Herausfinden welcher Dienst powershell.exe startet

[kullakehx]

Moin Forum,

ich plage mich auf Arbeit mit Windows 10 rum und unser Systemhaus hat die Kiste meiner Meinung nach ziemlich verbastelt. Irgendwelche Programme oder Prozesse rufen regelmäßig powershell.exe auf und belegen einen ganzen Thread. Teilweise starten mehrere gleichzeitig und laufen mehrere Stunden. Ein manueller Abbruch ist möglich aber sinnlos, da der Dienst sofort neu startet. Ich kenne die PID, aber wie finde ich heraus wer den Aufruf gestartet hat? Ich habe den Virenscanner, ESET Service im Verdacht, kann es aber nicht belegen. ESET selbst kann ich nicht anhalten.

Danke euch!

 

[tomgit]

Und ans Systemhaus wenden und nachfragen, was die verbuggte Config soll, geht nicht, weil...?

 

[Aduasen]

Ist es eventuell im Autostart?
Dort lässt es sich deaktivieren.
Aber manche Dienste benötigen es halt.

 

[Tada100]

Hier ein Artikel dazu.
Kurzum; Cmd aufmachen-> tasklist eingeben und sehen welche Programme/ Dienste mit welcher PID aktiv sind.
Inkl. Sitzungsnummer und Speichernutzung.

 

[kullakehx]

Und ans Systemhaus wenden und nachfragen, was die verbuggte Config soll, geht nicht, weil...?

Ihr PC ist 4 Jahre alt, das Windows fast eineinhalb. Entweder wir setzen Ihr Windows neu auf oder Sie kaufen sich einen neuen Rechner. Entweder direkt bei uns oder von einer dritten Partei und wir binden ihn dann (kostenpflichtig) in ihr Netzwerk ein.

Ist es eventuell im Autostart?
Dort lässt es sich deaktivieren.
Aber manche Dienste benötigen es halt.

Nein, Autostart ist soweit ich es einsehen kann, leer.

Hier ein Artikel dazu.
Kurzum; Cmd aufmachen-> tasklist eingeben und sehen welche Programme/ Dienste mit welcher PID aktiv sind.
Inkl. Sitzungsnummer und Speichernutzung.

Danke, die PID habe ich. Wie komme ich nun an den Dienst/die exe?

 

[BFF]

Wenn es der PC noch tut das Windows neu und gut.

 

[Tada100]

Wie komme ich nun an den Dienst/die exe?

Um Dienste zu Deaktivieren einfach Dienste in die Suchleiste eingeben.
Danach auf Dienste(app) Klicken und die MMC öffnet sich
Mit der PID weißt du welches Programm verantwortlich ist dank der CMD und dem Taskmanager/ Ressourcenmonitor.

Wie das das jetzt am besten still legst musst du entscheiden, löschen , umbenennen am ausführen hindern ...
Da es ein Arbeit´s Pc ist und nicht dein Privater würde ich aber, vorher alles mit der IT abklären .

Um sicher zu gehen am besten Backup machen und validieren, ein Systemwiederherstellungspunkt funktioniert meist auch aber sicher ist sicher!

 

[sikarr]

Ich habe den Virenscanner, ESET Service im Verdacht, kann es aber nicht belegen. ESET selbst kann ich nicht anhalten.

Kann schon sein das es Eset ist, evtl. ein Agent der mittels Powershell eine Systeminventarisierung durchführt oder Backups.

Entweder wir setzen Ihr Windows neu auf oder Sie kaufen sich einen neuen Rechner. Entweder direkt bei uns oder von einer dritten Partei und wir binden ihn dann (kostenpflichtig) in ihr Netzwerk ein.

Dann sollen sie mal Eset für den Client deaktivieren, da sieht man ja ob es das ist. Find ich auch geil sie binden ihn kostenpflichtig in euer Netz ein. Mehr als zur Domäne hinzufügen und irgend ein Monitoring installieren werden die doch nicht machen?

 

[kullakehx]

Mit der PID weißt du welches Programm verantwortlich ist dank der CMD und dem Taskmanager/ Ressourcenmonitor.

Die exe wird damit nicht gelistet, nur die PID. Die Installation von TList bricht ohne weitere Meldung ab, ich kann .tlist [Options][FileNamePattern] somit nicht ausführen. Mit tasklist \m bekomme ich nicht mehr Informationen als über den Taskmanager oder die Dienstseite -- PID und keine weiteren .dll geschweige denn die exe.

Wenn es der PC noch tut das Windows neu und gut.

Dann darf ich alles neu einrichten. Die installierten Programme sind über die Hersteller gedongelt und ich darf dann Liveschaltungen nach Korea und Kanada machen. Nicht schön. Arbeitszeit zwar, aber dann gugg ich lieber aus dem Fenster.

Dann sollen sie mal Eset für den Client deaktivieren, da sieht man ja ob es das ist. Find ich auch geil sie binden ihn kostenpflichtig in euer Netz ein. Mehr als zur Domäne hinzufügen und irgend ein Monitoring installieren werden die doch nicht machen?

