Hallo ersteinmal,

gestern bemerkte ich eine zunehmende Verlangsamung meines Rechners, habe dann gleich nen HijackThis Scan gemacht und zwei O4 Objekte gefunden:

1.) rncsys32.exe
2.) <username>.exe

Diese wurden dann umgehend aus dem Startup rausgeworfen. Habe dann heut mit TrendMicro Houscall und Ad Aware gesucht nachdem ich die rcnsys32.exe nicht finden konnte.

Hier wurde dann die Datei <username>.exe gefunden. Enthalten hatte sie laut Log den Trojaner W32 Backdoor.Harebot.

Nun zwei Fragen, womit habe ich es hier zu tun und sind beide Dateien demselben Pferd zuzuordnen?

Habe asserdem gerade mal euren Uploadservice genutzt um meine regsrv und svchost einzusenden, vielleicht könnt Ihr ja mal schauen ob diese kompromittiert ist.

Danke für eure Hilfe schon mal im Voraus!

Ach ja, da dies hier mein Rechner im Büro ist bin ich in der Auswahl der Software recht eingeschränkt. Es liegen hier lediglich HiJ und AdAware sowie unsere Trendmiro Office Solution vor - dann kann ich natürlich noch den Housecall und Symantec Online nutzen.

Gruß,

Plautzi

OK - sorry Dateien hochladen geht auch nicht mehr - unsere Firewall blockt dies....

Zitat:

Ach ja, da dies hier mein Rechner im Büro ist bin ich in der Auswahl der Software recht eingeschränkt. Es liegen hier lediglich HiJ und AdAware sowie unsere Trendmiro Office Solution vor - dann kann ich natürlich noch den Housecall und Symantec Online nutzen.

Wir behandeln hier nur Rechner, die in privaten Gebrauch sind.

Bitte wende Dich mit Deinem Problem an den System-Administrator der Firma.

Danke Dir Larusse,

verstehe dass - und wie immer habe diesen kleinen Teil der Boardregeln mal glatt missachtet.

Leider bin ich im Hause der "Quasi" Admin, der richtige Sys Admin kommt zwei Mal im Monat.

Erwarte ja auch kein Wunder, nur ein Tip wäre toll. Zunächst wäre toll ob der Prozess rncsys32.exe zum <username>.exe gehört - ich konnte rausfinden, dass der vorgenannte Prozess sich vervielfacht - hier war übrigens nix zu finden weder im Temp noch in einem anderen Ordner, auch alle nach Prevx und ProcessRegister bekannten Namenskombinationen oder auch nur eine mit Zahlen benannte exe war zu finden.

Die zweitgenannte Datei enthielt den W32.Backdoor.Harebot - wohl ein Rootkit, aber auch hier waren in der Registry keine nachvollziehbaren "üblichen" Veränderungen.

Darüber hinaus erscheint diese Infektion recht neu, daher wäre es doch sicher von rein "wissenschaftlichem" Interesse und sicher auch hilfreich für Privatanwender, oder?

Würde mich wirklich nur über ein paar basische Infos freuen - vielleicht seht Ihr ja, dass ich genügen Möglichkeiten habe das Problem zu lösen - benötige lediglich ein bissl mehr Hintergrund.

Würdet Ihr mir da vielleicht ein bissi helfen?

eine Hilfe darf ich Dir geben und lege ich auch jeden Privaten User ans Herz bei Backdoor Funden.
Gerade bei Firmen Rechnern würde ich damit nicht "spielen"

Anleitung zum Neu aufsetzten
Hier steht WARUM

Du bist entlassen

Verschenkte Zeit!

Hier findest Du informationen.

Mit arroganz hat das erstens absolut nichts zu tun.
Auch ich habe mich an Regeln zu halten!

Cool, den kannte ich ja noch nicht - werde ich auchmal bei Gelegenheit nutzen!

Bevor ich mich jetzt, wie Du von meinem Frust treiben lasse bitte ich den Mod diesen ganzen Fred zu löschen - ja sogar bitte meinen ganzen Account.

-> mülltonne