henere
Goto Top

ToolGetExchangeStatusForWatcher.exe

Servus zusammen.

Auf einem frisch gepatchtem Ex2016 CU19 unter Server 2016 finde ich im ProcMon die Exe hier: toolGetExchangeStatusForWatcher.exe
Ganz Google kennt das nicht ?

Der war bis gestern noch ein CU18 mit den aktuellsten Patches, heute Nacht auf CU19 hochgezogen (kein https von außen möglich), und die genannte Exe macht reichlich Systemlast.
Eine Suche im Filesystem (angemeldet als Dom-Admin) findet diese Datei auf dem Exchange nicht ?

Jemand eine Idee ?

Grüße, Henere

Content-ID: 661147

Url: https://administrator.de/contentid/661147

Printed on: October 15, 2024 at 04:10 o'clock

StefanKittel
StefanKittel Mar 10, 2021 updated at 10:31:33 (UTC)
Goto Top
Hallo,

ich habe eben bei einen Exchange 2016 CU19 einmal geschaut.
Ich habe diese Datei weder laufend noch irgendwo auf der Festplatte.

Wann sagen denn Erstell- und Änderungsdatum sowie die Signatur?
Wo liegt die Datei auf der Festplatte?

Bitte erstelle mal einen SHA-Hash dazu.
Vieleicht findet man mit dem etwas.

Google kennt zu diesem Begriff in der Tat nur diese Webseite.

Stefan

GGf. Panik aktivieren
147669
147669 Mar 10, 2021 updated at 11:16:17 (UTC)
Goto Top
Lass mal den ProcessExplorer vorsorglich nach Signaturen über Virustotal für den Prozess scannen. Das Ergebnis (Treffer und Link auf VT) landet dann in der Spalte "VirusTotal".

screenshot

Gruß SK

GGf. Panik aktivieren
Dito.
Thomas2
Thomas2 Mar 10, 2021 at 11:11:38 (UTC)
Goto Top
Hi,

im Process Explorer kannst du über Rechtsklick -> Eigenschaften dir auch den Dateipfad anzeigen lassen.
Ich konnte den Prozess bei uns nicht finden.

Gruß,
Thomas
Henere
Henere Mar 10, 2021 at 11:13:53 (UTC)
Goto Top
Zumindest die Logs hat er nun gefunden.
C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Others\Cmdlet

Inhalt:

DateTime,StartTime,RequestId,ClientRequestId,MajorVersion,MinorVersion,BuildVersion,RevisionVersion,ServerHostName,ProcessId,ProcessName,ThreadId,CultureInfo,Organization,AuthenticatedUser,ExecutingUserSid,EffectiveOrganization,UserServicePlan,IsAdmin,ClientApplication,Cmdlet,Parameters,CmdletUniqueId,UserBudgetOnStart,ContributeToFailFast,RunspaceSettingsCreationHint,ADViewEntireForest,ADRecipientViewRoot,ADConfigurationDomainControllers,ADPreferredGlobalCatalogs,ADPreferredDomainControllers,ADUserConfigurationDomainController,ADUserPreferredGlobalCatalog,ADuserPreferredDomainControllers,ThrottlingInfo,DelayInfo,ThrottlingDelay,IsOutputObjectRedacted,CmdletProxyStage,CmdletProxyRemoteServer,CmdletProxyRemoteServerVersion,CmdletProxyMethod,ProxiedObjectCount,CmdletProxyLatency,OutputObjectCount,ParameterBinding,BeginProcessing,ProcessRecord,EndProcessing,StopProcessing,BizLogic,PowerShellLatency,UserInteractionLatency,ProvisioningLayerLatency,ActivityContextLifeTime,TotalTime,ErrorType,ExecutionResult,CacheHitCount,CacheMissCount,GenericLatency,GenericInfo,GenericErrors,ObjectGuid,ExternalDirectoryOrganizationId,ExternalDirectoryObjectId,NonPiiParameters
#Software: Microsoft Exchange Server
#Version: 15.01.1034.026
#Log-type: Rps Cmdlet Logs
#Date: 2017-08-31T17:36:07.461Z
#Fields: DateTime,StartTime,RequestId,ClientRequestId,MajorVersion,MinorVersion,BuildVersion,RevisionVersion,ServerHostName,ProcessId,ProcessName,ThreadId,CultureInfo,Organization,AuthenticatedUser,ExecutingUserSid,EffectiveOrganization,UserServicePlan,IsAdmin,ClientApplication,Cmdlet,Parameters,CmdletUniqueId,UserBudgetOnStart,ContributeToFailFast,RunspaceSettingsCreationHint,ADViewEntireForest,ADRecipientViewRoot,ADConfigurationDomainControllers,ADPreferredGlobalCatalogs,ADPreferredDomainControllers,ADUserConfigurationDomainController,ADUserPreferredGlobalCatalog,ADuserPreferredDomainControllers,ThrottlingInfo,DelayInfo,ThrottlingDelay,IsOutputObjectRedacted,CmdletProxyStage,CmdletProxyRemoteServer,CmdletProxyRemoteServerVersion,CmdletProxyMethod,ProxiedObjectCount,CmdletProxyLatency,OutputObjectCount,ParameterBinding,BeginProcessing,ProcessRecord,EndProcessing,StopProcessing,BizLogic,PowerShellLatency,UserInteractionLatency,ProvisioningLayerLatency,ActivityContextLifeTime,TotalTime,ErrorType,ExecutionResult,CacheHitCount,CacheMissCount,GenericLatency,GenericInfo,GenericErrors,ObjectGuid,ExternalDirectoryOrganizationId,ExternalDirectoryObjectId,NonPiiParameters

Gekürzt um meine internen Informationen.

Aber.... diese Log-Dateien gibt es auch mit Stand2019.
Im Process Explorer sehe ich das Ding nicht ?
Auf dem Dateisystem liegt keine exe diesen Namens.

Die VM ist nun isoliert, passieren kann nix weiter. Greife nur per RDP drauf zu, sonst keine NW-Verbindung möglich.
147669
147669 Mar 10, 2021 updated at 11:35:27 (UTC)
Goto Top
Und was sagt VirusTotal über den Hash des Prozesses?
Henere
Henere Mar 10, 2021 at 11:50:26 (UTC)
Goto Top
Er läuft nach reboot nicht mehr.
Und da ich ihn im proc explorer auch nicht gesehen habe muss ich mal weiter draufschauen. Ein dc-Clon und der Ex laufen nun im seperatem Netz. Mal weiter beobachten was passiert.
Der Exchange ist schon neu aufgesetzt. Die DB importiert und wieder brav am Laufen.
Henere
Henere Mar 10, 2021 at 13:28:28 (UTC)
Goto Top
Hab ihn gefunden, ist mein ScanMail Exchange von TrendMicro.

unbenannt

Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
Genausowenig finde ich die Datei im Dateisystem wenn ich über C:\ komplett suchen lasse.

unbenannt2

Wenn ich in C:\Programme\Trendmicro\SMEX ... suche, dann finde ich das File.

unbenannt3

Im Process Explorer ist suche bei virustotal im Kontextmenu bei dieser Datei ausgegraut.

Aber falscher Alarm. Danke fürs mitdenken.
StefanKittel
StefanKittel Mar 10, 2021 at 13:45:08 (UTC)
Goto Top
Danke fürs Bescheid sagen.
Aktuell sind wir ja Alle ein bisschen nervös und hören die Regenwürmer husten...
Henere
Henere Mar 10, 2021 at 13:52:38 (UTC)
Goto Top
In der Tat... man sollte öfter mal nach seinen Systemen schauen ....
StefanKittel
StefanKittel Mar 10, 2021 at 14:51:48 (UTC)
Goto Top
Zitat von @Henere:
In der Tat... man sollte öfter mal nach seinen Systemen schauen ....
Ja, aber...
Bei Windows (Server) findet man immer irgendwas Etwas was man nicht kennt sucht lange und am Ende ist es normal....

Zum Beispiel der Dienst "Diagnostic Execution Service" kann ja nun alles mögliche sein.

Stefan
147669
147669 Mar 10, 2021 updated at 16:55:07 (UTC)
Goto Top
Zitat von @Henere:
Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
Dazu musst du den ProcessExplorer als "System" starten z.B. über psexec -i -s
Im Process Explorer ist suche bei virustotal im Kontextmenu bei dieser Datei ausgegraut.
s.o. dann klappt auch das face-wink.
TomTomBon
TomTomBon Mar 11, 2021 at 13:35:40 (UTC)
Goto Top
Moin
Sehr gut das es nur eine falsche Vermutung war.
Lieber falsch vermuten als..

Was mich interessiert hätte, Ich weiß nicht ob Diagnosen im Nachhinein noch möglich sind,
aber würde das Tool Everything von VoidTools https://www.voidtools.com/ das noch finden?
Es findet sehr viel, und macht über die üblichen Rechte Kniffe viel möglich.
Aber das einzige was es im Prinzip macht:
Es zeigt das an was auf einem indezierten Ordner / Laufwerk is, und zwar wirklich alles.
Was Ich ÄNDERN kann, das bestimmen die Rechte des Users der es gestartet hat face-wink
Sprich ein Runas ist dort dann mal die Lösung..

Reines Interesse.
face-smile