Powershell startet automatisch & greift auf div. Dateien zu

[Serjo]

Hi Leute,

schon seit längerem öffne ich direkt nach dem PC-Start sowohl den Taskmanager als auch den Ressourcenmonitor und lasse beide dann dauerhaft offen, damit ich laufende Programme & Internetverbindungen immer im Auge habe.

Vor einigen Tagen ist mir dabei aufgefallen, dass plötzlich aus dem Nichts die Powershell gestartet wurde; im Taskmanager war sie nur für einen Sekundenbruchteil sichtbar, im Ressourcenmonitor hingegen sah man längere Zeit Zugriffe der Powershell auf irgendwelche Dateien (s. Screenshot unten).

Da ich vorher noch nie erlebt habe, dass von selber die Powershell gestartet wird, und auch weil sie u.a. auf diverse Dateien aus dem Ordner meines Antivirus' zugreift, kam mir das Ganze etwas seltsam vor. Das letzte Mal ist das passiert, als ich nach dem PC-Start 20 Minuten lang nichts getan habe, auch keine Mausbewegungen o.ä.
Ist euch vllt irgendeine Windows-Aufabe bekannt die bei Untätigkeit irgendwas mit der Powershell macht? Es gibt ja diverse andere Aufgaben die automatisch gestartet werden wenn man nichts tut, aber das mit der Powershell hab ich vorher nie gesehen. Oder habt ihr irgendeine andere Erklärung wenn ihr euch die Dateien anseht auf die da zugegriffen wird?

Hier ist mal ein Screenshot davon. Die 2 Teile links sind vom ersten Mal als ich das bemerkt habe, die 2 rechts vom zweiten. Das untere lief irgendwann mal ganz allein ohne weitere Powershell-Einträge in der Liste.

EDIT: Dann eben so (wusste bis eben garnicht dass das geht):

 

[o2r_basti]

screenshots fehlen

 

[Serjo]

Die hab ich doch im Link unten angefügt (letzter Absatz, erstes Wort).

 

[cumulonimbus8]

…und ich werde nie solche Links klicken. Dazu gibt es eine Forenfunktion - benutze diese.

Meine Meinung: wer Taskmanager und Ressourcenmonitor ständig braucht hat eine ganzen Satz an Problemen durch mutmaßlich zweifelhafte Software.

CN8

 

[Serjo]

Hab den Screenshot eben in den Eingangspost editiert. Der Grund dafür dass ich die beiden ständig offen lasse ist nicht, dass ich jeden Mist installiere (ganz im Gegenteil), aber da in letzter Zeit immer wieder sehr eigenartige/beunruhigende Dinge auf meinem PC passiert sind, bin ich leider etwas paranoid geworden. Jetzt überprüfe ich eben lieber alles, und wenn ich etwas entdecke das ich mir nicht erklären kann, frage ich eben nach um herauszufinden was das ist.

 

[o2r_basti]

und was ist so passiert?

 

[Serjo]

Das ist jetzt viel zu viel um hier alles aufzuzählen. Abgesehen davon ist es offtopic und würde nur den Thread zumüllen bzw. die Antworten würden sich nur noch darum drehen. Bleiben wir doch bitte beim Topic, ich will einfach nur klären was es mit dieser Powershell-Geschichte auf sich hat. Die letzten Monate ist sowas kein einziges Mal passiert, seit einigen Tagen passiert es hingegen schon regelmäßig, dafür muss es doch eine Erklärung geben?

 

[Serjo]

Hat denn keiner eine Ahnung was das sein könnte bzw. wie man das rausfinden kann? Ich hab übrigens bemerkt dass das immer nach genau 20 Minuten passiert, egal ob mit oder ohne Nutzeraktivität, scheint also eine geplante Aufgabe oder sowas zu sein, das muss sich doch irgendwie rausfinden lassen oder? Ich weiß nur nicht wie ich das anstelle..

 

[Zensai]

Vielleicht ergibt das was passiert ist aber darüber Aufschluss was die Powershell da macht. Wir fragen ja nicht ohne Grund
Das kann von Indizierung über Net Framework Updates alles mögliche sein.
Wenn du dir nicht sicher bist ob dein Rechner in Ordnung ist, setze ihn neu auf. Heutzutage ist das eine Sache von vllt 3h inklusive Installation der Software, wenn man nicht grade hochkomplexe Programme nutzt.

 

[Serjo]

Der Rechner wurde eh erst kürzlich formatiert, deshalb denke ich auch nicht dass es da mit den früheren seltsamen Ereignissen einen Zusammenhang gibt. Bevor ich einen Rechner wegen sowas neu aufsetze, würde ich doch viel lieber herausfinden ob das nicht was ganz Normales ist, bzw. was es denn überhaupt ist.

Wenn ich ihn bei Unsicherheit immer neu aufsetzen würde, müsste ich das doch im Stundentakt tun, denn wirklich sicher kann man sich sowieso nie sein ob alles passt. Jedes Programm das man installiert, kann alles Mögliche in seinem Code versteckt haben und man hat keine Möglichkeit herauszufinden was das ist, wenn man nicht grade zu 100 % open source Kram verwendet.

 

[Serjo]

Hat wirklich niemand irgendwas dazu zu sagen? Es wäre z.B. echt hilfreich zu wissen ob sowas bei euch auch passiert (leicht zu testen, passiert genau 20 Min. nach PC-Start), oder wie man herausfinden kann wodurch die Powershell aufgerufen wird.

@Zensai was genau meintest du z.B. mit Indizierung? Ich kann mit dem Begriff nicht so wirklich was anfangen. Würde das denn überhaupt Sinn machen wenn man bedenkt dass das bei mir erst seit wenigen Tagen passiert? Das mit den Framework-Updates kann ich mir hingegen nicht wirklich vorstellen, denn mittlerweile hab ich gemerkt dass die Powershell nicht nur einmal 20 Min. nach PC-Start aufgerufen wird, sondern immer wieder in bestimmten, etwa halbstündlichen Intervallen. Ich glaub kaum dass so oft nach Updates gesucht wird.

Außerdem habe ich noch herausgefunden, dass zwar nicht alle, aber viele der Dateien auf die da zugegriffen wird anscheinend einfach zum Funktionieren der Powershell nötig sind, die werden auch dann aufgerufen wenn ich selber die Powershell starte. Fragt sich nur noch wofür sie auf den Rest zugreift, besonders die .dll- und .log-Dateien aus meinem Antivirus-Ordner.

 

[cumulonimbus8]

Hat wirklich niemand irgendwas dazu zu sagen?

Von nix kütt nix.
Wie ich sagte, wer die Monitore braucht hat andere Probleme die gelöst werden sollten.
Da auch eine PowerShell nicht einfach so losrennt (und mir ist das, wo du so fragst, noch nie untergekommen) lautet die Pflicht sämtlichen Autostart zu kontrollieren, evtl. wer davon in Frage käme die PowerShell bemühen zu müssen.
CN8

 

[Serjo]

Wenn ich im Taskmanager den Autostart anschaue, sind dort nur die 4 Programme die dort schon ewig sind: Avast, EXPERTool (von Gainward), Microsoft OneDrive Setup und Windows Defender notification icon, mehr ist da nicht. Wenn eines von denen dafür verantwortlich ist, dann wäre dasselbe doch schon vor Monaten passiert und nicht erst seit ein paar Tagen.

 

[areiland]

Na dann schau doch mal die Tasks der Aufgabenplanung durch - irgendwo muss der Startbefehl für die Powershell ja hinterlegt sein. Wenn Du in einer Eingabeauffordrung mit Adminrechten die Befehlszeile: schtasks /query /v /fo:list >%userprofile%\Desktop\Aufgaben.txt ausführst, hast Du auf dem Desktop eine Auflistung aller Aufgaben liegen. In der kannst Du ja dann mal nach möglichen Kandidaten suchen.

 

[Serjo]

@areiland
Danke, genau sowas hab ich gebraucht. Hab das eben gemacht und 2 Aufgaben gefunden die die Powershell starten, nämlich Microsoft\Windows\SMB\UninstallSMB1ClientTask und im selben Pfad noch \UninstallSMB1ServerTask, wobei Letzteres 1999 zuletzt ausgeführt wurde ^^'

Beim ClientTask hingegen kommt das von den Startzeiten her hin, der wird dann wohl der Auslöser sein. Ich begreife nur nicht wieso das "Deinstallieren" von irgendeinem SMB1-Kram jeden Tag und alle 20 Minuten passieren muss, das ergibt für mich keinerlei Sinn. Hat jemand eine Erklärung für dieses Verhalten?

Bei der Aufgabe steht unter "Aktionen" -> "Programm/Skript": %windir%\system32\WindowsPowerShell\v1.0\powershell.exe

und unter "Argumente hinzufügen": -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& %windir%\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"