Nachdem die vergangene Woche schon unschön geendet ist, setzt sich unsere Pechsträhne zumindest am heutigen Montag fort: Bei einem Kunden meldete der Virenschutz (Securepoint/Ikarus) für manche PCs massenhaft mögliche Bedrohungen.

Angemeckert wurden Dateien unter

C:\Windows\SystemTemp

nach dem Namensschema “tmp*.tmp”, also sowas wie z.B. “tmp9C94.tmp und viele mehr. Pro PC so um die 10.000 – 30.000 Stück. Als Bezeichnung wird “PUA.VulnDriver.WinRing0” im Alarm genannt. Das erinnert an dieses hier vom März 2025:

Golem – Windows stuft beliebte Tools plötzlich als Bedrohung ein

Vielen Dank an Peter für diesen Link.

Diese Dateien kann man einfach löschen, aber sie werden immer wieder von folgenden Prozess neu angelegt:

C:\WINDOWS\system32\svchost.exe -k LocalSystemNetworkRestricted -p -s PcaSvc

Dies ist der “Programmkompatibilitäts-Assistent-Dienst” von Windows.  Auf diesen Prozess kommt man, wenn der Process Monitor genutzt wird und man die Anzeige auf Dateizugriffe reduziert und zusätzlich einen Filter auf den genannten Ordner setzt.

VirusTotal meldet ebenfalls einen angreifbaren Treiber:

https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

Irgendetwas löst das also zyklisch immer wieder aus und es stellt sich die Frage welcher Treiber das sein soll.

Schaut man mit Notepad oder z.B. HxD eine dieser Dateien an stößt man auf einen Hinweis:

Sieht also so aus, als ob eines der Crystal-Tools da mit drin hängt. Auf den betroffenen PCs findet sich hierzu lediglich CrystalDiskInfo, das von Server-Eye mitgebracht wird:

An dieser Stelle fällt auf, das die Version veraltet ist. Scheinbar wurde die Komponente an diesen PCs nicht automatisch aktualisiert. Daraufhin den Server-Eye Support kontaktiert und auf Antwort gewartet. In der Zwischenzeit habe ich dann nochmal zur Sicherheit mit

dir crystal*.*

in einer Eingabeaufforderung mit erhöhten Rechten gesucht und dabei tauchte dann noch dieser Ordner auf:

C:\Program Files (x86)\Server-Eye\temp\service\1082

Zur Info: Sonst sind die Tools nur unter

C:\Program Files (x86)\Server-Eye\service

in einem Unterordner zu finden. Dabei ist die höchste Nummer die aktuellste und damit verwendete Version. Auf den betroffenen PCs sind diese Ordner allerdings nur “1022” und “1032”, damit alt, aktuell sollte “1082” sein. Zumindest auf nicht betroffenen PCs ist das so.

Der zuletzt genannte “temp”-Ordner wird allem Anschein nach regelmäßig geleert, daher fand sich CrystalDiskInfo beim ersten Suchen dort nicht. Zum Test wurden die Server-Eye-Dienste auf einem betroffenen PC beendet und dann beobachtet, ob die erwähnten temporären Dateien noch erstellt werden, das war nicht der Fall. Also hängt es irgendwie mit Server-Eye zusammen.

Daraufhin die veralteten Unterordner aus “service” gelöscht und von einem anderen PC den aktuellsten Ordner dorthin kopiert und die Server-Eye Dienste wieder gestartet. Das half zum Teil. Auf anderen PCs mussten wir leider feststellen, das die Server-Eye Dienste aus dem Unterordner “1032” aufgerufen wurden, da war also noch mehr im Argen. Hier half nur Deinstallieren, ggf. Bereinigen und neu installieren.

Eine finale Antwort vom Support steht noch aus. Ich werde berichten, sobald es etwas Neues gibt. Primär bleibt die Frage, warum manche PCs nicht automatisch aktualisiert wurden.

Update 10.11.2025 – 11:30

Kleines Update: Die AV-Alarme kann man auch erhalten, aufgrund des Vorhandenseins der genannten temporären Dateien, obwohl kein Server-Eye oder CrystalDiskInfo mehr auf dem System vorhanden ist. Ein beherztes:

del tmp*.tmp

in einer Eingabeaufforderung mit erhöhten Rechten im Ordner “C:\Windows\SystemTemp” löst das Ganze.

Update 13.11.2025

Kleiner Nachtrag:

Warum die Server-Eye Updates haben bleibt unklar. Im Zweifel hilft wie erwähnt nur Neuinstallieren.

Überraschenderweise kam heute ein Anruf von Securepoint, ich hatte zu dieser Sache zwar kein Ticket eröffnet, aber offenbar hängt das alles auch mit einem Update dort zusammen. Man hat wohl etwas zurückgerudert wegen der Meldung über veraltete angreifbare Treiber.

Wie hat Dir der Artikel gefallen ?

(2 Stimmen, durchschnittlich 5,00 von 5 Sternen)

Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 15 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.