Windows 10 2.289 Themen, 29.445 Beiträge

Viren u. Bedrohungsschutz und taskhostw.exe

winnigorny1 / 17 Antworten / Baumansicht Nickles

Seit Ewigkeiten hat der Viren- u. Bedruohungsschutz bei mir heute morgen die taskhostw.exe daran gehindert, Änderungen am Arbeitsspeicher vorzunehmen. Ich habe aber nichts weiter an meinem Rechner geändert (keine Programme installiert).

Nur MS hat etwas an meinem Rechner geändert. - Gestern habe ich das Sicherheitsupdate für August verpasst bekommen - und gestern noch hat sich mein Rechner unauffällig verhalten.

Und nun wird heute morgen die taskhostw.exe vom Viren- u. Bedruohungsschutz anemeckert. - Wie bekomme ich heraus, ob ich die taskhostw.exe ohne Bedenken freigeben kann. - Bin da immer etwas unsicher.

Habe Malwarebytes und AdwCleaner durchlaufen lassen - keine Bedrohungen gefunden.....

Edit: Kurz nachdem ich diesen Post absetzte, konnte ich mit dem FF plötzlich keine Verbindung zu irgendwelchen Seite im Internet aufbauen. FF geschlossen, neu aufgerufen - nichts. Der Rechner war mit dem Netz verbunden, Mails konnte ich senden und empfangen und mit dem Edge kam ich in Netz.

Anschließend mit dem FF versucht: Pustekuchen.

Rechner neu gestartet und FF funzte wieder. - Was das nun wieder war? Hab ja den August-Patch von MS in Verdacht....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_237326 winnigorny1 „Viren u. Bedrohungsschutz und taskhostw.exe“
Optionen
bei Antwort benachrichtigen
winnigorny1 gelöscht_237326 „https://www.nickles.de/forum/viren-spyware-datenschutz/2018/taskhostw-exe-539231166.html Hatten wir schon....“
Optionen

Stimmt. - Aber schlauer bin ich deshalb auch noch nicht. - Malwarebytes und AdwCleaner haben diesmal ja auch nichts gefunden. und nach wie vor ist unklar, ob die taskhostw.exe auf Schadsoftware oder einen Windows-Prozess zurückzuführen ist.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Viren u. Bedrohungsschutz und taskhostw.exe“
Optionen

Dann überlege doch einmal, warum der Prozess Taskhostw.exe nach einem Update versuchen könnte, in den durch den kontrollierten Ordnerzugriff überwachten Ordner (welchen eigentlich) zu schreiben?

Weil sich dort irgendwelche Dateien geändert haben könnten durch das Update und diese jetzt erneuert werden sollen? Dann ist das wiedermal ein false positiv und damit eine Fehlmeldung des Ordnerzugriffs per Defender.

https://www.wintotal.de/ueberwachter-ordnerzugriff/

https://answers.microsoft.com/de-de/windows/forum/all/nicht-autorisierte-%C3%A4nderung-wurde-blockiert/d484fa0b-ba59-4443-ba02-19f8006cbcbc?tab=AllReplies#tabs

Falls der FF sich im Hintergrund automatisch aktualisiert hat, dann ist das übrigens "normal", dass der beendet und neu gestartet werden muss und ggf. war da irgendetwas dabei, was eben über die taskhostw.exe auf einen der überwachten Ordner zugreifen wollte und erst über den Neustart "freigegeben" wurde.

Kann ja auch nur ein Addon gewesen sein, aber m.E. war es ein Bestandteil des FF denn UNFASSBARERWEISE hatte ich das beim letzten Update unter Linux ebenfalls, dass ich mich einmal aus- und wieder einloggen musste für einen Internetzugriff des FF.

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Dann überlege doch einmal, warum der Prozess Taskhostw.exe nach einem Update versuchen könnte, in den durch den ...“
Optionen
Weil sich dort irgendwelche Dateien geändert haben könnten durch das Update und diese jetzt erneuert werden sollen? Dann ist das wiedermal ein false positiv und damit eine Fehlmeldung des Ordnerzugriffs per Defender.

Ja. Das vermute ich ja ebenfalls. Nur - wie kann ich sicher sein, dass da kein Krypto-Trojaner hintersteckt? Ich mach jetzt nochmal nen Vollscan mit dem Defender....

Wg. FF: Updates lasse ich nicht im Hintergrund zu, sondern lasse mich nur benachrichtigen und mache das dann. Mein FF war schon aktuell. - Ebenso wie meine Addons.

Edit: Habe den Vollscan mit dem Defender grad abgebrochen CPU-Last knallte auf 98 % hoch - ist das normal?

Vollscan gleich besser offline durchziehen?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Dann überlege doch einmal, warum der Prozess Taskhostw.exe nach einem Update versuchen könnte, in den durch den ...“
Optionen

So - habe jetzt einen Offline-Scan mit dem Defender gemacht. Ging überraschend schnell und hat kein Ergebnis gebracht. Windows ist dann ohne eine weitere Meldung gestartet.

