Home » Spyware & Browser Hijacker Support Forum » Win32.Backdoor.Revell.110 ein "False positive"? Excel spinnt! » Themenansicht

Win32.Backdoor.Revell.110 ein "False positive"? Excel spinnt!
#0
22.08.2007, 13:40
sleepless74
Member

Beiträge: 83
#1 Hallo liebe Experten,

mein Zone Alarm fand gestern und heute die Spyware Win32.Backdoor.Revell.110, beide Male habe ich das Ding in die Quarantäne gesteckt - obwohl mit ZASS empfahl zu löschen. (Man lernt eben dazu: http://board.protecus.de/t30510.htm)

Durch Googeln bin ich auf ein englischsprachige Forum gestossen, wo seit wenigen Tagen über genau diesen Trojaner eifrig diskutiert wird, ob man ihn wirklich löschen sollte oder ob es ein falscher Alarm der Software ist.
http://forums.zonealarm.org/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2594
http://forums.zonealarm.org/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2625
http://forums.zonealarm.org/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2630
http://forums.zonealarm.org/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2629

Leider verstehe ich nicht alles der englischen Fachsprache. Aber einfach igorieren (wie teilweise empfohlen) kann ich es nicht, denn seit dem Fund sind bei mir übrigens zwei unnormale Sachen aufgetreten.

1) Im Quarantäne-Monitor des ZASS-Software stand bis heute Vormittag noch deutlich zu lesen, was genau die beiden Funde bedeuten (Typ, Name, Beschreibung, Risiko=mittel). Jetzt steht dort Typ=unbekannt, Name=Nicht verfügbar, Beschreibung=nicht verfügbar, Risiko=hoch)

2) Jedesmal wenn ich eine andere Excel-Datei öffnen möchte, vesucht Excel irgendwas zu installieren. Das dauert dann immer ewig mit irgendwelchen Konfigurationsdateien, lässt sich auch kaum abbrechen. Habe das jetzt einmal zuende installieren lassen, kommt aber immer wieder, sobald ich eine Datei öffne, die ich noch nicht geöffnet hatte.

Hier die obligatorischen Logs und Scans:
++++++++++++++++++++++++++++++++++++++++++

ComboFix 07-08-17.2 - "Name" 2007-08-22 13:24:38.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.134 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))


2007-08-03 11:12 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-01 11:23 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-08-01 11:22 <DIR> d-------- C:\Programme\ATI Technologies


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-22 12:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-08-22 12:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-08-22 12:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-22 12:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-07-19 08:56 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-02 21:41 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-02 21:41 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-06-27 16:05 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 16:05 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 16:05 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 16:05 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 16:05 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 16:05 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 16:05 232960 --a------ C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 16:05 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 16:05 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 16:05 105984 --a------ C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 16:05 102400 --a------ C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 16:04 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 16:04 44544 --a------ C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 16:04 384512 --a------ C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 16:04 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 16:04 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 16:04 230400 --a------ C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 16:04 153088 --a------ C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 16:04 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 16:04 124928 --a------ C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:27 63488 --a------ C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 10:26 625152 --a------ C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 09:00 161792 --a------ C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-25 15:36 --------- d-------- C:\Programme\DivX
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-31 08:45 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-31 08:44 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 08:44 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 08:44 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 08:44 740442 --a------ C:\WINDOWS\system32\DivX.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ntiMUI"="C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 18:15]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 11:39 C:\WINDOWS\soundman.exe]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 17:00]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-04 10:51]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]

R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 int15.sys;int15.sys;\??\C:\Acer\Empowering Technology\eRecovery\int15.sys

*Newly Created Service* - INT15.SYS

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-22 13:27:32
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-22 13:28:40
C:\ComboFix2.txt ... 2007-08-03 11:18

--- E O F ---
*PS: Während des Scans stand da mal: der Befehl "DVD-Maker" ist entweder falsch geschrieben oder konnte nicht gefunden werden"

+++++++++++++++++++++++++++++++++++++++++++++++++++++

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:28, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\ZONELABS\avsys\ScanningProcess.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\avsys\ScanningProcess.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Name\Eigene Dateien\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150025654328
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{750D9595-C2D8-4624-AAE3-FC1A466E35ED}: NameServer = 194.25.0.52,194.25.0.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 6179 bytes
+++++++++++++++++++++++++++++++++++++++++++

