Probleme Bei Installationen Und Autorun

Hallo Leute

Ich habe ein Problem bei Installation einer fachspezifischen Software (Lüftungstechnik). Nach dem Einlegen der CD-ROM erscheint die Fehlermeldung:
"Der Zugriff auf das angebene Gerät, den Pfad oder die Datei wurde verweigert."
Wenn ich Setup.exe über "ausführen" direkt aufrufe erscheint folgende Melung:"Es wurde versucht auf eine unzulässige Adresse zuzugreifen". Ich kann die Files alle per Editor ansehen. Habe auch schon den kompletten CD-Inhalt auf HDD kopiert und von dort aus setup aufgerufen. Der gleiche Fehler.
Auf einem anderen Rechner startete das Installationsprogramm einwandfrei.
Andere Programme lassen sich ebenso Installieren. Das DVD-Laufwerk und der Brenner reagieren gleich, funktionieren aber sonst einwandfrei.
Mein Rechner ist ein WIN2000 System Athlon 1800+
Norton INS 2002 mit aktuellem Abo läuft ebenfalls.
Habe mit Spybot und Regcleaner schon alle Malware entfernt und weiß so langsam keinen Rat mehr.

Vielleicht kennt jemand das Problem schon
Grüße Kai

Angehängte Miniaturbilder

Hallo!
Ich habe den Fehler gelöst, anscheinend war ich im Internet der einzige, der bei "Es wurde versucht auf eine unzulässige Adresse zuzugreifen" nicht gleich die Festplatte formatiert hat.

Problem: o.g. Satz erscheint immer wenn man Programme bei XP (glaube nur 16 bit-Programme) ausführen bzw. neu installieren möchte.
Zudem erschien hin und wieder "Der Remoteprozeduraufruf ist fehlgeschlagen" (= RPC, c= "call")

Beispiele: Bei mir ging z.b. T-Online 4.0 nicht mehr. Auch eine Neuinstallation ging nicht mehr (gilt auch für 5.0.)
Habe da allerdings den Trick angewendet, es im Abgesicherten Modus zu installieren, und im Normalen zu verwenden. restliche Programme gingen aber weiterhin nicht.

Analyse: Bei mir handelte es sich um den Hijack-Virus: "Haxdoor-Fam", alias Haxdoor.AP oder was auch immer statt AP. Alle Informationen zu diesem Virus waren allerdings fast nutzlos, da dies nicht der wahre Name des Viruses war.
[Das ganze ist wie bei einer Dämonenbekämpfung , man muss den wahren Namen kennen

]

---> Jedenfalls erkannten [sehr gute!] Programme wie "Microsoft AntiSpy",
"Spybot Search & Destroy" und "Ad-Aware" ihn immer als Haxdoor, konnten ihn allerdings nicht bekämpfen. (Löschen ja, kam aber sofort wieder)

Lösung: Es handelte sich in Wahrheit um den Backdoor-Virus "Troj/Banker-W" bzw.
"Banker-Y" , "Banker-M" oder was auch immer für eine Version, alias "PNS-Banker.dll" alias Win32.Small.oo. Ich kam nur durch Zufall drauf, und die Verhaltensmuster waren die gleichen.
Komisch war nur, dass Haxdoor eigentlich ein Malware Programm sein soll, während Banker-w ein echter Trojaner ist...
Es kann auch sein, das es eine Mischung aus mehreren war, glaubs aber nicht ganz
:huh:

--> WICHTIG: "HijackThis Version 1.99.0 " erkennt ihn nicht.
er wird erst ab "HijackThis Version 1.99.1 " erkannt. (lsd_f3.dll)
---> und zwar müssen diese Dateien (am besten per Abgesichertem Modus und als eingabeaufforderung) gelöscht werden:

-Versteck in Windows/System32:
- lsd_f3.dll
- filtrnp?.exe (? = irgendeine zahl oder buchstabe)
- eplrr.dll
- lds_f3.dll
- iesprt.sys
- mprexe.exe
- timestamp.sys
- filtmp0.exe

Versteck in Registrierung:
- HKLM\System\CurrentControlSet\Control\.Impersonate = [Number]
Username
- HKLM\System\CurrentControlSet\
Control\MPRServices\TestService\DllName= ... , Entry Point ,
Stack Size = ...
-HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Notify\f3dsl\Dllname= , Startup = LSD, Impersonate = 1,
Assynchronus = 1, MaxWait = 1

Bei den Registrierungen schaut am besten bei google.de unter "Banker-W", bei mir hab ich die über Hijackthis gelöscht(!) bzw. waren auch einige Dateien bei mir nicht vorhanden, das variiert.
-------

Zusätzlich müsst ihr noch die folgenden Dateien löschen, diese gehören zum Muster von Haxdoor, laut Infos aus dem I-Net:

Windows/System32:

- cm.dll
- draw32.dll (lies sich bei mir nicht löschen, ist aber verschwunden,
als ich alles andere geplättet habe! Auch nicht im
Abgesicherten)
- hm.sys
- vtd_16.exe (Hauptvirus, sozusagen der General.)
- vdnt32.sys (Adjudant des Generals, trägt sich angeblich auch als
Dienst ein (?))
- fltr.a3d
- redir.a3d
- p2.ini (ist eine art Keylogger.Log, fand ich ganz lustig zu
sehen, was man so den Tag über schreibt *g*)
- klogini.dll (mein persönlicher Lieblingsfeind, kann man 100 mal
löschen, und kommt gleich wieder, geht auch weg, wenn
man alles andere platt macht!)

LETZTE TIPPS VOR DEM SHOWDOWN:

Wenn ihr die Dateien im ABGESICHERTEN MODUS (ich habs per eingabeaufforderung und mit dem Befehl "del NamederDatei" gelöscht.)
löscht, dann achtet darauf, dass ihr im normalen modus die Systemwiederherstellung kurz deaktiviert, dass der ganze müll mal geschlöscht wird. (rechtsklick auf Arbeitsplatz, dann EIGENSCHAFTEN)

Aktiviert danach wieder die Systemherstellung und schaut im
Hijackthis 1.99.1 (oder höher) nach, und lasst euer Antispyware
programm s.o., durchlaufen (am besten 2 mal)

Danach lief alles wieder einwandfrei

PS: Garantie übernehme ich natürlich nicht, aber grade bei erfahreren Virenjägern, dient dies als Tipp, bevor man man sich die Kugel gibt und alles (mal wieder) formatiert .

Dieser Beitrag wurde von JCDentonX bearbeitet: 28. Februar 2005 - 15:57

WinFuture-Forum.de: Probleme Bei Installationen Und Autorun - WinFuture-Forum.de