xxx ist keine gültige Win32 Anwendung

    Hi allerseits,


    ich habe folgendes Problem und dazu ein paar Fragen zum Verständnis:


    Nach einer Infizierung eines Systems (XPprof) mit einem Trojaner waren sämtliche Sicherheitsapplikationen (Virenscanner, Adaware, Spybot, TuneUp-Utilities usw) deaktiviert.
    Neuinstallation oder Neustart der Tools endeten immer mit der Fehlermeldung "Programm abcd ist keine gültige Win32 Anwendung"


    Der Trojaner wurde durch diverse Programme von Boot-CDs aus identifiziert und entfernt. Das System läuft seither stabil, verschiedene Tests lassen den Schluß zu, das der Trojaner nicht mehr vorhanden ist.


    Ein Virenscanner (Eset Nod32) lässt sich jedoch auch jetzt noch nicht installieren. Fehlermeldung "Nod32 ist keine gültige Win32 Anwendung" :(


    Mir ist klar, daß ich das System neu aufsetzen kann und das vielleicht doch noch irgendwas böses im Rechner aktiv ist. Darum geht es mir im Moment nicht.


    Ich möchte herausfinden wo im System der Trojaner den Eintrag gemacht haben kann, welche Anwendungen nun plötzlich keine gültigen Win32-Anwendungen mehr sind.
    Bzw. Woran erkennt Windows, das dies oder jenes keine gültige Win32-Anwendung ist und wo kann man das vielleicht ändern.


    Im Fall von Eset Nod32 habe ich die Registry durchforstet und auch Textsuchen übers System laufen lassen, ich kann einfach nichts finden.


    Danke schon mal für hilfreiche Antworten.

    Wie wäre es denn mal mit dem Namen des Virus? Erst dann kann man genaueres zu den Aktionen des Virus sagen, falls es Informationen im Netz dazu gibt.


    Die allgemeine Meldung "... ist keine gültige Win32 Anwendung" kann so viele Ursachen haben, dass man nichts spezielles dazu sagen kann.

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    ..ach der Name des Virus ist doch Wurscht, war irgendein Bagle.
    Ich will nicht wissen was DIESER Virus oder Trojaner getan hat sondern ich will verstehen, wo ein Programm (in diesem Fall eben ein Trojaner) in Windows etwas verändern muß, damit anschließend Windows selbst meint, das eben gestartete Programm sei keine gültige Win32-Anwendung. Irgendwo muß Windows diese Information ja hernehmen.... ???

    Ja klar :lol: der Name ist immer "wurscht".


    Ich kann dir sagen was los ist, entweder hat der Virus irgendwelche Dateien deines Windows zerstört oder umgeschrieben (bei mir sinds momentan 12000 Dateien im Windows-Ordner ;) )


    ODER


    der Virus hat Registry-Einträge geändert, gelöscht oder erstellt, die das verursachen. Die Registry besteht ebenfalls aus mehreren 10000 Einträgen. :lol:


    ............ na dann viel Spaß beim Suchen ;)


    Windows ist schon entwas komplizierter als ein Würfel mit 6 Seiten :lol: :lol: :lol:

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    ...danke, daß Du Dein fundiertes Fachwissen mit mir teilst....


    Da wäre ich wirklich nicht drauf gekommen, daß Windows viele Dateien hat und auch die Registry viele Einträge... ich dachte immer Windows hat nur zwei drei Dateien...


    ...und mir ist es egal wie viele Dateien ich durchsuchen muß (ich nehm da nämlich einen Computer dazu), aber es wäre halt cool zu wissen wonach ich suchen muß.

    Echt, du hast garnichts verstanden, oder? Wie willst du denn Dateien oder die Registry durchsuchen, wenn du nicht weißt was du suchst und garnicht sagen kannst, ob ein Schlüssel oder eine Datei anders, neu oder weg ist?


    Sowas kann man nur mit dem Wissen um den Virus-Namen nachvollziehen. Viren und deren Auswirkungen werden normalerweise so getestet:


    - man nehme ein sauberes System, mache eine Sicherung und lasse ein Programm für jegliche Änderungen am System mitlaufen
    - nun nehme man den Virus und führe ihn aus
    - im Anschluss schaut man dann nach, was der Virus gemacht hat und entdecke dadurch Sicherheitslücken


    Nur mit dem genauen Virennamen kann man im Internet schauen, ob irgendjemand schon nachvollzogen hat, was der Virus überhaupt macht.


    ... aber der Virenname war beim Fund ja egal, der is ja nun weg ;)

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    ...ich habe das alles verstanden und kenne die Verfahrensweise wie man Systemveränderungen erkennt.
    Diese Möglichkeiten stehen mir aber im Nachhinein hier nicht zur Verfügung.


    Aaaaber, ich will gar nicht wissen, was der Virus gemacht oder gelöscht hat. Das ist doch nur Beispielhaft.


    Ich will wissen, woran erkennt Windows, wann ein Programm keine gültige Win32-Anwendung ist, bzw. wo steht das.
    Da Programme, die neu und sauber installiert werden, beim Programmstart von Windows als nicht gültige Win32-Anwendung erkannt werden, muß
    irgendwo im System das Programm oder eine Signatur daraus dementsprechend gekennzeichnet sein.


    Und das interessiert mich halt. Wo stehts und wie ist es gemacht...


    Nochmal zum Durchsuchen der Registry, natürlich kann ich nicht nach Schlüsseln suchen, die nicht mehr da sind.
    Aber es scheint ziemlich unwahrscheinlich, daß ein fehlender Schlüssel ein bestimmtes neu installiertes Programm blockiert. Eher ein veränderter Schlüssel oder der Verweis auf irgendeine
    Datei.

    http://www.winfaq.de/faq_html/…linefaq.php?h=tip1288.htm


    http://support.mozilla.com/de/…3%BCltige+Win32-Anwendung


    http://support.microsoft.com/s…mt=1&ast=25&ast=28&res=20


    ........ weißt du nun was ich meine? Deine Fehlermeldung ist so aussagekräftig wie der Wasserstand der Spree am 18.05.1895. Die Fehlermeldung sagt nur aus, dass das Betriebsystem mit dem Setup oder der Datei nicht umgehen kann. Warum? das wird dir eben nicht gesagt. Es kann hunderte Ursachen für diese allgemein gehaltene Fehlermeldung geben. Man kann nicht sagen "Schau mal da, genau da muss ne Eins stehen und bei dir steht ne Null.". Ich verweise einfach mal auf den Microsoft-Link ... 127 Ergebnisse und keine Lösung ist mit einer anderen vergleichbar. Alle Ursachen sind unterschiedlich und die Lösungen auch.


    Ein Tipp: Ein defektes Setup von Nod32 ist wohl möglich, wobei ich aber durch den Virenbefall nicht davon ausgehe


    Zur Registry: ... und wie willst du nun die Änderung im Nachhinein ausfindig machen? Da steht nirgends wann der Schlüssel geändert wurde und auch nicht was geändert wurde. Die Registry kann man nur mit einer älteren Registry vergleichen, aber da du keinen alten Stand hast ... Zudem werden im täglichen Gebrauch von Windows so viele Schlüssel geändert, dass selbst dann nicht eindeutig gesagt werden kann welcher Schlüssel eine Ursache sein KÖNNTE.


    http://www.chip.de/downloads/Regshot_31676147.html
    Mach dir mal den Spaß und speichere vor der Änderung einer Sache die Registry mit Regshot (1. Schuss), dann ändere einfach mal eine Einstellung in der Darstellung. Z.B.


    Systemsteuerung > Anzeige > Desktop > Desktop anpassen > Häckchen weg bei "Internet Explorer"


    Durch diese Änderung wird einzig bewirkt, dass das Internet Explorer Symbol nicht mehr auf dem Desktop angezeigt werden soll.


