[Komplize des Lee]

Hallo Leute!

Seit einigen Tagen poppt beim Betrieb meines Win10-PCs (im Abstand von mehreren Stunden) für kurze Zeit ein kleines Fenster auf, was sofort wieder verschwindet. Von der Fenstergröße könnte es ein schnell ausgeführtes Batch-Skript sein. Das ist mir nicht geheuer. Ich würde gerne wissen was das für ein Programm ist, um auszuschließen dass es sich um Schadsoftware handelt. Mein Virenscanner hat zwar bis jetzt noch nichts gefunden, aber das muss ja nichts heißen.
Gibt es ein Programm, mit dem man alle ausgeführten Prozesse innerhalb einer bestimmten Zeitdauer loggen kann und diesen Log als Excel-Tabelle oder Textdatei speichern kann?

Viele Grüße,
Komplize des Lee

[jabu]

Geht es um die Professional-Variante? Die hat schon alles drin, siehe hier. Bei der Home-Variante würdest du dich dafür ganz schön verrenken müssen.

Eine Alternative:
Grundsätzlich kann ich Sysmon(64) empfehlen. Aus der verlinkten Beschreibung zitiert:

Generates events from early in the boot process to capture activity made by even sophisticated kernel-mode malware.

Das sollte also passen. Du könntest mal gegen legitime Kernelmodule checken, ob das klappt.

Wo ich skeptisch wäre: Tools, die lediglich die Informationen abrufen, die der Taskmanager nutzt. Denn Schadsoftware versucht schon mal, sich davor zu verstecken (klinkt Listeneintrag aus). Ich weiß leider nicht, inwiefern die ganz oben aufgeführte Methode verlässlicher ist. Sysmon installiert seinen eigenen Treiber, weswegen das schon ganz passabel sein könnte. Aber nicht vergessen, den nachher zu deinstallieren, wenn du ihn nicht mehr brauchst.

Ganz vergessen: Oftmals genügt auch schon ein Durchgucken (und evtl. testweises Deaktivieren) von Starteinträgen mit Autoruns(64). Zum Starten empfehlen sich Administratorberechtigungen, weil du sonst nicht alles zu sehen bekämest.

[Komplize des Lee]

Geht es um die Professional-Variante? Die hat schon alles drin, siehe hier. Bei der Home-Variante würdest du dich dafür ganz schön verrenken müssen.

Ich habe die Education-Variante und deine aufgeführte Einstellung auch schon gefunden. Meine Frage wäre jetzt: Wo finde ich die Datei, in der die ganzen Sachen geloggt werden?

Edit: Würde nicht auch das Tool Process Monitor ausreichen? Unter der Annahme, dass das aufgerufene Programm keine Malware ist, die sich verstecken möchte. Aber dann würde die Malware doch nicht als sichtbares Kommandozeilenfenster aufpoppen.

[jabu]

Ich habe die Education-Variante und deine aufgeführte Einstellung auch schon gefunden. Meine Frage wäre jetzt: Wo finde ich die Datei, in der die ganzen Sachen geloggt werden?

Hier: %SystemRoot%\System32\winevt\Logs\Security.evtx

Aber das Dateiformat ist hässlich, da es speziell für die Ereignisanzeige vorgesehen ist. Außerdem sind auch die anderen Ereignisse dieser Kategorie drin, welche also nicht zum gewünschten Vorgang gehören.

Aber so brauchst du dich nicht zu verrenken. Es genügt, die Ereignisanzeige direkt aufzurufen. Unter Windows-Protokolle > Sicherheit solltest du die Ereignisse, die dich interessieren, aufgelistet bekommen, allerdings alle, welche in diese Kategorie fallen. Eine Anleitung gibt es z. B. auch hier. Das läuft bei Sysmon auch so (wobei Sysmon ein separates Log erzeugen lässt (unter Anwendungs- und Dienstprotokolle tief verschachtelt zu finden)). Die Ergebnisse sind einigermaßen gut lesbar.

Es lassen sich flexibel Inhalte auswählen und in eine Datei ausgeben, indem man die Liste filtern lässt oder die benötigten Ereignisse manuell auswählt. Sie lassen sich zu verschiedenen Formaten exportieren, z. B. als CSV (für Texteditor oder Tabellenkalkulation) oder XML (zum Erhalt der Struktur, zur Anzeige im Browser (übersichtlich) oder in XML Notepad (Auffinden per Struktur). Dann hast du in einer Datei, was du brauchst.

Edit: Würde nicht auch das Tool Process Monitor ausreichen? Unter der Annahme, dass das aufgerufene Programm keine Malware ist, die sich verstecken möchte. Aber dann würde die Malware doch nicht als sichtbares Kommandozeilenfenster aufpoppen.

