Session Manager und Backdoor.Win32.Hack.Def.084

#1 Hallo und frohe Weihnachten Euch allen !!!!!!!

Mein Problem:

Habe jeweils win 2k auf zwei versch. Partitionen (zum Arbeiten und zum surfen).
Von einem Tag zum anderen ließ sich die "Arbeitspartition" nicht mehr hochfahren.
Die Fehlermeldung (blue screen) sagte aus, dass der Session Manager ein Problem verursacht. Nach entsprechender Suche im inet führte ich diesen Fehler auf meine neue HD zurück.

Lösung: von der "Surfpartition" die Ordner "WINNT"sowie "Dokumente und Einstellungen" gelöscht; Papierkorb geleert; mit Drive Image Explorer die Ordner wiederhergestellt; das System fuhr wieder mit der Arbeitspartition hoch.

Dann aber der Schreck - AVK hatte (höchstwahrscheinlich kurz vor dem Problem) den Trojaner "Backdoor.Win32.Hack.Def.084" in der Datei"mountmgr.sys" gefunden bzw. in die Quarantäne verschoben.

Meine Frage: Besteht hier ein Zusammenhang?

Habe folgendes gemacht:
- Scan mit AVK ohne Virenbefund
- Scan mit Search and Destroy ohne Problemfund
- logfile mit HijackThis erstellt und überprüfen lassen nichts Auffälliges

Trotzdem bin ich verunsichert. Vielleicht könnte ein Experte mal einen Blick auf das folgende log werfen.

Vielen Dank im voraus
mfg dalmore


Logfile of HijackThis v1.99.1
Scan saved at 22:39:55, on 26.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\PROGRA~1\ANTIVI~2\WEBFIL~1\ADSCLE~1.EXE
C:\Programme\StarOffice7\program\soffice.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\avk.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINNT\system32\SiPlugins.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O4 - Global Startup: Firewall.lnk = C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_domain_links.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167115899984
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

#2 dalmore

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

---------------

"mountmgr.sys im Net finde ich nichts ueber einen Hackdoor....... mit dieser Bezeichnung...es koennte auch ein Bug vom Virenscanner sein....
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!

Vielen Dank für die schnelle Antwort!!!

Habe die Datei ausgeführt. Habe jedoch die von Dir angesprochene Textdatei nicht gefunden.

Allerdings wurde nichts gefunden.

Result: hidden items = O

mfg dalmore
==================================

Sorry!!!!!!

Habe sie doch entdeckt

12/26/05 23:48:53 [Info]: BlackLight Engine 1.0.30 initialized
12/26/05 23:48:53 [Info]: OS: 5.0 build 2195 (Service Pack 4)
12/26/05 23:48:53 [Note]: 7019 4
12/26/05 23:48:53 [Note]: 7005 0
12/26/05 23:48:55 [Note]: 7006 0
12/26/05 23:48:55 [Note]: 7011 944
12/26/05 23:48:56 [Note]: FSRAW library version 1.7.1014
12/26/05 23:51:20 [Note]: 7007 0

#4 wie ich schon sagte, es kann ein Bug von deinem Antivirus sein, versuche sie aus der Quarantaene zurueckzukopieren.

wenn das geschafft ist, scanne die sys hier

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe die Datei schon gelöscht - leider nicht mehr möglich!

Hoffe tatsächlich auf einen Fehlalarm.

Siehst Du etwas Auffälliges im HijackThis - log ???

btw
Super von Dir - trotz Feiertag und später Stunde!!!!

gruß dalmore

#6 es ist alles sauber...und wenn ich nach mountmgr.sys google, ist nie von Trojaner "Backdoor. die Rede, immer von System-Driver.......

