unluckyproccess1999
Goto Top

C und C Callback von SVCHOST.EXE

Hallo zusammen,

ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.

Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.

Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?

Schonmal vielen Dank im voraus.

Gruß
UnluckyProccess1999

Content-Key: 8150718751

Url: https://administrator.de/contentid/8150718751

Printed on: May 18, 2024 at 04:05 o'clock

Member: DerMaddin
DerMaddin Aug 15, 2023 at 11:17:56 (UTC)
Goto Top
Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.
Member: UnluckyProccess1999
UnluckyProccess1999 Aug 15, 2023 at 12:05:39 (UTC)
Goto Top
Zitat von @DerMaddin:

Hat die Datei eine Microsoft Signatur, dann ist diese valide und sollte nicht durch eine andere Version ersetzt werden. In diesem Fall ist evtl. Trend Micro das Problem bzw. deren Eintrag zu dieser Signatur.

Also die svchost.exe hat eine Microsoft Signatur.

Also wenn das Problem bei Trend Micro müsste das Problem dann nicht auf mehreren Geräten Passierten.
(Diese frage ist nur für mich als Interesse)

Aber Vielen Dank für deinen schnelle Antwort face-smile
Mitglied: 7907292512
7907292512 Aug 15, 2023 updated at 12:18:40 (UTC)
Goto Top
Moin.
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.

Gruß siddius
Member: DerMaddin
DerMaddin Aug 15, 2023 at 12:25:54 (UTC)
Goto Top
In Bezug auf den Beitrag von Siddius hier noch ein Hinweise, der vielleicht helfen kann: https://success.trendmicro.com/dcx/s/solution/1121033-what-to-do-in-case ...
Member: UnluckyProccess1999
Solution UnluckyProccess1999 Aug 15, 2023 at 13:26:43 (UTC)
Goto Top
Vielen Dank euch für eure Unterstützung.

Wir haben gerade das Problem in diesem Fall gefunden es war Ad-Aware Web Companion. Nach der Deinstallation kam die Meldung nicht mehr.

Gruß
UnluckyProccess1999