12
ToolGetExchangeStatusForWatcher.exe
Servus zusammen.
Auf einem frisch gepatchtem Ex2016 CU19 unter Server 2016 finde ich im ProcMon die Exe hier: toolGetExchangeStatusForWatcher.exe
Ganz Google kennt das nicht ?
Der war bis gestern noch ein CU18 mit den aktuellsten Patches, heute Nacht auf CU19 hochgezogen (kein https von außen möglich), und die genannte Exe macht reichlich Systemlast.
Eine Suche im Filesystem (angemeldet als Dom-Admin) findet diese Datei auf dem Exchange nicht ?
Jemand eine Idee ?
Grüße, Henere
Auf einem frisch gepatchtem Ex2016 CU19 unter Server 2016 finde ich im ProcMon die Exe hier: toolGetExchangeStatusForWatcher.exe
Ganz Google kennt das nicht ?
Der war bis gestern noch ein CU18 mit den aktuellsten Patches, heute Nacht auf CU19 hochgezogen (kein https von außen möglich), und die genannte Exe macht reichlich Systemlast.
Eine Suche im Filesystem (angemeldet als Dom-Admin) findet diese Datei auf dem Exchange nicht ?
Jemand eine Idee ?
Grüße, Henere
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 661147
Url: https://administrator.de/contentid/661147
Printed on: April 24, 2024 at 17:04 o'clock
12 Comments
Latest comment
Hallo,
ich habe eben bei einen Exchange 2016 CU19 einmal geschaut.
Ich habe diese Datei weder laufend noch irgendwo auf der Festplatte.
Wann sagen denn Erstell- und Änderungsdatum sowie die Signatur?
Wo liegt die Datei auf der Festplatte?
Bitte erstelle mal einen SHA-Hash dazu.
Vieleicht findet man mit dem etwas.
Google kennt zu diesem Begriff in der Tat nur diese Webseite.
Stefan
GGf. Panik aktivieren
ich habe eben bei einen Exchange 2016 CU19 einmal geschaut.
Ich habe diese Datei weder laufend noch irgendwo auf der Festplatte.
Wann sagen denn Erstell- und Änderungsdatum sowie die Signatur?
Wo liegt die Datei auf der Festplatte?
Bitte erstelle mal einen SHA-Hash dazu.
Vieleicht findet man mit dem etwas.
Google kennt zu diesem Begriff in der Tat nur diese Webseite.
Stefan
GGf. Panik aktivieren
Lass mal den ProcessExplorer vorsorglich nach Signaturen über Virustotal für den Prozess scannen. Das Ergebnis (Treffer und Link auf VT) landet dann in der Spalte "VirusTotal".
Gruß SK
Gruß SK
GGf. Panik aktivieren
Dito.
Hi,
im Process Explorer kannst du über Rechtsklick -> Eigenschaften dir auch den Dateipfad anzeigen lassen.
Ich konnte den Prozess bei uns nicht finden.
Gruß,
Thomas
im Process Explorer kannst du über Rechtsklick -> Eigenschaften dir auch den Dateipfad anzeigen lassen.
Ich konnte den Prozess bei uns nicht finden.
Gruß,
Thomas
Zumindest die Logs hat er nun gefunden.
C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Others\Cmdlet
Inhalt:
Gekürzt um meine internen Informationen.
Aber.... diese Log-Dateien gibt es auch mit Stand2019.
Im Process Explorer sehe ich das Ding nicht ?
Auf dem Dateisystem liegt keine exe diesen Namens.
Die VM ist nun isoliert, passieren kann nix weiter. Greife nur per RDP drauf zu, sonst keine NW-Verbindung möglich.
