[gelöst] WMIPRVSE.exe will Zugriff auf geschützten Ordner

jadebar

kennt sich schon aus
Liebes Forum,

seit einiger Zeit taucht immer wieder eine Warnung auf, dass der Prozess WMIPRVSE.exe auf einen geschützten Ordner zugreifen will, und zwar auf \device\CdRom0. Schweregrad ist niedrig.
Das ist sehr seltsam, weil ist das nicht das CD-Laufwerk? Es ist übrigens keine CD eingelegt.
Und \device\CdRom0 ist auch nicht in der Liste der geschützten Ordner eingetragen.
Mir kommt das verdächtig vor, daher gebe ich den Zugriff nicht frei.
Die exe kommt im System sehr oft vor, siehe Image.
Was der Prozess macht verstehe ich im Grunde. Weiß jemand Rat?

Gruß
jadebar

. wmprvse.jpg
 
Anzeige

Porky

gehört zum Inventar
Hm, WMIPRVSE.exe gehört zwar zu Windows, wird aber bei mir aktuell nicht ausgeführt. Wird WMIPRVSE.exe bei dir im Task-Manger angezeigt?
Die 16 Einträge habe ich auch im System.
So, ich habe gerade mal nach Updates gesucht, dann startete dieser Prozess.
 

jadebar

kennt sich schon aus
Ja, der WMI Provider Host ist zweimal im Taskmanager zu finden, Dateipfad ist der, der es laut Web auch sein sollte: C:\Windows\System32\wbem\
Kann ich irgendwie herausfinden, womit (Ressource, etc.) er zu tun hat? Schaut ja alles recht unverdächtig aus, aber es kommt mir trotzdem komisch vor.
Während ich das hier schreibe, hat sich einer der zwei Einträge verabschiedet....
 

Porky

gehört zum Inventar
Ich tippe auf Software die nach Updates sucht, z. B. Browser. Sieh mal in der Aufgabenplanung nach.
Noch eine sehr vage Vermutung: Einstellung Downloads von anderen PCs zulassen???
 

Anhänge

  • Einstellungen.png
    Einstellungen.png
    328,4 KB · Aufrufe: 37

Porky

gehört zum Inventar
Gewollter neuer Beitrag:
Dann suchen wir mal nach ungewöhnlichen Sachen und Aktivitäten. Lade dir FRST in der richtigen Version - also wahrscheinlich 64bit - herunter: Just a moment...
Kopiere oder verschiebe die Datei auf den Desktop. Dann als Administrator starten, die SmartScreen Warnung ignorieren (Weitere Informationen → Ausführen). Den Haftungsausschluss bestätigen. Keine Einstellungen ändern, nur auf Untersuchen klicken. Wenn das durchgelaufen ist, die erstellten Logs packen und hier hoch laden. So bekommen wir mehr Informationen.
 

jadebar

kennt sich schon aus
Alles erledigt. Zip File hochgeladen. Da sind ja eine Menge persönliche Sachen drin.....
Und was will der Prozess von \device\CdRom0??

Downloads von anderen PC habe ich nicht aktiviert.
In der Aufgabenplanung sind eine Menge Einträge - aber kein einziger von mir.
 

Anhänge

  • Logs.zip
    39,3 KB · Aufrufe: 25
Zuletzt bearbeitet von einem Moderator:

Porky

gehört zum Inventar
Da sehe ich schon eine Ursache:
Eigentlich sollte jede weitere Hilfe sofort eingestellt werden, es sei denn du kannst uns die Installation von AutoKMS plausibel erklären.
 

.Bernd

gehört zum Inventar
Vermutlich nichts auf dem System, es fehlen weitere Daten für eine stichhaltige Belastung. Ich tendiere eher zur Aktivierung auf der installierten VM, weil auch HOME per KMS aktivieren überhaupt keinen Sinn ergibt.

Zur Frage, was da passiert, das ist entweder der Defender/Ransomwareschutz odedr der Ordnerschutz, der diese Datei blockiert
https://www.reddit.com/r/antivirus/comments/i6sxsy/windows_defender_blocked_wmiprvseexe/
Und es trifft nicht nur jene
Just a moment...

