Trojaner und keine Ahnung wo der her kommt.

[Dr. Chaos]

@Dr. Chaos das screenconnect.clientservice.exe ist inzwischen weg.

Hast du mal gegoogelt was du dir da überhaupt eingefangen hast?

"Die Domain edgeserv[.]ru wurde in Sicherheitsberichten als Infrastruktur identifiziert, die im Zusammenhang mit Schadsoftware (Malware) steht.Hier sind die wichtigsten Punkte:Verbindung zu Malware: Laut MalwareHunterTeam auf X (ehemals Twitter) wird die Domain als Command-and-Control (C2) Server genutzt. Das bedeutet, sie dient dazu, infizierte Rechner fernzusteuern im Zusammenhang mit ScreenConnect: In den Berichten wurde beobachtet, dass ScreenConnect-Instanzen fälschlicherweise als "VC_redist.x64.msi" getarnt wurden und eine Verbindung zu edgeserv[.]ru hergestellt haben. Es ist dringend davon abzuraten, diese Domain zu besuchen oder Verbindungen dorthin zuzulassen."

da das ganze anscheinend am 29.01.2026 passiert ist, hab ich keine so alte sicherung mehr.

Daher solltest du dringend dein Windows neu aufsetzten!
Niemand weiß was die Hacker bzw Scammer in den letzten Monaten mit deinem PC gemacht haben und ob nicht noch andere Tools installiert wurden.

Außerdem ändere alle deine Passwörter!

 

[Krik]

Daher solltest du dringend dein Windows neu aufsetzten!

Und das Backup nicht einfach blind einspielen! Das könnte immer noch verseucht sein.

 

[wern001]

Das läuft noch

 

[MadDog]

hehe, aber verseucht. Oft bekommst du das doch gar nicht mit was da im Hintergrund so abgegriffen wird

 

[areiland]

??? er schrieb das es nicht von MS ist...

Und ich hab erklärt wie MS VC++ Redistributables auch ohne Zutun des Nutzers auf den Rechner kommen. Genau das dürfte auch hier der Fall gewesen sein, dass eine andere Installation vorgeblich MS VC++ installiert hat, aber eben nur eine als MS VC++ getarnte Schadsoftware.

Hätte sein Virenscanner erkennen und blockieren müssen, denn diese Schadsoftware ist seit mindestens 2024 bekannt.

 

[CoMo]

Willst du jetzt noch eine Analyse oder hat sich das erledigt?

 

[nutrix]

@nutrix da das ganze anscheinend am 29.01.2026 passiert ist, hab ich keine so alte sicherung mehr.

Warum schlägt dann Dein Virenscanner jetzt erst an?

 

[MadDog]

Das läuft noch

@CoMo

 

[Hypothek]

Unter Windows 10 hat diese "App" auch eine völlig andere Größe.
Ich glaube kaum, dass es unter Windows 11 viel kleiner ist.

Mein Windows 10 hat diese Apps auch von alleine installiert.
Bis auf PowerToys, habe ich ansonsten keine Microsoft Software manuell installiert.

(Mein Windows 10 System wird nur für Spiele, Social Media und Streaming genutzt und ab Oktober vielleicht auf Linux gewechselt.)

 

[BenJinBre]

ScreenConnect.ClientService.exe ist eine legitime Systemkomponente der Remote-Access-Software ConnectWise Control (früher ScreenConnect) von ConnectWise, LLC. Die Datei führt den Hintergrunddienst aus, der es autorisierten IT-Administratoren oder Supportteams ermöglicht, ferngesteuert auf Computer zuzugreifen, diese zu verwalten oder Support-Sitzungen durchzuführen.

 

[wern001]

windows neu installieren ist so eine sache. 20 minuten Windows installieren 5-6 Stunden für den rest


ich brauch eine weile um das durchzufosten

 

[thealex]

@wern001 sch.. mal auf 5 Stunden. Nach einem (mehr oder weniger) bestätigten Incident setzt man doch bitte den Rechner blank neu auf, ohne Backup. Was gibt dir denn jetzt die Sicherheit, dass alles weg ist? Der BitDefender, der vorher auch zu spät angeschlagen hat?

 

[kartoffelpü]

Warum schlägt dann Dein Virenscanner jetzt erst an?

Ich würde vermuten, dass ein (zeitlicher) Trigger jetzt erst dafür gesorgt hat, dass sich die infizierten Clients ans Botnetz gemeldet haben.
Wieso die installierten Sachen nicht vorher entdeckt wurden, kann ja nicht mehr nachvollzogen werden, da bereits deinstalliert...

windows neu installieren ist so eine sache.

Ein einmal befallenes System 100% zu bereinigen ebenfalls
Also ICH würde auch definitiv neu installieren.

 

[SonyXP]

Mal als Randnotiz - ich habe auch noch nie gesehen, dass eine Runtime (egal welche) als Dienst eingerichtet wird. Oder ist mir bei Visual C was entgangen? Das wäre für mich schon Grund zur Skepsis gewesen.

 

[kartoffelpü]

@SonyXP und das wäre dir wie aufgefallen, außer durch Zufall? Oder kontrollierst du permanent, welche Dienste installiert sind?

 

[CoMo]

Warum gibt es so viele Benutzerkonten auf dem PC? Und was ist HealthMailbox? Läuft da Exchange oder sowas?

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Beschränkung <==== ACHTUNG

Hast du manuell irgendwelche Einschränkungen für Windows Update vorgenommen? Ist das System auf dem aktuellsten Stand?

Task: {D52DDBE3-C4E0-4938-AB6B-1CC9A1952568} - System32\Tasks\Romex Software - Trial Reset => C:\Program Files\Primo Ramdisk\RomexSTR.exe [2135616 2021-11-13] (Romex Software) [Datei ist nicht signiert]

Das hast du gekauft?

ProxyEnable: [S-1-5-21-2809704029-2924386810-4139539879-18102] => Proxy ist aktiviert.
ProxyServer: [S-1-5-21-2809704029-2924386810-4139539879-18102] => 192.168.0.4:8080

FF NetworkProxy: Mozilla\Firefox\Profiles\ndfrl2zm.default-release -> backup.ftp", "192.168.0.4"

Warum ist da ein Proxy konfiguriert? Was ist 192.168.0.4:8080?

FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\bd_js_config.js [2025-02-25] <==== ACHTUNG (Zeigt auf eine *.cfg Datei)
FF ExtraCheck: C:\Program Files\mozilla firefox\bd_config.cfg [2025-02-25] <==== ACHTUNG

Was ist das? Bitdefender?

CHR Profile: C:\Users\*******\AppData\Local\Google\Chrome\User Data\Default [2026-05-05]
CHR StartupUrls: Default -> "hxxps://global.bittrex.com/Market/Index?MarketName=USD-BTC","hxxps://global.bittrex.com/Market/Index?MarketName=BTC-BSV","hxxps://global.bittrex.com/Market/Index?MarketName=BTC-dgb","hxxps://global.bittrex.com/home","hxxps://poloniex.com/exchange#btc_dash","hxxp://preev.com/btc/eur"
CHR Session Restore: Default -> ist aktiviert.

Warum hast du so eine seltsame Startpage im Chrome? Das sieht nicht sauber aus.

2025-03-21 20:14 - 2025-12-14 18:06 - 000012288 _____ () C:\Users\*******\AppData\Roaming\emp.bin

Was ist das? gehört das zu irgendeinem Game-Crack (EMPRESS)?

PrimoCache 4.2.0 (HKLM\...\{7A37EA43-BF6F-4DB7-83DB-97AA19BF9408}_is1) (Version: 4.2.0 - Romex Software)

Bitte nicht immer jede Zaubersoftware installieren, die irgendwelche Dinge verspricht.

DHCP- und DNS-Server ist 192.168.0.242. Ist das wirklich die IP-Adresse deines Routers?

 

[ABC]

Trojaner?
Waren es nicht die Griechen die sich in einem hölzernen Pferd vor den Toren Trojas versteckt haben?
Müßte das nicht richtigerweise Griechen heißen?

Irgendwie bin ich ziemlich verwirrt mit den Bezeichnungen.

Früher habe ich das System (Windows) neu eingerichtet, wenn ich einen Verdacht hatte. Heute läßt mich das kalt. Ich nutze ein anderes OS. Bisher läuft alles rund.

 

[CoMo]

Task: {D52DDBE3-C4E0-4938-AB6B-1CC9A1952568} - System32\Tasks\Romex Software - Trial Reset => C:\Program Files\Primo Ramdisk\RomexSTR.exe [2135616 2021-11-13] (Romex Software) [Datei ist nicht signiert]

Ist das irgendeine Art von Crack, der den Trial Status der Software zurücksetzt? Woher beziehst du das? Via Torrent? Darauf deutet der User-Account torrent hin?

 

[whats4]

LOL, romex..
spielt da wer mit primocache?

nun, versteh ich. tat ich auch.

 

[MadDog]

Task: {D52DDBE3-C4E0-4938-AB6B-1CC9A1952568} - System32\Tasks\Romex Software - Trial Reset => C:\Program Files\Primo Ramdisk\RomexSTR.exe [2135616 2021-11-13] (Romex Software) [Datei ist nicht signiert]

Ist das irgendeine Art von Crack, der den Trial Status der Software zurücksetzt? Woher beziehst du das? Via Torrent? Darauf deutet der User-Account torrent hin?

witzig, beim Durchsehen der TXT Datei ist mir auch gleich der Torrent Eintrag aufgefallen....