Windows 2000 Pro, 512 MB RAM, Athlon 1800+
Service Pack 4 und sämtliche Updates/Patches
Norton Antivirus, Hijack This, CWShredder, a2 (alle jeweils täglich aktualisiert)

Hatte mir am Wochenende einen penetranten Hijacker (jksearch.biz)eingefangen, den ich jedoch zum Glück wieder entfernen konnte... dank Hijackthis und Löschen von "system32.dll" im abgesichterten Modus.

Zeitweilig funzte der Windows Explorer nicht mehr und das System war elendig lahm... nun wieder (fast) alles ok.

Seit dem Hijack funktionieren nun leider einige (wenige) Programme nicht mehr, d.h. die Exe-Dateien, die ich über Desktop aufrufe (bzw. im Explorer), starten nicht. Wenn ich die betreffenden Programme neu installieren möchte, kommt ebenfalls nur folgende Fehlermeldung:

Es wurde versucht, auf eine unzulässige Adresse zuzugreifen.

Auf der Microsoft-Seite oder im Netz allgemein ist dazu nichts zu entdecken.

Habe schon sämtliches versucht...
Viren, Trojaner, Hijacker, etc. sind m.E. nicht auf dem System - bei den laufenden Prozessen ist auch nichts Ungewöhnliches zu entdecken.

Was kann ich tun? Im Prinzip ist das System ok, und nur 2 Programme laufen nicht mehr... da wird es doch sicherlich eine Lösung geben, ohne dass ich den Rechner neu machen muss....

</font><blockquote>Zitat:</font><hr /> Was kann ich tun? Im Prinzip ist das System ok, und nur 2 Programme laufen nicht mehr... da wird es doch sicherlich eine Lösung geben, ohne dass ich den Rechner neu machen muss.... </font>[/QUOTE]Müsste eigentlich

Also fangen wir mal an :D :
welche programme sind das
schon mal eben diese programme neuinstallier?
auf der hersteller seite nach bekannten problemen gesucht?
was tun diese programme?

</font><blockquote>Zitat:</font><hr />Original erstellt von HDevil:
... Hijack This, CWShredder, a2 (alle jeweils täglich aktualisiert)</font>[/QUOTE]Du scheinst ja viel Vertrauen in Deine "Fähigkeit" zu haben.

Ansonsten siehe Olo

Versuche auch mal diese zwei Programme zu deinstallieren und dann wieder neu zu installieren

3 Programme sind betroffen:

1. Vision - Fakturasoftware
2. Genolite - Onlinebanking
3. Libri (Buchhandels-Datenbank)
"sysedit" funzt auch nicht - eben gerade festgestellt...

Hersteller/Support war ratlos, die kennen dieses Problem nicht

Beim Versuch der Neuinstallation erscheint die gleiche Fehlermeldung.
"Vision" liegt auf dem Server und funktioniert auf allen anderen Rechnern problemlos.

Daher denke ich mir, dass die Programme an sich in Ordnung sind, und eine Windows-Systemdatei fehlt bzw. beschädigt ist...

Hmmm :\
das hört sich dann doch etwas merkwürdig an

kann jetzt ma n bissl mutmaßen

</font><blockquote>Zitat:</font><hr /> Es wurde versucht, auf eine unzulässige Adresse zuzugreifen.</font>[/QUOTE]kann sein das diese meldung mit einer oder mehreren dlls zu tun hat
welche das nun sein könnten keine ahnung bin auch auf dem gebiet leider nicht so bewandert... :(

</font><blockquote>Zitat:</font><hr /> "Vision" liegt auf dem Server und funktioniert auf allen anderen Rechnern problemlos. </font>[/QUOTE]also gehe ich mal davon aus das du dich in einem netzwerk befindest
dann kann der obige satz " Es wurde versucht, auf eine unzulässige Adresse zuzugreifen." sich auch auf netzwerkadressen bzw Pfadnangaben beziehen
wie gesagt alles mutmaßungen
schon mal probiert die programme lokal zu installieren?

