ComputerBase Hauptmenü
Aktuelles

Trojaner und keine Ahnung wo der her kommt.

wern001

wern001

Admiral
Registriert
Mai 2017
Beiträge
9.197
Kam eben von Mittag zurück und der bitdevender meldete
1777977595902.png


nach etwas rumstöbern hab ich den ordner "c:\Program Files (x86)\Windows VC\screenconnect.clientservice.exe" gefunden. Der am 29.01.206 erstellt wurde.
unter Dienste dann

1777977689642.png


unter Apps dann
1777977761249.png


Ich weiß jetzt aber nicht woher das kommt.
Und ich hab garantiert dieses Microsoft Visual C++ nicht installiert.

Hat da jemand ein Tip woher das kommen könnte?
 
Zuletzt bearbeitet:
das installiert MS von selbst (via Windows-Updates)

kann einfach ein Fehler im Bitdefender sein

Außerdem steht dort dass eine Internetadresse geblockt wurde! Aufgerufen von einer Datei screenconnect.clientservice.exe

Da würde ich mal ansetzen
 
Das war kein MS Programm!
Ich konnte es deinstallieren und die Details zeigten kein MS installer an. Der herrausgeber war nicht das Microsoft ".net"
 
wern001 schrieb:
Und ich hab garantiert dieses Microsoft Visual C++ nicht installiert.
Zum Vergrößern anklicken....
Eine Programminstallation, die MS VC++ benötigt und es deshalb auch mitinstalliert hat.
 
  • Gefällt mir
Reaktionen: Das MatZe und sikarr
MadDog schrieb:
das installiert MS von selbst (via Windows-Updates)

kann einfach ein Fehler im Bitdefender sein

Außerdem steht dort dass eine Internetadresse geblockt wurde! Aufgerufen von einer Datei screenconnect.clientservice.exe

Da würde ich mal ansetzen
Zum Vergrößern anklicken....

Das hab ich doch schon siehe oben "c:\Program Files (x86)\Windows VC\"
der dienst Visual C++ startete screenconnect.clientservice.exe
 
und es wurde erwähnt dass Visual C++ für einige Programme vorausgesetzt wird und somit automatisch mitinstalliert wird
 
wern001 schrieb:
Das war kein MS Programm!
Zum Vergrößern anklicken....
Natürlich war es das!


Dein Problem ist eher folgendes!

"ConnectWise ScreenConnect (jetzt oft ConnectWise Control) ist eine leistungsfähige Remote-Desktop-Software für Fernsupport und zugriff. Der Client ermöglicht IT Experten, Windows, Mac oder Linux-Rechner sicher zu steuern. Er wird oft für die Wartung oder durch Support-Mitarbeiter eingesetzt. Vorsicht: Die Software wird manchmal von Betrügern missbraucht"
 
  • Gefällt mir
Reaktionen: BFF und MadDog
  • Gefällt mir
Reaktionen: sikarr und nutrix
Mediendesigner schrieb:
??? er schrieb das es nicht von MS ist...
Zum Vergrößern anklicken....
Es muss von MS sein. Im Screenshot sieht man die Herkunft und die ist kryptographisch gesichert und quasi unveränderbar*.

* Es sei denn man hackt MS direkt und klaut deren root-Zertifikat.
 
  • Gefällt mir
Reaktionen: Dr. Chaos
Leute, also bitte. Die Visual C++ Redistributeables installieren doch keinen Visual C++ Dienst. Da sollten doch die Alarmglocken angehen und ich denke darauf will der TE hinaus.
 
  • Gefällt mir
Reaktionen: 0x8100, kartoffelpü, BFF und 3 andere
Krik schrieb:
Es muss von MS sein. Im Screenshot sieht man die Herkunft und die ist kryptographisch gesichert und quasi unveränderbar*.

* Es sei denn man hackt MS direkt und klaut deren root-Zertifikat.
Zum Vergrößern anklicken....

hä? das kann man doch einfach abändern lol, hacken muss man da MS nicht für..
 
Wenn man ein echtes runtime c++ deinstallieren will kommt folgendes her
1777978733625.png


Das obrige war definitiv nicht von MS.
hab leider kein screenshot gemacht.

Das echte welches auch deutlich größer ist.

1777978884267.png
 
nach dem deinstallieren diesem falschen MS C++ war auch der ordner "c:\Program Files (x86)\Windows VC\" und der dienst "Visual C++" weg
 
Mediendesigner schrieb:
hä? das kann man doch einfach abändern lol, hacken muss man da MS nicht für..
Zum Vergrößern anklicken....
Kann man eben nicht. Der Installer ist digital signiert. Ändert man das, dann stimmt die Signatur nicht mehr und Windows meckert dann. Wenn man diese Meldung allerdings einfach wegklickt... tja dann...

Die Signatur kann man nur mit dem richtigen Zertifikat ausstellen, das bei MS irgendwo ein einer gesicherten Umgebung gespeichert ist.
 
  • Gefällt mir
Reaktionen: Dr. Chaos, nutrix und Helge01
wern001 schrieb:
Wenn man ein echtes runtime c++ deinstallieren will kommt folgendes her
Zum Vergrößern anklicken....
Dann ist ja jetzt wieder alles ok, du fühlst dich besser und die Scammer können weiter deinen PC kontrollieren 👍

Ich frag mich auch warum du überhaupt diesen Thread eröffnet hast wenn du doch eh alles besser weißt?
 
  • Gefällt mir
Reaktionen: areiland und MadDog
@Dr. Chaos das screenconnect.clientservice.exe ist inzwischen weg

@nutrix da das ganze anscheinend am 29.01.2026 passiert ist, hab ich keine so alte sicherung mehr.
 
wern001 schrieb:
uch der ordner "c:\Program Files (x86)\Windows VC\" und der dienst "Visual C++" weg
Zum Vergrößern anklicken....

Ja klar. Weil eigentlich hat dort in dem Ordner nix zu suchen was echte Runtimes sind.

Mach das was @CoMo in #14 schreibt.

Das Ding ist nicht von allein auf die Kiste gekommen.
 
  • Gefällt mir
Reaktionen: nutrix und areiland
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Smily
Android: Wo kommt der Trojaner her?
Antworten
9
Aufrufe
1.175
Smily
Smily
H
Infiziert mit Trojaner oder Backdoor - wie finden wie löschen?
Antworten
4
Aufrufe
3.903
/home/tool
/home/tool
ziko5
Viren, Trojaner oder bin ich zu Dumm...
Antworten
11
Aufrufe
1.676
ziko5
ziko5
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz