht mit Linux auseinanderzusetzen, bin zwar noch ein noob in vielen Dingen z.B habe ich Iptables heruntergeladen konnte es aber nicht installieren weil "make" einfach fehlt und ich nicht weiss wie man diese Integrieren kann.

Naja ich poste das hier mal, auch wenn ich mir nicht viel daraus verspreche


Gruesse aus Darmstadt MG


Alt 26.03.2010, 15:07   #6
BiosViruZzZ
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Ich hacke seit der Frühzeiten der Homecomputer auf solchen Maschinen, hab jahrelang DOS-Systeme genutzt, die meisten Windows-Versionen, diverse Linux-Systeme.
IMHO, scheinst du die Entwicklung in der Szene verpasst zu haben
www.antirootkit.com/blog/category/pci-rootkits


mit !BIOS habe ich BIOS erweiterungen gelesen:

PCI-BIOS v3.0
Advanced Power Managment v1.2
Plug and Play BIOS v1.0
IBM/MS Int 13 Extensions v0.3
System Managment BIOS v2.3
Desktop Managment Interface v2.3
VESA BIOS Extensions v3.0
VBE POWER Managment

wenn mir jmd. mit knowhow erklärt wie man diese Erweiterungen deaktiviert oder z.T. neu aufspielen kann, werde ich das Board hier eine zeitlang nicht mehr betreten und einige werden

Alt 28.03.2010, 20:16   #7
KarlKarl
/// Helfer-Team
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Auch hier sehe ich nichts, aber auch gar nichts, was mich davon überzeugen könnte, dass da was illegales zugange wäre. Das Papier über PCI-Rootkits von antirootkit.com ist einige Jahre alt und war bisher eine theoretische Studie, darüber was denkbar ist. Glücklicherweise kommt nicht alles in der Realität an, was solche Gestalten entwickeln. Und sollte das dennoch Jahre später ausgerechnet auf deinem System passiert sein, dann gehe ich zurück zu meiner Empfehlung aus meinem ersten Beitrag hier. Der mit dem Hammer, nur dass es dann reicht, die Trümmer bei einer Sondermüllannahmestelle abzugeben, in den Hausmüll gehören sie nicht. In die USA muss man deshalb nicht reisen.

Ich betone aber: Alles andere, was Du hier berichtest, halte ich für komplett harmlos. Ich kann z.B. an dieser config.sys nichts auffälliges finden, wie sollte denn die saubere config.sys aussehen, die Du gerne laden möchtest?

Du kannst es natürlich mal mit Darik's Boot And Nuke probieren. Die software putzt wirklich ALLES von ALLEN Festplatten, die sie finden kann. Danach hast Du aber auch keine Recoviery mehr, von der sich ein System installieren ließe, dann musst Du alles haben, was installiert werden soll. Aber all diese Dateien, die Du da bisher in der versteckten Partition gefunden hast, sind zuverlässig weg.

iptables ist zwar eine feine Sache, aber ich sehe da keinen Bezug zu diesem Thread. Und ich weiß ja nicht, was für ein Linux Du dir angelacht hast, aber ein Linux ohne make, das habe ich noch nicht gesehen. Probiere es doch mal mit Debian oder dem darauf aufbauenden Ubuntu, was da nicht sofort installiert ist, lässt sich mit der Paketverwaltung unkompliziert nachinstallieren. Ich meine mich aber zu erinnern, dass make Teil des Basissystems ist. Bei der nächsten Installation werde ich mal genauer drauf achten.

Alt 04.04.2010, 20:19   #8
BiosViruZzZ
 
ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Standard

ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start



Guten Abend und schoene Feiertage wuensche ich erstmal allen,


@Karl bevor ich zum Hammer greife, dachte ich zeige ich meine halb abgebautes Notebook einem PC-Fachmann der Reparaturen fuer Computer anbietet, sowas was auf meinem System laueft haette er nicht gesehen, aendern konnte er auch nichts weil das Problem tief im System sitzt, geraten hat er mir damit zum Antivirenhersteller zu gehen oder zur BKA, die sollen ja eine extra Abteilung haben fuer Cyberkriminalitaet .