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier die log's

Datentr„ger in Laufwerk C: ist HD1 ARBEIT
Datentr„gernummer: 084E-1CDC

Verzeichnis von C:\WINNT\SYSTEM32

26.12.2005 15:44 16.384 Perflib_Perfdata_2f0.dat
26.12.2005 11:43 16.384 Perflib_Perfdata_2d4.dat
26.12.2005 11:19 313.176 FNTCACHE.DAT
22.11.2005 17:39 2.700.288 MSHTML.DLL
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
20.10.2005 19:08 988.160 DANIM.DLL
18.10.2005 15:31 81.920 NeroBurnRights.cpl
17.10.2005 10:01 1.693.248 NTOSKRNL.EXE
17.10.2005 10:01 1.715.840 NTKRNLPA.EXE
07.10.2005 07:19 233.744 GDI32.DLL
07.10.2005 07:17 1.638.832 WIN32K.SYS
23.09.2005 12:03 1.122.576 webvw.dll
23.09.2005 12:03 245.520 WINSRV.DLL
23.09.2005 12:03 2.385.168 SHELL32.DLL
23.09.2005 12:03 17.680 linkinfo.dll
05.09.2005 09:18 35.600 mtxlegih.dll
05.09.2005 09:18 26.896 mtxdm.dll
05.09.2005 09:18 71.440 stclient.dll
05.09.2005 09:18 20.240 xolehlp.dll
05.09.2005 09:18 122.640 mtxoci.dll
05.09.2005 09:18 96.016 msdtclog.dll
05.09.2005 09:18 641.296 comuid.dll
05.09.2005 09:18 1.477.904 comsvcs.dll
05.09.2005 09:18 739.600 msdtcprx.dll
05.09.2005 09:18 52.496 mtxclu.dll
05.09.2005 09:18 153.872 msdtcui.dll
05.09.2005 09:18 1.200.400 msdtctm.dll
05.09.2005 09:18 212.240 rpcss.dll
05.09.2005 09:18 41.744 colbact.dll
05.09.2005 09:18 97.040 clbcatex.dll
05.09.2005 09:18 595.728 catsrvut.dll
05.09.2005 09:18 165.648 catsrv.dll
05.09.2005 09:18 36.624 OLECNV32.DLL
05.09.2005 09:18 398.608 txfaux.dll
05.09.2005 09:18 551.184 clbcatq.dll
05.09.2005 09:18 69.392 olecli32.dll
05.09.2005 09:18 242.960 es.dll
05.09.2005 09:18 99.088 comrepl.dll
05.09.2005 09:18 957.712 OLE32.DLL
02.09.2005 10:24 94.992 UMPNPMGR.DLL
31.08.2005 17:51 409.600 shlwapi.dll
30.08.2005 10:29 2.532.112 cdosys.dll
30.08.2005 09:26 1.233.408 quartz.dll
30.08.2005 05:46 1.833.968 dtcsetup.exe
22.08.2005 10:20 61.200 NWWKS.DLL
17.08.2005 00:31 22.752 spupdsvc.exe
16.08.2005 10:17 768.272 KERNEL32.DLL
16.08.2005 10:17 505.616 NTDLL.DLL
16.08.2005 09:34 100.112 netman.dll
05.08.2005 18:19 252.688 MSIEFTP.DLL



Datentr„ger in Laufwerk C: ist HD1 ARBEIT
Datentr„gernummer: 084E-1CDC

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

26.12.2005 15:43 1.404 BCG15.tmp
26.12.2005 15:40 45.121.536 NVEBF.tmp
26.12.2005 15:37 45.122.784 NVEBE.tmp
26.12.2005 15:35 350.400 NVEBC.tmp
26.12.2005 15:35 350.400 NVEBA.tmp
26.12.2005 11:20 1.404 BCG24.tmp
20.12.2005 18:14 86.016 52ed7.mst
20.12.2005 18:14 86.016 1bcb1c.mst
8 Datei(en) 91.119.960 Bytes
0 Verzeichnis(se), 34.058.895.360 Bytes frei


