Winexesvc noch notwendig?

Antworten
Valentino-46
Beiträge: 280
Registriert: 05 Aug 2011, 14:24

Winexesvc noch notwendig?

Beitrag von Valentino-46 »

Guten Tag zusammen,

seit 10. Juni 2019 schlägt bei manchen Virenscannern neuerdings die winexesvc.exe als PUA also potentiell ungewollte Software auf.

Wird dieser Dienst in der neuesten OPSI-Client-Agent Version noch benötigt!? Er ist ja als Dienst installiert und liegt unter C:\Windows.
Aktuell sehe ich Ihn bei uns nur auf Windows 7 Clients.

Vielen Dank für eure Unterstützung.

Mit freundlichen Grüßen,
Valentino
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitrag von ThomasT »

Hallo,

der Dienst entsteht, wenn man mit der winexe auf den Client zugreift.
Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
Benutzeravatar
CKoehler
Beiträge: 35
Registriert: 14 Sep 2015, 21:12
Wohnort: Braunschweig

Re: Winexesvc noch notwendig?

Beitrag von CKoehler »

Moin,

Unser Sophos hat uns heute auch einige Meldungen zur genannten Anwendung geliefert:

Code: Alles auswählen

Datei "C:\Windows\winexesvc.exe" gehört zu Adware/PUA 'WinExeSvc' (Typ Hacking Tool)
Unser Sophos hat die Datei dann in die Quarantäne geschoben.

Die Datei selbst hat eine Dateigröße von ca. 30KB. Betroffen waren nur die älteren Windows 7 Clients (W7 SP1).
ThomasT hat geschrieben: Typischerweise geschieht das dann, wenn man mit opsi-deploy-client-agent den OPSI-Client-Agent auf einen bereits installierten Rechner ausrollt.
Betroffen waren bei uns ausschließlich PCs, die schon lange den opsi-client-agent drauf haben.

Würde mich auch mal interessieren, wo die Meldung nun auf einmal her kommt.

Grüße
Christopher
Let's try something new: opsi-docker
uncle_scrooge
Beiträge: 650
Registriert: 21 Feb 2012, 12:03
Wohnort: Mainz

Re: Winexesvc noch notwendig?

Beitrag von uncle_scrooge »

>>nun auf einmal her kommt.

Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.

Ein vergleichbares Spielchen habe ich ab und an mit McAfee und psexec aus der Sysinternals Suite. Nach Update x schlägt der Scanner an, und nach Update y ist wieder Ruhe. Obwohl die Datei schon seit dem letzten Gipskrieg da rumliegt.
Benutzeravatar
CKoehler
Beiträge: 35
Registriert: 14 Sep 2015, 21:12
Wohnort: Braunschweig

Re: Winexesvc noch notwendig?

Beitrag von CKoehler »

uncle_scrooge hat geschrieben: Die Frage adressierst Du am besten an euren Sophos-Verantwortlichen: Haste an der Config gedreht, und das Scannen nach PUA/PUP aktiviert?
Oder an Sophos. Ob sie an den Pattern bzw. an den Strukturen für die behavioral analysis geschraubt haben.
Da wurde bei uns nichts verändert. Ich nehme mal an, dass es in den normalen Updates von Sophos drin ist.

Ich frage mich halt:
1. Warum das nun auf einmal geblockt wird?
2. Wieso gibt es die Datei nur bei den älteren Windows 7 Clients und nicht den neueren Windows 10?
Let's try something new: opsi-docker
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitrag von ThomasT »

zu 1. Das ist vermutlich auf eine Änderung bei Sophos zurückzuführen. Die WinexeSVC wurde nach einem Update als bösartig erkannt ( da es für Angriffe missbraucht wurde). Danach wurde sie herabgestuft zu einer PUA.
zu 2. Von OPSI aus wird sie, wie gesagt nur angelegt, wenn das opsi-deploy-client-agent Skript aufgerufen wird. Es bleibt also die Frage, wie die betroffenen Win7 Rechner aufgesetzt worden sind, oder welcher sonstige Dienst die winexesvc nutzt.
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
mte
Beiträge: 21
Registriert: 03 Mai 2019, 10:06

Re: Winexesvc noch notwendig?

Beitrag von mte »

Derzeit schlägt bei uns Symantec Endpoint Protection bei der winexesvc zu (sowohl bei bestehenden Plätzen per Scan als auch beim versuchten Rollout per configed.
Lässt sich die Verteilung der winexesvc irgendwie umgehen?

Habe das Problem, dass ich derzeit noch in der Testphase bin und demnächst den Client Agent in die Breite bringen würde...wenn uns SEP aber beim Rollout alles zerhaut macht das eher wenig Sinn...
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: Winexesvc noch notwendig?

Beitrag von ThomasT »

Naja der opsi-client-agent muss halt irgendwie auf die Clients drauf kommen und dort dann ausgeführt werden.
Bei einer Betriebssystemneuinstallation erledigt das das OS-Netboot-Paket. Bei bereits bestehenden Installationen ist das entsprechend schwieriger.
Der Weg über die Winexe ist nun ein relativ einfacher, sicherlich kann man das auch über z.B. Powershell-Remoting oder Gruppenrichtlinien realisieren. Das ist aber sehr stark umgebungsabhängig und liegt daher im Ermessen des jeweiligen Admins...
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
Antworten