1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Dienst Fla_Hiae???

Discussion in 'Windows NT / 95 / 98 / 2000 / ME' started by Ide-Fix, Feb 19, 2004.

Thread Status:
Not open for further replies.
  1. Ide-Fix

    Ide-Fix Kbyte

    Hallo,

    habe beim Checken in der Diensteverwaltung von w2k was entdeckt: Den Dienst "Fla_Hiae"! Der ist mir neu! Ein Pfad zur exe war nicht angegeben, er stand auf manuell, weshalb er mir auch nie im Taskmanager aufgefallen ist. Seltsam war nur dass er eine Anmeldung nicht am Lokalen Systemkonto verlangte sondern "Dieses Konto" aktiviert war mit leerem Kontoeintrag, aber einem Kennworteintrag.

    Eine Googlesuche brachte 0 Treffer im Web und in den Groups... weiss hier vielleicht jemand wo der herkommen könnte, würd mich ehrlich gesagt schon interessieren.
     
    Ide-Fix, Feb 19, 2004
    #1
  2. Ide-Fix

    Ide-Fix Kbyte

    das bringt mich doch glatt weiter... der Dienst steht bei den Nicht-PNP-Treibern drin, natürlich ohne weitere Informationen. Hatte ihn zwar vorher schon aus den Diensten rausgeschmissen, doch wie das bei Win nun mal so ist, delete heisst nicht löschen :=]

    Immerhin scheint´s kein Bösling zu sein... hatte an Hardware eigentlich nur kürzlich einen Card Reader mit USB/Firewire rein - ohne eine Treiber- oder Programminstallation, und er läuft... vorher wäre mir der Dienst aufgefallen, da von Zeit zu Zeit ein Blick von mir auf die Dienste geworfen wird.

    Thx deoroller
     
    Ide-Fix, Feb 20, 2004
    #2
  3. deoroller

    deoroller Wandelndes Forum

    Es könnte von einem Programm zurückgeblieben sein, dass nicht richtig deinstalliert wurde. Viele Programme starten ihren eigenen Dienst.

    Guck doch mal im Gerätemanager unter den Nicht P&P-Treibern, ob dort welche von bereits gelöschten Programmen sind.
    Vorher unter Ansicht "Ausgeblendete Geräte" aktivieren.
    Dort kannst du die helleren meist löschen. Es wird auch jeweils unter Eigenschaften angezeigt, wenn der Treiber nicht mehr benötigt wird.
    Ob es was gebracht hat, kannst du in der Diensteverwaltung checken.

    Vor dem Löschen solltest du ein Backup der Systempartition machen oder nur die Sachen löschen, bei denen du dir sicher bist!!!!
     
    deoroller, Feb 20, 2004
    #3
  4. Ide-Fix

    Ide-Fix Kbyte

    Hallo,
    habe inzwischen etwas recherchiert:

    stinger von McAfee: negativ

    Virenscan mit NAV 2003 (mit frischen Virenlisten):
    nur den "üblichen" Trojan.ByteVerify gefunden hat. Üblich deshalb, weil der in einer counter.jar-datei im Java-Cache liegt und schon des öfteren von NAV bemängelt wurde, die URL, die darin angegeben ist (h**p://xxx-tor.com/galleries/eb/eb5/Counters.jar) bringt nicht wirklich weiter, es erscheint eine leere Seite bzw. ein ftp-Verzeichnis, in dem die Datei liegt, sonst nichts.
    Generell kommt der Trojaner wegen einer Lücke in MS´s VM, die aber angeblich mit der Version 3810 geschlossen wurde.

    Anyway, auf der Kiste läuft Sun´s Java, gebrowst wird mit Mozilla, als Firewall läuft die Tiny 4.5 und zusätzlich ist eine Smoothwall vor das LAN geschaltet, dürtfe also für einen Trojaner nicht einfach sein da durchzukommen ;-)

    SpyBot:
    Ein Eintrag von MainPean in der Registry (HKLM\Software\Mainpean), kommt mit dem Stardialer daher... ist bekannt, der wollte sich mal runterladen, wie er es in die Registry geschafft hat? keine Ahnung, aber auf dem System ist nicht.

    Weitere Einträge:

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_USERS\S-1-5-21-57989841-1844237615-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3


    Habe diese Einträge mal fixen lassen, ob sie mit dem Dienst in Verbindung stehen denke ich aber eher nicht, da sie die Sicherheitszonen vom IE betreffen und gebrowst wird eh mit Mozilla...

    A2:

    Findet keine Malware-Einträge


    Bei den grossen Antiviren-Seiten (Symantec, McAfee, Kapersky und Microtrend) war auch kein Eintrag dazu.
    Auch eine Suche bei anderen Suchmaschinen war ergebnislos.

    Eine Datei suche nach "Fla_Hiae", "Fla_" und "Hiae" war negativ, auch eine Textsuche nach den 3 Suchbegriffen in C:\ , daher kann ich leider auch keine Dateiinfos in den Eigenschaften abfragen. Auch die Registry hat nichts dergleichen anzubieten.

    Der Dienst scheint wie ein Geist zu sein ...


    Ide-Fix
     
    Ide-Fix, Feb 20, 2004
    #4
  5. deoroller

    deoroller Wandelndes Forum

    Falls du msconfig.exe installiert hast, kannst du alle Windows-Dienste ausblenden.

    Ich schätze aber, dass das gar kein Dienst ist, sondern ein Trojaner in Lauerstellung.
    Ein Plattenscan mit Ad-aware, Spybot oder a² könnte mehr in Erfahrung bringen.
     
    deoroller, Feb 20, 2004
    #5
Thread Status:
Not open for further replies.

Share This Page