5
C und C Callback von SVCHOST.EXE
Hallo zusammen,
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8150718751
Url: https://administrator.de/contentid/8150718751
Printed on: April 30, 2024 at 10:04 o'clock
5 Comments
Latest comment
Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.
Zitat von @DerMaddin:
Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.
Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.
Also die svchost.exe hat eine Microsoft Signatur.
Also wenn das Problem bei Trend Micro müsste das Problem dann nicht auf mehreren Geräten Passierten.
(Diese frage ist nur für mich als Interesse)
Aber Vielen Dank für deinen schnelle Antwort
Moin.
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
In Bezug auf den Beitrag von Siddius hier noch ein Hinweise, der vielleicht helfen kann: https://success.trendmicro.com/dcx/s/solution/1121033-what-to-do-in-case ...
Vielen Dank euch für eure Unterstützung.
Wir haben gerade das Problem in diesem Fall gefunden es war Ad-Aware Web Companion. Nach der Deinstallation kam die Meldung nicht mehr.
Gruß
UnluckyProccess1999
Wir haben gerade das Problem in diesem Fall gefunden es war Ad-Aware Web Companion. Nach der Deinstallation kam die Meldung nicht mehr.
Gruß
UnluckyProccess1999