Client deaktivieren geht nicht weil . Und du hast recht, Domäne und Monitoring sind im Grunde die Zutaten für die Gelddruckmaschine. Ich habe ihnen gegenüber lange mit der Kompetenzvermutung gearbeitet, aber die Hypothese ist mittlerweile verworfen.

 

[sikarr]

Client deaktivieren geht nicht weil

Weil?

Ich habe mir nochmal das Bild deines Taskmanagers angeschaut, Eset und PS haben ähnliche hohe Auslastung und das zur selben Zeit, wird also Eset sein. Klapp dochmal den Eset Service im Taskmanager aus.

 

[kullakehx]

Gibt keinen Grund. Die haben gerade selbst ein Virenproblem und keine Leute mehr am Standort.

Der Taskmanager zeigt auch nichts Interessantes. Mehr als Dienste öffnen und suchen kann ich da auch nicht. Unter Details gibt´s weder für ekm noch powershell Optionen bzw Informationen.

 

[Iqra]

Process explorer besorgen und gucken.

Das Suchwort ist parent pid (PPID). Hat auch unter Windows jeder Prozess eine.

Konkret Powershell findet man auch im Event log, mit dem was da passiert.

Über gpo lassen sich da auch transcript logs anschalten. Damit sollte sich zumindest ein Anhaltspunkt finden. Und die .ps1 müssen ja irgendwo sein.

Plus, ebenso bei sysinternals das autoruns Tool angucken. Der sammelt alles zusammen, egal von wo gestartet wird und da gibts einige Stellen wo man gucken müßte.

 

[kullakehx]

Bingo. Process Explorer ist sogar DAU-freundlich, das bekomme ich auch dem Systemhaus vermittelt. Danke @Iqra !

 

[Tada100]

Process Explorer ist sogar DAU-freundlich

Soetwas gehört in den Anfangstpost..
den DAU-Freundlich sind PS und oder CMD nicht gerade , da hätte ich dann auch etwas anders vorgeschlagen...

 

[s1ave77]

das bekomme ich auch dem Systemhaus vermittelt

The Datto RMM Agent Process (AEMAgent.exe) is a child process of the main Datto RMM Agent Service (CagService) and is dedicated solely to performing endpoint monitoring tasks. Audit and other data submissions are performed by the main Datto RMM Agent Service.

https://rmm.datto.com/help/en/Content/5AGENT/AGENTANDAGENTBROWSER.htm

 

[sikarr]

@mae1cum77 der Agent scheint aber eher unauffällig.

Ergänzung (21. Dezember 2022)

Die installierten Programme sind über die Hersteller gedongelt und ich darf dann Liveschaltungen nach Korea und Kanada machen.

Ähm was läuft den eigentlich auf der Büchse als Anwendung und wer tobt da rum, nicht das die Powershellprozesse zu euerer Produktivsoftware gehören?

 

[kullakehx]

Soetwas gehört in den Anfangstpost..
den DAU-Freundlich sind PS und oder CMD nicht gerade , da hätte ich dann auch etwas anders vorgeschlagen...

Alles gut, danke dir. Die Infos sind da und ich kann sie auch vermitteln. Denn der Witz ist ja dass ....

https://rmm.datto.com/help/en/Content/5AGENT/AGENTANDAGENTBROWSER.htm

.... das die Monitoringsoftware vom Systemhaus ist. Tja, Softwareproblem. Kann man nichts machen.

@mae1cum77 der Agent scheint aber eher unauffällig.

Ergänzung (21. Dezember 2022)

Ähm was läuft den eigentlich auf der Büchse als Anwendung und wer tobt da rum, nicht das die Powershellprozesse zu euerer Produktivsoftware gehören?

CAD, MQTT, SPS-Steuerungssoftware und mehr. Will das nicht im Detail öffentlich stellen, bei Fragen PN.

Vielen Dank erstmal euch für die schnellen und hilfreichen Antworten. Morgen bimmel ich bei dem Laden durch und mache mein mentales Deeskalationstraining.

 

[kullakehx]

Achtung Doppelpost;

Auflösung des ganzen Spuks; das Wartungsskript war so eingestellt dass es minütlich durchlief. Alle Anfragen die nicht bearbeitet werden konnten gehen in die Warteschlange. Tja, und wenn es mal länger dauert wird halt die Warteschlange länger und länger. Das Systemhaus nur so: "Das waren Standardeinstellungen vom Hersteller. Kann man nichts machen. Wir haben die neue Konfiguration an alle unsere Kunden ausgerollt -- manche hatten sich schon gewundert dass ihre Kisten so langsam werden.".

In diesem Sinne, schöne Feiertage!

 

[sikarr]

Das waren Standardeinstellungen vom Hersteller. Kann man nichts machen.

Die machen es sich sehr einfach.

 

[Tada100]

manche hatten sich schon gewundert dass ihre Kisten so langsam werden.

Bloß das Systemhaus nicht .
Es ist nicht gerade vertrauensstiftend das sie (das Systemhaus) das Script nicht ausführlich getestet haben um solche dinge wie " mein System ist so langsam , warum nur ?" gar nicht erst auftreten.