seltsamer windows dienst namens " Lhitfaworbh "

[peterschmidt]

[Gelöst] (Bin ihn jedenfalls aus der Diensteverwaltung und Reg. losgeworden)

Hi Leute,

Als ich neulich in die Dienste unter XP geschaut habe sah ich einen Dienst namens " Lhitfaworbh " und mir ist nicht klar das der da zusuchen hat.

er ist deaktiviert
angemeldet als lok. system
kein pfad zur exe vorhanden

Viren und Trojaner erkennt jedenfalls Avira nich und das System sonst läuft super...?

Hat jemand ne idee was das sein könnte bzw. wie der los zu werden ist?

Danke euer Peter

 

[Mr. Snoot]

Sicher, dass der Name so korrekt ist? Zumindest ein paar Treffer dürfte Google eigentlich liefern.

 

[peterschmidt]

Der Name ist per copy und paste hierherüber gelangt und steht da leider so
Kein Googlesuche half mir da sieht kryptisch aus besser gesagt generiert kann jeder x beliebige wurm machen aber bloß welcher wenn ja...

Egal wenn jemand auch sowat in seinem Dienste Verwaltung findet kanns ja mal posten

 

[Mueli]

Sowas habe ich bisher auch noch nicht gesehen, kann daher nur schreiben wie ich an Deiner Stelle vorgehen würde.
Wird er mit dem Namen in der Prozessliste (dann kann es ja auch ein per Autostart laufender Prozess/Programm sein) geführt oder erschein er auch in der Liste zu startender Dienste in der Verwaltung.
Man könnte das System (vorzugsweise C) nach einem File absuchen, was diesen Namen führt und/oder auch nur diesen Namen als Text in sich enthält, das geht mit einfacher Filesuche der Windowssuche oder mit Tools wie Wingrep oder EFS (suche nach *.* mit enthaltendem Text 'Lhitfaworbh' oder auch nur Teilen davon).
Als nächstes könnte man die Registry absuchen (Strings) mit verschiedenen Suchoptionen (etwas 'spielen' mit den Optionen). Das Windows Registry-Tool kann man mit einer Freeware erweitern und hat dann auch mehr Möglichkeiten, einfach mal ansehen.
Dann gibt es noch die Möglichkeit mit den kleinen Tools von Mark Russinovich unter 'die Haube' zu kucken, was zum Beispiel welcher Prozess wo aufruft, welche DLLs beteiligt sind, auf welche Datei zugegriffen wird usw.
Der Process Explorer kann noch ein weiteres Tool benötigen was Du separat downloaden mußt, es ist der Dependency Walker (Google benutzen).
Es ist manchmal etwas mühselig aber bisher habe ich so fast alle Probleme in dieser Richtung lösen können. Es ist leider nicht bei jedem Problem möglich mit dem Finger zu schnippen 'das ist es' und darauf zu zeigen.

 

[peterschmidt]

Danke für deinen umfangreichen Tipp und bin dem auch gleich nachgegangen

Als Datei hab ichs jetzt nicht gefunden

Aber mit RegEx unter

Arbeitsplatz\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LHITFAWORBH
mit zwei Schlüsseln
Standart Reg_SZ kein wert
und
NextInstance REG_DWORD 0x00000001 sprich 1

und dann darunter im Unterschlüssel 0000

Arbeitsplatz\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LHITFAWORBH\0000

f*** it hier ein bild

http://ifkan.de/L.service.png


Wenn ich den Schlüssel von L blah lösche ist der Spuck doch dann nicht vorbei oder doch

Dependency Walker scheint ein mächitges tool zu sein aber nur für Profis vllt bekomm ich noch raus wie das funktioniert

 

[Fiona]

Sowas kann man sich öfters über das Internet einfangen.
Wenn keine Ordner freigegeben sind dann fehlt dazu of die *.exe Datei da die nicht ohne Freigabe installiert werden konnte.
Siehst du wenn du auf den Dienst Doppelklick machst bei Pfad zur Exe-Datei.
Wenn die Datei vorhanden ist, mache auf der Rechtsklick / Eigenschaften und gehe auf Version.
Schaue bei was die zugeordnet ist!
Habe bei dir wohl gelesen das die nicht vorhanden ist und sich so nicht unbemerkt installieren konnte!

kein pfad zur exe vorhanden

Ansonsten um das Ding loszuwerden;
Funktioniert nur bei WinXP Pro.
Bei Home mußt du dich wahrscheinlich im abgesicherten Modus als Admin anmelden.
Wenn die nicht vorhanden ist, gehe über Start / Ausführen / regedit in deine Registrierung.
Gehe auf Bearbeiten und Suchen!
Kopiere den Namen dort hinein!
Starte die Suche!
Bestätige jeweils mit F3 weiter bis du die Registrieung voll durchsucht hast um alle Einträge zu finden.
Du solltest den obersten Ordner wie Legacy oder ähnlich vom beinhaltenden Schlüssel (Key)im linken Fenster markieren und löschen.
Notfalls kannst du auch die Schlüssel als Backup importieren.
Infos dazu auch hier;
https://www.computerbase.de/forum/threads/dienst-deinstalieren.71291/
Ansonsten gibt bei Microsoft auch ein Tool aus dem Win2000 Ressource Kit um Dienste (Services) zu entfernen.
Das bekommst du jetzt aber nur über eine Gültigkeitsprüfung ob du ein legales Windows hast!
Das Tool funktioniert auch mit WinXP und hatte ich schon angewendet!
http://www.microsoft.com/downloads/...07-a45e-405a-a52a-b0bed9a04874&displaylang=en

Wenn du dieses Tool einsetzen möchtest teile es mit.
Infos folgen wenn du es hast!

Viele Grüße

Fiona

 

[peterschmidt]

Danke für die Anleitung, ich hab XP pro und werde einfach den Dienst deinstallieren und teil euch mit was raus kommt (vllt. das ich vollauf Linux umsteige )

aber im ernst, Sygate Firewall Avira schützen wohl nicht vor so ungebeten Gästen, Ich würd gern wissen was ich sonst machen soll um mein rechner zu schützen.

 

[Fiona]

Diese Maleware (Spyware zumeist) wird so undefinierbar gesetzt und schnell geändert das Virenhersteller so gut wie keine Gegenmaßnahmen machen können.
Daher findest du zumeist auch nichts bei Google.
Die kommen auch schnell wieder mit anderen undefinierbaren Namen Namen ins Netz.
Vermutlich fängt man die sich über den Browser (oft IE) ein.

Nach dem löschen mußt du Windows neu starten um die Änderungen zu übernehmen.

Gruß Fiona

 

[Mueli]

Du könntest jetzt noch unter dem Wert (8ECC...) im Schlüssel ClassGUID in der Registry kucken (nach DLLs, EXEs beteiligten Dateien), es schein wie ein Treiber installiert worden zu sein. Man könnte mit dem String 'LHITFAWORB' im INF-Verzeichnis innerhalb der Files suchen (so ein Grep über eine ganze Partition dauert immer).

Es ist machmal auch etwas geschickter Registry-Zweige erst einmal zu exportieren bevor man sie löscht, dann kann man es auch zur Not rückgängig machen. Einige Programme installieren schon merkwürdige Dienste und Treiber, so hatte ich mir bei einem Netzwerk-Drucker ein 'Ampel'-Tool mit installiert und konnte den dazugehörenden Dienst auch nur mit Mühe zuordnen.

In der Registry ist vieles recht komplex verzeigert und man muß daher mit den gefundenen Schlüsseln wieder weitere aufsuchen um den Mechanismus zu verstehen.
Es könnte sogar sein, dass Dein Prog/Treiber schon via Software zu deinstallieren ist.

