# Virus/Trojaner ruft Windows Installer (Install Shield) auf



## MAN (13. April 2004)

Hallo,

habe das ungute Gefühl irgendwie ein Virus/Trojaner oder was weiß ich auf meinem Rechner zu haben!

Folgende Prozesse tauchen immer wieder auf und verursachen einen Aufruf des Windows Installers (Install Shield):

ikernel.exe
knlwrap.exe
msiexec.exe (1 bis 3 Mal)

Hatte irgendjemand auch schonmal dieses Problem? Ich weiß mir einfach nicht mehr zu helfen! Antiviren Software haben nichts festgestellt, AdAware ebenfalls nichts, aber trotzdem kommt diese Installation immer wieder. Ich hab die Installation mal bißchen weiterlaufen lassen, und habe gesehen, dass Sie irgendwas mit meinem Norton AntiVirus macht: deaktivieren (oder so) und der nächste Schritt wäre wohl die Deinstallation von Norton gewesen.

Benutze WinXP Professional.

Brauche unbedingt Hilfe

mfG

MAN


----------



## Norbert Eder (13. April 2004)

Nimm mal die Filenamen und tipp sie so wie sie komplett heissen in den Google ein, dann bekommst du alle notwendigen Informationen und weißt dann was zu tun ist.

Nitro


----------



## MAN (13. April 2004)

Dann sag mir doch mal bitte, auf welcher Seite (am besten ein Link) ich Informationen dazu bekomme?

Habe nämlich ebenfalls bei google gesucht, aber von den Ergebnissen habe ich nicht wirklich eine Lösung gefunden!

Vielen Dank!


mfG

MAN


----------



## steff aka sId (13. April 2004)

http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=ikernel.exe+virus&btnG=Suche&meta=lr=lang_de

Man muss nur wissen was man sucht  
Greetz Steff


----------



## MAN (13. April 2004)

Damit kann ich leider auch nichts anfangen.... 

Vielleicht wurde ich nur falsch verstanden: mein norton sagt mir nicht, dass IKernel.exe ein Virus ist, sondern, diese Prozesse starten sich irgendwie von selbst, und verursachen eine automatische Deinstallation von Norton AntiVirus!

Und da sag mal einer, dass das kein Virus ist! Klar, die ganzen Beiträge die ich gelesen hab:



> Sehr geehrte Anwenderinnen und Anwender,
> wir haben festgestellt und wurden auch von der InstallShield Corp. soeben darüber informiert, daß ein neues Update der Virus-Definition für Symantec’s Norton-AntiVirus-Software einen Virus (W32.Nimda.enc [dr]) in der InstallShield-Professional-Script-Engine (ikernel.exe) meldet.
> 
> Diese Meldung ist falsch.
> ...


Das ist mir schon klar, aber das ist ja nicht das Problem!

Mein Norton sagt dazu gar nichts, er läßt sich nur die Deinstallation von sich selbst gefallen 

Oder gibt mir doch einer mal einen richtigen Link, keine Suchergebnisse, und keine Anleitung, wie man in google was finden könnte, sondern einfach nur einen Link, wo genau die Lösung zu diesem Problem ist!

Vielen, vielen Dank! Ist nämlich echt wichtig!


mfG

MAN


----------



## steff aka sId (13. April 2004)

Hast du schonmal versucht mit nem anderen Virenscanner zu scannen z.B. Antivir oder sowas? Vieleicht können die etwas entdecken.
Ansonsten könntest du mal noch anchschaun(Falls der Start der Prozesse beim Systemstart geschieht) ob sich die Dateien in den Autostart geschrieben haben. Dafür brauchst du unter 2000 Tune Up Utilites davon gibt es sicher bei chip.de eine Trialware. Unter winXp und 98 kommst du dahin mit dem befehl MSCONFIG einfach im Startmenü bei Ausführen eingeben. Eventuell kannst du das da abstellen das er die Started.
Greetz Steff


----------



## MAN (13. April 2004)

Ein Autostart-Eintrag zu den Prozessen gibt es speziell nicht, aber vielleicht rufen ja andere Prozesse diese auf! Ich hätte da noch einige Prozesse, die ich nicht kenne, die beim Start ausgeführt werden:

AEIWLSTA
dumprep 0 -k
LTSMMSG
Lwpevntm
msmsgs

und ein Noname (hat kein Name und auch kein Befehl, wird nur im StandardPfad "SOFTWARE\Microsoft\Windows\CurrentVersion\Run" ausgeführt.

Wem jemand ein Prozess auffällt, der solle dies doch hier reinschreiben  

Danke!

mfG

MAN


----------



## steff aka sId (13. April 2004)

hab ein bisschen gegoogelt:
AEIWLSTA : bin mir nich sicher aber die .exe davon wurde ziemlich oft im Zusammenhang mit Hijacking und Worms genannt (ich würde mal nach nem anti Hijacking tool suchen und das durchlaufen lassen)
Ist wohl aber auch eine Systemdatei.

dumprep: "Dabei wird im Falle eines Absturzes des Betriebssystems
der Inhalt des Arbeitsspeichers auf die Festplatte
geschrieben,zur späteren Fehleranalyse.Für den Normal-User
ist das allerdings ein Buch mit sieben Siegeln und daher
meines Erachtens unnötig.Du kannst dieses Feature daher
deaktivieren:
Systemsteuerung>System>Erweitert>Starten und Wiederherstellen>Einstellungen>Debuginformationen speichern
Wenn du dort "Keine" einstellst wird "dumprep" deaktiviert." (Zitat aushttp://spotlight.de/zforen/awxp/m/awxp-1041235164-6051.html )


LTSMMSG:
http://www.answersthatwork.com/Tasklist_pages/tasklist_l.htm 


Lwpevntm:
selber link wie oben


msmsgs:
 Tray bar icon for MSN Messenger that is an online chat and instant messaging client.

Also was wirklich schlimmes ist das alles nicht zum größten teil Systemdateien die allerdings wohl ziemlich häufig auch von Viren befallen werden. Ich würde mal wie oben schon gesagt nen AntiHighjacking tool über das system laufen lassen und mal noch mit nem anderen Virenscanner scannen.
Greetz Steff


----------



## MAN (13. April 2004)

Vielen Dank für die Erklärungen!

Habe mir jetzt mal den "Trojan Hunter" mit "Trojan Hunter Guard" installiert. Bis jetzt kommt diese dumme Deinstallation von Norton nicht mehr.... bis jetzt habe ich aber mein PC noch nicht neugestartet, da ich gerade mit dem Trojan Hunter meine Platte scanne, was irgendwie ewig dauert...

Ich melde mich wieder, falls das Problem weiterhin auftreten sollte.

Bis dahin, vielen Dank nochmal!


mfG

MAN


----------



## MAN (15. April 2004)

Tjo.... Problem besteht weiterhin:

Deinstaller wird automatisch aufgerufen und will Norton Deinstallieren.
Einen anderen Virenscanner als Norton habe ich nicht zur Hand, außerdem ist es mein Firmenrechner! Aber habe auf der Seite von Symantec den VirenScan durchlaufen, der hatte aber auch 0 Viren gefunden!

Was soll ich denn jetzt machen?

Mein Trojan Hunter meldet anscheinend auch nichts, beim Scannen hat er zwar etwas gefunden, aber das ist nun gelöscht.

Irgendwie ist mir aufgefallen, dass der Deinstaller auch nur dann kommt, wenn ich eine Internetverbindung habe! Da wir in der Firma logischerweise Standleitung haben, kommt der  den ganzen Tag, bis ich den Rechner vom Netz häng. Anscheinend stößt das Internet ein Script an, dass dann den Deinstaller aufruft  

Brauche immer noch unbedingt Hilfe


mfG

MAN

edit:
Mir ist nochwas aufgefallen: Ich habe Norton drauf, und einen sogenannten ePOAgent-Ordner in dem die Anwendungen (Prozesse):

McScript.exe
McScript_InUse.exe
FrameworkService.exe
naPrdMgr.exe

vorhanden sind (Scheinbar eine kleine Version von McAffee - wurde bei mir automatisch, vielleicht von den Admins installiert). Irgendwann hat dann die FrameworkService.exe 90% CPU Auslastung, kurz danach öffnet sich die "Setup.exe" von Installshield (mit wieder um die 90% CPU) und gleichzeitig McScript_InUse.exe taucht auf. Wenn ich nun den Prozess Setup.exe beende, ist auch das McScript_InUse weg! Sag bloß, der selbstinstallierte McAffee will meinen Norton loshaben....


----------



## fluessig (15. April 2004)

Vielleicht ist ja einfach deine Lizenz abgelaufen? 
Mehr fällt mir zu dem Problem jetzt nicht ein. Außer:
Hast du den Deinstalltionsprozess schonmal durchlaufen lassen und dann neu installiert?
Das könnte eventuell auch schon helfen...
//edit


> Sag bloß, der selbstinstallierte McAffee will meinen Norton loshaben....


Es ist nie empfehlenswert 2 Virenscanner zu installieren. Denn dann findet der eine die Virensignaturen des anderen. Vielleicht  will der ja tatsächlich Norton deinstallieren, um sich von der Virensignatur nicht in die Irre führen zu lassen!


----------



## MAN (15. April 2004)

hm... wenn ich norton deinstallieren lasse, könnt ichs nicht wieder installieren - Norton hab ich auch nicht zur Hand  
Ich glaub ich guck mal nachher bei den Admins vorbei, ich glaube die können mir einiges erklären...

Trotzdem Danke für die Antwort!


mfG

MAN


----------



## MAN (16. April 2004)

*Gelöst*

So, hab mal mit den Admins gesprochen, die meinten, ich solle einfach norton deinstallieren lassen (der immer wieder auftretende aufruf war ein script von mcafee) dann wird sich McAfee von selbst installieren. Dem war dann auch so.

Und ich dacht schon das ist ein Virus: Fehlalarm 

Alles wieder in Butter, trotzdem vielen Dank für eure Hilfen!


mfG

MAN


----------