Datentr„ger in Laufwerk C: ist HD1 ARBEIT
Datentr„gernummer: 084E-1CDC

Verzeichnis von C:\WINNT

26.12.2005 23:41 116 NeroDigital.ini
26.12.2005 15:43 628.959 Sti_Trace.log
26.12.2005 11:22 214.874 WindowsUpdate.log
26.12.2005 11:19 2.975 spupdsvc.log
26.12.2005 11:18 32.602 SchedLgU.Txt
26.12.2005 11:16 57.524 KB905915-IE6SP1-20051122.175908.log
26.12.2005 11:16 203.030 COMSETUP.LOG
26.12.2005 11:16 1.448 imsins.log
26.12.2005 11:16 173.640 OCGEN.LOG
26.12.2005 11:16 474.862 IIS5.LOG
26.12.2005 11:16 13.510 OCKODAK.LOG
26.12.2005 11:16 41.679 updspapi.log
26.12.2005 11:16 881.525 SETUPAPI.LOG
26.12.2005 11:16 61.287 KB908523.log
26.12.2005 11:16 1.448 imsins.BAK
26.12.2005 11:16 48.652 KB897715-OE6SP1-20050503.210336.log
26.12.2005 11:16 58.226 KB896424.log
26.12.2005 11:15 63.819 KB902400.log
26.12.2005 11:15 44.941 KB905495-IE6SP1-20050805.184113.log
26.12.2005 11:15 53.745 KB905749.log
26.12.2005 11:15 56.035 KB900725.log
26.12.2005 11:15 52.632 KB896358.log
26.12.2005 11:14 53.330 KB890046.log
26.12.2005 11:14 51.471 KB896422.log
26.12.2005 11:14 43.927 KB904706.log
26.12.2005 11:14 50.672 KB901017.log
26.12.2005 11:14 50.982 KB899589.log
26.12.2005 11:14 51.006 KB905414.log
26.12.2005 11:14 71.671 UpdateRollupPack.log
26.12.2005 11:13 2.746 updcustom.dll.log
26.12.2005 11:12 16.747 KB896423.log
26.12.2005 11:11 14.885 KB899587.log
26.12.2005 11:11 13.228 KB893756.log
26.12.2005 11:11 12.152 KB901214.log
26.12.2005 07:57 6.171 KB893803v2.log
26.12.2005 07:57 5.460 KB842773.log
26.12.2005 07:57 109.045 SETUPACT.LOG
25.12.2005 20:03 251.404 Windows Update.log
15.09.2005 13:35 50 UNNeroMediaHome.cfg
12.09.2005 15:13 233.472 UNRecode.exe
12.09.2005 15:13 233.472 UNNeroBackItUp.exe
12.09.2005 15:13 233.472 UNNeroMediaHome.exe
12.09.2005 15:13 233.472 UNNeroShowTime.exe
12.09.2005 15:13 233.472 UNNeroVision.exe
30.08.2005 20:37 50 UNNeroVision.cfg
30.08.2005 20:37 50 UNNeroShowTime.cfg
30.08.2005 20:36 50 UNRecode.cfg
30.08.2005 20:33 50 UNNeroBackItUp.cfg


Datentr„ger in Laufwerk C: ist HD1 ARBEIT
Datentr„gernummer: 084E-1CDC

Verzeichnis von C:\

27.12.2005 00:52 0 sys.txt
27.12.2005 00:52 11.345 system.txt
27.12.2005 00:51 645 systemtemp.txt
27.12.2005 00:46 92.555 system32.txt
26.12.2005 15:43 805.306.368 pagefile.sys
20.10.2004 21:52 8 BIOSID.TMP
27.06.2004 13:15 0 23990098.$$$
27.06.2004 10:27 343 VLIST.LOG
02.05.2004 12:30 216.096 NTLDR
02.05.2004 12:30 34.724 NTDETECT.COM
05.10.2003 12:47 3.756 AVGUN.LOG
19.06.2003 21:05 163.840 ARCSETUP.EXE
19.06.2003 21:05 150.528 ARCLDR.EXE
02.07.2002 21:40 0 AUTOEXEC.BAT
02.07.2002 21:40 0 CONFIG.SYS
02.07.2002 21:40 0 IO.SYS
02.07.2002 21:40 0 MSDOS.SYS
02.07.2002 21:38 192 BOOT.INI
18 Datei(en) 805.980.400 Bytes
0 Verzeichnis(se), 34.058.829.824 Bytes frei


====================
mfg dalmore

#8 ja, ich denke, du hast da was geloescht, was du nicht haettest loeschen durfen...denn es ist alles sauber (soweit ich es beurteilen kann)

wozu gehoerte denn der Driver? es muss ein Systemdriver gewesen sein..

suche mal deine CD und versuche die sys wieder herzustellen. (Reparatur-Funktion)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Morgen sabina!

Denke auch, dass die Lösch- bzw. Quarantäneaktion die Ursache war;
- mountmgr = u.U. einhängen von Laufwerken wie bei Linux????
-mountmgr = deutsche Version ????

Allerdings habe ich nicht XP sondern "nur" win 2k.
Entscheidend für mich waren lediglich die Fragen:
1.) System neu aufbauen? Neue pw etc. etc.
2.) Woher kam das Teil ?
3) Fehlalarm bzw. bug von AntiVirenKit 2005

zu 1) Wenn ich Dich richtig verstanden habe (hoffentlich !!!) nein
zu 2) Über Netzwerkfreigaben (???) - habe so etwas gelesen für die Familie
des Backdoor.Win32.Hack.Def.XXX
zu 3) Wäre die beste Lösung

System läuft aber wieder durch das Überspielen eines Teiles des Sicherungsimage (erstellt) mit Drive Image 7.0. Zunächst gelöscht und dann die Ordner "WINNT" sowie "Dokumente und Einstellungen" wiederhergestellt. Zwangsläufig befindet sich die besagte Datei wieder an ihrem richtigen Ort:

C:\winnt\system32\drivers\mountmgr.sys und
C:\winnt\system32\dllchache\mountmgr.sys

mfg dalmore

#10 Hallo@dalmore

wenn die sys wieder am Ort ist, dann lasse sie bitte ueberpruefen
C:\winnt\system32\drivers\mountmgr.sys

http://www.malwareupload.com/

Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.
----------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html
-----------------------------------------------------------------------------

sandbox.norman
http://sandbox.norman.no/live_4.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina!

Die überspielte Datei ist ja auch um einiges älter, als die "infizierte".
Wurde sie aber nach Erstellung des Sicherheitsimage durch einen Trojaner infiziert, nutzt die Überprüfung der neuen auch nichts. Dafür spricht, dass AVK jetzt keinen Alarm gibt!

Trotzdem die von Dir vorgeschlagenen Prüfungen:

This is a report processed by VirusTotal on 12/27/2005 at 11:26:27 (CET) after scanning the file "mountmgr.sys" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 12.27.2005 no virus found
Avast 4.6.695.0 12.24.2005 no virus found
AVG 718 12.23.2005 no virus found
Avira 6.33.0.70 12.27.2005 no virus found
BitDefender 7.2 12.27.2005 no virus found
CAT-QuickHeal 8.00 12.24.2005 no virus found
ClamAV devel-20051108 12.26.2005 no virus found
DrWeb 4.33 12.27.2005 no virus found
eTrust-Iris 7.1.194.0 12.26.2005 no virus found
eTrust-Vet 12.4.1.0 12.25.2005 no virus found
Fortinet 2.54.0.0 12.26.2005 no virus found
F-Prot 3.16c 12.26.2005 no virus found
Ikarus 0.2.59.0 12.27.2005 no virus found
Kaspersky 4.0.2.24 12.27.2005 no virus found
McAfee 4659 12.26.2005 no virus found
NOD32v2 1.1340 12.26.2005 no virus found
Norman 5.70.10 12.27.2005 no virus found
Panda 8.02.00 12.26.2005 no virus found
Sophos 4.01.0 12.27.2005 no virus found
Symantec 8.0 12.27.2005 no virus found
TheHacker 5.9.1.061 12.25.2005 no virus found
VBA32 3.10.5 12.26.2005 no virus found


Norman Scanner Engine 5.83. 8
Sandbox 05.83, dated 30/10-2005

mountmgr.sys : Not detected by sandbox (Signature: NO_VIRUS)


Bei malwareupload
Kein Virus gefunden
email noch nicht erhalten


mfg dalmore

#12 ja, wie gesagt, wir werden es nie wissen, ob es ein Bug oder wirklich ein Backdoor.Win32.Hack war, denn du hast die sys geloescht.
Allerdings...wenn es ein Backdoor gewesen waere, ein Rootkit, dann muessten sich per norma auch noch andere Viren-Dateien finden lassen, was aber nicht der Fall ist. (in die registry kann ich von hier aus allerdings nicht schauen... )

Soweit, wie ich es beurteilen kann, beschraenkt sich ein Backdoor nicht nur auf eine sys-Datei, sondern erstellt Dienste , veraendert die Registry und erstellt weitere Dateien, oeffnet Ports.
Da ja nun wieder alles funktioniert, belassen wir es dabei. Falls du jedoch wieder so ein Problem haben solltest, lasse die suspekte Datei vor dem Loeschen ueberpruefen, um sicherzugehen, dass es kein Bug ist
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina!

OK - belassen wir es dabei.

Vielen Dank für Deine Geduld und kompetente Hilfe - ist mit Sicherheit nicht der Normalfall!!!!

Wünsche Dir einen guten Rutsch (hoffentlich nicht so krass :-))) ) in das neue Jahr 2006 !

Gruß
dalmore (der Beruhigte)