Hallo,

Gmer hat auf meinem PCunter Windows 7 etwas gefunden und gibt die Meldung "Warning - GMER has found system modification caused by ROOTKIT activity.







Allerdings findet GMER komischerweise nur etwas wenn Firefox geöffnet ist in der Sandbox (Sandboxie) geöffnet ist.

Wenn ich mit GMER normal scanne bzw. Firefox nicht gesandboxt aktiv ist findet GMER auch nichts. Würde daraus schließen, dass das Rootkit in der Sandbox ist.

Halli hallo Lein.

Ich würde mal annhemen, dass Sandboxie da was hookt was GMER nicht gefällt.

Lösche mal den Inhalt aller Sandkisten.

Die Meldung kannst du ignorieren.

Meinst du das ist eine Falschmeldung?

Das Problem ist auch, dass es nur diese bestimmte Sandbox betrifft. Starte ich Firefox ohne Sandbox oder in einer anderen findet GMER nichts. Auch wenn Firefox gar nicht läuft wird nichts gefunden.

Ich würde gerne mal die bestimmten Dateien aus der Sandbox extrahieren, allerdings ist das Problem das sie in der Ordnerstruktur nicht angezeigt werden.

Hast du eine Idee wie das hinbekomme?

Brauchst dir keine Mühe machen.

Lösche die Sandbox komplett. Danach ist sie ja definitiv sauber.

Die Funde sehen sehr nach einem FP aus.

Während eines GMER scans sollten eigentlich eh alle Programme geschlossen sein. Genau aus dem Grund.

Ok, vielen Dank für die Einschätzung, werde ich die Sandbox auch gleich löschen.

Aber warum findet GMER in einer 2. identisch eingestellten Sandbox dann nichts?

Könntest du mir aber trotzdem interessehalber bitte einen Tip geben wie ich z.B. eine Datei die beispielsweise durch ein Rootkit versteckt wird sichtbar mache oder oder auch kopiere. Damits ichs mal weiss. Habe mit einer PE Disk gebootet allerdings ist es mir trotzdem nicht gelungen auf die Dateien zu zu greifen.

Zitat:

Habe mit einer PE Disk gebootet allerdings ist es mir trotzdem nicht gelungen auf die Dateien zu zu greifen.

Wie meinst du das? War die Datei nicht vorhanden? Denn von einer PE Disk hast du def. Zugriff auf jede Datei! Wenn sie nicht vorhanden war dann ist das der Beweis dafür, dass es sich um Sandboxie Dateien handelt die beim schließen der Sandbox gelöscht werden.

Per Rootkit versteckte Dateien kannst du nur über eine PE Disk sehen.

Oder du musst das Rootkit mit Tools wie GMER sichtbar machen und den Rootkit Treiber löschen. Dann wird die versteckte Datei wieder sichtbar.