DameWare Mini Remote Control Server

Hallo,

Wir haben ein Geschäft mit einem Netzwerk (ein Server Windows 2000 + 5 PCs). Da wir ein Programm von einer anderen Firma drauf haben, haben sie bei und auch noch gerade einen Trojaner zur Fernwartung installiert. Dabei handelt es sich um DameWare Mini Remote Control Server Version 4.2.0.3. Dieser Trojaner startet immer beim Systemstart und ist in der Taskleiste aktiv.

Nun meine Fragen:

1. Stimmt es, dass sich die Startdatei dieses Trojaners in C:\WINNT\system32\DWRCS.exe befindet?

Wo befindet sich der Ordner bzw. die Programmdateien dieses Trojaners?

2. Wie kann ich den Trojaner beenden? Wenn ich rechtsklick auf den Taskleisten Eintrag mache, poppt ein Menü auf, aber der Exit Button kann man dort nicht anwählen.

3. Kann man es irgendwie so einrichten, dass man ein Icon auf dem Desktop macht und jedesmal, wenn man auf das Icon klickt, wird der Trojaner beendet? So könnte ich ihn aus dem Autostart entfernen und manuell über ein Icon auf dem Desktop starten und eben wieder beenden (Ich kann ja eine Verknüpfung mit der DWRCS.exe auf dem Desktop machen, aber eben das Beenden Icon habe ich noch nicht). So habe ich die Gewähr, dass die Firma nicht jeder Zeits ins System kommen kann.

4. Gibt es irgendwo noch eine deutsche Anleitung für die Version 4.2.0.3? Auf www.dameware.de habe ich nur eine Anleitung für die neuste Version gefunden.

Hallo

bei der Mini Remote Control handelt es sich um keinen Trojaner.

Eine Anleitung zur Deinstallation findet sich unter http://www.wintotal-forum.de/index.php/topic,39646.0.html

Ja, das ist die Startdatei, und das ist nur ein Programm zur Fernwartung. Dameware als Trojaner zu bezeichnen ist schon ein starkes Stück! ;D

Ok, dann ist es halt kein Trojaner.

Ich möchte das Programm aber nicht deinstallieren, da diese Firma ja noch Fernwartungen durchführen muss.

Mit beenden meine ich, dass ich den Prozess bzw. eben das Programm beenden möchte (es wird ja automatisch beim Systemstart gestartet).

Bitte noch die Fragen beantworten. Danke.

Du brauchst nur den Damewaredienst auf Manuell zu stellen, dann lädt er sich nicht beim Start und der Support kann sich weiterhin damit verbinden.

Aber jetzt kann sicher der Support immer verbinden wann er will (also theoretisch auch ohne unsere Kenntnis). Das will ich eben nicht....

Dann ändere in der dwrcs.ini unter Permission required yes aus. Dann kann er sich nur verbinden wenn du auf Accept klickst.

Vielen Dank, aber ich habs jetzt anderst gelöst.

Ich habe auf dem Desktop zwei Symbole: Start Wartung und Ende Wartung. Beim Systemstart startet das Programm nicht (habs aus dem Autostart genommen). Wenn nun die Firma eine Wartung machen möchte, dann klickt man auf Start Wartung und das Programm wird gestartet (Verknüpfung mit DWRCS.exe). Dann kann sicher die Firma verbinden. Wenn man nun die Wartung abbrechen will oder die Firam fertig ist, dann klickt man auf Ende Wartung und das Programm wird geschlossen (Prozess gekillt). Das ist doch auch ok oder? Und bietet mir eine noch höhere Sicherheit, dass die Firma nicht rein kommt.....

Wenn die Firma lokale Adminrechte besitzt kann sie sich jederzeit verbinden. Wenn nicht ist das ne gute Lösung.

Wie meinst du lokale Adminrechte?

Aber wenn das Programm nicht mehr im Hintergrund läuft, dann kann sich die Firma ja auch nicht mehr verbinden, oder?

Doch, natürlich, das ist ja der Vorteil von Dameware. Ein Administrator kann sich jederzeit (vorausgesetzt er hat lokale Administrationsrechte, also er ist in der lokalen Gruppe der Administratoren) mit dem PC verbinden und den Dienst installieren und starten lassen.

Im Gegensatz zu PC-Anywhere oder VNC wo ich einen Client installieren und jedesmal aktivieren muss.

Also, wenn Dameware überhaupt nicht installiert wäre, dann würde er auch mit Administrationsrechten nicht rein kommen?

Wie sehe ich ob die Firam Administrationsrechte hat?

Dameware installiert sich selbst wenn sich die Firma mit dem PC verbindet.

Wie du sehen kannst ob sie Adminrechte haben ist ganz einfach, frag sie danach ob sie ein lokales Administrationspasswort haben um sich zu verbinden, oder sieh in der Benutzerverwaltung nach ob sie ein Konto mit ihrem Namen eingetragen haben.

Um völlig sicher zu gehen kannst du vorerst mal alle Kennwörter ändern.

Ok, mache ich gleich mal. Falls sie Administratorenrechte hätte, was könnte ich dann noch machen?

Und es gibt ja ne Option, dass man immer auf accept klicken muss, wenn sich die Firma verbinden will. Wie geschieht das genau? Poppt da so ein Fenster auf oder wie?

Ja, da kommt unten links neben der Uhr ein Fenster. Am Besten in deinem Fall wäre es das du ihnen ein Konto mit Adminrechten erstelltst und es deaktivierst. Sobald sich die Leute draufschalten wollen aktivierst du es wieder und wenn sie sich wieder trennen wieder deaktivieren.

Das Fenster für Accept kommt wenn es in der dwrcs.ini im System32 Verzeichnis aktiviert wird, diese Datei würd ich auch schreibschützen, damit die beim Installieren von Dameware nicht überschrieben wird.

Dann werd ich das mal machen. was muss ich denn in der .ini aendern?

Permission Required auf Yes stellen.

Vielen Dank. Hat alles super geklappt.