Bevor ich mit der Kiste zur Polizei renne mache ich doch erstmal einen Exploit mit den Tools die mir DrDos so bietet, was mir auch teilweise gelungen ist mit nwcache und Smartdrv

Command.com persistend in den Speicher geladen mit Setver die Versionsnummer geaendert, mit sys config die kernel.sys bearbeitet und schon ging es los

UBCD CD eingelegt

mit (in der Tat) abgeheangter Festplatte

Ramdisk at 0xb7f47000, length 0x00067505
Moving compressed data from 0xb7f47000 to 0xb7e00a00 <- Addresse VIDEO ROM
gzip image:decompressed addr 0xb7e68000, len 0x00168000: ok

Disk is fd0,1440 k,C/H/S=80/2/18 (FAT/FAT), rw
Using safe Int 15h access to high memory
code 1340 meminfo 192, cmdline 61, stack 512
Total size needed=2105 bytes, allocating 3K
Old dos memory at 0x9f000 (map says 0x9fc00), loading at 0x9f000
1588: 0xffff 15E801: 0x3c00 0xb6e6
Int 13 08: Failure, assuming this is the only drive
Drive probing gives drive shift limit: 0x03
old int13 = 9f00000a int 15 =9f0002d1 int1e=9f00051c

Loading boot sector......booting....
.
FreeDos kernel build 2036 cvs [version Aug 2006 compiled Aug 18 2006]


jetzt konnte ich sogar mit F5 die Autoexec.bat Prozedur umgehen (bypass)

was mir zuvor nicht gelungen ist, Zugriff auf mein USB-Laufwerk hatte ich jetzt auch

