Hi @ll!
Bin im AVPE -Forum seit ca. 4 Monaten als Mitglied laufend am Lernen.
Dort wie da ist das HJT-Log eine wichtige Stütze zur Entfernung von
Trojanern.
Nun habe ich eine HP mit diesem Thema erstellt, dabei bin ich auf eine
Onlineauswertung des Logfils gestossen. Ist dies hier bekannt, das es
eine Onlineauswertung gibt?
http://members.linzag.net/680262/HJT/HijackThis.html
Wow, ich hab das gerade mal ausprobiert und das funktioniert ja tatsächlich richtig gut!
Danke für den Hinweis, ich hab Deinen Beitrag gleich mal gepinnt
Habs gleich mal ausprobiert und leider 2 false positives entdeckt. Aber im Großen und Ganzen scheint das wirklich gut zu funktionieren!
hey passat,
welcome to rokop sag ich mal...wir beide kennen uns ja schon
NICHT SCHLECHT was du da wieder in deiner seite hast, mir ist bereits deine anleitung und info zu AntiVir PE aufgefallen die schon sehr oft zum einsatz gekommen ist.
diese onlineüberprüfung mach ich dann auch mal, momentan wollt ich gerade hijackthis updaten auf 1.98 aber bekomme immer so ne error-meldung das es eben jetzt nicht geht...
kommt zeit, kommt test.
BestenGruss
rock
Hm, hatten wir das hier nicht schon mal? Irgendwo hatte ich das doch schon mal gelesen?
AUf jeden Fall ist das eine feine Sache und es scheint auch immer etwas optimiert zu werden. Sehr gut zur schnellen Kontrolle.
Nun muessen wir es nur schaffen, die User dazu zu bringen erst dort zu kontrollieren und wenn dann noch etwas unklar ist, ihr Log dann zu posten!
Danke für den tollen Tip.....hab mich mal als Testperson "geopfert"
Logfile macht noch einen guten Eindruck.....mal sehen wie's Morgen
aussieht
nochmal Danke und Grüße
Spider04
Naja, bei der ganze Euphorie wuerde ich aber gerne noch anmerken,
das so eine Autoauswertung, nie perfekt sein kann.
Als schneller Hinweis, ist es sicherlich okay aber so genau wie
eine persoenliche Auswertung wird es nie sein.
Dies einfach als Anmerkung.....
Das würde ich nicht unterschreiben. Setz Dich mal einen Tag lang hin und beantworte jedes eingehende HiJackThis-Log. Du wirst feststellen, dass sich die Fragen ständig wiederholen und nach wenigen Logs hast Du spätestens Dein erstes Déja-Vu, denn auch die Loginhalte sind genauen Trends unterworfen.
Insofern ist eine automatische Logauswertung optimal, denn die Datenbank kann bereits aufgetretene Fälle viel exakter auf neue Logs anwenden und so schneller für die entsprechende Reinigung sorgen.
Perfekt kann es natürlich nie sein, aber das sind unsere Tipps meist auch nicht auf Anhieb.
Das Ding beruht dann aber doch auf einer Black und Whitelist oder?
Wenn dann mal irgendwas auftaucht, das auf dieser Whitelist eingetragen ist,
dann gibt der Onlinecheck OK aus, obwohl es sich um Malware handelt.
Ich habe es auch gleich mal ausprobiert....und finde es richtig klasse
Zumindest wird es die User dazu animieren sich mit ihren Logs auseinanderzusetzen und unbekannte Prozesse genauer unter die Lupe zu nehmen...und alleine das ist schon ein Gewinn!!
hi @ll!
morning,
also ich hab jetzt auch mal so eine online-auswertung gemacht.
WINPATROL ist ein unbekannter prozess,
eine datei von mc afee wird "beantstandet".
HP software kennt es scheinbar überhaupt keine, scanner, drucker, camera, alles wird "bemängelt".
gruss
rock
Hallo
kann man dort melden auch, was in ordnung ist, aber bei dem onlinecheck noch nicht bekannt ist??
weil der eintrag von mc afee ist ja nicht bös, oder unbekannt...unbekannt dort, aber nicht wenn man mc hat. ich bin ja nicht der einzige mit dem scanner daher sollten soclhe dinge schon ehest ausgebessert werden.
ebenso winpatrol, das sollte aber schon 'jeder' kennen...
gruss
rock
hi @ll !
bin zwar noch begeistert von der auswertung, aber was passiert, wenn jemand eine böse datei einschmugelt ?
Der Autor arbeitet doch mit dem WinFuture und Protectus Board zusammen. In letzterem sind auf jeden Fall kompetente Leute unterwegs. Ich könnte mir vorstellen, dass der ein oder andere auch mal einen Blick mit auf die Neueinträge wirft. Diese werden schließlich nicht automatisch, sondern anscheinend nach Prüfung übernommen.
Außerdem würden Falscheinträge sicherlich alsbald gemeldet und korrigiert werden.
Zwar kann eine automatische Auswertung keine 100%ige Sicherheit bringen, eine manuelle aber auch nicht. Im Endeffekt kommt es auf die intelligente Kombination an. Nicht jeder der sich als Profi bezeichnet oder glaubt einer zu sein, ist auch einer
hi x2x
bitte um hilfe: habe zwei erkannte würmer (w32.randex.gen, w32.spybot.worm) , welches sich ständig öffnet und spam-nachrichten anzeigt. habe versucht das ganze mit adware6 und spybot - search&destroy wegzubekommen und würde gerne überprüfen lassen ob es funktioniert hat.
hier meine logfile:
Logfile of HijackThis v1.98.0
Scan saved at 23:53:05, on 25.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\WINNT\system32\PROMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\svchost.com
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\ethernet32m.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\viren.help\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0C07/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0C07/bl7.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\Run: [Services host] svchost.com
O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\RunServices: [Services host] svchost.com
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKCU\..\Run: [Services host] svchost.com
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{B819B065-1A8C-442B-BA63-F90751F7B2AD}: NameServer = 195.3.96.67 195.3.96.68
bitte um analyse.
danke, flofelix
Dein Beitrag ist in diesem Thread eigentlich fehl am Platze. Trotzdem:
Ich sehe zunüchst einen veralteten IE und ein unzureichend gepatchtes Windows.
Folgende Einträge sind verdächtig. Genaueres dazu weiß ich allerdings nicht und finde ich auf die Schnelle auch nicht:
O4 - HKLM\..\Run: [Services host] svchost.com
O4 - HKLM\..\RunServices: [Services host] svchost.com
Habe auch antvirus xp 2008 auf meim notebook gehabt...hab es runterbekommen...jedoch gehen einige einstellungen wie zb screensaver immer noch nicht. Oder auch links bei google gehen nicht.
hab nun mit Hijackthis ein logfile erstellt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:37, on 30.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Celli\Desktop\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe ams491.dat,Execute
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)