    Nun mache den 2. Schuss und vergleiche dann die Änderungen in der Registry.


    Schlüssel hinzugefügt:1
    Werte gelöscht:1
    Werte hinzugefügt:2
    Werte geändert:7
    -----------------------
    Gesamte Änderungen:11


    ... und das nur um EIN Symbol auszublenden, dass man jederzeit wieder einblenden kann.


    Na toll, erzähl mir doch bitte ich sei doof, wenn ich dich nach dem genauen Virennamen frage ;) :lol:

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    PS.: Vielleicht hilft ja das Programm


    http://www.chip.de/downloads/CCleaner_16317939.html


    !!! Auf eigene Gefahr !!!


    Zitat

    Jedoch sollten Sie sich im Klaren darüber sein, welche Dateien und Registry-Einstellungen Sie löschen, da dies unter Umständen Ihr System instabil machen kann.

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    ...danke für die Infos und Links.


    Es ist schon irgendwie so, als ob der Hersteller meines Autos eine Kontrolllampe mit der Aufschrift "allgemeiner Autofehler" im Armaturenbrett installiert hat und sonst nichts näheres erklärt...


    Im Prinzip ist es mir auch nicht wirklich wichtig mit dem Nod32, es macht mich nur irgendwie fertig, daß sich ein einzelnes Programm auf einem System, auf dem sonst jedes Konkurrenzprodukt läuft, nicht mehr starten läßt und ich den Grund nicht rauskriege.


    Microsoft und seine super Fehlermeldungen.... Ich denke da nur an "der Zugriff von 00x00000 auf den Speicher 00x00000 kann nicht ausgeführt werden" usw.


    Wie der Wurm nun wirklich hieß, ich weiß es nicht mehr, ich weiß nur noch, es war ein Bagle, der hat im Hintergrund einen eMule Client eingerichtet und jede Menge Daten nachgeladen und zur Verfügung gestellt. Alle (!) Sicherheitsprogramme, selbst die, von denen man denkt die kennt gar keiner, wurden deinstalliert oder lahm gelegt und waren bei Neuinstallation keine gültige Win32 Anwendung mehr.
    Diverse Linux Boot-CDs mit Antivirendingens und Antimalwaredingens und viel Handarbeit haben das System wieder sauber geputzt. Zumindest, sagen das alle möglichen Programme. Auch Datenverkehr nach außen gibt es keinen mehr im Hintergrund. So wie ich Windows kenne liegen in irgend einer Ecke aber natürlich noch Fragmente von dem Zeug herum.
    Interessant war übrigens das, der damals aktive Nod32, die Datei, aus der die kleine Drecksau entschlüpft ist, die bewußt von Hand auf Viren geprüft wurde, als sauber eingestuft hat.


    Den CCleaner hatte ich schon.


    Die MS Seite bringt mich auf die Idee nochmal die Dienste anzusehen, ein nicht gestarteter Dienst, der sonst für nicht viel gebraucht wird....?


    Ich versteh schon, ich werds nicht rausfinden.


    Neu werde ich sowieso installieren, das System um das es hier geht ist aber ein ziemlich umfangreiches, steht in der Firma, und es braucht lange um alles wieder auf dem richtigen Stand zu haben.
    Der Grund, warum der Nutzer sich das Ding eingefangen hat, ist aber soo blöd, da braucht es die Bestrafung aber förmlich... Das Sytem war so umfangreich gesichert, daß es der aktiven Hilfe des Benutzers bedurfte um es zu verseuchen. Hirn 2.0 war komplett abgeschaltet.


    Na egal - ich danke nochmal für die Hilfe, ich werd aufhören mir darüber einen Kopf zu machen.