 

[peterschmidt]

So Hi nochmal,

mhh dieser Schlüssel scheint überall in der reg zu stehn ( {8ECC055D-047F-11D1-A537-0000F8753ED1})
in
Arbeitsplatz\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ ...

der schlüssel wird auch bei sophos siehe link erwähnt
http://www.sophos.de/security/analyses/w32rbotacd.html

das ich den Lhitfaworbh auch unter
Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

gefunden habe würde es die Idee von fiona stützen der M$ iE ist da im Spiel

SO ich hab jetzt alle Einträge mit Verweisen auf Lhitfaworbh in Arbeitsplatz\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LHITFAWORB H mit Fionas Dienste- Killer Anleitung ausradiert. Ich hoff, das reicht erst mal aus, und es ist nicht bloß die Oberfläche des Problems weg gewischt worden.

Ich danke euch an dieser Stelle für eure Hilfe und tollen wertvollen Tipps bei diesem zeimlich kryptischen Problem.

Ich denke es ist damit soweit GELÖST!

 

[Fiona]

Solche Probleme sind mir eigentlich bekannt.
Zumeist schaffen es diese Programme sich in die Registrierung einzutragen.
Obwohl Remote usw. alles deaktiviert ist und kein Zugriff auf die Registrierung bestehen sollte.
Aber auf der Festplatte installieren die sich zumeist nicht da die keine Zugriffsrechte auf die Festplatte haben um sich zu installieren.
Auf deinen Hinweis hin habe ich meine Dienste überprüft und siehe da;

Habe ich auch einfach entfernt!
Hatte auch keine *.exe oder andere bezogene Datei.
Das wurde von mir schon öfters überprüft über die Windows Suche angepasst auf alle Dateien anzeigen und untersuchen und ein Wort oder Begriff innerhalb der Datei.

Aufpassen solltest du bei Einträge wie MRU List oder ähnlich das du dort nur die Einträge und nicht den ganzen Schlüssel löschst.
MRU List oder ähnlich kannst du mit Ad Aware oder Spybot Search and Destroy leeren.
Gibt es wohl hier im Download-Bereich.

Viele Grüße

Fiona

 

[peterschmidt]

Wirksamen Schutz scheint es da auf gewohnten wege nicht zu geben es. Jedoch gibt es noch einige Möglichkeiten sich doch zu schützen.

Surfen mit Virtuellem System:

Vmwareplayer von Vmware besorgen und da liegt auch gleich ein "Browser" ein Ubuntu Linux mit Firefox browser
da können Schädlinge nicht viel bewirken weil sie im anderen System hängen. Zum Thema Sicherheit steht auch viel auf der Ubuntu seite.

Das ganze geht glaub ich auch mit VirtualPC von ms

Okay danke für Tipp mit MRU ich werd gleich auch den Spyware checker losrennen lassen

liebe Grüße

euer peter

 

[Mueli]

Sorry, dass ich mich jetzt erst wieder melde, aber wir hatten eine Feier und ich war daher nicht im Hause ....

Die Registry kann man rel. gut sichern, mit Tools wie Ad-Aware/Ad-Watch wenn man die Registry dann monitoren läßt und Einträge nur via Zustimmung erlaubt.

Diese MRU-Einträge kann man eigentlich bedenkenlos löschen (MRU = most recent unsed - letzte verwendete Programme/Dateien etc.), sie kommen eigentlich nur als Aufzählungen daher (Startmenü, oder unter dem Filemenü in Programmen).

Den genannten Schlüssel habe ich nat. auch gefunden, über diesen Mechanismus wird ein Großteil der Software installiert, nur über diesen Weg findet man u.U. mehr Informationen über beteiligte Dateien (man muß sich dabei manchmal aber auch recht aufwändig durch die Registry durchhangeln - daher auch mein Tip lieber gelöschte Zweige dann auch vorher zu sichern - als komplette Sicherung etwas groß).