[gelöst] Bios und Uefi Wechsel an Experten "ROOTKIT"

Guten Tag an die Community,
ich bin die Lara, neu hier und studiere selbst IT und bin mit Windows soweit vertraut.
Erstmal ein freundliches Hallo an die Forumuser, Helfer und Mitleser.

Zu meinen eigentlichen Aufgaben, die ich hier versuchen möchte mit euch abzuarbeiten:
1) Ich habe einen HP8560p Elitebook Laptop. (Cooles damaliges Teil)
Es gibt ja aus der Vergangenheit das normale BIOS, und seit ca. 2011 dann immer häufiger das neue UEFI, welches das BIOS ersetzt.
Laut Herstellerangaben muss mein HP8560p auch mal mit einem BIOS ausgestattet gewesen sein.
Als ich es vor einigen Jahren aus 1ster Hand gebraucht gekauft habe (immerhin 550 €), war bereits das UEFI vorinstalliert.
Mir ist inzwischen aufgefallen, dass mir im HP UEFI einige Einstellungen fehlen, ebenfalls die Funktionen zum Secure Boot, siehe Anhang.

Um die Frage erstmal kurzzuhalten:
Gibt es eine Möglichkeit das UEFI komplett zu löschen und das normale BIOS auf den EPROM Chip aufzuspielen?
Oder würde das "nur" gehen, wenn der EPROM Chip direkt auf der Platine gewechselt werden würde?
Dafür und warum ich das will, gibt es dann auch gleich eine Erklärung, warum ich zurückmöchte / muss.
Ein BIOS/UEFI Update direkt von der HP Seite habe ich bereits geladen und ausgeführt.
Es bleiben aber alle Einstellungen im UEFI so wie es vorher war, also keine Veränderung.
Auch das UEFI Admin Passwort wird nicht neu angefragt. In der Logdatei wird der Fehler SMBIOS angezeigt.

Es geht darum, dass ich nach langer Arbeit und einen speziellen UEFI-Scanner ein Rootkit auf meinen UEFI entdeckt habe! Das würde auch erklären, warum einige Funktionen wie bspw. Secure Boot im UEFI nicht angezeigt werden.
Wer sich mit der Materie auskennt, kann sich dieser Diskussion gerne anschließen.
Es wird noch weitaus ausführlicher.

Vielen Dank erstmal
Gruß Lara

Hallo Lara,

erstmal Herzlich Willkommen hier im Forum!

Es sollte mich wundern, daß in einem von HP heruntergeladenem BIOS ein Root-Kit enthalten sein soll - ich denke, das ist eine Falschmeldung von Deinem Scanner.

Die Funktion Secure Boot ist wohl vorhanden siehe Dein Bild:


Um Secure Boot umzustellen, muß ich z.B. in meinem BIOS ein Admin-Passwort setzen. Normalerweise ist da nichts gesetzt (Passwort ist leer). Nach dem Umstellen setze ich mein BIOS-Passwort wieder zurück (auf leeres Passwort), damit ich da nichts vergesse.
Wenn das Passwort leer ist, wird es natürlich auch nie abgefragt.

Ein Zurücksetzen auf ein altes BIOS ist möglicherweise nicht vorgesehen. Da solltest Du Dich an den HP-Support werden - oder an einen Kommilitonen in einem fortgeschrittenen Semester.

@PeteM92

Guten Tag
Zum besseren Verständnis, das UEFI, was den Rootkit gefunden hat, war das zuvor installierte UEFI welches schon
darauf installiert war!
Nicht das neue geladene und installierte von HP, das hätte mich auch gewundert.

Falls dir solche Rootkits im UEFI noch nicht bekannt sind, lese mal hier:


Die UEFI Abbildung von mir zum Secure Boot, entspricht nicht meinen UEFI, sondern nur die Einstellungen, die bei mir fehlen.

Solche Rootkits schreiben direkt im Masterbootsektor ihre Hintertür.

