Windows 10 - Regedit und Taskmanager (UnistackSvcGroup)

[RacerOS]

Hallo liebe Leute,
vor einiger Zeit ist mir aufgefallen, dass in meinem Task Manager sonderbare Prozesse laufen, die alle eine spezielle Endung haben. (z.B.: _bc1a86) Diese Endung ist bei jedem Neustart anders.
Mit der Zeit habe ich herausgefunden, dass diese Prozesse alle zur UnistackSvcGroup gehören.
Einerseits dienen sie zur Aktualisierung der Apps, andererseits sammeln sie Daten der Mail, Kalender und Kontakte Apps. (Böse finde ich) Und senden diese wohl an Akamai.net.



Im Netz gibt es Anleitungen wie man sie deaktiviert, indem man die Startwerte der Registrierungseinträge von 2 auf 4 setzt. (4 heißt deaktiviert)

Hat soweit gut geklappt. Auf die genannten Apps muss man dann halt verzichten.

Soo jetzt kommt meine Frage:

Ich habe in der Regedit beim Svchost die UnistackSvcGroup gefunden (siehe Anlage)

Dort stehen alle Prozesse aufgelistet, die über die Svchost geladen werden. (Bildmitte)


Hätte ich einfach diese sieben Einträge löschen können, oder schmiert mir dann mein Windows ab?

Danke für eure Hilfe!
Günni

 

[Andreas_]

Von Programmen, die zur Synchronisierung von Kontakten, Mails und Terminen zwischen mehreren Geräten dienen, kann man wohl erwarten, dass sie diese Informationen sammeln und in der Cloud (Akamai.net) ablegen ...
Wenn Du dies als Böse empfindest, dann darfst Du diese Programme eben nicht nutzen.

 

[RacerOS]

Danke Dir, aber ich nutze keine Cloud und möchte vorher wissen wer wo meine Daten versendet. Ausserdem wurden dadurch eine ganze Reihe an Netzwerkverbindungen hergestellt ... (unschön)

Meine Frage hast Du leider nicht beantwortet.

 

[areiland]

Das von @Andreas_ gesagte bedeutet, dass man in den Einstellungen zunächst mal die Synchronisierungsaufgaben und nicht benötigten Hintergrundapps deaktiviert. Denn schon das dünnt die Hintergrundprozesse extrem aus - ohne jedes Gefummle an Registrywerten. Und, das überlebt, anders als das Registrygefummle an den Werten der Dienste, sogar Updates und Funktionsupdates.

 

[RacerOS]

Das hört sich auf den ersten Blick vernünftig an, nur leider ist meine Realität eine andere.

Meine Sicherheitssoftware hat mir diese Prozesse als Rootkit angezeigt, also höchste Alarmstufe und meine Firewall zeigt mir reihenweise manipulierte DLL Dateien in diesen Prozessen!

Ich kann mich irren, aber zwei Softwareprodukte eher nicht.

Deshalb die rabiate Lösung.

Die Frage war, ob ich den Prozess in der Regedit löschen kann?

Egal, ich werde es an meinem Tablet ausprobieren und sehen was passiert ...😎

 

[areiland]

Normale Windows Dienste als Rootkit erkannt? Manipulierte Dlls, die zu diesen Prozessen gehören? Wenn Du Windows nicht gerade mittels eines manipulierten Iso-Files installiert hattest, solltest Du dringend mal Deine tollen Sicherheitsprodukte überprüfen.

Naja, ich bin hier auf jeden Fall raus - höchste Alarmstufe bei normalen Windows Prozessen, das reicht mir schon wieder.

 

[Micha45]

Einerseits dienen sie zur Aktualisierung der Apps, andererseits sammeln sie Daten der Mail, Kalender und Kontakte Apps.

Diese Apps einfach deinstallieren und schon ist Ruhe im Stall.
Das ist eigentlich der einfachste Weg. Ich verstehe deshalb gar nicht, warum man immer das Pferd von hinten aufzäumen muss.

Mich würde auch der Name dieses Sicherheitsprodukts interessieren. Lass mich raten: Avast? Avira?
Wie auch immer, ich halte es ebenfalls für ziemlich weit hergeholt, dass interne Windowsprozesse als Schadware eingestuft werden könnten. Hab ich noch nie was von gehört oder gelesen.

 

[RacerOS]

Die Firewall war von GData
Der Malwarescanner heißt GMER
Aber auch Wireshark zeigt mit einige Probleme an, die z.T. auch mit Akamai zu tun haben.

Nun denn, die Prozesse sind schonmal gekillt. Das Löschen des svchost Inhaltes hat keine erkennbare Veränderung erbracht.

Dennoch ist es mir komplett unverständlich wie man sensibelste Daten an US Server senden kann? Ich hab die Apps zum Glück nie benutzt.

 

[Micha45]

Dennoch ist es mir komplett unverständlich wie man sensibelste Daten an US Server senden kann?

Welche "sensiblen" Daten sollen das denn sein?
Die Einträge in Kalender- und/oder Kontakteapps machst du doch selbst und du bestimmst, welche Daten das sein sollen.

 

[areiland]

Akamai ist ein Dienstleister, der mit vielen grossen Firmen (Bundeskanzleramt, Avast, Bitdefender, McAffee und viele mehr) zusammenarbeitet und für diese Kapazitäten zur Lastverteilung vorhält. Die Akamei Server stehen in 120 Ländern. Von daher ist zumindest hier "US Server" deutlich zu kurz gesprungen. Denn es muss dabei nicht zwingend erkennbar sein, ob Daten tatsächlich über US Server laufen.

Und die Prozesse, die Du da so dringenst killen musstest, die synchronisieren ihre Daten nach Deinen Einstellungen mit Deinem MS-Konto, um ihre Inhalte aktuell zu halten.

 

[RacerOS]

Guck mal hier, ich bin nicht der Einzige, der sich Sorgen macht:

https://www.heise.de/newsticker/mel...ster-rebellieren-gegen-Microsoft-4324178.html