Nachtrag:

</font><blockquote>Zitat:</font><hr /> Da wurde wohl eine DLL-Datei von einer anderen überschrieben.
Systemwiederherstellung schon probiert ? </font>[/QUOTE]das hab ich inem anderen forum gefunden dazu
nächste mutmaßung die malware hat eine/mehrer deiner system dlls überschrieben
schau mal per datum ob sich da was getan hat
evtl findest du so schon die betreffende dll

[ 24. Mai 2004, 11:44: Beitrag editiert von: Olo ]

Olo liegt eventuell gar nicht so falsch, aber es kommt jetzt auch darauf an wie die Fehlermeldung aussieht.
IMHO greifen wohl alle drei Programme auf entfernte (Netzwerk)Adressen zu, da könnte der Hijacker was verbogen haben!

Auch bei Sysedit könnte ein verlorener allerdings lokaler (Such)Pfad schuldig sein

gib mal unter ausführen: %systemroot%/system32/sysedit ein
geht's dann?

für %systemroot% kannst Du auch den echten Pfad (meist c:\winnt oder c:\windows) eingeben

[ 24. Mai 2004, 11:56: Beitrag editiert von: Shadow ]

"Vision" ist das einzige Programm, das sich auf dem Server befindet; alle anderen sind lokal.
Die betroffenen Progs sind alle 16 Bit.

+++

Diese Message aus einem anderen Forum kenne ich; hat mir leider auch nicht weitergeholfen, da daraufhin nichts mehr gepostet wurde.

Systemdateien habe ich teilweise wieder hergestellt - bei den dlls schaue ich gleich nochmal nach, ob es da etwaige Änderungen gab.

+++

Vielen Dank erstmal für die Denkanstöße... hoffe, "wir" finden bald eine Lösung.

Also ich hab nun nochn bissl rumgegoogled zu dieser fehlermeldung ( 0x01E7 der hexcode dazu)
und ich denke es hängt auf jedenfall mit einer dll zusammen
schau halt mal ob du irgendwelceh veränderungen da findest
die meisten system.dlls (wenn nicht alle) kann man sich auch auf bestimmten seiten - weiß den link grade nicht mehr - finden und dlen ...

was ich amchen würde nun - ist n bissl aufwendig aber koennte helfen - such dir eienn pc mit den selben konfigurationen betreffend betriebsystem usw und dann gehst du mal alle dlls durch . auf deinem pc und auf dem wos funktioniert
hmm seh grad das sind über 2000
probiers auch hier mal übers datum
wenn irgendwo die größe unterschiedlich ist oder eine ganz fehlen sollte dann markier dir die mal
ist zwar sehr aufwendig aber der einzige ansatz den ich nu hätte
wenn du denn noch einen rehner mit dieser konfiguration zur verfügung hast

eventuell hat ja auch jemand hier im board ne "bessere" schnellere idee zur hand [img]smile.gif[/img]

Fehlermeldung: Sie haben versucht, auf eine unzulässige Adresse zuzugreifen.
 

Hallo!
Ich habe den Fehler gelöst, anscheinend war ich im Internet der einzige, der bei "Es wurde versucht auf eine unzulässige Adresse zuzugreifen" nicht gleich die Festplatte formatiert hat. :huepp:

Problem: o.g. Satz erscheint immer wenn man Programme bei XP (glaube nur 16 bit-Programme) ausführen bzw. neu installieren möchte.
Zudem erschien hin und wieder "Der Remoteprozeduraufruf ist fehlgeschlagen" (= RPC, c= "call")

Beispiele: Bei mir ging z.b. T-Online 4.0 nicht mehr. Auch eine Neuinstallation ging nicht mehr (gilt auch für 5.0.)
Habe da allerdings den Trick angewendet, es im Abgesicherten Modus zu installieren, und im Normalen zu verwenden. restliche Programme gingen aber weiterhin nicht.

Analyse: Bei mir handelte es sich um den Hijack-Virus: "Haxdoor-Fam", alias
Haxdoor.AP oder was auch immer statt AP. Alle Informationen zu diesem Virus waren allerdings fast nutzlos, da dies nicht der wahre Name des Viruses war.
[Das ganze ist wie bei einer Dämonenbekämpfung :teufel2: , man muss den wahren Namen kennen :heilig: ]

---> Jedenfalls erkannten [sehr gute!] Programme wie "Microsoft AntiSpy",
"Spybot Search & Destroy" und "Ad-Aware" ihn immer als Haxdoor, konnten ihn allerdings nicht bekämpfen. (Löschen ja, kam aber sofort wieder)