nun konnte ich alles was auf A: geladen war auf meinen USB Stick ziehen

was sagen dir deine minimalen Batch Kenntnisse zu dieser Autoexec.bat?
Code:
ATTFilter
@set debug=
@if exist \bin\kbfl.com \bin\kbfl
@if errorlevel 1 set debug=y
@if exist \debug.txt set debug=y
@if "%debug%"=="" echo off
if "%1"==":" if not "%2"=="" goto %2
set prompt=$p$g
set ramdrv=
set path=\bin;\
if "%os%"=="" set os=ms
if "%@eval[2+2]%"=="4" set os=lz
if "%os%"=="lz" set _delq=/Q
if "%os%"=="lz" alias xcopy=copy
if exist $MMXXXX0 set ldh=loadhigh
if exist EMMXXXX0 set ldh=loadhigh
if exist EMMQXXX0 set ldh=loadhigh
if exist UMBPCIXX set ldh=loadhigh
if exist XMSUUUU0 set ldh=loadhigh
if "%persz%"=="" set persz=512
if exist %ramdrv%\bin\fix27.com %ldh% %ramdrv%\bin\fix27.com
if not exist %ramdrv%\bin\peruse.com goto _perq1
if not exist XMSXXXX0 if not exist EMMQXXX0 if not exist XMSUUUU0 goto _perq1
if "%persz%"=="0" goto _perq1
%ldh% peruse.com /x%persz% >nul
:_perq1
set persz=
:_about
if "%1"=="" if exist %ramdrv%\bin\2peruse.* goto _abdone
ver /r
echo.
echo MODBOOT v2.6, Copyright (C) by Bart Lagerweij
echo Bart's Modular Boot Disk - hxxp://www.nu2.nu/bootdisk/modboot/
echo This program is free software, but WITHOUT ANY WARRANTY!
echo An official license is being made for this software...
echo See hxxp://www.nu2.nu/license/ for more details.
echo.
echo NwDsk 3.42 Copyright (C) 2002-2007 Erwin Veermans
echo   mailto:NwDsk@Veder.com
echo   hxxp://www.veder.com/nwdsk/
echo NetWare Dos Client 16/32-bit (VLM/NLM) IPX + IP
if "%1"==":" if not "%2"=="" if exist %ramdrv%\bin\diskid.txt type %ramdrv%\bin\diskid.txt
if "%1"==":" if not "%2"=="" goto _end
:_abdone
if not "%os%"=="lz" goto _n4
set srcdrv=%_boot%
if not "%srcdrv%"=="" set srcdrv=%srcdrv%:
goto _nobdrv
:_n4
set srcdrv=
if not exist %ramdrv%\bin\bootdrv.com goto _nobdrv
%ramdrv%\bin\bootdrv.com
:_dummy1
if not "%os%"=="dr" set _benny=H
for %%i in (Z Y X W V U T S R Q P O N M L K J I H G F E D C B A) do if not errorlevel %_benny%%%i set srcdrv=%%i:
set _benny=
:_nobdrv
if "%srcdrv%"=="" set srcdrv=A:
set _srcdrv=%srcdrv%
set _memdisk=
set _linux=
if not exist %ramdrv%\bin\getargs.* goto _ngetargs
getargs >nul
if errorlevel 3 if not errorlevel 4 set _memdisk=3
if errorlevel 2 if not errorlevel 3 set _memdisk=2
if errorlevel 1 if not errorlevel 2 set _memdisk=1
:_ngetargs
if "%_memdisk%"=="" goto _nmemdsk
echo AUTOEXEC: MEMDISK(%_memdisk%)
getargs M >nul
if errorlevel 52 if not errorlevel 53 set _linux=4
if errorlevel 51 if not errorlevel 52 set _linux=3
if errorlevel 50 if not errorlevel 51 set _linux=2
if errorlevel 49 if not errorlevel 50 set _linux=1
if not "%_linux%"=="" echo AUTOEXEC: (%_linux%)LINUX
if not "%_linux%"=="1" goto _nmemdsk
if exist %ramdrv%\bin\modboot.* goto _nmemdsk
:_sys1
echo AUTOEXEC: Probing B:
getargs 1
if errorlevel 1 goto _sysb
goto _sys2
:_sysb
for %%i in (ldlinux.sys syslinux.cfg memdisk.) do if not exist B:\%%i goto _sys2
if not exist B:\bin\modboot.* goto _sys2
set srcdrv=B:
if not "%srcdrv%"=="%_srcdrv%" goto _nmemdsk
:_sys2
echo AUTOEXEC: Probing C:
getargs 2
if errorlevel 1 goto _sysc
goto _nmemdsk
:_sysc
for %%i in (ldlinux.sys syslinux.cfg memdisk.) do if not exist C:\%%i goto _nmemdsk
if not exist C:\bin\modboot.* goto _nmemdsk
set srcdrv=C:
if not "%srcdrv%"=="%_srcdrv%" goto _nmemdsk
:_nmemdsk
%srcdrv%
cd \
echo AUTOEXEC: Booted drive is %srcdrv%
:_goram
if not exist %srcdrv%\bin\2peruse.* if exist %srcdrv%\diskid.txt type diskid.txt
path=%srcdrv%\bin;%srcdrv%\
if "%config%"=="CLEAN" goto _end
if "%config%"=="0" goto _end
if exist EMMQXXX0 goto _xmsok
if exist XMSUUUU0 goto _xmsok
if exist XMSXXXX0 goto _xmsok
echo.
echo AUTOEXEC: No XMS manager installed (himem.sys)
goto _abort
:_xmsok
:_ramsrc
if exist %_srcdrv%\etc\autoset.bat if not exist %srcdrv%\etc\autoset.bat call %_srcdrv%\etc\autoset.bat
if exist %ramdrv%\etc\autoset.bat call %ramdrv%\etc\autoset.bat
set ramdrv=
if "%ramltr%"=="" set ramltr=Q:
if "%ramsz%"=="" set ramsz=8192
set persz=
if "%ramsz%"=="0" set ramdrv=%srcdrv%
if "%ramsz%"=="0" if not "%_srcdrv%"=="%srcdrv%" set path=%_srcdrv%\bin;%_srcdrv%\;%path%
if not "%ramdrv%"=="" goto _ramok
set ramdrv=%ramltr%
if "%ramdrv%"=="" set ramdrv=Q:
for %%i in (unzip lha extract unuharcd) do if exist %srcdrv%\bin\%%i.exe goto _extracok
echo.
echo AUTOEXEC: Missing file "%srcdrv%\bin\extract.exe"
goto _abort
:_extracok
for %%i in (unzip lha extract unuharcd) do if exist %ramdrv%\bin\%%i.exe goto _ramok
for %%i in (xmsdsk.exe shsurdrv.exe evnwrdrv.com) do if exist %srcdrv%\bin\%%i goto _xdskok
echo.
echo AUTOEXEC: Missing file "%srcdrv%\bin\extract.exe"
goto _abort
:_xdskok
echo AUTOEXEC: Setting up Ramdisk at drive %ramdrv%
if exist %srcdrv%\bin\xmsdsk.exe goto _xmsdsk
if exist %srcdrv%\bin\shsurdrv.exe goto _shsurdrv
evnwrdrv %ramsz%%ramdrv%
if errorlevel 1 if not errorlevel 255 goto _abort
if not exist %ramdrv%\nul goto _abort
goto _ramok
:_shsurdrv
shsurdrv /D:%ramsz%K,%ramdrv% /T /QQ
if errorlevel 1 if not errorlevel 255 goto _ramok
goto _abort
:_xmsdsk
xmsdsk %ramsz% %ramdrv% /y /t
if errorlevel 1 goto _ramok
goto _abort
:_ramok
if not exist %ramdrv%\etc\nul mkdir %ramdrv%\etc
if not exist %ramdrv%\etc\profile\nul mkdir %ramdrv%\etc\profile
set home=%ramdrv%\etc
set djdir=%ramdrv%\etc
set ramltr=
if not exist %ramdrv%\bin\nul md %ramdrv%\bin
if not exist %ramdrv%\tmp\nul md %ramdrv%\tmp
set temp=%ramdrv%\tmp
set tmp=%ramdrv%\tmp
if not "%srcdrv%"=="%ramdrv%" copy %_srcdrv%\command.com %ramdrv%\bin >nul
if not exist %ramdrv%\bin\command.com goto _dumlab1
set comspec=%ramdrv%\bin\command.com
:_dumlab1
for %%i in (unzip lha extract unuharcd) do if exist %ramdrv%\bin\%%i.exe goto _skipcp
echo AUTOEXEC: Copying %srcdrv%\bin and %srcdrv%\etc to %ramdrv%
if exist %srcdrv%\bin\*.* copy %srcdrv%\bin\*.* %ramdrv%\bin\. >nul
if not exist %ramdrv%\bin\emm386.exe if not exist %ramdrv%\bin\himem.exe if exist %_srcdrv%\bin\*.exe copy %_srcdrv%\bin\*.exe %ramdrv%\bin\. >nul
if not exist %ramdrv%\bin\getargs.com if exist %_srcdrv%\bin\*.com copy %_srcdrv%\bin\*.com %ramdrv%\bin\. >nul
if exist %srcdrv%\etc\*.* copy %srcdrv%\etc\*.* %ramdrv%\etc\. >nul
if exist %srcdrv%\etc\profile\*.* copy %srcdrv%\etc\profile\*.* %ramdrv%\etc\profile\. >nul
if not exist %ramdrv%\bin\extract.exe if not exist %ramdrv%\bin\unzip.exe if not exist %ramdrv%\bin\unuharcd.exe if not exist %ramdrv%\bin\lha.exe goto _abort
:_skipcp
if not "%srcdrv%"=="%ramdrv%" set path=%ramdrv%\bin;%ramdrv%\
:_dumlab5
if not "%debug%"=="" set xtrct=verbose
if exist %srcdrv%\diskid.txt if not exist %ramdrv%\bin\diskid.txt copy %srcdrv%\diskid.txt %ramdrv%\bin\. >nul
if exist %_srcdrv%\config.sys if not exist %ramdrv%\bin\config.sys copy %_srcdrv%\config.sys %ramdrv%\bin\. >nul
if not exist %ramdrv%\bin\getargs.com goto _nargs
getargs >%tmp%\_getargs.bat
if exist %tmp%\_getargs.bat call %tmp%\_getargs.bat
:_nargs
set arcext=
if exist %ramdrv%\bin\*.lzh set arcext=lzh
if exist %ramdrv%\bin\*.zip set arcext=zip
if exist %ramdrv%\bin\*.uha set arcext=uha
if exist %ramdrv%\bin\*.cab set arcext=cab
if not "%arcext%"=="zip" if not "%arcext%"=="cab" if not "%arcext%"=="lzh" if not "%arcext%"=="uha" goto _abort
if not exist %ramdrv%\bin\share.* goto _nshare
%ldh% %ramdrv%\bin\share >nul
if errorlevel 2 %ramdrv%\bin\share >nul
:_nshare
if exist %ramdrv%\bin\modboot.bat goto _modboot
if not exist %ramdrv%\bin\modboot.%arcext% goto _abort
if not "%arcext%"=="zip" goto _nmodzip
echo AUTOEXEC: Extractor UNZIP 5.51 (.zip) by Info-ZIP
unzip.exe -o -C -qq %ramdrv%\bin\modboot.%arcext% -d %ramdrv%\
if errorlevel 1 goto _unpackerr
:_nmodzip
if exist %ramdrv%\bin\modboot.bat goto _modboot
if not "%arcext%"=="lzh" goto _nmodlzh
echo AUTOEXEC: Extractor LHA 2.55e (.lzh) by Haruyasu Yoshizaki
lha.exe x -a1 -m1 -n2 %ramdrv%\bin\modboot.%arcext% %ramdrv%\
if errorlevel 1 goto _unpackerr
:_nmodlzh
if exist %ramdrv%\bin\modboot.bat goto _modboot
if not "%arcext%"=="uha" goto _nmoduha
echo AUTOEXEC: Extractor UNUHARCD 0.6b beta (.uha) by Uwe Herklotz
unuharcd.exe x -y+ -o+ -t%ramdrv%\ %ramdrv%\bin\modboot.%arcext% >%tmp%\extract.out
if errorlevel 1 goto _unpackerr
:_nmoduha
if exist %ramdrv%\bin\modboot.bat goto _modboot
echo AUTOEXEC: Extractor EXTRACT 1.00.603.0 (.%arcext%) by Microsoft
if exist %srcdrv%\bin\modboot.%arcext% goto _modbcabok
echo.
echo AUTOEXEC: Missing file "%srcdrv%\bin\modboot.%arcext%"
goto _abort
:_modbcabok
extract /y /l %ramdrv%\ /e %srcdrv%\bin\modboot.%arcext% >%tmp%\extract.out
if errorlevel 1 goto _unpackerr
if exist %tmp%\extract.out del %_delq% %tmp%\extract.out
if exist %ramdrv%\bin\modboot.bat goto _modboot
echo.
echo AUTOEXEC: Missing file "%ramdrv%\bin\modboot.bat"
goto _abort
:_unpackerr
if exist %tmp%\extract.out type %tmp%\extract.out
if exist %tmp%\extract.out del %_delq% %tmp%\extract.out
echo.
echo AUTOEXEC: Error while unpacking "%srcdrv%\bin\modboot.%arcext%"
goto _abort
:_modboot
%ramdrv%
cd \
%ramdrv%\bin\modboot.bat
:_abort
:_error
shift
shift
if not ""=="%1" echo AUTOEXEC: %1 %2 %3 %4 %5 %6 %7 %8
echo AUTOEXEC: Aborted...
echo.
@rem pause
:_end
         