C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Others\Cmdlet
Inhalt:
DateTime,StartTime,RequestId,ClientRequestId,MajorVersion,MinorVersion,BuildVersion,RevisionVersion,ServerHostName,ProcessId,ProcessName,ThreadId,CultureInfo,Organization,AuthenticatedUser,ExecutingUserSid,EffectiveOrganization,UserServicePlan,IsAdmin,ClientApplication,Cmdlet,Parameters,CmdletUniqueId,UserBudgetOnStart,ContributeToFailFast,RunspaceSettingsCreationHint,ADViewEntireForest,ADRecipientViewRoot,ADConfigurationDomainControllers,ADPreferredGlobalCatalogs,ADPreferredDomainControllers,ADUserConfigurationDomainController,ADUserPreferredGlobalCatalog,ADuserPreferredDomainControllers,ThrottlingInfo,DelayInfo,ThrottlingDelay,IsOutputObjectRedacted,CmdletProxyStage,CmdletProxyRemoteServer,CmdletProxyRemoteServerVersion,CmdletProxyMethod,ProxiedObjectCount,CmdletProxyLatency,OutputObjectCount,ParameterBinding,BeginProcessing,ProcessRecord,EndProcessing,StopProcessing,BizLogic,PowerShellLatency,UserInteractionLatency,ProvisioningLayerLatency,ActivityContextLifeTime,TotalTime,ErrorType,ExecutionResult,CacheHitCount,CacheMissCount,GenericLatency,GenericInfo,GenericErrors,ObjectGuid,ExternalDirectoryOrganizationId,ExternalDirectoryObjectId,NonPiiParameters
#Software: Microsoft Exchange Server
#Version: 15.01.1034.026
#Log-type: Rps Cmdlet Logs
#Date: 2017-08-31T17:36:07.461Z
#Fields: DateTime,StartTime,RequestId,ClientRequestId,MajorVersion,MinorVersion,BuildVersion,RevisionVersion,ServerHostName,ProcessId,ProcessName,ThreadId,CultureInfo,Organization,AuthenticatedUser,ExecutingUserSid,EffectiveOrganization,UserServicePlan,IsAdmin,ClientApplication,Cmdlet,Parameters,CmdletUniqueId,UserBudgetOnStart,ContributeToFailFast,RunspaceSettingsCreationHint,ADViewEntireForest,ADRecipientViewRoot,ADConfigurationDomainControllers,ADPreferredGlobalCatalogs,ADPreferredDomainControllers,ADUserConfigurationDomainController,ADUserPreferredGlobalCatalog,ADuserPreferredDomainControllers,ThrottlingInfo,DelayInfo,ThrottlingDelay,IsOutputObjectRedacted,CmdletProxyStage,CmdletProxyRemoteServer,CmdletProxyRemoteServerVersion,CmdletProxyMethod,ProxiedObjectCount,CmdletProxyLatency,OutputObjectCount,ParameterBinding,BeginProcessing,ProcessRecord,EndProcessing,StopProcessing,BizLogic,PowerShellLatency,UserInteractionLatency,ProvisioningLayerLatency,ActivityContextLifeTime,TotalTime,ErrorType,ExecutionResult,CacheHitCount,CacheMissCount,GenericLatency,GenericInfo,GenericErrors,ObjectGuid,ExternalDirectoryOrganizationId,ExternalDirectoryObjectId,NonPiiParametersGekürzt um meine internen Informationen.
Aber.... diese Log-Dateien gibt es auch mit Stand2019.
Im Process Explorer sehe ich das Ding nicht ?
Auf dem Dateisystem liegt keine exe diesen Namens.
Die VM ist nun isoliert, passieren kann nix weiter. Greife nur per RDP drauf zu, sonst keine NW-Verbindung möglich.
Und was sagt VirusTotal über den Hash des Prozesses?
Er läuft nach reboot nicht mehr.
Und da ich ihn im proc explorer auch nicht gesehen habe muss ich mal weiter draufschauen. Ein dc-Clon und der Ex laufen nun im seperatem Netz. Mal weiter beobachten was passiert.
Der Exchange ist schon neu aufgesetzt. Die DB importiert und wieder brav am Laufen.
Und da ich ihn im proc explorer auch nicht gesehen habe muss ich mal weiter draufschauen. Ein dc-Clon und der Ex laufen nun im seperatem Netz. Mal weiter beobachten was passiert.
Der Exchange ist schon neu aufgesetzt. Die DB importiert und wieder brav am Laufen.
Hab ihn gefunden, ist mein ScanMail Exchange von TrendMicro.
Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
Genausowenig finde ich die Datei im Dateisystem wenn ich über C:\ komplett suchen lasse.
Wenn ich in C:\Programme\Trendmicro\SMEX ... suche, dann finde ich das File.
Im Process Explorer ist suche bei virustotal im Kontextmenu bei dieser Datei ausgegraut.
Aber falscher Alarm. Danke fürs mitdenken.
Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
Genausowenig finde ich die Datei im Dateisystem wenn ich über C:\ komplett suchen lasse.
Wenn ich in C:\Programme\Trendmicro\SMEX ... suche, dann finde ich das File.
Im Process Explorer ist suche bei virustotal im Kontextmenu bei dieser Datei ausgegraut.
Aber falscher Alarm. Danke fürs mitdenken.
2
Danke fürs Bescheid sagen.
Aktuell sind wir ja Alle ein bisschen nervös und hören die Regenwürmer husten...
Aktuell sind wir ja Alle ein bisschen nervös und hören die Regenwürmer husten...
In der Tat... man sollte öfter mal nach seinen Systemen schauen ....
Ja, aber...
Bei Windows (Server) findet man immer irgendwas Etwas was man nicht kennt sucht lange und am Ende ist es normal....
Zum Beispiel der Dienst "Diagnostic Execution Service" kann ja nun alles mögliche sein.
Stefan
Bei Windows (Server) findet man immer irgendwas Etwas was man nicht kennt sucht lange und am Ende ist es normal....
Zum Beispiel der Dienst "Diagnostic Execution Service" kann ja nun alles mögliche sein.
Stefan
Zitat von @Henere:
Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
Dazu musst du den ProcessExplorer als "System" starten z.B. über Der ist aber "geschützt", ich kann auch über den ProcExpl den Pfad nicht anzeigen lassen.
psexec -i -sIm Process Explorer ist suche bei virustotal im Kontextmenu bei dieser Datei ausgegraut.
s.o. dann klappt auch das 
.
Moin
Sehr gut das es nur eine falsche Vermutung war.
Lieber falsch vermuten als..
Was mich interessiert hätte, Ich weiß nicht ob Diagnosen im Nachhinein noch möglich sind,
aber würde das Tool Everything von VoidTools https://www.voidtools.com/ das noch finden?
Es findet sehr viel, und macht über die üblichen Rechte Kniffe viel möglich.
Aber das einzige was es im Prinzip macht:
Es zeigt das an was auf einem indezierten Ordner / Laufwerk is, und zwar wirklich alles.
Was Ich ÄNDERN kann, das bestimmen die Rechte des Users der es gestartet hat
Sprich ein Runas ist dort dann mal die Lösung..
Reines Interesse.
Sehr gut das es nur eine falsche Vermutung war.
Lieber falsch vermuten als..
Was mich interessiert hätte, Ich weiß nicht ob Diagnosen im Nachhinein noch möglich sind,
aber würde das Tool Everything von VoidTools https://www.voidtools.com/ das noch finden?
Es findet sehr viel, und macht über die üblichen Rechte Kniffe viel möglich.
Aber das einzige was es im Prinzip macht:
Es zeigt das an was auf einem indezierten Ordner / Laufwerk is, und zwar wirklich alles.
Was Ich ÄNDERN kann, das bestimmen die Rechte des Users der es gestartet hat
Sprich ein Runas ist dort dann mal die Lösung..
Reines Interesse.