Mein Wissen über Rechner ist begrenzt, aber bingen kann ich.
Ich habe folgendes zum Bios bei HP gefunden. altes Bios
Da ich quasi kein Englisch kann weis ich nicht ob Euch dieses alte Thema weiter hilft.
Wenn ja habe ich mich gerne nützlich gemacht.
Lieben Gruß von Ännchen

@WindowsBS
Hallo und herzlich willkommen im Forum.

Dein Anliegen zum Aufspielen des UEFI ist im Unterforum "Probleme mit Patches und Windows Update".
Welches Betriebssystem ist aktuell auf dem HP8560p installiert? Diese Angabe fehlt im Startpost.

Handelt es sich um diese Dateien, welche du dir heruntergeladen hast?
Diese sind unter Auswahl für Windows XP 64-bit zu finden.



Bei Auswahl von Windows 8.1 64-bit ist nur noch die Datei vom 28. Febr. 2018 zum Download angeboten, siehe Screenshot.
Weitere Details siehe hier HP EliteBook 8560p Notebook-PC Software- und Treiber-Downloads | HP® Kundensupport

Die UEFI Abbildung von mir zum Secure Boot, entspricht nicht meinen UEFI, sondern nur die Einstellungen, die bei mir fehlen.

Zum Vergrößern anklicken....

Eine Frage, was sollen wir mit einem Screenshot anfangen, wenn die gezeigten Details nicht mit deinem System übereinstimmen?
Bitte zeige uns einen Screenshot zu dem aktuellen UEFI deines Geräts. Vielen Dank.

Guten Morgen,
danke für die Antworten bis hier hin.

@Alice

Ja, genau die BIOS-Dateien von der HP Seite habe ich heruntergeladen und das BIOS damit nochmal überschrieben.
Nach dem Überschreiben sind aber trotzdem noch alle Einstellungen im UEFI wie vorher.
Unter Windows 10 im UEFI Modus installiert, wird das Rootkit trotzdem weiterhin gefunden.

Ich denke ich werde mich für den Weg entscheiden, einen neuen BIOS-Chip zu kaufen und einzubauen.
Wenn das nicht möglich ist, bleib ich halt mit den HP Offline

Kennst Du diese Seite hier? Vielleicht hilft´s

WindowsBS schrieb:

Nach dem Überschreiben sind aber trotzdem noch alle Einstellungen im UEFi wie vorher.

Zum Vergrößern anklicken....

Ein Gerät aus dem Jahr 2011 kennt schlicht kein SecureBoot.

Die Funktion wurde erst Jahre später eingeführt und normalerweise nicht bei älteren Geräten nachgerüstet. Du jagst da Phantomen hinterher. Der Screenshot dürfte sicherlich von einem aktuelleren Gerät sein.

WindowsBS schrieb:

Unter Windows 10 im UEFI Modusinstalliert , wird das Rootkit trotzdem weiterhin gefunden.

Zum Vergrößern anklicken....

Dann würde ich den verwendeten "Rootkit Scanner" oder wer auch immer dir da etwas anzeigt, als untauglich ansehen.
Dass du auf einem normalen Notebook eine nicht in freier Wildbahn aufzufindende UEFI-Rootkit-Malware findest, die von Geheimdiensten eingesetzt wird, ist eher unwahrscheinlich.

WindowsBS schrieb:

Ich denke ich werde mich für den Weg entscheiden , einen neuen Bioschip zu kaufen und einzubauen .
Wenn das nicht möglich ist , bleib ich halt mit den HP Offline

Zum Vergrößern anklicken....

Ich denke, du solltest das Gerät einfach nutzen.

@IngoBingo

Das Rootkit wird gefunden und ist auch definitiv vorhanden.
Was der Vorbesitzer da auf den Laptop gemacht hat, seine Sache.
Woher das Rootkit kam, auch uninteressant für mich.
Fakt ist, der BIOS-Chip hat einen Schreibschutz gesetzt.
Deswegen kommt auch nach dem BIOS-Update "Original von HP" die Fehlermeldung in der Logfile:

Edit by Mod: Wo ist dieses Logfile und wie lautet die Fehlermeldung?