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

22.08.2007 13:02 4.212 zllictbl.dat
22.08.2007 13:01 682 eRLog.ini
22.08.2007 13:00 1.158 wpa.dbl
22.08.2007 13:00 55.080 vsconfig.xml
16.08.2007 08:47 276.560 FNTCACHE.DAT
03.08.2007 06:34 16.789.464 MRT.exe
23.07.2007 08:55 5.156 jupdate-1.6.0_02-b06.log
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 08:56 3.583.488 mshtml.dll
13.07.2007 08:40 940.078 PerfStringBackup.INI
13.07.2007 08:40 63.860 perfc009.dat
13.07.2007 08:40 405.310 perfh009.dat
13.07.2007 08:40 76.886 perfc007.dat
13.07.2007 08:40 420.482 perfh007.dat
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
02.07.2007 21:41 200.704 ssldivx.dll
02.07.2007 21:41 1.044.480 libdivx.dll
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:00 161.792 ieakui.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
31.05.2007 08:45 524.288 DivXsm.exe
31.05.2007 08:45 4.816 divxsm.tlb
31.05.2007 08:44 802.816 divx_xx11.dll
31.05.2007 08:44 823.296 divx_xx0c.dll
31.05.2007 08:44 740.442 DivX.dll
31.05.2007 08:44 823.296 divx_xx07.dll
31.05.2007 08:44 638.976 divxdec.ax
17.05.2007 13:28 549.376 oleaut32.dll

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\G™TZ\LOKALE~1\Temp

22.08.2007 13:34 102.911 datfind.txt
22.08.2007 13:01 512 ~DFC96D.tmp
22.08.2007 13:01 512 ~DFAA67.tmp
22.08.2007 13:01 16.384 Perflib_Perfdata_cd8.dat
22.08.2007 13:01 16.384 Perflib_Perfdata_940.dat
22.08.2007 13:00 16.384 ~DFE3E.tmp
6 Datei(en) 153.087 Bytes
0 Verzeichnis(se), 72.036.515.840 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

22.08.2007 13:00 0 0.log
22.08.2007 13:00 2.048 bootstat.dat
22.08.2007 12:59 2.068.207 WindowsUpdate.log
22.08.2007 12:59 32.626 SchedLgU.Txt
20.08.2007 18:17 216 wiadebug.log
20.08.2007 18:17 50 wiaservc.log
20.08.2007 14:02 54.156 QTFont.qfn
16.08.2007 11:09 981.102 setupapi.log
16.08.2007 09:44 12.286 spupdsvc.log
16.08.2007 09:42 323.851 tsoc.log
16.08.2007 09:42 1.374 imsins.log
16.08.2007 09:42 46.029 ocmsn.log
16.08.2007 09:42 133.475 iis6.log
16.08.2007 09:42 402.513 ocgen.log
16.08.2007 09:42 22.125 KB936021.log
16.08.2007 09:42 285.958 comsetup.log
16.08.2007 09:42 171.767 ntdtcsetup.log
16.08.2007 09:42 92.807 updspapi.log
16.08.2007 09:42 41.968 msgsocm.log
16.08.2007 09:42 851.788 FaxSetup.log
16.08.2007 09:42 1.374 imsins.BAK
16.08.2007 09:42 21.638 KB938828.log
16.08.2007 09:42 21.010 KB921503.log
16.08.2007 09:41 20.913 KB938829.log
16.08.2007 09:40 25.438 KB937143-IE7.log
16.08.2007 09:40 14.128 KB938127-IE7.log
16.08.2007 09:39 284.330 msxml4-KB936181-enu.LOG
16.08.2007 09:39 59.200 wmsetup.log
16.08.2007 09:39 8.144 KB936782.log
01.08.2007 11:02 390 Omega Drivers Log.txt
20.07.2007 00:47 109.056 catchme.exe
13.07.2007 08:42 11.963 KB936357.log
17.06.2007 00:11 51.200 nircmd.exe
14.06.2007 08:38 21.374 KB929123.log
14.06.2007 08:38 19.846 KB935840.log
14.06.2007 08:37 19.569 KB935839.log
14.06.2007 08:37 24.913 KB933566-IE7.log
13.06.2007 15:21 1.036.288 explorer.exe
24.05.2007 08:31 8.314 KB927891.log
09.05.2007 18:14 18.110 KB931768-IE7.log

atentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

22.08.2007 13:00 256 ZLT003ea.TMP
22.08.2007 13:00 256 ZLT0278e.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 72.036.515.840 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.07.2007 12:36 155 DivXPlugin.inf
09.11.2006 14:36 5.019 swflash.inf

++++++++++++++++++++++++++++++++++++++++++++

DANKE FÜR DIE HILFE!
Seitenanfang Seitenende
22.08.2007, 14:03
sleepless74
Member

Themenstarter

Beiträge: 83
#2 Kleine Ergänzung: Meine Kollegin von nebenan, gleicher Rechner, gleiche Zone Alarm Security System-Software, ...gleiches Problem!

Auch bei Ihr wurde gestern Win32.Backdoor.Revell.110 entdeckt, sie hat es gelöscht, seitdem will Excel ständig etwas installieren.
Seitenanfang Seitenende
22.08.2007, 15:50
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Ist also eine "false positive"
http://forums.zonealarm.com/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2659
http://forums.zonealarm.com/zonelabs/board/message?board.id=MalwareDiscussion&message.id=2661
__________
MfG Argus
Seitenanfang Seitenende
22.08.2007, 16:04
sleepless74
Member

Themenstarter

Beiträge: 83
#4 Tatsächlich!
Ich habe beide "Tronjaner" aus der Quarantäne befreit und schon funktinioniert Excel wieder einwandfrei.
Dann habe ich ZASS aktualisiert (hatte ich heute Vormittag schon mal), aber diesmal wurde kein Trojaner mehr entdeckt! :-)
Danke!

Frage für meine Kollegin, die die betroffene Datei ja wie empfohlen gelöscht hat: Wo bekommt sie diese nun wieder her?
Seitenanfang Seitenende
22.08.2007, 16:21
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Auf mein Rechner steht MSRDO20.DLL version 6.0.88.62 Sprache: English
Sehe Anhang
Melde mal wenn sie runtergeladen ist ;)
__________
MfG Argus
Dieser Beitrag wurde am 22.08.2007 um 22:33 Uhr von Arnold editiert.
Seitenanfang Seitenende
22.08.2007, 17:28
sleepless74
Member

Themenstarter

Beiträge: 83
#6 Also abspeichern und in C/windows/system32 schieben?
Seitenanfang Seitenende
22.08.2007, 17:37
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Dort steht er auch bei mir ;)
__________
MfG Argus
Seitenanfang Seitenende
22.08.2007, 17:59
sleepless74
Member

Themenstarter

Beiträge: 83
#8 Meine Kollegin hat die Datei in den entsprechenden Ordner getan. Keine Besserung, auch nicht nach einem Neustart. Excel will immer noch installieren...

Was nun?
Seitenanfang Seitenende
22.08.2007, 22:46
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Welche version von Office wird benutzt?
Schau mal nach unter Start -> Sytemsteuerung-> Software
__________
MfG Argus
Seitenanfang Seitenende
23.08.2007, 09:17
sleepless74
Member

Themenstarter

Beiträge: 83
#10 Standard Edition 2003
Seitenanfang Seitenende
23.08.2007, 10:38
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Hab mal ein Bild angehängt von Microsoft Office Professional Editie 2003
Start -> Sytemsteuerung-> Software
Unter Microsoft Office Professional Editie 2003 steht bei mir
"Klik hier voor ondersteunende informatie"bei euch natürlich so etwas aber auf Deutsch
Klicke mal darauf,Im nächsten Pop-up Fenster steht "Herstellen"
Ich geh davon aus das bei euch (Wiederherstellen) steht

Anhang: Excel.JPG

__________
MfG Argus
Seitenanfang Seitenende
23.08.2007, 11:48
sleepless74
Member

Themenstarter

Beiträge: 83
#12 Ok, das heißt bei mir "reparieren" - und da kann nichts schief gehen oder so?

Nicht, dass da irgendwas gelöscht oder die Einstellungen resettet werden oder so - ist ein Firmenrechner!
Seitenanfang Seitenende
23.08.2007, 12:31
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Dann hat die Firma doch auch sicher eine Computerabteilung
__________
MfG Argus
Seitenanfang Seitenende
23.08.2007, 12:35
sleepless74
Member

Themenstarter

Beiträge: 83
#14 :-)
Wir sind fünf Leute, alle keine PC-Profis - und mein Chef tobt, wenn ich was am PC verstelle (klar, wenn alle rumwurschteln, dann geht er irgendwann wieder nicht) oder z.B. die Einstellungen von Outlook resette und man diese Pop-Server-Einstellungen alle neu eingeben und justieren muss...

Passiert so was, wenn ich auf "reparieren" klicke?
Seitenanfang Seitenende
23.08.2007, 12:48
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Ich habe gestern natürlich auch geklickt und da ist nichts passiert
Habe seit gestern entdeckt das man auf diese weisse Office reparieren kann
Normaler weisse klicke ich auf "ändern" und dann wird Office wieder im Orginal zustand zurück gesetzt
Wass bei euch alles hinzugefügt ist kann ich ja nich wissen
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1