Ich glaube, dass der geschützte Ordnerzugriff bereits in der Vergangenheit die svchost.exe gemeldet hat und musste das kontrollieren lassen. Jetzt wollte ich nach der Regel fragen bzw. die Recherche bestätigen lassen.

Bei Meldungen wie dieser...

Code: Alles auswählenAufklappen

ATTFilter

Der überwachte Ordnerzugriff hat C:\Windows\System32\svchost.exe daran gehindert, Änderungen am Speicher durchzuführen.
 	Erkennungszeit: 2022-04-23T04:12:41.194Z
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Pfad: \Device\HarddiskVolume2
 	Name des Prozesses: C:\Windows\System32\svchost.exe
 	Sicherheitsversion: 1.363.817.0
 	Modulversion: 1.1.19200.5
 	Produktversion: 4.18.2203.5
         

Ist es in diesem Fall eine Kontrolle vom Pfad zur Anwendung oder muss man dabei mehr beachten?
C:\Windows\System32\svchost.exe = legit (bei Windowsinstallation auf C
Rest = Problem

Gilt dann grundsätzlich die Regel, dass svchost im genannten Windows-Ordner immer i.O. ist?

Servus,

Zitat:

Zitat von Gleitlager

Ist es in diesem Fall eine Kontrolle vom Pfad zur Anwendung oder muss man dabei mehr beachten?
C:\Windows\System32\svchost.exe = legit (bei Windowsinstallation auf C
Rest = Problem

Gilt dann grundsätzlich die Regel, dass svchost im genannten Windows-Ordner immer i.O. ist?

die legitime svchost.exe befindet sich am genannten Ort.

Jedoch gab und gibt es auch Malware, die Windows-Systemdateien manipuliert/ersetzt/modifiziert. Die Malware kann sogar im laufenden System die Informationen zu einer Datei so "manipulieren", dass die Datei als legitim angezeigt wird, obwohl sie es nicht ist.

Zitat:

Zitat von Obelix723

Das ist ein Windowsprozess Alles gut

Benutzer: NT-AUTORITÄT\SYSTEM

Das macht windows selber das ist Der Host der Windows sozusagen sagt was es tun soll

Ist die Kombination aus der exe an diesem Ort und dem Benutzer immer legit?

Zitat:

Zitat von M-K-D-B

Servus,



die legitime svchost.exe befindet sich am genannten Ort.

Jedoch gab und gibt es auch Malware, die Windows-Systemdateien manipuliert/ersetzt/modifiziert. Die Malware kann sogar im laufenden System die Informationen zu einer Datei so "manipulieren", dass die Datei als legitim angezeigt wird, obwohl sie es nicht ist.

Also das würde auch bedeuten, dass so eine manipulierte svchost auch in der Log legitim aussehen würde und ich dann hoffen müsste, dass ein On-Demand Scanner sie erkennt?

Bei Google-Recherche hieß es entweder, dass die exe an dem Ort immer legit ist oder es gab einen langen, unklaren Text und am Ende eine Produktplatzierung.

Zitat:

Zitat von Gleitlager

Also das würde auch bedeuten, dass so eine manipulierte svchost auch in der Log legitim aussehen würde und ich dann hoffen müsste, dass ein On-Demand Scanner sie erkennt?

Auf geschätzt 99,9999% aller Systeme ist die svchost.exe unter C:\Windows\System32\ legitim, ja. So wird es auch bei dir sein. Alles in Ordnung.

Ich wollte nur verdeutlichen, dass es Malware gibt (z. B. Rootkits), die Systemdateien infizieren können, ohne dass man als normaler Nutzer dies merken/erkennen würde.
In diesen Fällen müsste man darauf hoffen, dass ein Scanner diese entdeckt. Jedoch entdeckt kein Programm 100% aller Schadsoftware.

Es gibt auch Tools jenseits der "Antivirenprogramme", die solche Malware aufspühren können... z. B. Farbar Recovery Scan Tool (FRST).


Mach dich nicht verrückt wegen dieser Meldung des "überwachten Ordnerzugriffs", das kommt nicht selten vor.