Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit mit Gmer gefunden (https://www.trojaner-board.de/83422-rootkit-gmer-gefunden.html)

Lein 01.03.2010 16:37
Rootkit mit Gmer gefunden
 
Hallo,

Gmer hat auf meinem PCunter Windows 7 etwas gefunden und gibt die Meldung "Warning - GMER has found system modification caused by ROOTKIT activity.

http://img12.imageshack.us/img12/726/unbenannt2ur.jpg

http://img194.imageshack.us/img194/2...benanntodq.jpg

http://img62.imageshack.us/img62/8928/unbenannt4yv.jpg

Allerdings findet GMER komischerweise nur etwas wenn Firefox geöffnet ist in der Sandbox (Sandboxie) geöffnet ist.

Wenn ich mit GMER normal scanne bzw. Firefox nicht gesandboxt aktiv ist findet GMER auch nichts. Würde daraus schließen, dass das Rootkit in der Sandbox ist.

undoreal 01.03.2010 19:04
Halli hallo Lein.

Ich würde mal annhemen, dass sandboxie da was hookt was gmer nicht gefällt.

Lösche mal den Inhalt aller Sandkisten.

Die Meldung kannst du ignorieren.

Lein 01.03.2010 19:25
Meinst du das ist eine Falschmeldung?

Das Problem ist auch, dass es nur diese bestimmte Sandbox betrifft. Starte ich Firefox ohne Sandbox oder in einer anderen findet GMER nichts. Auch wenn Firefox gar nicht läuft wird nichts gefunden.

Ich würde gerne mal die bestimmten Dateien aus der Sandbox extrahieren, allerdings ist das Problem das sie in der Ordnerstruktur nicht angezeigt werden.

Hast du eine Idee wie das hinbekomme?

undoreal 01.03.2010 19:29
Brauchst dir keine Mühe machen.

Lösche die Sandbox komplett. Danach ist sie ja definitiv sauber.

Die Funde sehen sehr nach einem FP aus.

Während eines gmer scans sollten eigentlich eh alle Programme geschlossen sein. Genau aus dem Grund.

Lein 01.03.2010 19:42
Ok, vielen Dank für die Einschätzung, werde ich die Sandbox auch gleich löschen.

Aber warum findet GMER in einer 2. identisch eingestellten Sandbox dann nichts?

Könntest du mir aber trotzdem interessehalber bitte einen Tip geben wie ich z.B. eine Datei die beispielsweise durch ein Rootkit versteckt wird sichtbar mache oder oder auch kopiere. Damits ichs mal weiss. Habe mit einer PE Disk gebootet allerdings ist es mir trotzdem nicht gelungen auf die Dateien zu zu greifen.

undoreal 03.03.2010 08:39
Zitat:
Habe mit einer PE Disk gebootet allerdings ist es mir trotzdem nicht gelungen auf die Dateien zu zu greifen.
Wie meinst du das? War die Datei nicht vorhanden? Denn von einer PE Disk hast du def. Zugriff auf jede Datei! Wenn sie nicht vorhanden war dann ist das der Beweis dafür, dass es sich um Sandboxie Dateien handelt die beim schließen der Sandbox gelöscht werden.

Per Rootkit versteckte Dateien kannst du nur über eine PE Disk sehen.

Oder du musst das Rootkit mit Tools wie gmer sichtbar machen und den Rootkit Treiber löschen. Dann wird die versteckte Datei wieder sichtbar.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131