Win 11 upgrade virusmeldingen

vrijdag 8 oktober 2021 11:15

Acties:

0 Henk 'm!

Topicstarter

We hebben een aantal laptops in onze omgeving die nu aan het testen zijn met Windows 11. Bij een aantal van deze systemen gaat de Windows defender af met dreiging: Trojan:Win32/WmiMountsi.A!ml op
svchost.exe of cscript.exe.

Ik heb overwogen dat deze systemen misschien een verstopte malware/virus bevatten, maar een van deze systemen is "known good".

Zijn er meer mensen die dit gedrag zien?

zondag 10 oktober 2021 11:50

Acties:

0 Henk 'm!

Hackus

Lifting Rusty Iron !

Patatties schreef op vrijdag 8 oktober 2021 @ 11:15:
We hebben een aantal laptops in onze omgeving die nu aan het testen zijn met Windows 11. Bij een aantal van deze systemen gaat de Windows defender af met dreiging: Trojan:Win32/WmiMountsi.A!ml op
svchost.exe of cscript.exe.

Ik heb overwogen dat deze systemen misschien een verstopte malware/virus bevatten, maar een van deze systemen is "known good".

Zijn er meer mensen die dit gedrag zien?

Dat is/was ook bij W10 al het geval. Gooi Eset Online scanner er eens over " one-time scan "

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

zondag 10 oktober 2021 14:34

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Patatties schreef op vrijdag 8 oktober 2021 @ 11:15:
... Bij een aantal van deze systemen gaat de Windows defender af met dreiging: Trojan:Win32/WmiMountsi.A!ml op
svchost.exe of cscript.exe...

Da's wel een erg beknopte probleem omschrijving, vind je zelf ook niet?
Achterhaal eerst eens om welk bestand het gaat. Gooi het door virustotal. En zoek uit hoe het bestand op dat systeem terecht is gekomen

QnJhaGlld2FoaWV3YQ==

vrijdag 15 oktober 2021 14:05

Acties:

0 Henk 'm!

Patatties

Topicstarter

We hebben Defender laten scannen, MSERT en Thor-Lite. Geen IOC's, geen virussen oid gevonden, niks. Ik kan de Eset Online scanner ook nog eens proberen, maar vrees dat die dan ook met niks komt.

De omschrijving is wel erg beknopt, maar ik vraag ook niet naar een oplossing oid. Ik vraag of andere mensen dit gedrag herkennen. Als iedereen deze virusomschrijving met dit bestand gecombineerd zien, dan zegt dat al genoeg. Als niemand dit ziet, en wij zijn de enigen, dan is er wellicht iets aan de hand.

[ Voor 6% gewijzigd door Patatties op 15-10-2021 14:18 ]

vrijdag 15 oktober 2021 14:27

Acties:

0 Henk 'm!

Hackus

Lifting Rusty Iron !

Patatties schreef op vrijdag 15 oktober 2021 @ 14:05:
We hebben Defender laten scannen, MSERT en Thor-Lite. Geen IOC's, geen virussen oid gevonden, niks. Ik kan de Eset Online scanner ook nog eens proberen, maar vrees dat die dan ook met niks komt.

De omschrijving is wel erg beknopt, maar ik vraag ook niet naar een oplossing oid. Ik vraag of andere mensen dit gedrag herkennen. Als iedereen deze virusomschrijving met dit bestand gecombineerd zien, dan zegt dat al genoeg. Als niemand dit ziet, en wij zijn de enigen, dan is er wellicht iets aan de hand.

ja dus, wat ik al zei is dat ook in W10 het geval(het geval dat Def. False meldt)

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

vrijdag 15 oktober 2021 15:09

Acties:

0 Henk 'm!

Patatties

Topicstarter

Hackus schreef op vrijdag 15 oktober 2021 @ 14:27:
[...]

ja dus, wat ik al zei is dat ook in W10 het geval(het geval dat Def. False meldt)

Nou, op basis van wat ik zie vind ik het dus wat voorbarig om deze conclusie te trekken. Niemand heeft laten weten dit gedrag te zien:
- Windows 11
- svchost
- Trojan:Win32/WmiMountsi.A!ml

Ook heb ik niks gezien met een aantal scanners.

Dus uiteindelijk weet ik nog steeds niks.

vrijdag 15 oktober 2021 15:13

Acties:

0 Henk 'm!

supernova

Zabbix specialist 7 ;-)

Op mijn HP niets gemerkt van dat soort meldingen. Had een upgrade gedaan van Windows 10 naar Windows 11 en geen melding.

PS5 User ;-) ...

vrijdag 15 oktober 2021 15:23

Acties:

0 Henk 'm!

n0s

Lijkt op het gedrag hier beschreven. Misschien voldoen die laptops niet aan de vereisten voor Win11 en loop je tegen (ongedocumenteerde) problemen aan.

vrijdag 15 oktober 2021 15:41

Acties:

0 Henk 'm!

Patatties

Topicstarter

Ja die had ik inderdaad ook al gevonden. Is wel een andere executable waardoor ik toch nog wat twijfel heb.

We gaan nu een andere PC upgraden, en dan monitoren we de svchost.exe en cscript.exe met procmon en/of procexp, en gaan we timestamps matchen als we de defender weer af zien gaan. Kijken wat daar uit komt.

vrijdag 15 oktober 2021 21:37

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Patatties schreef op vrijdag 15 oktober 2021 @ 15:41:
Ja die had ik inderdaad ook al gevonden. Is wel een andere executable waardoor ik toch nog wat twijfel heb.

We gaan nu een andere PC upgraden, en dan monitoren we de svchost.exe en cscript.exe met procmon en/of procexp, en gaan we timestamps matchen als we de defender weer af zien gaan. Kijken wat daar uit komt.

D'r wordt in dat topic wel melding gemaakt van een relatie met TPM. Kun je aangeven welke versie jij gebruikt? Geen TPM, soft-TPM, hard-TPM 1.2 of 2.0

QnJhaGlld2FoaWV3YQ==

zaterdag 16 oktober 2021 13:40

Acties:

0 Henk 'm!

Patatties

Topicstarter

De systemen waar deze melding op komt (en waarop ik nu test) hebben allen hardware TPM2.0

Vraag

Alle reacties