Process Monitor ist toll, wollte das Tool auch zuerst mitempfehlen. Allerdings hättest du den Aufwand mit einem stark verzögerten Start wegen einer Informationsflut, die du filtern lassen müsstest, um damit zurechtzukommen. Eine bebilderte Anleitung für das Logging habe ich hier gefunden.

[Komplize des Lee]

Muss man die erstellten Logs manuell löschen sobald man diese nicht mehr benötigt? Und wenn ja, wie macht man das am besten?

[jabu]

Muss man die erstellten Logs manuell löschen sobald man diese nicht mehr benötigt?

Nein, zum Glück nicht, denn die maximale Dateigröße ist auf einen Standardwert festgelegt. Beim Überschreiten dieses Wertes wird der Platz durch Überschreiben wiederverwendet, sodass die Datei nicht weiter anwachsen kann. Du kannst aber den Grenzwert absenken, wenn er dir zu hoch erscheint. Für den Bootvorgang braucht er aber eine ordentliche Größe. Ob der voreingestellte Wert genügt? Durch Ausprobieren solltest du es herausfinden können.

Eine kleine Hürde hättest du zu nehmen:
Woher solltest du wissen, wo der Bootvorgang beginnt? Das lässt sich aber leicht feststellen: Einfach die genaue Startzeit notieren (Abweichung dieser Uhr von der Windows-Uhr berücksichtigen)! Der Start beginnt also mit dem ersten darauffolgenden Eintrag. Es empfiehlt sich, den PC für ein paar Minuten ausgeschaltet zu lassen, damit sich die Stelle erkennbar abhebt (bei ausreichend großer Lücke solltest du dir die zusätzliche Uhr sparen können). Wenn der erste Eintrag einen zu späten Zeitstempel hat, dann sollte wohl die Dateigröße zu klein sein.
Besser wäre es aber, wenn du zur Sicherheit den ersten Eintrag auch ohne Zeitstempel ausfindig machen oder zumindest auf Plausibilität prüfen kannst. Nach ein paar Versuchen sollte das gelingen, wenn es nicht zum Überschreiben kommt. Deswegen würde ich das vorher üben, wenn die zusätzlichen Ereignisse noch nicht mitprotokolliert werden.

Und wenn ja, wie macht man das am besten?

Gelöscht wird über die Ereignisanzeige, sodass die Dateien erhalten bleiben, und nicht etwa, indem du versuchst, die Dateien zu löschen, denn das könnte Nebenwirkungen haben. Einzige Ausnahme wäre ein Protokoll, welches nicht mehr zugeordnet ist, also z. B. das eigens wegen Sysmon erstellte, nachdem Sysmon deinstalliert wurde. Nötig ist das normalerweise aber nicht.

Die Einträge des Protokolls kannst du nach Belieben löschen und zwar so:
(Kontextmenü zu Protokollnahme (Rechtsklick) > Protokoll löschen)

Ebenso ginge es über die Eigenschaften, welche ebenfalls per Kontextmenü verfügbar sind. Dort lässt sich auch die maximale Dateigröße einstellen.

Zum Schluss solltest du natürlich die Maßnahme rückgängig machen, damit nicht jede Ausführung eines Programms protokolliert wird, denn das kostet etwas Zeit. Im Normalfall ist das sogar zu vernachlässigen, aber so pauschal würde ich das nicht unterschreiben wollen, weil es darauf ankommt, was du machst.

Ich glaube, dass einem das anfangs komplizierter vorkommt, als es sich später darstellt.

[Komplize des Lee]

Diese aufpoppende Kommandozeile taucht regelmäßig um XX:45 Uhr auf. Den Bootvorgang muss ich doch eigentlich gar nicht überwachen wenn das im laufenden Betrieb passiert, oder? Auf jeden Fall zeigen die geloggten Prozesse um die genannte Uhrzeit folgende Einträge auf:

C:\Windows\System32\svchost.exe
C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe
C:\Windows\System32\conhost.exe
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8218.40507.0_x64__8weky b3d8bbwe\HxTsr.exe
C:\Windows\System32\backgroundTaskHost.exe
C:\Windows\System32\InstallAgent.exe

Das scheinen alles systemeigene Prozesse zu sein, die in Ordnung sein sollten, oder?

Edit 1: Ich habe im Internet gefunden, dass sich einige Viren und Trojaner gerne als HxTsr.exe (was eigentlich eine zu Microsoft Outlook gehörende Datei ist) tarnen. Hier bzw. hier stehen Hashes der Datei, die ich auf meinem System mal nachprüfen wollte. Allerdings wird mir der Zugriff auf den Ordner "WindowsApps" verweigert. Wie kann ich eine Leseberechtigung für dieses Verzeichnis und alle Unterverzeichnisse erstellen und sie nach meiner Nachprüfaktion wieder aufheben?

