DWRCS.exe60

N

nod1lol

0
Hi an alle,

kennt jemand von euch den Prozess DWRCS.exe60 (DameWare) ?
Mein VS hat diese Datei gefunden und als Remote-Zugriff analysiert, allerdings ist er nicht in der Lage sie zu löschen. Der Pfad ist unbekannt bzw zeigt er mir meine Mini HD an C:\MiniHD\Tools\DameWare\DNTUW368.MSI
Wie kann das sein, wenn meine MiniHD nicht an der USB Buchse hängt?
Zudem habe ich DameWare nicht einmal auf diesem Terminal installiert.
Wie kann ich diesen Prozess effektiv löschen bzw. was verbirgt sich dahinter, könnte es ein Trojaner sein?

OS: WinXP V5.1
VS: Norton Anti Virus Security 2004


MFG Nodi
 
ich würde die datei mal über den registrierungseditor suchen und dann wenn ich mir sicher währe würde ich die eintragungen löschen.
 
also, DWRCS.exe ist ein server-prozess, zu dem dazugehörigen DameWare-client gehört (ich weiß aber nicht was die 60 bedeuten soll).
Diese Programm wird normalerweise zur remotesteuerung von anderen rechnern benutzt, und wie jedes remote-tool, kann man auch dieses als trojaner verwenden. dein virenscanner hat also recht gehabt. soweit ich weiß, benötigt man bei dem tool jedoch noch einen administrator-passwort um den server überhaupt zu installieren (gibt bestimmt auch einen weg, dass ohne hinzubekommen, ist dann aber wohl wesentlich aufwendiger). also würde ich dir erst einmal empfehlen, deine passwörter zu ändern, den sonst ist das program wieder ganz schnell auf deinem rechner.
du kannst auch überprüfen, ob jemand gerade mit deinem computer verbunden ist (wie, kann man glaub ich hier im board nachlesen), um festzustellen wer der übeltäter ist (vielleicht jamand aus deiner icq-contactlist).
du kannst den prozess wohl am sichersten löschen, indem du dir mal kurz dameware nt utilities drauf machst und dann den server entfernst (man muss ein bissel suchen und ausprobiern, dürfte aber eigentlich kein problem sein). ich würde dir auch anbieten, den server von meinem rechner aus zu entfernen, aber dann bräuchte ich dein admin-passwort und würde, wie gesagt, auf deinen rechner voll zugreifen können. da du mir wohl nicht soweit vertraust (würde ich auch nicht machen), fällt diese lösung flach. du kannst auch den prozess einfach deaktivieren, dann kann er eigentlich keinen schaden mehr anrichten.
auf alle fälle, PASSWORT ÄNDERN NICHT VERGESSEN !!!

mehr infos bekommst du auf http://www.dameware.com/
da gibt's einen test-download mit dem du den server wieder entfernen kannst. es ist auch immer gut sich mit solchen tools ein bissel zu beschäftigen, kenne deinen feind ;)

so, genug geschrieben, für meinen 1. beitrag. ;) wenn du noch fragen hast melde dich einfach nochmal.

mfg,
pacman
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben