benötige hilfe, nrcs.exe

hallo, sitze nun schon seit zwei tagen und versuche per tips in den foren die bei mir anscheinen vorhandene nrcs.exe loszuwerden. meiner meinung nach durch meine firewall (zonealarmpro) geblockt und im taskmanager nicht zu sehen, also vielleicht nicht schlimm. nach vielen virenscannern (spybot, adaware, kapersky) geht das ding nicht weg. hoffentlich kann mir einer helfen, danke schon im voraus !!! (ach ja, ich weiß, ist nur service pack 1 drau, muss ich natürlich schnellstens nachholen)

hier mein logfile

http://www.hijackthis.de/logfiles/10a43a8b235482d13add10fe7ddf6456.html

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/viren-tr...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch als Textdatei an den Beitrag angehängt werden.

Gruß
Nevok
----------------------------------------------------------------

 

imho kann nod32 den Schädling entfernen allerdings kommt es vor, dass danach dein System nicht mehr startet weil diese Datei nicht mehr gefunden wird. Weiß aber gard nicht wieso...

 

Hallo

Ist den die Datei nrcs.exe im Verzeichnis C:\WINDOWS\NT\ überhaupt zu finden bzw. existiert das Verzeichnis überhaupt? Falls ja, dann solltest du zunächst mal den Dienst beenden, der sich hinter der Datei verbirgt, dann kann man sie auch löschen.

Zudem solltest du die folgenden Einträge löschen (fixen):

• F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\NT\nrcs.exe
• F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\NT\nrcs .exe
• O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINDOWS\NT\nrcs.exe

Gruß
Nevok

 

hi, danke für die antwort,
also, das verzeichnis existiert und dort befindet sich auch diese nrcs.exe, welchen dienst die startet weiss ich leider nicht, wie kann ich das herausfinden ( beim hochfahren kommt ne fehlermeldung, dass nrcs.exe nicht gestartet werden kann, in der firewall (zonealarm) taucht das ding wie gesagt auf, glaube aber, dass der prozess nicht läuft (auch im task manager ist er nicht).

habe das ding aber bei virus total und jotti checken lassen, währen es bei virus total nischt gibt, klingelt es bei jotti im kasten (siehe protokoll im anhang ),
was kann ich nun tun ???
(könnte natürlich über power quest das ursprungsimage wiederherstellen, ist aber letzte option )

vielen dank für eine antwort !
felixdacat

 

Das mit dem Image wiederherstellen ist gar keine so schlechte Idee, da der Trojaner einige Reg-Einträge geändert bzw. gelöscht hat. Anschließend gleich das SP2 aufspielen, die Windows-Firewall aktivieren und die restlichen Updates installieren.

 

so, habe versucht mit power quest das ausgangsimage herzustellen, beim hochfahren meldet er nun fehler5 vfloppy nicht gefunden bzw. fehler 8 fake floppy nicht gefunden, sieht also schlecht aus mit dem image. was kann ich denn noch tun ? habe jetzt die exe aus dem nt ordner gelöscht, weiß aber natürlich nicht, was so im hintergrund läuft.
bin mittlerweile richtig genervt, da ich den pc unbedingt brauche ( läuft ja alles sauber, weiß halt blos nicht, ob ich safe bin),
please help me !!! danke
felixdacat

 

Hast du die Einträge, die ich dir genannt hatte, gefixt? Wenn ja, dann poste bitte nochmal ein HijackThis-Log gemäß dieser Anleitung:

http://www.pcwelt.de/forum/viren-tr...bedingt-lesen-posten-von-hijackthis-logs.html

Gruß
Nevok

 

hallo nevok,
dnake für die mühe !
also, habe nun zum xtne male mit hicjack ein scan und ein fix gemacht, der eine sevice ( O23 - Service: Windows Vista/NT Runtime Compatibility Service (ntrcs) - Unknown owner - C:\WINDOWS\NT\nrcs.exe (file missing)) kommt immer wieder (siehe logfile http://www.hijackthis.de/logfiles/f53f0c1914e2a4b0698a17500b819f3c.html)

habe aber die exe aus dem verzeichnis gelöscht. jetzt sehe ich bei zonealarm nicht mehr, dass die exe beim hochfahren geladen wurde (obwohl beim hochfahren eine fehlermeldung kommt, die sagt, dass die nrcs.exe nicht geladen werden konnte). noch ne kurze frage :
brint es was, wenn ich jetzt schon service pack 2 und die patches raufspiele, bevor ich das mit der exe geklärt habe ?
vielen dank !
felixdacat

 

Vermutlich hast du noch einen Eintrag im Autostart. Gib unter Ausführen Regedit ein. Suche "ntrcs". Wenn du den Eintrag unter Run oder Run once findest, kannst du ihn ohne Probleme löschen. Gruss Jpw

 

Hallo,
nur mal so am Rande, man kann keine O23 Einträge mit HijackThis fixen. Und die Run/Runonce Einträge werden alle bei HijackThis angezeigt.
Aber mehr werde ich bei der Beseitigung eines Backdoors nicht helfen, aus Prinzip empfehle ich da eine Neuinstallation.


Grüße Jasager

 

hi,
sorry, bin da auch nicht so schick drin, also, woher weiß ich denn, dass es sich um ein backdoor handelt, bisher läuft mein pc ja noch rund...
es handelt sich aber um eine nrcs.exe, nicht ntrcs.exe, in der registry findet sich diese exe unter hkey_local_machine\system\controlset001\services\ntrcs,
name : image path
typ : reg_expand_sz
wert : C:\windows\nt\nrcs.exe

 

Hallo,
dein Wurm ist noch sehr neu, deswegen sind die Informationen eher spährlich gesät. Eine englische Beschreibung gibt es hier.
Demnach wird dein Wurm erst mal von dem neusten Wurm nachgeladen. Dieser nutzt die vor 10 Tagen geschloßene Sicherheitslücke MS06-040, weiteres hier.
Deswegen rate ich zu einer Neuinstallation.



Grüße Jasager

 

hi, so, bevor ich mich an die neuinstallation mache noch bitte eine frage : habe mir dir von dir feundlicherweise geposteten links zu meinem wurm angeschschaut und die registry einträge überprüft, in den meisten fällen entspricht meine registry NICHT den dort geschilderten beispielen, d.h., es sieht eigentlich nicht schlecht aus. die exe startet mittlerweile auch beim hochfahren nicht mehr.
könnte es sein, dass sich das ding doch nicht auf meinem pc entwickelt hat oder bin ich da blauäugig und merke blos nicht, was so im hintergrund läuft ???
vielen dank nochmals
felixdacat