Windows 10 2.285 Themen, 29.388 Beiträge

Taskhostw.exe

winnigorny1 / 13 Antworten / Baumansicht Nickles

Der Defender hat eine nicht authorisierte Änderung blockiert:

Der überwachte Ordnerzugriff hat C:\Windows...\taskhosw.exe daran gehindert, Änderungen für den Arbeitsspeicher durchzuführen - um 12:20. - "

Erst jetzt entdeckt. Und war das erste Mal..... Bis dato war alles unverdachtig, irgendwelche Veränderungen am PC habe ich nicht durchgeführt und mich auch nicht auf gefährlichen Seiten rumgetrieben.....

Bei der Netzrecherche schaffe ich keine Klarheit, ob das nun ein ausgerasteter Windowsprozess oder Schadsoftware ist.

Wie erkenne ich das? Ich könnte ja Malwarebytes runterladen, und installieren der soll das angeblich erkennen (muss ich dann Defender außer Dienst stellen?).... - Oder einen Offlinescan mit dem Defender machen.

Ich hoffe aber, bevor so etwas nötig ist, gibt es eine ander Methode, zu erkennen, ob da nur ein Windows-Prozess durchgeknallt ist, oder ob es eine Malware ist.

Vielen Dank im Voraus.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Taskhostw.exe“
Optionen

https://www.file.net/prozess/taskhostw.exe.html

Ich tippe da eher auf einen false positive.

Wenn die Datei wie beschrieben in C:\windows\system32 herumlungert und eine der beschriebenen Dateigrössen hat, ist es wahrscheinlich so.

Wenn er woanders herkommt, dann Fragezeichen...

Eventuell aktualisierst Du auch nochmal die Signaturen oder wartest mal einen tag, ob das erneut vorkommt. Wenn nicht hast Du ja sicher ein Backup oder ein Betriebssystem in der Hinterhand;-)

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „https://www.file.net/prozess/taskhostw.exe.html Ich tippe da eher auf einen false positive. Wenn die Datei wie beschrieben ...“
Optionen
Du ja sicher ein Backup

Ja, habe ich.....

Bin jetzt etwas verwirrst. Das Ding sitzt in der system32 und hat da auch die richtige Größe. Aber wenn ich in C danach suche, habe ich etliche Fundorte. - Nehme an, dass das aber - zumindest zum Teil Prozesse davon sind? Schau doch bitte mal rein. Einen Defender Offline-Scan habe ich ohne jedes Ergebnis durchgeführt und vorher ein VirenUpdate gezogen. Und seit Neustar nach dem Offline Scan (vor knapp 2 Stunden) ist da auch nichts mehr vom Defender unter Windows gemeldet oder blockiert worden......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_189916 winnigorny1 „Ja, habe ich..... Bin jetzt etwas verwirrst. Das Ding sitzt in der system32 und hat da auch die richtige Größe. Aber ...“
Optionen

Die *.dmp sind alte Absturzdateien, das siehst Du am Datum.

Der winsxs-Ordner speichert als eine Art Datei-Verlauf auch ältere Versionen von Systemdateien.

Die Datei mit *.mui hintendran sind die Versionen für mehrere Sprachen.

Eine Datenträgerbereinigung inklusive Systemdateien dürfte schon mal die ganzen Absturzabbilder entfernen und anschliessend bleiben vermutlich nur noch die eigentliche Datei im System-Ordner, die Sicherheitskopie in winsxs und die *.mui über.

Das bei einem Trojaner/Virus/Rootkit ein Offline-Scan wenig bringt, dürfte auch klar sein. Wenn dann maximal mit AdwareCleaner intern und dann mit einer Rescue-CD von aussen.

Ich denke aber nach wie vor, dass Du hier schlicht über einen Fehlalarm stolperst.

bei Antwort benachrichtigen
winnigorny1 gelöscht_189916 „Die .dmp sind alte Absturzdateien, das siehst Du am Datum. Der winsxs-Ordner speichert als eine Art Datei-Verlauf auch ...“
Optionen
Ich denke aber nach wie vor, dass Du hier schlicht über einen Fehlalarm stolperst.

Alles klar - danke. Zu der Überzeuigung bin ich gestern spät Abends auch schon gekommend, nachdem ich die anderen Dateien gegoogelt habe. Bislang ist dieser Alarm auch noch nicht wieder aufgetaucht.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
andy11 winnigorny1 „Taskhostw.exe“
Optionen
Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
winnigorny1 andy11 „Schau mal ob da was auf dich zutrifft:https://www.google.com/search?q Der Defender hat eine nicht authorisierte C3 ...“
Optionen

Das hilft mir jetzt leider gar nicht - oder nicht wirklich. - Das hatte ich alles schon abgegrast.

Jedenfalls hat der Defender im Offlinescan nichts gefunden. Und seit jetzt fast 2 Stunden läuft der Rechner bislang auch völlig unverdächtig. Die Änderung, die die taskhostw.exe am Arbeitsspeicher vornehmen wollte, wurde heute um 12:20 geblockt. Ich habe die Meldung auf diesem Rechner zu dem Zeitpunkt das erste Mal gesehen (kam vorher noch nie). Auffällig hat sich der Rechner weder morgens davor noch danach verhalten. Aber das hat ja eh nicht viel zu sagen.....

Trotzdem danke.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
andy11 winnigorny1 „Das hilft mir jetzt leider gar nicht - oder nicht wirklich. - Das hatte ich alles schon abgegrast. Jedenfalls hat der ...“
Optionen

Hatte eigentlich noch mehr Fundstellen. Schweifte

aber alles zu weit ab. Denke zunächst mal auch an

einem falschen Fehler. Die halbe Stunde lesen,

die ich investiert habe, hat mich so schlau gemacht wie

ich vorher war. Andy

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
winnigorny1 andy11 „Hatte eigentlich noch mehr Fundstellen. Schweifte aber alles zu weit ab. Denke zunächst mal auch an einem falschen Fehler. ...“
Optionen
Denke zunächst mal auch an einem falschen Fehler.

Das hoffe ich inständig. Denn selbst wenn ich ein Backup habe, bedeutet das doch vor dem Zurückschreigen einiges an Aufmerksamkeit (so Sachen wie Profilordner von TB und FF sichern - und die Datei meiner Steuererklärung, von der ich erst gestern das Proggi installierte und mit der Erklärung halb fertig bin).

Die halbe Stunde lesen, die ich investiert habe, hat mich so schlau gemacht wie ich vorher war

Jepp - mich auch - habe sogar fast ne Stunde damit verbracht.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
mi~we winnigorny1 „Taskhostw.exe“
Optionen

Dieses "Controlled Folder Access"-Feature des Defender hat wohl noch so seine Macken. Bist nicht der einzige mit dieser komischen Meldung:

https://answers.microsoft.com/en-us/windows/forum/windows_10-windows_install/taskhostwexe-on-windows-10/db876c06-0329-465a-bab0-35997a575d17

Ist wohl eher ein Zeichen für "Microsoft-Murks".Lächelnd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
winnigorny1 mi~we „Dieses Controlled Folder Access -Feature des Defender hat wohl noch so seine Macken. Bist nicht der einzige mit dieser ...“
Optionen
Bist nicht der einzige mit dieser komischen Meldung:

Danke für die dicke Beruhiguhgspille!

Ist wohl eher ein Zeichen für "Microsoft-Murks".

Tja - langsam nervt das. - Kein ´Wunder, wenn die dauernd das BS komplett überarbeiten und erneuern. - Alle halbe Jahr - das kann ja nichts werden......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
andy11 mi~we „Dieses Controlled Folder Access -Feature des Defender hat wohl noch so seine Macken. Bist nicht der einzige mit dieser ...“
Optionen
"Microsoft-Murks"

Sowas hab ich auch gelesen. Es hier wiederholen

wollte ich aber nicht. Der Gedanke dahinter, Kryptotrojaner

ect., ist bestimmt nicht schlecht. Andy

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
winnigorny1 andy11 „Sowas hab ich auch gelesen. Es hier wiederholen wollte ich aber nicht. Der Gedanke dahinter, Kryptotrojaner ect., ist ...“
Optionen
Kryptotrojaner

Mach mir Sorgen....!

Ich habe jetzt sehr viel mit dem Rechner gemacht. - Im Prinzip alles (inkl. längerer Ruhephase), was ich auch heute vormittag bis 12:00 h machte. - Die Meldung ist bislang nicht wieder aufgetaucht. - Langsam glaube ich immer fester an einen falschen Fehler.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 Nachtrag zu: „Taskhostw.exe“
Optionen

@ all:

Vielen Dank für eure Unterstützung eines Paranoikers; es war in der Tat ein falscher Fehler vom Defender. - Alles ist weiterhin in bester Ordnung. - Nach einem Defender-Update gestern kam diese Alarmmeldung nicht wieder und das Sys läuft wie geschmiert und wie zuvor. Alles ist gut.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen