Persistance - Kopie
- Ersteller Seba1973
- Erstellt am
OctoCore
Lötkolbengott/-göttin
Sieht bis jetzt wohl so aus. Ich habe noch nie etwas davon gehört. Das will ja nicht unbedingt viel heißen - aber Google anscheinend auch nicht, das ist schon interessanter.
Was sind das denn für Dinger - Dateien? Wo liegen sie überhaupt? Inrgendwo? In irgendeinem Windows-Verzeichnis? Sonstwo? Wie groß? Was steht drin? Mit einem Hex-Editor wie HxD kann man sich die Inhalte ja ansehen.
Was sind das denn für Dinger - Dateien? Wo liegen sie überhaupt? Inrgendwo? In irgendeinem Windows-Verzeichnis? Sonstwo? Wie groß? Was steht drin? Mit einem Hex-Editor wie HxD kann man sich die Inhalte ja ansehen.
OctoCore
Lötkolbengott/-göttin
Secure-Soft Bot - interessant! Google weiß da auch nichts drüber... grrrrr.
Na - dieser Bot erstellt diese Dateien... Der Gedanke liegt zumindest nahe.
Jetzt musst du nur noch herausfinden, wo sich dieses Programm startet und ob es nicht irgendeine Schadsoftware ist, die sich nur als Security-Software tarnt.
Auf jeden Fall solltest du die diversen Autostart-Orte mal abchecken, ob da irgendeine Software startet, von der du weisst, das sie auf deinem System eigentlich nichts zu suchen hat (am besten mit einem Tool wie "Autoruns". Aber vorher kannst du schon die laufenden Prozesse mit dem Taskmanager oder dem "Processexplorer" mal ansehen, ob da sichtbare dubiose Prozesse oder Dienste laufen. Voraussetzung bei sowas ist natürlich, das du so ungefähr weisst, welche Sachen auf deinem System was zu suchen haben und welche nicht. Sonst läßt es sich schlecht eingrenzen.
Na - dieser Bot erstellt diese Dateien... Der Gedanke liegt zumindest nahe.
Jetzt musst du nur noch herausfinden, wo sich dieses Programm startet und ob es nicht irgendeine Schadsoftware ist, die sich nur als Security-Software tarnt.
Auf jeden Fall solltest du die diversen Autostart-Orte mal abchecken, ob da irgendeine Software startet, von der du weisst, das sie auf deinem System eigentlich nichts zu suchen hat (am besten mit einem Tool wie "Autoruns". Aber vorher kannst du schon die laufenden Prozesse mit dem Taskmanager oder dem "Processexplorer" mal ansehen, ob da sichtbare dubiose Prozesse oder Dienste laufen. Voraussetzung bei sowas ist natürlich, das du so ungefähr weisst, welche Sachen auf deinem System was zu suchen haben und welche nicht. Sonst läßt es sich schlecht eingrenzen.
Hideout
Software-Overclocker(in)
Also wenn ich im Internet so nach diesem "Persistance" findet man viel was auf Virenbefall bzw. einen Trojaner hinweist.
z.B.
Also das Verhalten deutet ja auch schon auf eine Schadsoftware hin, was für ein Virenschutz benutzt du denn? Sehe da nix in den AutoStart einträgen.
Dieses "Server.exe" habe ich auch schonmal gesehen, hatte bei mir auch mal was mit einem Virenbefall / Trojaner zu tun.
Und das es das gleiche Verzeichnis hat wie dieses Persistence.exe...
Würde mich evtl. schon mal darauf einstellen das du dein System neu installieren musst.
z.B.
(Quelle:Wie werde ich einen persistence Trojaner los? - Trojaner-Board)
Also das Verhalten deutet ja auch schon auf eine Schadsoftware hin, was für ein Virenschutz benutzt du denn? Sehe da nix in den AutoStart einträgen.
Dieses "Server.exe" habe ich auch schonmal gesehen, hatte bei mir auch mal was mit einem Virenbefall / Trojaner zu tun.
Und das es das gleiche Verzeichnis hat wie dieses Persistence.exe...
Würde mich evtl. schon mal darauf einstellen das du dein System neu installieren musst.
OctoCore
Lötkolbengott/-göttin
Also die unteren drei sind ja aussichtsreiche Kandidaten, behaupte ich mal leichtsinnig. Vor allem Persistance.exe 
Auch wenn die winupdate.exe nicht auffindbar ist, so würde ich trotzdem nachsehen, ob das Verzeichnis noch existiert und noch mehr Zeugs enthält.
Nimm also die Haken raus (damit sind die Pogramme erstmal inaktiv) und behalte die Sache im Auge. Schau ab und zu mal mit Autoruns wieder dort vorbei, ob sie nicht wieder aktiviert worden sind.
Und schau in der Systemsteuerung bei den installierten Programmen, ob da was mit Persistance oder Secure-Bot installiert ist. Falls ja, wäre es fein - dann kannst du die Störer schlicht deinstallieren.
Ob das System neu installiert werden muss... erstmal abwarten. Wenn es Schaden gibt, dann ist er wahrscheinlich sowieso schon angerichtet - da kann man sich blinden Aktionismus jetzt auch erst mal schenken.
Ähnlich wie Hideout habe ich Server.exe auch schon mal gesehen - zum Glück nicht bei mir.
Nachtrag:
Was man natürlich nicht sehen kann in dem Screenshot: Ob in den Diensten (Verwaltung/Dienste) noch ein dazugehöriger Dienst mitläuft, der z.B. die Einträge wieder herstellen kann, wenn man sie ausgeschaltet hat.
Auch wenn die winupdate.exe nicht auffindbar ist, so würde ich trotzdem nachsehen, ob das Verzeichnis noch existiert und noch mehr Zeugs enthält.
Nimm also die Haken raus (damit sind die Pogramme erstmal inaktiv) und behalte die Sache im Auge. Schau ab und zu mal mit Autoruns wieder dort vorbei, ob sie nicht wieder aktiviert worden sind.
Und schau in der Systemsteuerung bei den installierten Programmen, ob da was mit Persistance oder Secure-Bot installiert ist. Falls ja, wäre es fein - dann kannst du die Störer schlicht deinstallieren.
Ob das System neu installiert werden muss... erstmal abwarten. Wenn es Schaden gibt, dann ist er wahrscheinlich sowieso schon angerichtet - da kann man sich blinden Aktionismus jetzt auch erst mal schenken.
Ähnlich wie Hideout habe ich Server.exe auch schon mal gesehen - zum Glück nicht bei mir.
Nachtrag:
Was man natürlich nicht sehen kann in dem Screenshot: Ob in den Diensten (Verwaltung/Dienste) noch ein dazugehöriger Dienst mitläuft, der z.B. die Einträge wieder herstellen kann, wenn man sie ausgeschaltet hat.
Zuletzt bearbeitet:
Hideout
Software-Overclocker(in)
Naja habe es nur geschrieben weil es sich ja anscheinend um einen "Trojaner den man nicht löschen kann" handelt, außerdem bringt es leider nichts den im AutoStart zu deaktivieren, löschen oder blockieren. Deinstallieren lässt der sich auch nicht so einfach.
Meist haben die einen versteckten BootLoader, da kann dann auch ein AntiViren Programm nicht mehr viel tun. Alles schon gesehen
Wie schon gesagt, hatte auch mal sowas nettes und hab mich mit der Thematik auseinander gesetzt. Oft wird in den entsprechenden Foren (bei so einem Fall) empfohlen das System neu auf zu setzen da ein entfernen enorme Arbeit (ohne Garantie auf Erfolg) nach sich zieht.
Hab ja nur gemeint er soll sich schonmal darauf einrichten (wichtige Dateien sichern etc.), nicht er soll jetzt alles runterhauen und zusehen.
Vielleicht lässt sich das Problem ja recht einfach lösen. Aber Backups sind nie verkehrt
Meist haben die einen versteckten BootLoader, da kann dann auch ein AntiViren Programm nicht mehr viel tun. Alles schon gesehen
Wie schon gesagt, hatte auch mal sowas nettes und hab mich mit der Thematik auseinander gesetzt. Oft wird in den entsprechenden Foren (bei so einem Fall) empfohlen das System neu auf zu setzen da ein entfernen enorme Arbeit (ohne Garantie auf Erfolg) nach sich zieht.
Hab ja nur gemeint er soll sich schonmal darauf einrichten (wichtige Dateien sichern etc.), nicht er soll jetzt alles runterhauen und zusehen.
Vielleicht lässt sich das Problem ja recht einfach lösen. Aber Backups sind nie verkehrt
OctoCore
Lötkolbengott/-göttin
Du hast natürlich recht. Aber warum nicht erstmal die einfachen Sachen versuchen?
Wenn ich das Problem hätte, würde ich schlicht entweder eine meiner anderen Windows-Versionen oder von einer meiner PE-CD/DVDs starten (sicherer) und den Nerver entfernen. Davor kann er sich nicht verstecken.
Aber ein ausgefuchstes Rootkit kann man ausschließen, dafür ist die Sache schon zu plump auffällig.
Wenn ich das Problem hätte, würde ich schlicht entweder eine meiner anderen Windows-Versionen oder von einer meiner PE-CD/DVDs starten (sicherer) und den Nerver entfernen. Davor kann er sich nicht verstecken.
Aber ein ausgefuchstes Rootkit kann man ausschließen, dafür ist die Sache schon zu plump auffällig.
Zuletzt bearbeitet:
OctoCore
Lötkolbengott/-göttin
Ich sehe nix, wo ich den Finger drauf legen könnte.
Stell dich einfach dumm und mach Folgendes: In Autoruns die Sachen abhaken -> Rechner neu starten -> nachsehen ob die Einträge immer noch abgehakt sind (soweit bist du ja schon - du hast die Einträge anscheinend komplett gelöscht)-> auf dem System alle Verzeichnisse mit dem entsprechenden Namen suchen, finden und löschen (die also irgendwie secure-soft enthalten). Also auf die ganz treudoofe Art. Falls sich die Verzeichnisse nicht löschen lassen, kann das in der Regel zwei Ursachen haben: Du hast keine Rechte, aber die kannst dir ja verschaffen - oder aber andere Inhalte (falls es sie gibt), die in den Verzeichnissen rumhängen (z.B. DLLs) sind noch irgendwo im System eingebunden und aktiv, durch Löschversuche an den Einzeldateien wirst du dann herausfinden, welche das genau sind.
Stell dich einfach dumm und mach Folgendes: In Autoruns die Sachen abhaken -> Rechner neu starten -> nachsehen ob die Einträge immer noch abgehakt sind (soweit bist du ja schon - du hast die Einträge anscheinend komplett gelöscht)-> auf dem System alle Verzeichnisse mit dem entsprechenden Namen suchen, finden und löschen (die also irgendwie secure-soft enthalten). Also auf die ganz treudoofe Art.
Falls sich die Verzeichnisse nicht löschen lassen, kann das in der Regel zwei Ursachen haben: Du hast keine Rechte, aber die kannst dir ja verschaffen - oder aber andere Inhalte (falls es sie gibt), die in den Verzeichnissen rumhängen (z.B. DLLs) sind noch irgendwo im System eingebunden und aktiv, durch Löschversuche an den Einzeldateien wirst du dann herausfinden, welche das genau sind.
OctoCore
Lötkolbengott/-göttin
rdpclip gehört zu Win. Das ist die Clipboardunterstützung für Remotedesktop-Sessions.
der Eintrag ist verstümmelt, deshalb wird nix gefunden - weil "rdpclip" nicht existiert, aber "rdpclip.exe".
Hatte ich auch schon mal, hat mit dem Problem nichts zu tun und solange man keine Remotesessions braucht, ist es auch egal.
der Eintrag ist verstümmelt, deshalb wird nix gefunden - weil "rdpclip" nicht existiert, aber "rdpclip.exe".
Hatte ich auch schon mal, hat mit dem Problem nichts zu tun und solange man keine Remotesessions braucht, ist es auch egal.
Zuletzt bearbeitet:
Ähnliche Themen