    Da der Virus anscheinend ganze Arbeit geleistet hat,wäre hier ein Neuaufsetzen des Systems mit Löschung aller Plattenpartitionen sinnvoll.Denn sollte es sich hier um einen Speicherresistenten Virus handeln,wird das alles nix bringen,denn da könnte die Möglichkeit bestehen,das dieser Virus sich tief in der Registry "eingewurzelt" hat und sich immer wieder aktiviert bzw. bei Löschung zwischen Arbeitsspeicher und Festplatte "springt".Dieses Problem hatte ich auch mal vor Jahren mit einem Windows 2000 Server,da hatte sich die Iraqoil.exe in der Registry verankert und sich bei jedem Neustart trotz Löschung aktiviert und bei LAN Verbindung eine Mail Bombe mit 500 Mails verschickt.Nur eine komplette Löschung aller Festplatten Partitionen und Neuaufsetzen des Systems konnte das Problem lösen.Sollte hier ein Backup gemacht worden sein,besteht die Gefahr,das selbst auf dem Backup der Virus drauf ist.
    Gruß Michael

    "yakini" schrieb:

    Mir ist klar, daß ich das System neu aufsetzen kann und das vielleicht doch noch irgendwas böses im Rechner aktiv ist. Darum geht es mir im Moment nicht.


    "yakini" schrieb:

    Neu werde ich sowieso installieren


    Mrviggo, gut dass das schon lang geklärt war ;)
    Hast du die Frage und Antworten gelesen oder antwortest du pauschal?


    Bitte bitte, bei Antworten einfach mal vorher lesen worum es geht, danke.


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)

    Ich kann die Neugier von yakini schon verstehen.
    Irgend ein Ort im BS muss erkennen, dass es sich um "keine gültige Win32 Anwendung handelt". Die Meldung kommt z.B., wenn man irrtümlich eine 64er Anwendung runtergeladen hat und sie dann ausführen will. Mir fällt gerade kein Beispiel ein.
    Ich habe das dann jedesmal als nützlichen Hinweis aufgefasst und mich um die 32er Version gekümmert, aber nicht weiter über das Thema nachgedacht. Aber ich wiederhole (ganz laienhaft!):
    Irgend ein Ort im BS muss erkennen, dass es sich um "keine gültige Win32 Anwendung handelt".
    Vielleicht wollte yakini nur wissen, welche Datei das ist... :?

    Es gibt nicht einen bestimmten Ort, sondern ein Zusammenspiel aus dem Setup / der EXE mit dem Wirken des Betriebsystems ergibt diese allgemeine Meldung. Die Ursachen können völlig unterschiedlicher Natur sein. Ich verweise nochmals auf die Links in meiner Antort.


    http://www.pc-special.net/post93477.html#p93477


    Schau dir einfach mal ein paar Themen aus der MS Knowledge Base an. Es kann irgendein Registry-Schlüssel sein und auch an irgendwelchen Dateien liegen. Siehe auch dem Firefox-Link, bei dem das Löschen des Temp-Ordners hilft.


    Es gibt keine pauschale Antwort!


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)
    "Backgammon_128" schrieb:


    Es gibt keine pauschale Antwort!


    Gruß
    Back


    Danke für Deine Mühe! Wieder etwas dazugelernt.
    Übrigens war mein letzter Kontakt mit der hier hinterfragten Fehlermeldung ein Java-Update (32er vs. 64er Version).
    Hauptsache, es hat geklappt, ich muss ja nicht alle Hintergründe kennen! :wink:
    Beste Grüße!

    Manchmal ist es halt so ... ;) ... aber eigentlich viel zu oft bei Microsoft. Warum sollte das Leben auch so einfach sein ;)


    Gruß
    Back

    Beschwerden über Schreibfehler, fehlende Buchstaben oder Leerzeichen bitte an meine Tastatur richten. Frau Tasta Tur Musterstrasse 11 11111 Musterstadt Bitte verratet nicht, dass ich sie angeschmiert hab, sonst wird das alte Luder noch sauer. ;)