- War während des Scans auf Klo gegangen und als ich wiederkam, war Windows schon wieder gestartet.

Anschließend habe ich jetzt nochmal in den Schutzverlauf geschaut, und traute meinen Augen nicht... - Das CD-ROM wurde geschützt? Was ist denn das?

Meinst du, ich kann das bedenkenlos freigeben? So laienhaft würde ich das jetzt mal glauben.

Edit: Wenn ich jetzt eine Musik-CD einlege, dann startet der Windows-Media-Player. - Als Standardprogramm für die Wiedergabe von Musik und Filmen habe ich aber den VLC eingetragen. Und der ist auch immer noch in den Standard-Apps eingetragen!

Meinst du, dass das der Casus Knaxus ist und der Defender dann einfach diese Standard-App zugunsten des VLC blockiert?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „So - habe jetzt einen Offline-Scan mit dem Defender gemacht. Ging überraschend schnell und hat kein Ergebnis gebracht. ...“
Optionen

Hohe Last beim Scan würde ich als normal ansehen.

Wenn aus irgendwelchen Gründen das optische Laufwerk in der Liste der zu schützenden Ordner drin ist, dann wird eben auch ein Zugriff auf selbiges bemeckert.

https://www.windows-10-forum.com/threads/nicht-autorisierte-aenderung-blockiert-wie-kann-ich-es-ausstellen.125230/#%EF%BF%BDEUR%EF%BF%BDNicht_autorisierte_%C3%84nderung_blockiert%EF%BF%BDEUR%EF%BF%BD_wie_kann_ich_es_ausstellen

https://www.windows-10-forum.com/tipps/628.defender-ueberwachten-ordnerzugriff-deaktivieren-und-aktivieren

Irgendwie werde ich einmal mehr das Gefühl nicht los, dass Du Dir mit Deinem ganzen VPN- und Antispykram gerne selber ein Bein stellst. Gehe doch wie beschrieben die Liste der Zugriffe durch.

Nur - wie kann ich sicher sein, dass da kein Krypto-Trojaner hintersteckt?


Hätte der nicht schon längst angefangen mit Verschlüsseln? Und ich weiss nicht, wo Du Dich so herumdrückst, aber auf "normalen" Seiten wirst Du Dir bei Skript- und Werbeblocker eher unwahrscheinlich etwas einfangen und wenn dann müsstest Du schon etwas Krummes herunterladen dazu. Also den Paranoia-Modus auch mal einen Gang runterschalten und nicht bei jedem Geblöke eines Sicherheitsprogramm gleich die Panik bekommen.

Hier ist beschrieben, wie Du an das eigentlich auslösende Programm kommst, denn taskhostw.exe ist ja im Grunde nur der "Vermittler".

https://www.deskmodder.de/blog/2018/06/29/ueberwachter-ordnerzugriff-blockierungen-in-der-ereignisanzeige-anzeigen-id-1123-windows-10/

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Hohe Last beim Scan würde ich als normal ansehen. Wenn aus irgendwelchen Gründen das optische Laufwerk in der Liste der ...“
Optionen
Wenn aus irgendwelchen Gründen das optische Laufwerk in der Liste der zu schützenden Ordner drin ist, dann wird eben auch ein Zugriff auf selbiges bemeckert.

Es hat ja kein Zugriff von mir aufs optische Laufwerk stattgefunden. - Die Meldung vom ÜOZ tauchte mir nichts dir nichts auf.

Und wie ich das freigebe, weiß ich tatsächlich. - Das ist nicht das Problem.

Ich habe jetzt nur den Verdacht, dass Windows nach dem Update einfach die Standardeinstellung, die ich getroffen habe (nämlich den VLC als Standard auszuführen, wenn ich Musik- oder Film-CDs einlege) blockiert, denn seit diesem Update staret da einfach der Windows-Media Player, obwohl der VLC immer noch als Standardanwendung dafür angegeben ist. Das war vorher anders. CD rein und der VLC startete....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Es hat ja kein Zugriff von mir aufs optische Laufwerk stattgefunden. - Die Meldung vom ÜOZ tauchte mir nichts dir nichts ...“
Optionen
Es hat ja kein Zugriff von mir aufs optische Laufwerk stattgefunden.


Deswegen sollst Du wie bei Deskmodder beschrieben nachsehen, welches Programm das war. Mit Verdacht kommst Du da nicht weiter.

Ansonsten deaktiviere das für die taskhostw.exe und fertig ist die Laube, sonst schlägt das Problem alle naselang wieder bei Dir auf oder Du machst eine saubere Neuinstallation mit der aktuellsten Build und lässt danach bis auf RAM-Disk und den manuellen Einstellungen des Datenschutzes einfach die Finger von irgendwelchem Fummeleien an Windows.