Edit 2: Es scheint tatsächlich an Microsoft Office zu liegen, hier ein Thema aus einem Anti-Malware-Forum: http://www.trojaner-board.de/185743-...beltaeter.html

[jabu]

Diese aufpoppende Kommandozeile taucht regelmäßig um XX:45 Uhr auf. Den Bootvorgang muss ich doch eigentlich gar nicht überwachen wenn das im laufenden Betrieb passiert, oder?

Genau (kein besonderer Anlass ohne genügend begründeten Verdacht). Ob man trotzdem weitere Maßnahmen durchführen will, z. B. im Rahmen einer allgemeinen Sicherheitsprüfung, ist eine andere Frage und bleibt davon unberührt.

Auf jeden Fall zeigen die geloggten Prozesse um die genannte Uhrzeit folgende Einträge auf:

C:\Windows\System32\svchost.exe
C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe
C:\Windows\System32\conhost.exe
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8218.40507.0_x64__8weky b3d8bbwe\HxTsr.exe
C:\Windows\System32\backgroundTaskHost.exe
C:\Windows\System32\InstallAgent.exe

Ein wunderbarer Ausschnitt (es passst augenscheinlich alles zusammen, jedoch: keine Beweiskraft)! Siehe dazu auch dieses. Demnach soll es inzwischen einen Fix geben (vermutlich, indem der Job zwar noch ausgeführt wird, aber dann ohne Konsolenfenster). Falls du nicht am Microsoft Office Insider-Programm teilnimmst (würde ich auch nicht tun, um sich nicht noch mehr Probleme einzuhandeln), wirst du wohl noch abwarten müssen, um in den Genuss zu kommen, evtl. bis zum nächsten Office-Update oder, mit etwas Glück, bis Microsoft wieder Fixes einspielt, was schon in den nächsten Tagen geschehen könnte. Das Problem ist also bekannt.

Das scheinen alles systemeigene Prozesse zu sein, die in Ordnung sein sollten, oder?

Sieht zumindest unverdächtig aus.

Edit 1: Ich habe im Internet gefunden, dass sich einige Viren und Trojaner gerne als HxTsr.exe (was eigentlich eine zu Microsoft Outlook gehörende Datei ist) tarnen. Hier bzw. hier stehen Hashes der Datei, die ich auf meinem System mal nachprüfen wollte. Allerdings wird mir der Zugriff auf den Ordner "WindowsApps" verweigert. Wie kann ich eine Leseberechtigung für dieses Verzeichnis und alle Unterverzeichnisse erstellen und sie nach meiner Nachprüfaktion wieder aufheben?

Die Benutzerkontensteuerung (UAC) macht dir beim Explorer einen Strich durch die Rechnung (obwohl Administratoren eigentlich Leseberechtigungen haben). Ich rate davon ab, irgendwelche Veränderungen am Besitz oder an den Berechtigungen vorzunehmen, weil es misslingen könnte, den Originalzustand wiederherstellen.

Riskant: Eine Möglichkeit wäre, als richtiger Administrator zu arbeiten, wozu du das entsprechenden Konto erst freischalten müsstest. Darunter hättest du solche Zugriffsbeschränkungen nicht mehr. Weil man damit leicht durch ein Versehen etwas kaputtmachen kann, rate ich aber auch davon ab, es sei denn, man braucht das wirklich. Und auch dabei gilt: Nichts manipulieren, sondern eine Kopie der betreffenden Daten anfertigen, mit der man dann weiterarbeitet (unter einem normalen Benutzerkonto).

Besser und gezielt: Konsole mit Administratorrechten starten und darin arbeiten. So ließen sich bei mir ohne Verrenkungen die Inhalte auflisten und die besagte Datei kopieren. Auch dabei müsstest du aufpassen. Soweit du nur etwas in dein Benutzerprofil kopierst (z. B. nach %USERPROFILE%), bleiben die Risiken eher gering.

Einfach und sicher: Den ganzen Ordner kopieren (vorausgesetzt, du hast genügend Platz (bei mir ist es ca. 1,2 GB, woanders evtl. mehr)). Dann musst du nur einmal Administratorberechtigungen gewähren und erhältst deine Kopie, welche neue Berechtigungen erbt, was das Zugriffsproblem löst. Dann kannst du auf der Kopie arbeiten.

Edit 2: Es scheint tatsächlich an Microsoft Office zu liegen, [...]

Kannst deine HxTsr.exe trotzdem mal bei virustotal.com prüfen lassen. Bisher spricht nichts dafür, dass damit etwas nicht stimmt, was sich vermutlich auch hier bestätigen wird.

Vorsichtshalber: Du vergisst ja nicht, dass du das hinzugefügte Logging deaktivieren willst, wenn du es nicht mehr brauchst.

[Komplize des Lee]

Erstmal danke für die ausführliche Hilfe!

Vorsichtshalber: Du vergisst ja nicht, dass du das hinzugefügte Logging deaktivieren willst, wenn du es nicht mehr brauchst.

Ja, ich habe das Logging nach der Aufnahme der obigen Prozesse sofort wieder deaktiviert.