Frage zu svchost.exe und geschützter Ordnerzugriff
 

Ich glaube, dass der geschützte Ordnerzugriff bereits in der Vergangenheit die svchost.exe gemeldet hat und musste das kontrollieren lassen. Jetzt wollte ich nach der Regel fragen bzw. die Recherche bestätigen lassen.

Bei Meldungen wie dieser...

Ist es in diesem Fall eine Kontrolle vom Pfad zur Anwendung oder muss man dabei mehr beachten?
C:\Windows\System32\svchost.exe = legit (bei Windowsinstallation auf C:)
Rest = Problem

Gilt dann grundsätzlich die Regel, dass svchost im genannten Windows-Ordner immer i.O. ist?

Servus,


die legitime svchost.exe befindet sich am genannten Ort.

Jedoch gab und gibt es auch Malware, die Windows-Systemdateien manipuliert/ersetzt/modifiziert. Die Malware kann sogar im laufenden System die Informationen zu einer Datei so "manipulieren", dass die Datei als legitim angezeigt wird, obwohl sie es nicht ist.

Ist die Kombination aus der exe an diesem Ort und dem Benutzer immer legit?

Also das würde auch bedeuten, dass so eine manipulierte svchost auch in der Log legitim aussehen würde und ich dann hoffen müsste, dass ein On-Demand Scanner sie erkennt?

Bei Google-Recherche hieß es entweder, dass die exe an dem Ort immer legit ist oder es gab einen langen, unklaren Text und am Ende eine Produktplatzierung.

Auf geschätzt 99,9999% aller Systeme ist die svchost.exe unter C:\Windows\System32\ legitim, ja. So wird es auch bei dir sein. Alles in Ordnung.

Ich wollte nur verdeutlichen, dass es Malware gibt (z. B. Rootkits), die Systemdateien infizieren können, ohne dass man als normaler Nutzer dies merken/erkennen würde.
In diesen Fällen müsste man darauf hoffen, dass ein Scanner diese entdeckt. Jedoch entdeckt kein Programm 100% aller Schadsoftware.

Es gibt auch Tools jenseits der "Antivirenprogramme", die solche Malware aufspühren können... z. B. Farbar Recovery Scan Tool (FRST).


Mach dich nicht verrückt wegen dieser Meldung des "überwachten Ordnerzugriffs", das kommt nicht selten vor.