Virus/Trojaner ruft Windows Installer (Install Shield) auf

[MAN]

Hallo,

habe das ungute Gefühl irgendwie ein Virus/Trojaner oder was weiß ich auf meinem Rechner zu haben!

Folgende Prozesse tauchen immer wieder auf und verursachen einen Aufruf des Windows Installers (Install Shield):

ikernel.exe
knlwrap.exe
msiexec.exe (1 bis 3 Mal)

Hatte irgendjemand auch schonmal dieses Problem? Ich weiß mir einfach nicht mehr zu helfen! Antiviren Software haben nichts festgestellt, AdAware ebenfalls nichts, aber trotzdem kommt diese Installation immer wieder. Ich hab die Installation mal bißchen weiterlaufen lassen, und habe gesehen, dass Sie irgendwas mit meinem Norton AntiVirus macht: deaktivieren (oder so) und der nächste Schritt wäre wohl die Deinstallation von Norton gewesen.

Benutze WinXP Professional.

Brauche unbedingt Hilfe

mfG

MAN

 

[Norbert Eder]

Nimm mal die Filenamen und tipp sie so wie sie komplett heissen in den Google ein, dann bekommst du alle notwendigen Informationen und weißt dann was zu tun ist.

Nitro

 

[MAN]

Dann sag mir doch mal bitte, auf welcher Seite (am besten ein Link) ich Informationen dazu bekomme?

Habe nämlich ebenfalls bei google gesucht, aber von den Ergebnissen habe ich nicht wirklich eine Lösung gefunden!

Vielen Dank!


mfG

MAN

 

[steff aka sId]

http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=ikernel.exe+virus&btnG=Suche&meta=lr=lang_de

Man muss nur wissen was man sucht
Greetz Steff

 

[MAN]

Damit kann ich leider auch nichts anfangen....

Vielleicht wurde ich nur falsch verstanden: mein norton sagt mir nicht, dass IKernel.exe ein Virus ist, sondern, diese Prozesse starten sich irgendwie von selbst, und verursachen eine automatische Deinstallation von Norton AntiVirus!

Und da sag mal einer, dass das kein Virus ist! Klar, die ganzen Beiträge die ich gelesen hab:

Sehr geehrte Anwenderinnen und Anwender,
wir haben festgestellt und wurden auch von der InstallShield Corp. soeben darüber informiert, daß ein neues Update der Virus-Definition für Symantec’s Norton-AntiVirus-Software einen Virus (W32.Nimda.enc [dr]) in der InstallShield-Professional-Script-Engine (ikernel.exe) meldet.

Diese Meldung ist falsch.

Soweit wie ich informiert bin, arbeitet Symantec an einer Lösung (an einem neuen Update der Virsudefinition), mit der diese Meldung nicht mehr auftreten soll.

Das ist mir schon klar, aber das ist ja nicht das Problem!

Mein Norton sagt dazu gar nichts, er läßt sich nur die Deinstallation von sich selbst gefallen

Oder gibt mir doch einer mal einen richtigen Link, keine Suchergebnisse, und keine Anleitung, wie man in google was finden könnte, sondern einfach nur einen Link, wo genau die Lösung zu diesem Problem ist!

Vielen, vielen Dank! Ist nämlich echt wichtig!


mfG

MAN

 

[steff aka sId]

Hast du schonmal versucht mit nem anderen Virenscanner zu scannen z.B. Antivir oder sowas? Vieleicht können die etwas entdecken.
Ansonsten könntest du mal noch anchschaun(Falls der Start der Prozesse beim Systemstart geschieht) ob sich die Dateien in den Autostart geschrieben haben. Dafür brauchst du unter 2000 Tune Up Utilites davon gibt es sicher bei chip.de eine Trialware. Unter winXp und 98 kommst du dahin mit dem befehl MSCONFIG einfach im Startmenü bei Ausführen eingeben. Eventuell kannst du das da abstellen das er die Started.
Greetz Steff

 

[MAN]

Ein Autostart-Eintrag zu den Prozessen gibt es speziell nicht, aber vielleicht rufen ja andere Prozesse diese auf! Ich hätte da noch einige Prozesse, die ich nicht kenne, die beim Start ausgeführt werden:

AEIWLSTA
dumprep 0 -k
LTSMMSG
Lwpevntm
msmsgs

und ein Noname (hat kein Name und auch kein Befehl, wird nur im StandardPfad "SOFTWARE\Microsoft\Windows\CurrentVersion\Run" ausgeführt.