Nun nochmal meine Frage an die Experten.
Gibt es Software, die entweder über Boardmittel oder per Dos Disk in der Lage ist,
den Schreibschutz aufzuheben?
Erforderliche Kenntnisse zum BIOS habe ich ausreichend.
Allerdings kann man, meines Wissens nach, die BIOS-Chips nur mit einem Flasher beschreiben?!
Weil ich sonst nicht soviel bei meinem Studium damit zu tun habe Chips neu zu beschreiben,
muss ich nochmal nachfragen

Gruß eure Lara

WindowsBS schrieb:

Das Rootkit wird gefunden und ist auch definitiv vorhanden .

Zum Vergrößern anklicken....

Sagt wer? Bisher gibt es nur die Aussage irgendeines Tools, dessen Namen du bisher nicht einmal genannt hattest.

WindowsBS schrieb:

Fakt ist der Bioschip hat einen Schreibschutz gesetzt .
Deswegen kommt auch nach dem Biosupdate "Original von HP" die Fehlermeldung in der Logfile:

Zum Vergrößern anklicken....

...ähm... da kam jetzt nichts nach dem Doppelpunkt.

@IngoBingo

Guten Abend,
welche Tools das sind als kleiner Tipp, 1 Tool und etwas in den Systemeinstellungen bestätigen das.
Auskunft wie man sowas auswendig macht werde ich nur an Diejenigen, die auch wissen, was Sache ist und etwas dazu beitragen können
Nicht nur Posten was nichts mit dem Thema zu tun hat. Schließe dich dem Thema kompetent an und es ergibt Sinn,
dir weitere Informationen zu dem Rootkit und wie man es findet, zukommen zu lassen.

Ich habe hier nochmal nachgefragt, wer etwas zu dem Programm Chipsec: beitragen kann und die anschließende Programmierung über Python: Das ist dann auch nur etwas für Leute, die genug Ahnung von sowas haben.

Meine vorausgegangenen Posts dazu sind ja aktualisiert in einem ganz neuen Thema zu finden:
UEFI Bios Chip Schreibschutz aufheben ohne Flasher ?!
Bitte dann nur noch in diesem Thema dazu beitragen, wem es interessiert.
Diese Informationen, dass es UEFI Rootkits gibt, sind öffentlich seit 2018 bekannt.

(Wie man diese(s) findet, ist eine andere Sache und soll in dem anderen Thema weiter besprochen werden, da helfe ich dann auch gerne weiter)

DER THREAD HIER KANN GESCHLOSSEN WERDEN

TIPP - vielleicht nützlich: UEFITool – Thomas-Krenn-Wiki
How To Manage EFI/UEFI Boot Options with DiskGenius Free from Windows?

WindowsBS schrieb:

welche Tools das sind Als kleiner Tipp , 1 Tool und etwas in denSystemeinstellungen bestätigen das.

Zum Vergrößern anklicken....

Wenn du keine Infos lieferst, kann man dir nicht helfen. Egal wie viele Threads du zu dem Thema eröffnest.

WindowsBS schrieb:

Auskunft wie man sowas auswendig macht werde ich nur an Diejenigen , die auch wissen was Sache ist und etwas dazu beitragen können

Zum Vergrößern anklicken....

Bevor sich jemand ernsthaft mit dem Thema beschäftigt, wäre es halt sinnvoll, zuerst mal zu klären, ob es sich wirklich um das behauptete Problem handelt. Du meldest dich hier neu an, lieferst kaum Infos, beantwortest kaum Fragen. Daher meine Rückfragen zu ein paar Details.

WindowsBS schrieb:

( Wie man diese(s) findet ist eine andere Sache und soll in den anderen Thema weiter besprochen werden dahelfe ich dann auch gerne weiter )

Zum Vergrößern anklicken....

Und ich dachte, du wolltest, dass man dir weiterhilft. Und verhältst dich so, dass man dir nicht weiterhelfen möchte. Aber vielleicht haben Andere hier dazu ja weiter Lust...