Vermutlich ist Fliegen einfacher als Windows konfigurieren und sich mit solchen Meldungen auseinanderzusetzen.
 

jadebar

kennt sich schon aus
So,
ich habe mich jetzt schlaugemacht, unter anderem was autokvm macht. (Ich kann mich erinnern, dass ich irgendwann schon mal gegoogelt habe und oberflächlich gelesen habe, das richtet keinen Schaden an und mich nicht weiter drum gekümmert.) Ich habe auch eine Ahnung, wie das auf mein System kommt. Hängt wahrscheinlich damit zusammen, dass ich in meiner aktiven Zeit bei meiner Firma mit Office 2010 gearbeitet habe und den Laptop nach meinem Ausscheiden dann privat übernommen habe. Ich kann mich auch erinnern, dass ich zu Hause dann mit Office Probleme hatte, "man" hat mir geholfen, - und dann passte es wieder. Ich habe aber dann eine Office 365 Lizenz erworben und verwende auch nur diese Tools. Office 2010 verwende ich nicht (mehr) und habe es jetzt deinstalliert. Offensichtlich habe ich mich mehr oder weniger unbewusst eines Lizenzvergehens schuldig gemacht, den Vorwurf muss ich mir gefallen lassen und nehme ihn demütig zur Kenntnis.
Seltsamerweise bringt der Windows Defender keine diesbezügliche Meldung beim Schnelltest. Allerdings sehr wohl beim Komplettscan, den ich jetzt durchgeführt habe.
Beim Dateisuchlauf bin ich auf mehrere Autokms Einträge gestoßen, auch unter \Tasks. Ich habe den jetzt aus der Aufgabenplanung gelöscht.
Der Komplettscan dürfte gewirkt haben, jedenfalls ist in den Logfiles von FRST kein Eintrag mehr vorhanden.

Hat das ganze jetzt mit meinem ursprünglichen Problem zu tun?
Virustotal meint, WmiPrvSe.exe sei harmlos.
Wie geht es jetzt weiter? Geht etwas weiter?
 

IngoBingo

gehört zum Inventar
Wenn irgendeine Software auf deinem System WMI Abfragen nutzt, um z.B. Geräte abzufragen, wird der genannte Prozess aktiv und greift auf die abgefragten Geräte zu.
Die Sache ist somit von der Seite harmlos. Welche Software das tatsächlich auslöst, lässt sich so allerdings schlecht herausfinden.
Ich würde die Meldung erst einmal als eher unwichtig ansehen.
 

Porky

gehört zum Inventar
Das sieht soweit clean aus. Den Favoriten booking.com hast du wahrscheinlich bewusst angelegt. Die von Acer vorinstallierte Software wird vom AdwCleaner als überflüssig angesehen und nicht als Gefahr. Dann kannst du AdwCleaner und FRST sowie deren beide in C:\ erstellten Ordner löschen.
Wie sieht es denn jetzt mit den Warnmeldungen aus?
 

jadebar

kennt sich schon aus
Einstweilen mal vielen Dank.
Es kamen jetzt keine weiteren Warnmeldungen raus, bis jetzt war es ja auch nur sporadisch.
Was mich nur wundert, in der von mir angelegten Liste scheint \device\CdRom0\ gar nicht auf.
Oder werden auch geschützte Ordner vom System verwaltet?
 

Porky

gehört zum Inventar
Keine Ahnung, was da nach einem eingelegten Datenträger sucht. Ein virtuelles CD/DVD-Laufwerk habe ich auf die Schnelle auch nicht gesehen.
 

GeneralHammond

Herzlich willkommen
das ist die "Windowsverwaltungsinstrumentation" je nachdem ob du Netzwerkbassiert arbeitest oder etc. --> ich würde mir den datenverlauf im Routermodem oder Netzwerk anschauen, da merkt man das! Oder speicherst du auf Clouds? Speichert dein Gerät auf Clouds?
 

PeterK

gehört zum Inventar
AutoKMS ist eine Software mit der sich Windows als auch Office auch ohne legal erworbenen Key für einen bestimmten Zeitraum oder auf Dauer Aktiviren lässt, siehe Post #8, das ist natürlich nicht Legal und in der Regel erstellt der User oder auch das Programm eine Ausnahme für den Pfad bzw. den Prozess, Dienst, weil Microsoft und der Windows Defender ja auch nicht Dumm ist.

Selbstverständlich, weil illegal, können oder wird dir niemand dann dabei helfen.

So jetzt ist es erklärt, jetzt ist es Raus.
 

jadebar

kennt sich schon aus
Ja danke, aber das Thema AutoKMS wurde schon in Post #11 und #13 geklärt und sollte eigentlich kein Thema mehr sein, zumindest für mich.
Und hat mMn auch nichts mit meinem ursprünglichen Problem zu tun.
Da mir aber auch hier niemand helfen kann, werde ich das Thema schließen.
 
Oben