Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: RNCSys32.exe + <username>.exe

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 29.07.2009, 14:34   #1
Plauzi
Gast
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



Hallo ersteinmal,

gestern bemerkte ich eine zunehmende Verlangsamung meines Rechners, habe dann gleich nen HijackThis Scan gemacht und zwei O4 Objekte gefunden:

1.) rncsys32.exe
2.) <username>.exe

Diese wurden dann umgehend aus dem Startup rausgeworfen. Habe dann heut mit TrendMicro Houscall und Ad Aware gesucht nachdem ich die rcnsys32.exe nicht finden konnte.

Hier wurde dann die Datei <username>.exe gefunden. Enthalten hatte sie laut Log den Trojaner W32 Backdoor.Harebot.

Nun zwei Fragen, womit habe ich es hier zu tun und sind beide Dateien demselben Pferd zuzuordnen?

Habe asserdem gerade mal euren Uploadservice genutzt um meine regsrv und svchost einzusenden, vielleicht könnt Ihr ja mal schauen ob diese kompromittiert ist.

Danke für eure Hilfe schon mal im Voraus!

Ach ja, da dies hier mein Rechner im Büro ist bin ich in der Auswahl der Software recht eingeschränkt. Es liegen hier lediglich HiJ und AdAware sowie unsere Trendmiro Office Solution vor - dann kann ich natürlich noch den Housecall und Symantec Online nutzen.

Gruß,

Plautzi

Alt 29.07.2009, 14:36   #2
Plauzi
Gast
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



OK - sorry Dateien hochladen geht auch nicht mehr - unsere Firewall blockt dies....
__________________


Alt 29.07.2009, 20:08   #3
Larusso
/// Selecta Jahrusso
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe





Zitat:
Ach ja, da dies hier mein Rechner im Büro ist bin ich in der Auswahl der Software recht eingeschränkt. Es liegen hier lediglich HiJ und AdAware sowie unsere Trendmiro Office Solution vor - dann kann ich natürlich noch den Housecall und Symantec Online nutzen.
Wir behandeln hier nur Rechner, die in privaten Gebrauch sind.

Bitte wende Dich mit Deinem Problem an den System-Administrator der Firma.
__________________
__________________

Alt 29.07.2009, 20:46   #4
Plauzi
Gast
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



Danke Dir Larusse,

verstehe dass - und wie immer habe diesen kleinen Teil der Boardregeln mal glatt missachtet.

Leider bin ich im Hause der "Quasi" Admin, der richtige Sys Admin kommt zwei Mal im Monat.

Erwarte ja auch kein Wunder, nur ein Tip wäre toll. Zunächst wäre toll ob der Prozess rncsys32.exe zum <username>.exe gehört - ich konnte rausfinden, dass der vorgenannte Prozess sich vervielfacht - hier war übrigens nix zu finden weder im Temp noch in einem anderen Ordner, auch alle nach Prevx und ProcessRegister bekannten Namenskombinationen oder auch nur eine mit Zahlen benannte exe war zu finden.

Die zweitgenannte Datei enthielt den W32.Backdoor.Harebot - wohl ein Rootkit, aber auch hier waren in der Registry keine nachvollziehbaren "üblichen" Veränderungen.

Darüber hinaus erscheint diese Infektion recht neu, daher wäre es doch sicher von rein "wissenschaftlichem" Interesse und sicher auch hilfreich für Privatanwender, oder?

Würde mich wirklich nur über ein paar basische Infos freuen - vielleicht seht Ihr ja, dass ich genügen Möglichkeiten habe das Problem zu lösen - benötige lediglich ein bissl mehr Hintergrund.

Würdet Ihr mir da vielleicht ein bissi helfen?

Alt 29.07.2009, 20:49   #5
Larusso
/// Selecta Jahrusso
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



eine Hilfe darf ich Dir geben und lege ich auch jeden Privaten User ans Herz bei Backdoor Funden.
Gerade bei Firmen Rechnern würde ich damit nicht "spielen"

Anleitung zum Neu aufsetzten
Hier steht WARUM

Du bist entlassen

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 29.07.2009, 21:27   #6
Plauzi
Gast
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



Verschenkte Zeit!

Geändert von Plauzi (29.07.2009 um 22:00 Uhr)

Alt 29.07.2009, 21:43   #7
Larusso
/// Selecta Jahrusso
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



Hier findest Du informationen.

Mit arroganz hat das erstens absolut nichts zu tun.
Auch ich habe mich an Regeln zu halten!
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 29.07.2009, 22:02   #8
Plauzi
Gast
 
RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



Cool, den kannte ich ja noch nicht - werde ich auchmal bei Gelegenheit nutzen!

Bevor ich mich jetzt, wie Du von meinem Frust treiben lasse bitte ich den Mod diesen ganzen Fred zu löschen - ja sogar bitte meinen ganzen Account.

Alt 29.07.2009, 22:21   #9
Da GuRu
Administrator
/// technical service
 

RNCSys32.exe + <username>.exe - Standard

RNCSys32.exe + <username>.exe



-> mülltonne

 

Themen zu RNCSys32.exe + <username>.exe
ad aware, adaware, aware, datei, dateien, euren, frage, fragen, gesucht, hijack, hijackthis, log, natürlich, office, online, pferd, rechners, recht, scan, software, solution, startup, svchost, symantec, trojaner, w32




Zum Thema RNCSys32.exe + <username>.exe - Hallo ersteinmal, gestern bemerkte ich eine zunehmende Verlangsamung meines Rechners, habe dann gleich nen HijackThis Scan gemacht und zwei O4 Objekte gefunden: 1.) rncsys32.exe 2.) <username>.exe Diese wurden dann umgehend - RNCSys32.exe + <username>.exe...
Archiv
Du betrachtest: RNCSys32.exe + <username>.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.