Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WinSAT.exe (https://www.trojaner-board.de/203038-winsat-exe.html)

Gleitlager 20.11.2021 19:06
WinSAT.exe
 
Was macht dieser Prozess überhaupt? Ist das diese Überprüfung für Windows 11 Kompatibilität? Das mit dem unknown user sieht auch komisch aus.

Code:
Der überwachte Ordnerzugriff hat C:\Windows\System32\WinSAT.exe daran gehindert, Änderungen am Speicher durchzuführen.
        Erkennungszeit: 2021-11-20T17:50:00.988Z
        Benutzer: (unknown user)
        Pfad: \Device\HarddiskVolume6
        Name des Prozesses: C:\Windows\System32\WinSAT.exe
        Sicherheitsversion: 1.353.1337.0
        Modulversion: 1.1.18700.4
        Produktversion: 4.18.2110.6
Ich hatte vor kurzen erst eine Kontrolle und hätte mir jetzt nichts gedacht, wenn nicht das mit dem unknown user da wäre.

Der Folgende Fund kam wieder, aber war letztens f/p.
Code:
Der überwachte Ordnerzugriff hat C:\Windows\System32\taskhostw.exe daran gehindert, Änderungen am Speicher durchzuführen.
        Erkennungszeit: 2021-11-20T17:49:05.900Z
        Benutzer: NT-AUTORITÄT\SYSTEM
        Pfad: \Device\HarddiskVolume6
        Name des Prozesses: C:\Windows\System32\taskhostw.exe
        Sicherheitsversion: 1.353.1337.0
        Modulversion: 1.1.18700.4
        Produktversion: 4.18.2110.6
Die angekündigte Spende ist natürlich nicht vergessen.

Ich denke jetzt auch, dass das f/p ist, aber der unknown user in der WinSAT-Meldung macht mir etwas Angst. Die 2. Meldung steht nur hier, weil beide Meldungen kurz hintereinander kamen.

M-K-D-B 20.11.2021 19:39
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Beide .exe Dateien sind legitim, gehören zum Betriebssystem Windows.
Wir hatten dein System ja vor kurzem analysiert.

Es kommt beim Ransomware-Schutz manchmal vor, dass dieser Windows eigene (legitime) Prozesse blockiert.

Gleitlager 20.11.2021 19:41
Wie gesagt, ich denke ja auch, dass das wohl ein f/p ist, aber der eine Teil der Meldung sieht komisch aus.

Code:
Benutzer: (unknown user)
Ist das normal? Ich habe ja selber versucht zu googlen, aber konnte bei dem einen Detail da nichts finden. Bei anderen Meldungen, z.B. einem anderem hier im Forum, stand da auch immer als Benutzer das System.

M-K-D-B 20.11.2021 19:50
Vermutlich konnte nicht nachvollzogen werden, welcher Benutzer diesen Zugriff veranlasste (es gibt ja nicht nur dich als "Benutzer", sondern noch weitere aktive "Benutzer", z. B. "System" oder "TrustedInstaller", beide legitim.)

Das ist jetzt aber alles nichts, worüber man sich Sorgen machen sollte.

Gleitlager 20.11.2021 20:02
Alles klar, danke. Wieder was gelernt :)

M-K-D-B 20.11.2021 20:58
Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131