C und C Callback von SVCHOST.EXE
Hallo zusammen,
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8150718751
Url: https://administrator.de/forum/c-und-c-callback-von-svchost-exe-8150718751.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
5 Kommentare
Neuester Kommentar
Moin.
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
In Bezug auf den Beitrag von Siddius hier noch ein Hinweise, der vielleicht helfen kann: https://success.trendmicro.com/dcx/s/solution/1121033-what-to-do-in-case ...