Lösung:
Es handelte sich in Wahrheit um den Backdoor-Virus "Troj/Banker-W" bzw.
"Banker-Y" , "Banker-M" oder was auch immer für eine Version, alias "PNS-Banker.dll" alias Win32.Small.oo.
Ich kam nur durch Zufall drauf, und die Verhaltensmuster waren die gleichen.
Komisch war nur, dass Haxdoor eigentlich ein Malware Programm sein soll,
während Banker-w ein echter Trojaner ist...
Es kann auch sein, das es eine Mischung aus mehreren war, glaubs aber nicht ganz :pukeface:

--> WICHTIG: "HijackThis Version 1.99.0 " erkennt ihn nicht.
er wird erst ab "HijackThis Version 1.99.1 " erkannt. (lsd_f3.dll)
---> und zwar müssen diese Dateien (am besten per Abgesichertem Modus und als eingabeaufforderung) gelöscht werden:

-Versteck in Windows/System32:
- lsd_f3.dll
- filtrnp?.exe (? = irgendeine zahl oder buchstabe)
- eplrr.dll
- lds_f3.dll
- iesprt.sys
- mprexe.exe
- timestamp.sys
- filtmp0.exe

Versteck in Registrierung:
- HKLM\System\CurrentControlSet\Control\.Impersonate = [Number]
Username
- HKLM\System\CurrentControlSet\
Control\MPRServices\TestService\DllName= ... , Entry Point , Stack Size = ...
-HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
Winlogon\Notify\f3dsl\Dllname= , Startup = LSD, Impersonate = 1,
Assynchronus = 1, MaxWait = 1

Bei den Registrierungen schaut am besten bei google.de unter "Banker-W",
bei mir hab ich die über Hijackthis gelöscht(!) bzw. waren auch einige Dateien bei mir nicht vorhanden, das variiert.

-------

Zusätzlich müsst ihr noch die folgenden Dateien löschen, diese gehören zum Muster von Haxdoor, laut Infos aus dem I-Net:

Windows/System32:

- cm.dll
- draw32.dll (lies sich bei mir nicht löschen, ist aber verschwunden, als ich
alles andere geplättet habe! Auch nicht im Abgesicherten)
- hm.sys
- vtd_16.exe (Hauptvirus, sozusagen der General.)
- vdnt32.sys (Adjudant des Generals, trägt sich angeblich auch als Dienst
ein (?))
- fltr.a3d
- redir.a3d
- p2.ini (ist eine art Keylogger.Log, fand ich ganz lustig zu sehen, was man
so den Tag über schreibt *g*)
- klogini.dll (mein persönlicher Lieblingsfeind, kann man 100 mal löschen, und
kommt gleich wieder, geht auch weg, wenn man alles andere
platt macht!)


LETZTE TIPPS VOR DEM SHOWDOWN: :snyper:

Wenn ihr die Dateien im ABGESICHERTEN MODUS (ich habs per eingabeaufforderung und mit dem Befehl "del NamederDatei" gelöscht.)
löscht, dann achtet darauf, dass ihr im normalen modus die Systemwiederherstellung kurz deaktiviert, dass der ganze müll mal geschlöscht wird. (rechtsklick auf Arbeitsplatz, dann EIGENSCHAFTEN)

Aktiviert danach wieder die Systemherstellung und schaut im
Hijackthis 1.99.1 (oder höher) nach, und lasst euer Antispyware
programm s.o., durchlaufen (am besten 2 mal)

Danach lief alles wieder einwandfrei :knuddel:


PS: Garantie übernehme ich natürlich nicht, aber grade bei erfahreren Virenjägern, dient dies als Tipp, bevor man man sich die Kugel gibt und alles (mal wieder) formatiert . :pfui: :kloppen:

Plötzlich konnte ich mein Photo-Shop Elements nicht mehr öffen. Meldung: Sie haben versucht, auf eine unzulässige Adresse zuzugreifen. Tagelang habe ich den Fehler gesucht, mich im Internet kundig gemacht, drei Virenscanner laufen lassen, um mögliche Eindringlinge zu suchen, ich habe auch Elements neu installiert. Vergeblich. Seit einigen Tagen hat mich auch der RealPlayer mit Mitteilungen genervt. Heute habe ich ihn deshalb gelöscht. Und siehe da, da lag der Hund begraben. Elements ist wieder ansprechbar.