C und C Callback von SVCHOST.EXE
Hallo zusammen,
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
ich habe ein Problem bei einem User. Dieser bekommt von Trend Micro bei jedem Start eine Meldung das die svchost.exe als C&C Callback identifiziert wurde. Doch diese liegt auf C:\Windows\System32\ also eigentlich nix abnormales.
Ich hab schon den Task-Manager überprüft ob dort was auffälliges zu finden ist so wie auch nach weiteren svchost.exe geschaut. Hat alles nix ergeben und langsam bin ich mit meinem Latein am ende.
Hat jemand noch weitere Ideen oder kann man die scvhost.exe ersetzen ?
Schonmal vielen Dank im voraus.
Gruß
UnluckyProccess1999
Please also mark the comments that contributed to the solution of the article
Content-Key: 8150718751
Url: https://administrator.de/contentid/8150718751
Printed on: May 2, 2024 at 08:05 o'clock
5 Comments
Latest comment
Moin.
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
die legitimen "svchost"-Prozesse von MS nutzt Malware oft als Huckepack-Prozess und versteckt sich dahinter per DLL-Injection. Die Meldung sollte man also ernst nehmen und auf jeden Fall einen ausführlichen Offline-Scan vornehmen (kein Online-Scan im OS, das kann die Ergebnisse verfälschen und der Scanner die Malware übersehen)!. Im Zweifel die Kiste platt machen und neu aufsetzen/image neu aufspielen, bevor das ganze Netz infiltriert ist.
Gruß siddius
In Bezug auf den Beitrag von Siddius hier noch ein Hinweise, der vielleicht helfen kann: https://success.trendmicro.com/dcx/s/solution/1121033-what-to-do-in-case ...