die restlichen Dateien die in A: extrahiert wurden, habe ich hier gepackt

UBCDFolder
hxxp://www.filedump.net/dumped/ubcdbartsfolder1270404759.zip

Fuer mich ist hier sense

Geändert von BiosViruZzZ (04.04.2010 um 21:02 Uhr)

Antwort

Themen zu ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start
.com, 0 bytes, ahnung, anfang, aufzeichnen, autoexec, bios, dateien, diverse, fake, freunde, geknackt, grafikkarte, kleine, kleinen, laufwerk, link, not, problem, rechner, rootkit, speicher, start, system, trick, ukraine, verdacht, verweise, verändert



Ähnliche Themen: ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start


  1. Lenovos Service Engine: BIOS-Rootkit direkt vom Hersteller
    Nachrichten - 13.08.2015 (0)
  2. Windows 7: BIOS und Win. start up sind schwarz. Bild erst bei Desktop wieder.
    Log-Analyse und Auswertung - 16.05.2014 (7)
  3. GVU Trojaner - PC gesperrt - defogger + OTL-Log angehängt
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (5)
  4. GVU Trojaner 2.07 / Logfiles angehängt
    Log-Analyse und Auswertung - 30.07.2012 (8)
  5. (2x) Abbild fehlerhaft bei Messenger-Start, evtl. Rootkit?
    Mülltonne - 23.07.2012 (1)
  6. Bundespolizei-Trojaner, OTL-Logs angehängt
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (5)
  7. 50 € Trojaner, Win XP, OTL Logfiles angehängt
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (36)
  8. Rootkit im BIOS
    Netzwerk und Hardware - 24.02.2012 (2)
  9. 50 Euro Virus / OTL Files angehängt
    Log-Analyse und Auswertung - 13.02.2012 (5)
  10. Beiträge in Log umgewandelt und in Beitrag 1 angehängt
    Mülltonne - 28.12.2011 (2)
  11. PC-Start sehr langsam, Verbindung zu unbekanntem Server, Rootkit-Anzeichen (TDSS?)
    Log-Analyse und Auswertung - 06.12.2011 (23)
  12. McAfee Startet Nicht, Shutdown nach Start, RootKit?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (11)
  13. TR/Dropper.Gen in C:\autoexec.exe und ...
    Plagegeister aller Art und deren Bekämpfung - 18.02.2010 (8)
  14. Sicherheitsexperten warnen vor BIOS-Rootkit
    Nachrichten - 01.08.2009 (0)
  15. autoexec.bat verschwindet
    Alles rund um Windows - 05.11.2004 (6)
  16. autoexec.bat wird gelöscht
    Plagegeister aller Art und deren Bekämpfung - 04.11.2004 (11)
  17. autoexec.cam
    Plagegeister aller Art und deren Bekämpfung - 15.03.2003 (9)

Zum Thema ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start - Hi, habe ein schwerwiegendes Problem, auf meinem Rechner befinde sich ein Modbot, welches von anfang an auf dem System resistent ist. Mit ein paar Freunden haben wir, nachdem wir den - ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start...
Archiv
Du betrachtest: ROOTKIT im BIOS angehängt benutzt MODBOOT.BAT und AUTOEXEC.BAT bei start auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.