Wem jemand ein Prozess auffällt, der solle dies doch hier reinschreiben

Danke!

mfG

MAN

 

[steff aka sId]

hab ein bisschen gegoogelt:
AEIWLSTA : bin mir nich sicher aber die .exe davon wurde ziemlich oft im Zusammenhang mit Hijacking und Worms genannt (ich würde mal nach nem anti Hijacking tool suchen und das durchlaufen lassen)
Ist wohl aber auch eine Systemdatei.

dumprep: "Dabei wird im Falle eines Absturzes des Betriebssystems
der Inhalt des Arbeitsspeichers auf die Festplatte
geschrieben,zur späteren Fehleranalyse.Für den Normal-User
ist das allerdings ein Buch mit sieben Siegeln und daher
meines Erachtens unnötig.Du kannst dieses Feature daher
deaktivieren:
Systemsteuerung>System>Erweitert>Starten und Wiederherstellen>Einstellungen>Debuginformationen speichern
Wenn du dort "Keine" einstellst wird "dumprep" deaktiviert." (Zitat aushttp://spotlight.de/zforen/awxp/m/awxp-1041235164-6051.html )


LTSMMSG:
http://www.answersthatwork.com/Tasklist_pages/tasklist_l.htm


Lwpevntm:
selber link wie oben


msmsgs:
Tray bar icon for MSN Messenger that is an online chat and instant messaging client.

Also was wirklich schlimmes ist das alles nicht zum größten teil Systemdateien die allerdings wohl ziemlich häufig auch von Viren befallen werden. Ich würde mal wie oben schon gesagt nen AntiHighjacking tool über das system laufen lassen und mal noch mit nem anderen Virenscanner scannen.
Greetz Steff

 

[MAN]

Vielen Dank für die Erklärungen!

Habe mir jetzt mal den "Trojan Hunter" mit "Trojan Hunter Guard" installiert. Bis jetzt kommt diese dumme Deinstallation von Norton nicht mehr.... bis jetzt habe ich aber mein PC noch nicht neugestartet, da ich gerade mit dem Trojan Hunter meine Platte scanne, was irgendwie ewig dauert...

Ich melde mich wieder, falls das Problem weiterhin auftreten sollte.

Bis dahin, vielen Dank nochmal!


mfG

MAN

 

[MAN]

Tjo.... Problem besteht weiterhin:

Deinstaller wird automatisch aufgerufen und will Norton Deinstallieren.
Einen anderen Virenscanner als Norton habe ich nicht zur Hand, außerdem ist es mein Firmenrechner! Aber habe auf der Seite von Symantec den VirenScan durchlaufen, der hatte aber auch 0 Viren gefunden!

Was soll ich denn jetzt machen?

Mein Trojan Hunter meldet anscheinend auch nichts, beim Scannen hat er zwar etwas gefunden, aber das ist nun gelöscht.

Irgendwie ist mir aufgefallen, dass der Deinstaller auch nur dann kommt, wenn ich eine Internetverbindung habe! Da wir in der Firma logischerweise Standleitung haben, kommt der den ganzen Tag, bis ich den Rechner vom Netz häng. Anscheinend stößt das Internet ein Script an, dass dann den Deinstaller aufruft

Brauche immer noch unbedingt Hilfe


mfG

MAN

edit:
Mir ist nochwas aufgefallen: Ich habe Norton drauf, und einen sogenannten ePOAgent-Ordner in dem die Anwendungen (Prozesse):

McScript.exe
McScript_InUse.exe
FrameworkService.exe
naPrdMgr.exe

vorhanden sind (Scheinbar eine kleine Version von McAffee - wurde bei mir automatisch, vielleicht von den Admins installiert). Irgendwann hat dann die FrameworkService.exe 90% CPU Auslastung, kurz danach öffnet sich die "Setup.exe" von Installshield (mit wieder um die 90% CPU) und gleichzeitig McScript_InUse.exe taucht auf. Wenn ich nun den Prozess Setup.exe beende, ist auch das McScript_InUse weg! Sag bloß, der selbstinstallierte McAffee will meinen Norton loshaben....