Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verfolgung starten Optionen

Taskhostw.exe

winnigorny1 / 19 Antworten / Baumansicht Nickles

Defender hat verhindert, dass taskhostw.exe Änderungen am Arbeitsspeicher vornimmt....

Vorgeschichte:

ich habe vor 2 Tagen eine E-Mail mit einer Bestellung eines türkischen Kunden bekommen. Die Bestellug war wie immer als MS-Word-Datei angehängt. Da das ein Bestandskunde war, habe ich die Datei aus dem Thunderbird in den Kundenordner abgetrennt und vor dem Öffnen wie immer den Ordener mit dem Defender überprüft (der hatte nichts gefunden), aber dann war die Sau fett (mittlerweile weiß ich, dass der Kunde gehackt wurde): Ich öffnete die Datei mit LibreOfficeWriter und hatte nur 5 Sonderzeichen zur Ansicht.

Mir wurde schlecht. - Das konnte nur ein Virus sein. Also habe ich die Datei gelöscht, die Email gelöscht (und alle Ordner des Kontos komprimiert), dann das TB-Profil gesichert, um die Mail der letzten 10 Tage nicht zu verlieren und mein Image vom 7. d. M. zurückgeschrieben. Anschließend meine Paßwörter geändert und dann das Thunderbird-Profil zurückgeschrieben.

Bis heute morgen schien auch alles i.O. zu sein. Rechner neu gestartet, gefrühstückt und dann musste ich die Defender-Meldung sehen.

Nach meinen Recherchen kann das nun auch ein false-positive sein, aber ich bin mir eben nicht sicher..... Ich habe ansonsten keine Auffälligkeiten (cpu-last). Auch keine Neuinstallationen (bis auf den aktuellen flashplayer - autoupdate) oder neue, unbekannte Programme. Auch nichts Verdächtiges im Autostart....

Wie erkenne ich, ob das was Böses ist oder eben ein Windows-Fehler?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Andreas42 winnigorny1 „Taskhostw.exe“
Optionen

Hi!

TASKHOST.EXE ist bei mir auf dem Win7 Rechner einer normaler Prozess von Windows.

Da scheint das "W" den Unterschied zu machen. Suche ich nach TASKHOSTW.EXE mit Google bekomme ich lauter Fundstellen zum Entfernen eines Mining-Trojaners..

https://www.google.com/search?q=Taskhostw.exe&ie=utf-8&oe=utf-8&client=firefox-b

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
winnigorny1 Andreas42 „Hi! TASKHOST.EXE ist bei mir auf dem Win7 Rechner einer normaler Prozess von Windows. Da scheint das W den Unterschied zu ...“
Optionen
Da scheint das "W" den Unterschied zu machen.

In win10 scheint es aber die Variante mit "w" zu geben - aber auch eben den Mining-Trojaner. In meinem FF arbeitet jedoch der mining blocker 0.54, der das verhindern sollte. - Habe auch keine hohe Last auf meiner CPU......

Siehe auch hier: https://www.file.net/prozess/taskhostw.exe.html

Und hier ein Screenshot meiner Suche in C:

Sieht eigentlich clean aus. Die Fundstellen in den anderen Ordnern scheinen crashdumps zu sein:

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 Andreas42 „Hi! TASKHOST.EXE ist bei mir auf dem Win7 Rechner einer normaler Prozess von Windows. Da scheint das W den Unterschied zu ...“
Optionen

Ooooooops - sehe gerade, dass ich das vor einiger Zeit schon mal hatte und auch hier reingestellt hatte. - Fakiauso hat mich damals beruhigt. Scheint ein "normaler" false positive zu sein. - Sorry für den Aufruhr.

Ich lasse als alter Panik-Ede das Ding trotzdem erst mal als unbeantwortet stehen. Vielleicht fällt ja jemandem noch was dazu ein....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327459 winnigorny1 „Ooooooops - sehe gerade, dass ich das vor einiger Zeit schon mal hatte und auch hier reingestellt hatte. - Fakiauso hat ...“
Optionen
Vielleicht fällt ja jemandem noch was dazu ein....

Taskhost in Windows 10 is a core file located in the System32 folder and has been renamed as ‘taskhostw.exe’, from ‘taskhost.exe’ in Windows 7.

Each ‘Host Process for Windows Task’ is an instance of ‘taskhost’ running some service in the background.
That is just because the taskhost is loading all the DLL files and scheduling to run them.

But some services are written in DLL files, and they cannot be executed directly. Microsoft shifted to DLL files as they were easy to maintain and update from a programming point of view. DLL services require a host process, an EXE that can execute them and this is what ‘taskhost’ in Windows is.

Evtl. findest sich in den taskhostw-crashdumps ein Hinweis auf das Programm, welches da im Hintergrund immer mal wieder aktiv werden will?

http://www.what-is-exe.com/

bei Antwort benachrichtigen
Alpha13 winnigorny1 „Taskhostw.exe“
Optionen

https://www.bleepingcomputer.com/virus-removal/remove-taskhostw.exe-and-windows-update-checker-miner

Da läßt man mindestens MBAM und AdwCleaner laufen!

bei Antwort benachrichtigen
winnigorny1 Alpha13 „https://www.bleepingcomputer.com/virus-removal/remove-taskhostw.exe-and-windows-update-checker-miner Da läßt man ...“
Optionen
Da läßt man mindestens MBAM und AdwCleaner laufen!

Habe mir den Link angeschaut. - Mmmmhhhhh ..... Keiner der im Link aufgeführten Prozesse läuft auf meinem, Rechner, der Taskmanager hat ne Last zwischen 1 und 3 %, keines der aufgeführten Symptome trifft auf meinen Rechner zu.

Die Benachrichtigung vom Defender kommt auch nur ganz selten manchmal dauert es Tage, manchmal Wochen und es ist nicht reproduzierbar und auch da ist vorher nichts von einem Leistungseinbruch zu spüren (habe ne App auf dem Desktop, die mir in Echtzeit Speicher und Prozessor-Last anzeigt).

.... Scheint wirklich ein Falscher Fehler zu sein, der da diagnostiziert wird. - Ich bin auch nicht der Einzige, der das Problem hat.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327459 winnigorny1 „Habe mir den Link angeschaut. - Mmmmhhhhh ..... Keiner der im Link aufgeführten Prozesse läuft auf meinem, Rechner, der ...“
Optionen
Keiner der im Link aufgeführten Prozesse läuft auf meinem, Rechner

logisch, weil

Defender hat verhindert, dass taskhostw.exe Änderungen am Arbeitsspeicher vornimmt....

ausserdem muß es ja nicht unbedingt auf einen der Prozesse im Link zutreffen welche die taskhostw.exe ausführen will.

bei Antwort benachrichtigen
winnigorny1 gelöscht_327459 „logisch, weil ausserdem muß es ja nicht unbedingt auf einen der Prozesse im Link zutreffen welche die taskhostw.exe ...“
Optionen
ausserdem muß es ja nicht unbedingt auf einen der Prozesse im Link zutreffen welche die taskhostw.exe ausführen will.

Stimmt schon. Aber die Crashdumps geben mir auch leider keinen Hinweis. An dieser Stelle nochmal danke für den Link, den du mir in deiner vorangegangenen Antwort schicktest. - Leider bin ich zu doof, um die nötigen Schlüsse daraus zu ziehen. - Wie lasse ich mir denn einen Hinweis anzeigen, was für ein Proggie darauf zugreifen wollte?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_327459 winnigorny1 „Stimmt schon. Aber die Crashdumps geben mir auch leider keinen Hinweis. An dieser Stelle nochmal danke für den Link, den ...“
Optionen
Wie lasse ich mir denn einen Hinweis anzeigen, was für ein Proggie darauf zugreifen wollte?

Bedrohungsverlauf im Defender z.B.

bei Antwort benachrichtigen
winnigorny1 gelöscht_327459 „Bedrohungsverlauf im Defender z.B.“
Optionen
Bedrohungsverlauf im Defender z.B.

da wird gar nichts angezeigt. Allerdings hat malwarebytes 16 pubs in Quarantäne geschoben......

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Alpha13 winnigorny1 „da wird gar nichts angezeigt. Allerdings hat malwarebytes 16 pubs in Quarantäne geschoben......“
Optionen

Malwarebytes und AdwCleaner nimmt man nach so ner erfolgten Attacke und zwar immer.

https://en.wikipedia.org/wiki/Potentially_unwanted_program

https://de.malwarebytes.com/pup/

Das sind natürlich PUPs und die meisten von denen hattest du fast absolut sicher schon vor der Attacke auf deiner Kiste!

bei Antwort benachrichtigen
winnigorny1 Alpha13 „Malwarebytes und AdwCleaner nimmt man nach so ner erfolgten Attacke und zwar immer. ...“
Optionen
Das sind natürlich PUPs und die meisten von denen hattest du fast absolut sicher schon vor der Attacke auf deiner Kiste!

Jepp! - Ganz recht. Hatte ich mir laut Anzeige im April eingefangen. 16 PUPs..... Und zwar nach ner Probeinstallation von Chromium. - Das Mistding hatte ich mir wohl blöderweise von der falschen Seite gepumpt.

Von wegen mit dem Alter kommt die Weisheit........ Dank dir nochmal.

Muss/kann ich jetzt die Quarantäne löschen und das Proggie wieder deinstallieren? Letztlich ist Malwarebytes ja ein Antivirenproggie und Scanner. - Ist der im Hintergrund aktive und könnte er mit dem Defender kollidieren?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Alpha13 winnigorny1 „Jepp! - Ganz recht. Hatte ich mir laut Anzeige im April eingefangen. 16 PUPs..... Und zwar nach ner Probeinstallation von ...“
Optionen

Was Malwarebytes und AdwCleaner finden kann man definitiv getrost löschen.

https://www.heise.de/download/product/malwarebytes-anti-malware-59624?hg=1&hgi=8&hgf=false

Nur die Premium (Pro) Version hat nen Echtzeit Schutz und der kollidiert definitiv nicht mit dem Defender.

Ab Version 3 ist da AFAIK immer ne 14 tägige Premium "Schnupperversion" dabei, die man nicht abwählen kann.

Das macht aber nix, der einzige Nachteil ist da innerhalb der 14 Tage die Werbung die Premium Version zu kaufen.

Der Echtzeit Schutz wird da nach 14 Tagen automatisch abgeschaltet.

http://filepony.de/download-malwarebytes_anti_malware/get-mirror-server.html

ist ne Alternative, da kann man den Echtzeit Schutz = Pro bei der Installation abwählen.

Ohne Echtzeit Schutz scannt das Prog definitiv nur wenn man das Prog öffnet und den Scan selbst anstößt.

https://lehrerfortbildung-bw.de/st_digital/medienwerkstatt/dossiers/sicherheit/viren/avira_cd/

ist da noch ne Alternative, wenn man noch sicherer sein will und damit habe Ich schon einige Kisten erfolgreich entseucht.

Auf den Kisten ließ sich Malwarebytes und AdwCleaner vorher nicht mehr installieren/ausführen.

Meine Erfahrung bei vielen Kisten ist, wo Malwarebytes und AdwCleaner nix finden ist auch nix.

bei Antwort benachrichtigen
winnigorny1 Alpha13 „Was Malwarebytes und AdwCleaner finden kann man definitiv getrost löschen. ...“
Optionen
Ab Version 3 ist da AFAIK immer ne 14 tägige Premium "Schnupperversion" dabei, die man nicht abwählen kann.

Hab die akturelle Version runtergeladen und da kann man den Echtzeitschutz abwählen. Habe ich gemacht nachdem das Ding alles erfolgreich in Quarantäne geschoben hat (war n büschen übereifrig, hat mir auch ne Verknüpfung zur Datenträgerbereinigung, die ich in "Cleaner" umbenannt hatte, gefegt ebenso einen "Facebook" genannten Ordner mit Bumerang-Bildern). Aber das ist kein Problem gewesen.

Nachdem ich alles weitere getestet habe, habe ich dann die Dateien aus der Quarantäne gelöscht und das Programm mit dem RevoUninstaller (moderat) gelöscht.

Bin gespannt, ob ich die Meldungen wieder bekomme, habe aber definitiv ein gutes Gefühl, weil auch ein Offline-Scan mit GDataInternetSecurity nichts mehr gefunden hat.

Danke nochmal für die Unterstützung.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Alpha13 winnigorny1 „Habe mir den Link angeschaut. - Mmmmhhhhh ..... Keiner der im Link aufgeführten Prozesse läuft auf meinem, Rechner, der ...“
Optionen

https://answers.microsoft.com/en-us/windows/forum/windows_10-windows_install/taskhostwexe-on-windows-10/db876c06-0329-465a-bab0-35997a575d17

https://support.microsoft.com/de-de/help/4046851/windows-10-controlled-folder-access-windows-defender-security-center

MBAM und AdwCleaner nimmt man da trotzdem.

bei Antwort benachrichtigen
winnigorny1 Alpha13 „https://answers.microsoft.com/en-us/windows/forum/windows_10-windows_install/taskhostwexe-on-windows-10/db876c06-0329-465a ...“
Optionen

OK.... Werde ich dann mal machen. - Wird aber ne Zeit dauern, da ich leider einen langwierigen Arzttermin wahrnehmen muss. Gesundheit ist arg angeschlagen; bin halt süße 68, da ist sowas leider nicht selten. Und das wird dann im laufenden System gemacht?

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Alpha13 winnigorny1 „OK.... Werde ich dann mal machen. - Wird aber ne Zeit dauern, da ich leider einen langwierigen Arzttermin wahrnehmen muss. ...“
Optionen

Ja.

bei Antwort benachrichtigen
winnigorny1 Alpha13 „Ja.“
Optionen

Danke.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
winnigorny1 Alpha13 „Ja.“
Optionen

Hallo Alpha!

habe meinen Arzttermin verschoben und beide Programme durchlaufen lassen Hat mir eben keine Ruhe gelassen.

Beide haben dieselben Bedrohungen (16 pubs) gefunden.Habe ich mir offensichtlich bei ner Probeinstallation von Chrome eingefangen.....

Zuerst mit Malwarebytes gescant - hat sie in Quarantäne verschoben - dann Adwarecleaner hat sie nochmal gefunden und - hoffentlich die Reste gelöscht..... - Dank dir nochmal. - Hoffe, der Rechner ist jetzt clean.

Werde wohl nochmal einen Offlinescan mit einer GDataRescudisc durchlaufen lassen.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen