Angeblich unbekannte Datei durch Windows update heruntergeladen. Fehlalarm?

[REDACTED]

Moin,

grad beim surfen eben 'ne kleine Meldung von avast! bekommen, dass er eine unbekannte Verbindung festgestellt hatte, die eine Datei herunterladen wollte. Die Adresse heißt:

hxxp://001489-1.l.windowsupdate.com/...

Ja, zu dem Zeitpunkt hat der PC auch Windows Updates heruntergeladen, aber so eine Meldung hatte ich noch nie und gerade, weil die Datei nicht "signiert" war, bin ich etwas verunsichert, ob das alles safe ist.

Ich pack euch mal einen Screenshot in den Anhang.

Weiß jemand, ob das nur ein Fehlalarm ist? Mich wundert nämlich, dass die Datei angeblich nicht signiert ist und dass es eine http Verbindung war. Lädt Windows denn die Updates wirklich noch unverschlüsselt runter?


Vielen Dank im Voraus

[Asyn]

1. Weiß jemand, ob das nur ein Fehlalarm ist?
2. Lädt Windows denn die Updates wirklich noch unverschlüsselt runter?

1. Nicht direkt, es ist aber "nur" eine Reputations-Warnung.
2. Manchmal schon, das (und die fehlende Signatur ) verursacht auch das Problem.

Willkommen im Forum,
Asyn

[REDACTED]

Erstmal vielen dank für deine Antwort.

1. Nicht direkt, es ist aber "nur" eine Reputations-Warnung.
2. Manchmal schon, das (und die fehlende Signatur ) verursacht auch das Problem.

und nu?
Was kann ich jetzt machen, um herauszufinden, was das wirklich war?
sag ma, ist das normal, dass die Datei durch svchost.exe heruntergeladen wurde? nennt sich der Prozess nicht normalerweise wuauclt.exe?

[Asyn]

und nu?

Wenn du sicher gehen willst, warte einen Tag und versuch's dann nochmals.

Gute N8,
Asyn

[REDACTED]

windows hat das windows defender update aber gestern angeblich schon installiert. Was mich aber wundert, dass sich die Datei mpas-d_bd_1.201.171.0... nennt. Das war nämlich das update von Ende Juni. Das neue, das gestern installiert wurde, hat die Version 1.201.836.0.

Das macht etwas stutzig, gerade weil das update ja trotz des Verbindungsabbruches installiert hat und weil die Datei angeblich keine Signatur hat. Letztens auch schon bei chrome hat avast rumgezickt.

Ist das denn normal, dass überhaupt der Download über svchost.exe läuft?

[Asyn]

Ist das denn normal, dass überhaupt der Download über svchost.exe läuft?

Kann ich dir nicht sagen, verwende WD nicht.

[Romain2]

Windows update läuft über mehrere svchost.exe und somit auch Windows Defender. Im Taskmanager (alle Prozesse anzeigen)kann man das gut beobachten.

Romain 

[REDACTED]

aaaalles klar

Ich hab hier grad ma so beim googlen das hier gefunden: https://forum.avast.com/index.php?topic=166385.0
Die Person hatte ja in etwa das gleiche Problem. Ich mein, Fehlalarme gibts ja immer mal, aber in diesem Monat( Juni bis nu) kamen einfach mal zwei Meldungen, dass ja irgendwas unbekanntes ohne Signatur heruntergeladen wurde. Bei meinem anderen PC hatte ich das halt noch nicht, obwohl der Rechner mehr am laufen ist, als dieser hier.

Das einzige, was mich hier dran etwas verunsichert, ist dass die Dateien halt keine Signatur haben. Kommt das gelegentlich vor oder ist avast! einfach 'n bissl neben der Spur und kennt diese vielleicht nicht?


das mit svchost.exe: gibts hier denn sonst noch jemanden, der das wissen könnte? geklärt, danke

[Asyn]

1. Das einzige, was mich hier dran etwas verunsichert, ist dass die Dateien halt keine Signatur haben.
2. Kommt das gelegentlich vor oder ist avast! einfach 'n bissl neben der Spur und kennt diese vielleicht nicht?

1. Da mußt du dich bei den Jungs in Redmond (MS) beschweren.
2. Avast (Reputations-Analyse) hat genau das getan, wozu es gedacht ist.

[REDACTED]

mir gehts halt darum, dass es die richtige Datei ist. Könnte ja schließlich auch sein,dass es gar nicht die wirkliche Datei für Windows Defender ist, sondern irgendeine fake Datei, die durch einen kleinen Bösewicht auf meinem PC heruntergeladen wird und einfach nur so aussehen soll, als wäre es die echte.

Deswegen bin ich halt verunsichert. Stimmt denn die URL, von der die Datei heruntergeladen wurde? Kann man irgendwie herausfinden, ob es wirklich vom Downloadserver von Microsoft stammt? Ich mein, wenns aus der richtigen Quelle kommt, dann ist ja alles in Ordnung. Da ist mir das auch Wurst, ob die Datei 'ne Signatur hat oder nicht, solang es die echte ist.

Ich mein,wär das jetzt einmal passiert... aber ne, beim "angeblichen" Google  Chrome update wurde ja auch gemerkt bezüglich fehlender Signatur, was ich dann doch ein bissl auffällig finde, gerade weils beim anderen PC nie so eine Meldung kam.


Sag ma, mach ich mir einfach nur zu viele Sorgen?

[Asyn]

Stimmt denn die URL, von der die Datei heruntergeladen wurde? Kann man irgendwie herausfinden, ob es wirklich vom Downloadserver von Microsoft stammt?

Sieht soweit OK aus...

Code: [Select]

Domain Name: 001489-1.l.windowsupdate.com
Registry Domain ID: 1908932_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.corporatedomains.com
Registrar URL: www.cscprotectsbrands.com
Updated Date: 2014-10-08 16:14:11 -0400
Creation Date: 1997-07-22 00:00:00 -0400
Registrar Registration Expiration Date: 2018-07-21 00:00:00 -0400
Registrar: CSC CORPORATE DOMAINS, INC.
Sponsoring Registrar IANA ID: 299
Registrar Abuse Contact Phone: +1.8887802723
Domain Status: serverTransferProhibited
Domain Status: serverDeleteProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Domain Status: clientDeleteProhibited
Domain Status: serverUpdateProhibited
Registry Registrant ID:
Registrant Name: Domain Administrator
Registrant Organization: Microsoft Corporation
Registrant Street: One Microsoft Way
Registrant City: Redmond
Registrant State/Province: WA
Registrant Postal Code: 98052-6399
Registrant Country: US
Registrant Phone: +001.425.8828080
Registrant Phone Ext:
Registrant Fax: +001.425.9367329

[REDACTED]

Ist es eigentlich möglich, Großbuchstaben in URL zu verwenden? Denn bei 001489-1.l.windowsupdate.com könnte man ja auch statt des kleinen "L" ein großes "i" hinsetzen. Jaja  ich weeeiß, ich schieb schon wieder Paranoia


Aber wenn das dann wirklich microsofts server sind,dann bin ich zufrieden.

[Asyn]

Aber wenn das dann wirklich microsofts server sind,dann bin ich zufrieden.

Gut, das ist die Hauptsache.

[REDACTED]

gibt es denn Großbuchstaben in einer URL? oder ist das nicht möglich?

[Asyn]

gibt es denn Großbuchstaben in einer URL? oder ist das nicht möglich?

Siehe: https://de.wikipedia.org/wiki/Uniform_Resource_Locator#Liste_erlaubter_Zeichen