Entwicklungscenter >
Registry-Verweis auf Malware

Beantwortet Registry-Verweis auf Malware

  • Donnerstag, 8. Dezember 2011 14:11
     
     
    Anmelden
    0

    Ich habe mit Malwarebytes' Anti-Malware mein System gescannt und in Appdata/Roaming/Windows/ die Datei svchost.exe als Malware erhalten.

    Zusätzlich gab mir das Programm den Registry Eintrag: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und dort den Eintrag Windows als Malware. Als ich in regedit.exe nachgeschaut habe, fand ich dort einen Verweis auf svchost.exe in Appdata.

    Da diese Als Malware erkannt wurden, wollte ich den Verweis im Registry auf den richtigen svchost setzen. Mein Betriebssystem ist 64-Bit und ich weiß nicht ob ich den Verweis ändern soll, da dies ja gefährlich sein kann.  Wenn ich es ändern sollte, muss ich den Verweis auf die svchost.exe in SysWOW64 oder in System32 setzen.

    P.S. Die svchost.exe in Appdata ist unter Quarantäne.

     

Alle Antworten

  • Donnerstag, 8. Dezember 2011 14:48
     
     Beantwortet
    Anmelden
    0

    Lösch den Eintrag in der Registry!

    svchost.exe wird niemals über die Run Sektion gestartet sondern dient nur für Services in Windows-Systemen. Hier wird sich nur der gleiche "unverfängliche" Dateiname verwendet.

    Die richtige svchost.exe alleine kann man so gar nicht starten!

    Martin Richter -- MVP for VC++ [Germany] -- http://blog.m-ri.de
    • Als Antwort vorgeschlagen Martin RichterMVP Donnerstag, 8. Dezember 2011 14:49
    • Als Antwort markiert birdfreeyahoo Donnerstag, 8. Dezember 2011 14:56
    •  
     
  • Donnerstag, 8. Dezember 2011 14:57
     
     
    Anmelden
    0

    Reicht es sie nur in Quarantäne zu stellen oder muss Malwarebytes' sie komplett löschen

    Also soll der Eintrag Windows in Run gar nicht vorhanden sein.

     
  • Donnerstag, 8. Dezember 2011 15:52
     
     
    Anmelden
    0

    Ich habe keine Ahnung was Deine Software macht, aber wenn ein Registry Schlüssel da war, sollte er durch wen auch immer gelöscht werden.

    Martin Richter -- MVP for VC++ [Germany] -- http://blog.m-ri.de
     
  • Donnerstag, 8. Dezember 2011 23:12
     
     
    Anmelden
    1

    birdfreeyahoo:

    Da diese Als Malware erkannt wurden, wollte ich den Verweis im Registry auf den richtigen svchost setzen. Mein Betriebssystem ist 64-Bit und ich weiß nicht ob ich den Verweis ändern soll, da dies ja gefährlich sein kann.  Wenn ich es ändern sollte, muss ich den Verweis auf die svchost.exe in SysWOW64 oder in System32 setzen.

    Was du machen musst: Ein Image deines Systems von vor dem Befall zurück schreiben oder das System platt machen
    und neu installieren, wenn du keine Sicherungen machst. Siehe hier:
    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

     
  • Freitag, 9. Dezember 2011 13:09
     
     
    Anmelden
    1

    Am 08.12.2011 schrieb birdfreeyahoo:

    Ich habe mit Malwarebytes' Anti-Malware mein System gescannt und in Appdata/Roaming/Windows/ die Datei svchost.exe als Malware erhalten.

    Zusätzlich gab mir das Programm den Registry Eintrag: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und dort den Eintrag Windows als Malware. Als ich in regedit.exe nachgeschaut habe, fand ich dort einen Verweis auf svchost.exe in Appdata.

    Daten sichern und neu installieren. Alles andere ist Bastelei. Du
    kannst nicht sicher sein, alles erwischt zu haben, deshalb wäre das
    löschen des Keys grob fährlässig.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter