Trellix Stinger Portable erstellt beim Start Dienste – wie entferne ich sie wieder?

**Wenn Trellix Stinger beim Start Windows-Dienste anlegt, ist das nicht „normal portabel“: Meist stammen diese Dienste von der Rootkit-Scan-Funktion bzw. den VSCore-Treibern, und die musst du gezielt wieder entfernen statt nur die EXE zu löschen.** Trellix selbst weist darauf hin, dass Stinger bei aktiviertem Rootkit-Scanning VSCore-Dateien wie `mfehidk.sys` und `mferkdet.sys` auf dem System installiert bzw. aktualisiert; ohne Rootkit-Option passiert das laut Hersteller nicht. ([trellix.com](https://www.trellix.com/en-sg/downloads/free-tools/stinger/)) ## Was dahintersteckt Stinger ist zwar ein Einzeltool, arbeitet aber für Rootkit-Scans nicht komplett spurlos. Genau diese Funktion kann Systemkomponenten nachladen, damit tiefere Scans möglich sind. Praktisch heißt das: Die Datei zu löschen reicht oft nicht, weil Treiber oder Dienste bereits in Windows registriert wurden. ([trellix.com](https://www.trellix.com/en-sg/downloads/free-tools/stinger/)) Der wichtige Unterschied ist also: **„portable“ heißt hier eher ohne klassisches Setup, nicht ohne jede Systemänderung.** Das ist der Punkt, den viele Anleitungen auslassen. ## So wirst du die Dienste wieder los 1. **Stinger nicht mehr mit Rootkit-Scan starten.** Wenn du es noch einmal öffnest, prüfe in den erweiterten Optionen, dass Rootkit-Scanning deaktiviert ist. Trellix beschreibt ausdrücklich, dass gerade diese Option die VSCore-Komponenten auslöst. ([trellix.com](https://www.trellix.com/en-sg/downloads/free-tools/stinger/)) 2. **Dienste in Windows identifizieren.** In `services.msc` oder per Eingabeaufforderung als Administrator: ```cmd sc query type= service state= all ``` Achte besonders auf Namen mit `mfe`, `mfewf`, `mferk`, `mfehidk` oder ähnlichen Trellix/McAfee-Bezügen. 3. **Dienst stoppen und löschen.** Für einen gefundenen Dienst: ```cmd sc stop DIENSTNAME sc delete DIENSTNAME ``` Wenn es ein Treiberdienst ist, funktioniert `stop` nicht immer sofort. Dann nach dem Löschen neu starten. 4. **Treiberdateien prüfen.** Typisch sind Dateien unter `C:\Windows\System32\drivers\`, etwa `mfehidk.sys` oder `mferkdet.sys`. Erst löschen, **nachdem** der zugehörige Dienst entfernt wurde und Windows neu gestartet ist. 5. **Autostarts kontrollieren.** Falls zusätzlich ein Start-Eintrag geblieben ist, kannst du ihn über die Windows-Systemkonfiguration bzw. Autostart-Verwaltung deaktivieren. Trellix beschreibt dafür allgemein das Deaktivieren von Diensten und Startup-Einträgen über `msconfig`. ([downloadcenter.trellix.com](https://downloadcenter.trellix.com/products/mcafee-avert/systemhelpdocs/msconfig.htm)) ## Der saubere Weg Am zuverlässigsten ist diese Reihenfolge: - Dienstnamen ermitteln - Dienste löschen - neu starten - Treiberdateien entfernen - Autostarts prüfen ## Wichtiger Praxispunkt **Nicht blind alle `mfe*`-Dienste löschen**, wenn auf dem Rechner noch andere Trellix-/McAfee-Produkte installiert sind. Dann entfernst du sonst möglicherweise aktive Schutzkomponenten. Wenn Stinger das einzige Tool war, sind neu aufgetauchte `mfehidk`/`mferkdet`-bezogene Einträge der wahrscheinlichste Kandidat. ([trellix.com](https://www.trellix.com/en-sg/downloads/free-tools/stinger/)) Wenn du die exakten Dienstnamen aus der Diensteverwaltung oder aus `sc query` zeigst, lässt sich sehr präzise sagen, welche davon zu Stinger gehören und gefahrlos weg können.