Einzelnen Beitrag anzeigen

JCDentonX

Registriert seit: 28. Feb 2005
1 Beiträge
 
#7

Re: Problem mit DOS-Programmen

  Alt 28. Feb 2005, 16:05
Hallo!
Ich habe den Fehler gelöst, anscheinend war ich im Internet der einzige, der bei "Es wurde versucht auf eine unzulässige Adresse zuzugreifen" nicht gleich die Festplatte formatiert hat.

Problem: o.g. Satz erscheint immer wenn man Programme bei XP (glaube nur 16 bit-Programme) ausführen bzw. neu installieren möchte.
Zudem erschien hin und wieder "Der Remoteprozeduraufruf ist fehlgeschlagen" (= RPC, c= "call")

Beispiele: Bei mir ging z.b. T-Online 4.0 nicht mehr. Auch eine Neuinstallation ging nicht mehr (gilt auch für 5.0.)
Habe da allerdings den Trick angewendet, es im Abgesicherten Modus zu installieren, und im Normalen zu verwenden. restliche Programme gingen aber weiterhin nicht.

Analyse: Bei mir handelte es sich um den Hijack-Virus: "Haxdoor-Fam", alias Haxdoor.AP oder was auch immer statt AP. Alle Informationen zu diesem Virus waren allerdings fast nutzlos, da dies nicht der wahre Name des Viruses war.
[Das ganze ist wie bei einer Dämonenbekämpfung , man muss den wahren Namen kennen ]

---> Jedenfalls erkannten [sehr gute!] Programme wie "Microsoft AntiSpy",
"Spybot Search & Destroy" und "Ad-Aware" ihn immer als Haxdoor, konnten ihn allerdings nicht bekämpfen. (Löschen ja, kam aber sofort wieder)

Lösung: Es handelte sich in Wahrheit um den Backdoor-Virus "Troj/Banker-W" bzw.
"Banker-Y" , "Banker-M" oder was auch immer für eine Version, alias "PNS-Banker.dll" alias Win32.Small.oo. Ich kam nur durch Zufall drauf, und die Verhaltensmuster waren die gleichen.
Komisch war nur, dass Haxdoor eigentlich ein Malware Programm sein soll, während Banker-w ein echter Trojaner ist...
Es kann auch sein, das es eine Mischung aus mehreren war, glaubs aber nicht ganz

--> WICHTIG: "HijackThis Version 1.99.0 " erkennt ihn nicht.
er wird erst ab "HijackThis Version 1.99.1 " erkannt. (lsd_f3.dll)
---> und zwar müssen diese Dateien (am besten per Abgesichertem Modus und als eingabeaufforderung) gelöscht werden:

-Versteck in Windows/System32:
- lsd_f3.dll
- filtrnp?.exe (? = irgendeine zahl oder buchstabe)
- eplrr.dll
- lds_f3.dll
- iesprt.sys
- mprexe.exe
- timestamp.sys
- filtmp0.exe

Versteck in Registrierung:
- HKLM\System\CurrentControlSet\Control\.Impersonate = [Number]
Username
- HKLM\System\CurrentControlSet\
Control\MPRServices\TestService\DllName= ... , Entry Point , Stack Size = ...
-HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Notify\f3dsl\Dllname= , Startup = LSD, Impersonate = 1,
Assynchronus = 1, MaxWait = 1

Bei den Registrierungen schaut am besten bei google.de unter "Banker-W", bei mir hab ich die über Hijackthis gelöscht(!) bzw. waren auch einige Dateien bei mir nicht vorhanden, das variiert.
-------

Zusätzlich müsst ihr noch die folgenden Dateien löschen, diese gehören zum Muster von Haxdoor, laut Infos aus dem I-Net:

Windows/System32:

- cm.dll
- draw32.dll (lies sich bei mir nicht löschen, ist aber verschwunden,
als ich alles andere geplättet habe! Auch nicht im
Abgesicherten)
- hm.sys
- vtd_16.exe (Hauptvirus, sozusagen der General.)
- vdnt32.sys (Adjudant des Generals, trägt sich angeblich auch als
Dienst ein (?))
- fltr.a3d
- redir.a3d
- p2.ini (ist eine art Keylogger.Log, fand ich ganz lustig zu
sehen, was man so den Tag über schreibt *g*)
- klogini.dll (mein persönlicher Lieblingsfeind, kann man 100 mal
löschen, und kommt gleich wieder, geht auch weg, wenn
man alles andere platt macht!)


LETZTE TIPPS VOR DEM SHOWDOWN:

Wenn ihr die Dateien im ABGESICHERTEN MODUS (ich habs per eingabeaufforderung und mit dem Befehl "del NamederDatei" gelöscht.)
löscht, dann achtet darauf, dass ihr im normalen modus die Systemwiederherstellung kurz deaktiviert, dass der ganze müll mal geschlöscht wird. (rechtsklick auf Arbeitsplatz, dann EIGENSCHAFTEN)

Aktiviert danach wieder die Systemherstellung und schaut im
Hijackthis 1.99.1 (oder höher) nach, und lasst euer Antispyware
programm s.o., durchlaufen (am besten 2 mal)

Danach lief alles wieder einwandfrei


PS: Garantie übernehme ich natürlich nicht, aber grade bei erfahreren Virenjägern, dient dies als Tipp, bevor man man sich die Kugel gibt und alles (mal wieder) formatiert .
  Mit Zitat antworten Zitat