Zitat von
Komplize des Lee
Diese aufpoppende Kommandozeile taucht regelmäßig um XX:45 Uhr auf. Den Bootvorgang muss ich doch eigentlich gar nicht überwachen wenn das im laufenden Betrieb passiert, oder?
Genau (kein besonderer Anlass ohne genügend begründeten Verdacht). Ob man trotzdem weitere Maßnahmen durchführen will, z. B. im Rahmen einer allgemeinen Sicherheitsprüfung, ist eine andere Frage und bleibt davon unberührt.
Auf jeden Fall zeigen die geloggten Prozesse um die genannte Uhrzeit folgende Einträge auf:
C:\Windows\System32\svchost.exe
C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe
C:\Windows\System32\conhost.exe
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8218.40507.0_x64__8weky b3d8bbwe\HxTsr.exe
C:\Windows\System32\backgroundTaskHost.exe
C:\Windows\System32\InstallAgent.exe
Ein wunderbarer Ausschnitt (es passst augenscheinlich alles zusammen, jedoch: keine Beweiskraft)! Siehe dazu auch dieses. Demnach soll es inzwischen einen Fix geben (vermutlich, indem der Job zwar noch ausgeführt wird, aber dann ohne Konsolenfenster). Falls du nicht am Microsoft Office Insider-Programm teilnimmst (würde ich auch nicht tun, um sich nicht noch mehr Probleme einzuhandeln), wirst du wohl noch abwarten müssen, um in den Genuss zu kommen, evtl. bis zum nächsten Office-Update oder, mit etwas Glück, bis Microsoft wieder Fixes einspielt, was schon in den nächsten Tagen geschehen könnte. Das Problem ist also bekannt.
Das scheinen alles systemeigene Prozesse zu sein, die in Ordnung sein sollten, oder?
Sieht zumindest unverdächtig aus.
Edit 1: Ich habe im Internet gefunden, dass sich einige Viren und Trojaner gerne als HxTsr.exe (was eigentlich eine zu Microsoft Outlook gehörende Datei ist) tarnen.
Hier bzw.
hier stehen Hashes der Datei, die ich auf meinem System mal nachprüfen wollte. Allerdings wird mir der Zugriff auf den Ordner "WindowsApps" verweigert. Wie kann ich eine Leseberechtigung für dieses Verzeichnis und alle Unterverzeichnisse erstellen und sie nach meiner Nachprüfaktion wieder aufheben?
Die Benutzerkontensteuerung (UAC) macht dir beim Explorer einen Strich durch die Rechnung (obwohl Administratoren eigentlich Leseberechtigungen haben). Ich rate davon ab, irgendwelche Veränderungen am Besitz oder an den Berechtigungen vorzunehmen, weil es misslingen könnte, den Originalzustand wiederherstellen.
Riskant: Eine Möglichkeit wäre, als richtiger Administrator zu arbeiten, wozu du das entsprechenden Konto erst freischalten müsstest. Darunter hättest du solche Zugriffsbeschränkungen nicht mehr. Weil man damit leicht durch ein Versehen etwas kaputtmachen kann, rate ich aber auch davon ab, es sei denn, man braucht das wirklich. Und auch dabei gilt: Nichts manipulieren, sondern eine Kopie der betreffenden Daten anfertigen, mit der man dann weiterarbeitet (unter einem normalen Benutzerkonto).
Besser und gezielt: Konsole mit Administratorrechten starten und darin arbeiten. So ließen sich bei mir ohne Verrenkungen die Inhalte auflisten und die besagte Datei kopieren. Auch dabei müsstest du aufpassen. Soweit du nur etwas in dein Benutzerprofil kopierst (z. B. nach %USERPROFILE%), bleiben die Risiken eher gering.
Einfach und sicher: Den ganzen Ordner kopieren (vorausgesetzt, du hast genügend Platz (bei mir ist es ca. 1,2 GB, woanders evtl. mehr)). Dann musst du nur einmal Administratorberechtigungen gewähren und erhältst deine Kopie, welche neue Berechtigungen erbt, was das Zugriffsproblem löst. Dann kannst du auf der Kopie arbeiten.
Edit 2: Es scheint tatsächlich an Microsoft Office zu liegen, [...]
Kannst deine HxTsr.exe trotzdem mal bei virustotal.com prüfen lassen. Bisher spricht nichts dafür, dass damit etwas nicht stimmt, was sich vermutlich auch hier bestätigen wird.
Vorsichtshalber: Du vergisst ja nicht, dass du das hinzugefügte Logging deaktivieren willst, wenn du es nicht mehr brauchst.