Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Frage zu svchost.exe und geschützter Ordnerzugriff (https://www.trojaner-board.de/204004-frage-svchost-exe-geschuetzter-ordnerzugriff.html)

Gleitlager 23.04.2022 05:33

Frage zu svchost.exe und geschützter Ordnerzugriff
 
Ich glaube, dass der geschützte Ordnerzugriff bereits in der Vergangenheit die svchost.exe gemeldet hat und musste das kontrollieren lassen. Jetzt wollte ich nach der Regel fragen bzw. die Recherche bestätigen lassen.

Bei Meldungen wie dieser...

Code:

Der überwachte Ordnerzugriff hat C:\Windows\System32\svchost.exe daran gehindert, Änderungen am Speicher durchzuführen.
        Erkennungszeit: 2022-04-23T04:12:41.194Z
        Benutzer: NT-AUTORITÄT\SYSTEM
        Pfad: \Device\HarddiskVolume2
        Name des Prozesses: C:\Windows\System32\svchost.exe
        Sicherheitsversion: 1.363.817.0
        Modulversion: 1.1.19200.5
        Produktversion: 4.18.2203.5

Ist es in diesem Fall eine Kontrolle vom Pfad zur Anwendung oder muss man dabei mehr beachten?
C:\Windows\System32\svchost.exe = legit (bei Windowsinstallation auf C:)
Rest = Problem

Gilt dann grundsätzlich die Regel, dass svchost im genannten Windows-Ordner immer i.O. ist?

M-K-D-B 23.04.2022 15:12

Servus,


Zitat:

Zitat von Gleitlager (Beitrag 1764849)
Ist es in diesem Fall eine Kontrolle vom Pfad zur Anwendung oder muss man dabei mehr beachten?
C:\Windows\System32\svchost.exe = legit (bei Windowsinstallation auf C:)
Rest = Problem

Gilt dann grundsätzlich die Regel, dass svchost im genannten Windows-Ordner immer i.O. ist?

die legitime svchost.exe befindet sich am genannten Ort.

Jedoch gab und gibt es auch Malware, die Windows-Systemdateien manipuliert/ersetzt/modifiziert. Die Malware kann sogar im laufenden System die Informationen zu einer Datei so "manipulieren", dass die Datei als legitim angezeigt wird, obwohl sie es nicht ist.

Gleitlager 23.04.2022 21:58

Zitat:

Zitat von Obelix723 (Beitrag 1764862)
Das ist ein Windowsprozess Alles gut

Benutzer: NT-AUTORITÄT\SYSTEM

Das macht windows selber das ist Der Host der Windows sozusagen sagt was es tun soll

Ist die Kombination aus der exe an diesem Ort und dem Benutzer immer legit?

Zitat:

Zitat von M-K-D-B (Beitrag 1764868)
Servus,



die legitime svchost.exe befindet sich am genannten Ort.

Jedoch gab und gibt es auch Malware, die Windows-Systemdateien manipuliert/ersetzt/modifiziert. Die Malware kann sogar im laufenden System die Informationen zu einer Datei so "manipulieren", dass die Datei als legitim angezeigt wird, obwohl sie es nicht ist.

Also das würde auch bedeuten, dass so eine manipulierte svchost auch in der Log legitim aussehen würde und ich dann hoffen müsste, dass ein On-Demand Scanner sie erkennt?

Bei Google-Recherche hieß es entweder, dass die exe an dem Ort immer legit ist oder es gab einen langen, unklaren Text und am Ende eine Produktplatzierung.

M-K-D-B 24.04.2022 19:26

Zitat:

Zitat von Gleitlager (Beitrag 1764884)
Also das würde auch bedeuten, dass so eine manipulierte svchost auch in der Log legitim aussehen würde und ich dann hoffen müsste, dass ein On-Demand Scanner sie erkennt?

Auf geschätzt 99,9999% aller Systeme ist die svchost.exe unter C:\Windows\System32\ legitim, ja. So wird es auch bei dir sein. Alles in Ordnung.

Ich wollte nur verdeutlichen, dass es Malware gibt (z. B. Rootkits), die Systemdateien infizieren können, ohne dass man als normaler Nutzer dies merken/erkennen würde.
In diesen Fällen müsste man darauf hoffen, dass ein Scanner diese entdeckt. Jedoch entdeckt kein Programm 100% aller Schadsoftware.

Es gibt auch Tools jenseits der "Antivirenprogramme", die solche Malware aufspühren können... z. B. Farbar Recovery Scan Tool (FRST).


Mach dich nicht verrückt wegen dieser Meldung des "überwachten Ordnerzugriffs", das kommt nicht selten vor.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131