unluckyproccess1999
Goto Top

C und C Callback von SVCHOST.EXE

Hallo zusammen,

ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.

Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.

Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?

Schonmal vielen Dank im voraus.

Gruß
UnluckyProccess1999

Content-ID: 8150718751

Url: https://administrator.de/forum/c-und-c-callback-von-svchost-exe-8150718751.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

DerMaddin
DerMaddin 15.08.2023 um 13:17:56 Uhr
Goto Top
Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.
UnluckyProccess1999
UnluckyProccess1999 15.08.2023 um 14:05:39 Uhr
Goto Top
Zitat von @DerMaddin:

Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.

Also die svchost.exe hat eine Microsoft Signatur.

Also wenn das Problem bei Trend Micro müsste das Problem dann nicht auf mehreren Geräten Passierten.
(Diese frage ist nur für mich als Interesse)

Aber Vielen Dank für deinen schnelle Antwort face-smile
7907292512
7907292512 15.08.2023 aktualisiert um 14:18:40 Uhr
Goto Top
Moin.
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.

Gruß siddius
DerMaddin
DerMaddin 15.08.2023 um 14:25:54 Uhr
Goto Top
In Bezug auf den Beitrag von Siddius hier noch ein Hinweise, der vielleicht helfen kann: https://success.trendmicro.com/dcx/s/solution/1121033-what-to-do-in-case ...
UnluckyProccess1999
Lösung UnluckyProccess1999 15.08.2023 um 15:26:43 Uhr
Goto Top
Vielen Dank euch für eure Unterstützung.

Wir haben gerade das Problem in diesem Fall gefunden es war Ad-Aware Web Companion. Nach der Deinstallation kam die Meldung nicht mehr.

Gruß
UnluckyProccess1999