MaggiFix 10 Geschrieben 19. Februar 2004 Melden Teilen Geschrieben 19. Februar 2004 Hallo zusammen, habe heute beim Checken in der Diensteverwaltung von w2k was entdeckt: Den Dienst "Fla_Hiae"! Der ist mir neu - und zu Win gehört er auch nicht! Der Pfad zur exe war leer, der Dienst stand auf manuell, weshalb er mir wohl auch nie im Taskmanager aufgefallen ist. Seltsam war nur dass er eine Anmeldung nicht am Lokalen Systemkonto verlangte sondern "Dieses Konto" aktiviert war mit leerem Kontoeintrag, aber einem Kennworteintrag. Eine Googlesuche brachte 0 Treffer im Web und in den Groups ... weiss hier vielleicht jemand wo der herkommen könnte, mit welchem Programm oder am Ende sogar ein Virus? I have no Idee where it comes from... hab ihn erstmal rausgeschmissen, aber neugierig bleibe ich doch .... MaggiFix Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 20. Februar 2004 Melden Teilen Geschrieben 20. Februar 2004 Hi! Willkommen on Board! Lade Dir einmal die Dateien aus den folgenden Links herunter und lasse das System prüfen: http://vil.nai.com/vil/stinger/ http://www.lavasoftusa.com/ Zitieren Link zu diesem Kommentar
PIC 11 Geschrieben 20. Februar 2004 Melden Teilen Geschrieben 20. Februar 2004 Hallo MaggiFix, wenn Du so einen Unbekannten hast und mit den Antivirus-Tools keinen Hinweis drauf findest, such ihn doch mal in Deinem Dateisystem. Wenn Du die Datei gefunden hast, bekommst Du mit Glück in den Eigenschaften (rechte Maustaste auf die Datei) Detailangaben zum Hersteller. Falls das was reguläres ist, steht halt Microsoft mit Version, Datum etc. drin oder ein Anwendungshersteller. Ausserdem hast Du dann den vollständigen Pfad. Wenn Du nun einen Trojaner vermutest (die geben ihren EXE teils abstruse Namen) kannst Du ggf. durch das Verzeichnis mehr erfahren: oft sind noch weitere Programme oder Dateien drin, die Hinweise auf das Geschehen liefern und bei der Suche im Web hilfreich sind. Weitere einfache Forensik liefert in Ausführen > Regedit die Suche: Du erfährst, wo überall in der Registry der Prozess eingetragen ist. Gruss Jan Zitieren Link zu diesem Kommentar
MaggiFix 10 Geschrieben 20. Februar 2004 Autor Melden Teilen Geschrieben 20. Februar 2004 Hi, @günterf also weder stinger noch Ad-Aware konnten etwas finden, ausserdem habe ich mal einen Virenscan mit NAV 2003 gemacht (nach dem obligatorischen Update), wobei er nur den "üblichen" Trojan.ByteVerify gefunden hat. Üblich deshalb, weil der in einer counter.jar-datei im Java-Cache liegt und schon des öfteren von NAV bemängelt wurde, die URL, die darin angegeben ist (h**p://xxx-tor.com/galleries/eb/eb5/Counters.jar) bringt nicht wirklich weiter, es erscheint eine leere Seite bzw. ein ftp-Verzeichnis, in dem die Datei liegt, sonst nichts. Generell kommt der Trojaner wegen einer Lücke in MS´s VM, die aber angeblich mit der Version 3810 geschlossen wurde. Ein Scan mit SpyBot hat folgendes erbracht: Ein Eintrag von MainPean in der Registry (HKLM\Software\Mainpean), kommt mit dem Stardialer daher... ist bekannt, der wollte sich mal runterladen, wie er es in die Registry geschafft hat? keine Ahnung, aber auf dem System ist nicht. Weitere Einträge: DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-57989841-1844237615-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3 kann aber nicht wirklich etwas damit anfangen, das Win-Patchlevel ist immer aktuell. Anyway, auf der Kiste läuft Sun´s Java, gebrowst wird mit Mozilla, als Firewall läuft die Tiny 4.5 und zusätzlich ist eine Smoothwall vor das LAN geschaltet, dürtfe also für einen Trojaner nicht einfach sein da durchzukommen ;-) Hat alles wohl auch nichts mit dem Dienst zu tun! @PIC Eine Datei suche nach "Fla_Hiae", "Fla_" und "Hiae" war negativ, auch eine Textsuche nach den 3 Suchbegriffen in C:\ , daher kann ich leider auch keine Dateiinfos in den Eigenschaften abfragen. Auch die Registry hat nichts dergleichen anzubieten. Bei den grossen Antiviren-Seiten (Symantec, McAfee, Kapersky und Microtrend) war auch kein Eintrag dazu. Auch eine Suche bei anderen Suchmaschinen war ergebnislos. Der Dienst scheint wie ein Geist zu sein ... MaggiFix PS: mache jetzt noch einen Scan mit a2, mal sehen, ob der was bringt Zitieren Link zu diesem Kommentar
MaggiFix 10 Geschrieben 20. Februar 2004 Autor Melden Teilen Geschrieben 20. Februar 2004 Update: Auch a2 hat keine Malware gefunden. msconfig zeigt nicht ungewöhnliches, gestartet wird kein Programm, dem es nicht auch erlaubt ist (Check mit dem Startup Control Panel von Mike Lin und dem Trojan Wächter) Die Einträge die Spybot moniert hat gehören übrigens zu den Sicherheits-Zonen-Einstellungen vom IE, habe sie mal fixen lassen. Ein neuer Scan war clean. Zitieren Link zu diesem Kommentar
MaggiFix 10 Geschrieben 20. Februar 2004 Autor Melden Teilen Geschrieben 20. Februar 2004 2. Update Der Dienst steht bei den Nicht-PNP-Treibern drin (in der erweiterten Ansicht vom Gerätemanager), natürlich ohne weitere Informationen. Hatte ihn zwar vorher schon aus den Diensten rausgeschmissen, doch wie das bei Win nun mal so ist, delete heisst nicht löschen :=] Immerhin scheint´s kein Bösling zu sein... hatte an Hardware eigentlich nur kürzlich einen Card Reader mit USB/Firewire rein - ohne eine Treiber- oder Programminstallation, und er läuft... vorher wäre mir der Dienst aufgefallen, da von Zeit zu Zeit ein Blick von mir auf die Dienste geworfen wird. Grüsse von MaggiFix Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.