Sehr wahrscheinlich ist dann nämlich Ruhe im Schiff und es lässt sich auch das nächste WISO ohne Verrenkungen installieren;-)

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Deswegen sollst Du wie bei Deskmodder beschrieben nachsehen, welches Programm das war. Mit Verdacht kommst Du da nicht ...“
Optionen
Deswegen sollst Du wie bei Deskmodder beschrieben nachsehen, welches Programm das war. Mit Verdacht kommst Du da nicht weiter.

Das habe ich gemacht, aber irgendwie bringt mich das nicht weiter. Es zeigt eben auch nur das, was ich schon im überwachten Ordnerzugriff sehen kann, nämlich dass es ein Device ist. Von einem Programm oder Pfad zu einem Programm ist auch da nichts zu sehen. - Und nun? Bislang ist die Meldung nicht mehr aufgetaucht. Weder nach diversen Neustarts noch nach mehrfacher Nutzung des Laufwerkes.....

Es bleibt die Merkwürdigkeit, dass der Windows Media-Player aufgeht, wenn ich eine Medien-CD (Musik oder Film) einlege und nicht mehr der VLC, der jedoch als Standard dafür eingetragen ist. - Und das ist erst seit dem August-Patch so. - Oder kannst du da mehr erkennen als ich?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Das habe ich gemacht, aber irgendwie bringt mich das nicht weiter. Es zeigt eben auch nur das, was ich schon im ...“
Optionen

Da der Zugriff von einem Account "Unknown User" erfolgte, gehe mal davon aus, dass es noch ein weiteres Konto gibt.

Das kann ein zusätzlich angelegtes einer AV oder eines Programms sein oder ein selbsterstelltes, wenn man mit seinem eigenen Account mal nicht mehr anmelden konnte wie beispielsweise hier nach dem Upgrade auf W10:

https://answers.microsoft.com/en-us/windows/forum/all/unknown-user-account-created-after-upgrading-to/dc17c8bf-190e-4e9d-b8e5-37c6b73cf882

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Da der Zugriff von einem Account Unknown User erfolgte, gehe mal davon aus, dass es noch ein weiteres Konto gibt. Das kann ...“
Optionen

Ich selbst habe 3 Accounts angelegt. Das eigentlich Admin, dann dieses hier, mit dem ich arbeite und ein weiteres, dass ich zur Installation von WISO nutze. - Aber die sind alle nicht unbekannt.

Eine weitere Virensoftware habe ich im Prinzip nicht. - Bis auf die kostenlosen Maswarebyte und AdwCleaner. Ansonsten ist Defender meine AV. - Wie finde ich einen "Unknkown User"?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Deswegen sollst Du wie bei Deskmodder beschrieben nachsehen, welches Programm das war. Mit Verdacht kommst Du da nicht ...“
Optionen
Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Wenn ich mir diese Story hier anschaue, könnte das sehr wohl am August-Patch liegen: ...“
Optionen

Welche KB wurden denn da eingespielt?

Immerhin stammt der Thread aus März dieses Jahres...

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Welche KB wurden denn da eingespielt? Immerhin stammt der Thread aus März dieses Jahres...“
Optionen

Beim jetzigen Update? da ist es bei mir die KB4569751. Was da im März eingespielt wurde, sollte unter dem Link oben zu finden sein.

Ach ja und von wegen "unknown user" - der wird bei mir nicht angzeigt:

Das Bumerang-Projekt ist der Account mit dem ich jetzt unterwegs bin

defaultuser0 sollte die ursprüngliche Installation sein.

Winfried Gorny ist mein eigens angelegter Admin-Account

WISO ist der Account, mit dem ich die WISO Steuersoftware installiere....

Ein unknown user ist da nicht aufgeführt.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Beim jetzigen Update? da ist es bei mir die KB4569751. Was da im März eingespielt wurde, sollte unter dem Link oben zu ...“
Optionen
Ein unknown user ist da nicht aufgeführt.


Der muss auch nicht explizit so heissen. Das kann auch der User WISO oder AdwCleaner oder sonst etwas sein, wie das im Link speziell zu ESET der Fall ist.


bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Der muss auch nicht explizit so heissen. Das kann auch der User WISO oder AdwCleaner oder sonst etwas sein, wie das im ...“
Optionen
Das kann auch der User WISO oder AdwCleaner oder sonst etwas sein, wie das im Link speziell zu ESET der Fall ist.

... Jedenfalls habe ich das jetzt bisher nicht herausbekommen können.

Diese Meldung tauchte bis heute nicht wieder auf und ich werde das jetzt erst mal als einen false/positive für mich abhaken. Danke für deine Mühe.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Welche KB wurden denn da eingespielt? Immerhin stammt der Thread aus März dieses Jahres...“
Optionen

ergänzend: Zumindest scheint diese Meldung auch nicht alle naslang aufzutauchen. Bislang jedenfalls - trotz diverser Neustarts und vieler Aktivitäten - auch mit dem Laufwerk ist sie nicht wieder aufgetaucht.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen