Winexesvc noch notwendig?

Valentino-46
Beiträge: 187
Registriert: 05 Aug 2011, 14:24

Winexesvc noch notwendig?

Beitragvon Valentino-46 » 12 Jun 2019, 11:39

Guten Tag zusammen,

seit 10. Juni 2019 schlägt bei manchen Virenscannern neuerdings die winexesvc.exe als PUA also potentiell ungewollte Software auf.

Wird dieser Dienst in der neuesten OPSI-Client-Agent Version noch benötigt!? Er ist ja als Dienst installiert und liegt unter C:\Windows.
Aktuell sehe ich Ihn bei uns nur auf Windows 7 Clients.

Vielen Dank für eure Unterstützung.

Mit freundlichen Grüßen,
Valentino

Benutzeravatar
ThomasT
uib-Team
Beiträge: 144
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitragvon ThomasT » 12 Jun 2019, 11:58

Hallo,

der Dienst entsteht, wenn man mit der winexe auf den Client zugreift.
Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.

Benutzeravatar
CKoehler
Beiträge: 24
Registriert: 14 Sep 2015, 21:12
Wohnort: Braunschweig

Re: Winexesvc noch notwendig?

Beitragvon CKoehler » 13 Jun 2019, 16:23

Moin,

Unser Sophos hat uns heute auch einige Meldungen zur genannten Anwendung geliefert:

Code: Alles auswählen

Datei "C:\Windows\winexesvc.exe" gehört zu Adware/PUA 'WinExeSvc' (Typ Hacking Tool)


Unser Sophos hat die Datei dann in die Quarantäne geschoben.

Die Datei selbst hat eine Dateigröße von ca. 30KB. Betroffen waren nur die älteren Windows 7 Clients (W7 SP1).

ThomasT hat geschrieben:Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.


Betroffen waren bei uns ausschließlich PCs, die schon lange den opsi-client-agent drauf haben.

Würde mich auch mal interessieren, wo die Meldung nun auf einmal her kommt.

Grüße
Christopher

uncle_scrooge
Beiträge: 574
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Winexesvc noch notwendig?

Beitragvon uncle_scrooge » 13 Jun 2019, 17:49

>>nun auf einmal her kommt.

Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.

Ein vergleichbares Spielchen habe ich ab und an mit McAfee und psexec aus der Sysinternals Suite. Nach Update x schlägt der Scanner an, und nach Update y ist wieder Ruhe. Obwohl die Datei schon seit dem letzten Gipskrieg da rumliegt.

Benutzeravatar
CKoehler
Beiträge: 24
Registriert: 14 Sep 2015, 21:12
Wohnort: Braunschweig

Re: Winexesvc noch notwendig?

Beitragvon CKoehler » 13 Jun 2019, 19:25

uncle_scrooge hat geschrieben:Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.

Da wurde bei uns nichts verändert. Ich nehme mal an, dass es in den normalen Updates von Sophos drin ist.

Ich frage mich halt:
1. Warum das nun auf einmal geblockt wird?
2. Wieso gibt es die Datei nur bei den älteren Windows 7 Clients und nicht den neueren Windows 10?

Benutzeravatar
ThomasT
uib-Team
Beiträge: 144
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitragvon ThomasT » 14 Jun 2019, 09:11

zu 1. Das ist vermutlich auf eine Änderung bei Sophos zurückzuführen. Die WinexeSVC wurde nach einem Update als bösartig erkannt ( da es für Angriffe missbraucht wurde). Danach wurde sie herabgestuft zu einer PUA.
zu 2. Von OPSI aus wird sie, wie gesagt nur angelegt, wenn das opsi-deploy-client-agent Skript aufgerufen wird. Es bleibt also die Frage, wie die betroffenen Win7 Rechner aufgesetzt worden sind, oder welcher sonstige Dienst die winexesvc nutzt.
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.

mte
Beiträge: 6
Registriert: 03 Mai 2019, 10:06

Re: Winexesvc noch notwendig?

Beitragvon mte » 24 Jun 2019, 11:11

Derzeit schlägt bei uns Symantec Endpoint Protection bei der winexesvc zu (sowohl bei bestehenden Plätzen per Scan als auch beim versuchten Rollout per configed.
Lässt sich die Verteilung der winexesvc irgendwie umgehen?

Habe das Problem, dass ich derzeit noch in der Testphase bin und demnächst den Client Agent in die Breite bringen würde...wenn uns SEP aber beim Rollout alles zerhaut macht das eher wenig Sinn...

Benutzeravatar
ThomasT
uib-Team
Beiträge: 144
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitragvon ThomasT » 24 Jun 2019, 13:46

Naja der opsi-client-agent muss halt irgendwie auf die Clients drauf kommen und dort dann ausgeführt werden.
Bei einer Betriebssystemneuinstallation erledigt das das OS-Netboot-Paket. Bei bereits bestehenden Installationen ist das entsprechend schwieriger.
Der Weg über die Winexe ist nun ein relativ einfacher, sicherlich kann man das auch über z.B. Powershell-Remoting oder Gruppenrichtlinien realisieren. Das ist aber sehr stark umgebungsabhängig und liegt daher im Ermessen des jeweiligen Admins...
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.