forum.opsi.org

Guten Tag zusammen,

seit 10. Juni 2019 schlägt bei manchen Virenscannern neuerdings die winexesvc.exe als PUA also potentiell ungewollte Software auf.

Wird dieser Dienst in der neuesten OPSI-Client-Agent Version noch benötigt!? Er ist ja als Dienst installiert und liegt unter C:\Windows.
Aktuell sehe ich Ihn bei uns nur auf Windows 7 Clients.

Vielen Dank für eure Unterstützung.

Mit freundlichen Grüßen,
Valentino

Hallo,

der Dienst entsteht, wenn man mit der winexe auf den Client zugreift.
Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.

Moin,

Unser Sophos hat uns heute auch einige Meldungen zur genannten Anwendung geliefert: Unser Sophos hat die Datei dann in die Quarantäne geschoben.

Die Datei selbst hat eine Dateigröße von ca. 30KB. Betroffen waren nur die älteren Windows 7 Clients (W7 SP1).

ThomasT hat geschrieben: Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.

Betroffen waren bei uns ausschließlich PCs, die schon lange den opsi-client-agent drauf haben.

Würde mich auch mal interessieren, wo die Meldung nun auf einmal her kommt.

Grüße
Christopher

>>nun auf einmal her kommt.

Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.

Ein vergleichbares Spielchen habe ich ab und an mit McAfee und psexec aus der Sysinternals Suite. Nach Update x schlägt der Scanner an, und nach Update y ist wieder Ruhe. Obwohl die Datei schon seit dem letzten Gipskrieg da rumliegt.

uncle_scrooge hat geschrieben: Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.

Da wurde bei uns nichts verändert. Ich nehme mal an, dass es in den normalen Updates von Sophos drin ist.

Ich frage mich halt:
1. Warum das nun auf einmal geblockt wird?
2. Wieso gibt es die Datei nur bei den älteren Windows 7 Clients und nicht den neueren Windows 10?

zu 1. Das ist vermutlich auf eine Änderung bei Sophos zurückzuführen. Die WinexeSVC wurde nach einem Update als bösartig erkannt ( da es für Angriffe missbraucht wurde). Danach wurde sie herabgestuft zu einer PUA.
zu 2. Von OPSI aus wird sie, wie gesagt nur angelegt, wenn das opsi-deploy-client-agent Skript aufgerufen wird. Es bleibt also die Frage, wie die betroffenen Win7 Rechner aufgesetzt worden sind, oder welcher sonstige Dienst die winexesvc nutzt.

Derzeit schlägt bei uns Symantec Endpoint Protection bei der winexesvc zu (sowohl bei bestehenden Plätzen per Scan als auch beim versuchten Rollout per configed.
Lässt sich die Verteilung der winexesvc irgendwie umgehen?

Habe das Problem, dass ich derzeit noch in der Testphase bin und demnächst den Client Agent in die Breite bringen würde...wenn uns SEP aber beim Rollout alles zerhaut macht das eher wenig Sinn...

Naja der opsi-client-agent muss halt irgendwie auf die Clients drauf kommen und dort dann ausgeführt werden.
Bei einer Betriebssystemneuinstallation erledigt das das OS-Netboot-Paket. Bei bereits bestehenden Installationen ist das entsprechend schwieriger.
Der Weg über die Winexe ist nun ein relativ einfacher, sicherlich kann man das auch über z.B. Powershell-Remoting oder Gruppenrichtlinien realisieren. Das ist aber sehr stark umgebungsabhängig und liegt daher im Ermessen des jeweiligen Admins...