Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Closed TopicStart new topic
> HijackThis Onlineauswertung, automatische Logfile-Auswertung
Gast_Passat2002_*
Beitrag 02.07.2004, 00:51
Beitrag #1






Gäste






Hi @ll!

Bin im AVPE -Forum seit ca. 4 Monaten als Mitglied laufend am Lernen.
Dort wie da ist das HJT-Log eine wichtige Stütze zur Entfernung von
Trojanern.
Nun habe ich eine HP mit diesem Thema erstellt, dabei bin ich auf eine
Onlineauswertung des Logfils gestossen. Ist dies hier bekannt, das es
eine Onlineauswertung gibt?

Beschreibung und Link zur Onlineauswertung

Der Beitrag wurde von Passat2002 bearbeitet: 02.07.2004, 01:07
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 02.07.2004, 02:16
Beitrag #2






Gäste






Wow, ich hab das gerade mal ausprobiert und das funktioniert ja tatsächlich richtig gut!

Danke für den Hinweis, ich hab Deinen Beitrag gleich mal gepinnt smile.gif
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 02.07.2004, 03:03
Beitrag #3



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



Habs gleich mal ausprobiert und leider 2 false positives entdeckt. Aber im Großen und Ganzen scheint das wirklich gut zu funktionieren! smile.gif


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 02.07.2004, 04:45
Beitrag #4






Gäste






hey passat,

welcome to rokop sag ich mal...wir beide kennen uns ja schon wink.gif

NICHT SCHLECHT was du da wieder in deiner seite hast, mir ist bereits deine anleitung und info zu AntiVir PE aufgefallen die schon sehr oft zum einsatz gekommen ist. thumbup.gif

diese onlineüberprüfung mach ich dann auch mal, momentan wollt ich gerade hijackthis updaten auf 1.98 aber bekomme immer so ne error-meldung das es eben jetzt nicht geht...

kommt zeit, kommt test. wink.gif

BestenGruss
rock ph34r.gif
Go to the top of the page
 
+Quote Post
raman
Beitrag 02.07.2004, 04:56
Beitrag #5



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Hm, hatten wir das hier nicht schon mal? Irgendwo hatte ich das doch schon mal gelesen?
AUf jeden Fall ist das eine feine Sache und es scheint auch immer etwas optimiert zu werden. Sehr gut zur schnellen Kontrolle.
Nun muessen wir es nur schaffen, die User dazu zu bringen erst dort zu kontrollieren und wenn dann noch etwas unklar ist, ihr Log dann zu posten! wink.gif


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Spider04_*
Beitrag 02.07.2004, 08:00
Beitrag #6






Gäste






Danke für den tollen Tip.....hab mich mal als Testperson "geopfert" rolleyes.gif
Logfile macht noch einen guten Eindruck.....mal sehen wie's Morgen
aussieht whistling.gif

nochmal Danke und Grüße
Spider04
Go to the top of the page
 
+Quote Post
Remover
Beitrag 02.07.2004, 09:09
Beitrag #7



"Sir Remover"
******

Gruppe: Mitglieder
Beiträge: 1.726
Mitglied seit: 04.02.2004
Mitglieds-Nr.: 397

Betriebssystem:
Windows 7 x64
Virenscanner:
MS



Naja, bei der ganze Euphorie wuerde ich aber gerne noch anmerken,
das so eine Autoauswertung, nie perfekt sein kann.
Als schneller Hinweis, ist es sicherlich okay aber so genau wie
eine persoenliche Auswertung wird es nie sein.

Dies einfach als Anmerkung.....


--------------------
Gruss R E M O V E R
If you think you are paranoid,
. . .you are not paranoid enough!
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 02.07.2004, 10:02
Beitrag #8






Gäste






Das würde ich nicht unterschreiben. Setz Dich mal einen Tag lang hin und beantworte jedes eingehende HiJackThis-Log. Du wirst feststellen, dass sich die Fragen ständig wiederholen und nach wenigen Logs hast Du spätestens Dein erstes Déja-Vu, denn auch die Loginhalte sind genauen Trends unterworfen.

Insofern ist eine automatische Logauswertung optimal, denn die Datenbank kann bereits aufgetretene Fälle viel exakter auf neue Logs anwenden und so schneller für die entsprechende Reinigung sorgen.

Perfekt kann es natürlich nie sein, aber das sind unsere Tipps meist auch nicht auf Anhieb. wink.gif
Go to the top of the page
 
+Quote Post
Remover
Beitrag 02.07.2004, 10:47
Beitrag #9



"Sir Remover"
******

Gruppe: Mitglieder
Beiträge: 1.726
Mitglied seit: 04.02.2004
Mitglieds-Nr.: 397

Betriebssystem:
Windows 7 x64
Virenscanner:
MS



Das Ding beruht dann aber doch auf einer Black und Whitelist oder?
Wenn dann mal irgendwas auftaucht, das auf dieser Whitelist eingetragen ist,
dann gibt der Onlinecheck OK aus, obwohl es sich um Malware handelt.


--------------------
Gruss R E M O V E R
If you think you are paranoid,
. . .you are not paranoid enough!
Go to the top of the page
 
+Quote Post
DerBilk
Beitrag 02.07.2004, 10:52
Beitrag #10



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 63
Mitglied seit: 02.05.2003
Wohnort: Bielefeld
Mitglieds-Nr.: 74

Betriebssystem:
WinXP Pro SP2
Virenscanner:
AVIRA
Firewall:
-



QUOTE(Bo Derek @ 2. July 2004, 11:01)
Perfekt kann es natürlich nie sein, aber das sind unsere Tipps meist auch nicht auf Anhieb. wink.gif

Ganz meine Meinung!
Natürlich muss man bei einer automatisierten Antwort immer mit Unabwägbarkeiten rechnen, beispielsweise die Nichterkennung von gutartiger 'Exoten-Software'.
Letzlich ist es hier doch wie bei einem Virenscanner, bzw. einem Online-AVScan - unbekannte Sachen werden immer 'durchrutschen'.
Je mehr Leute dies nutzen und dann hoffentlich auch ihre 'false positiv' melden, umso genauer wird die Auswertung.

Ich beobachte diesen Service jetzt schon ca. 14 Tagen und imho verbessert sich das Ergebnis nahezu täglich.


--------------------
Gruß,
Lutz
Go to the top of the page
 
+Quote Post
x2x
Beitrag 02.07.2004, 20:24
Beitrag #11



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 139
Mitglied seit: 02.02.2004
Mitglieds-Nr.: 393



QUOTE
aber so genau wie
eine persoenliche Auswertung wird es nie sein.


Das würde aber voraussetzen, dass der Auswertende sich nicht irrt - und daran hab ich genauso meine Zweifel wie du sie an der automatischen Auswertung hast.

QUOTE
Wenn dann mal irgendwas auftaucht, das auf dieser Whitelist eingetragen ist, dann gibt der Onlinecheck OK aus, obwohl es sich um Malware handelt.


Eigentlich nicht, da in so einem Fall ein Eintrag als unbekannt bzw. "möglicherweise Schädlich" markiert wird. Das setzt natürlich voraus, dass die Database nicht falsch "gefüttert" wurde.

Die Erkennungsrate steigt übrigens von Tag zu Tag, da man unter "Kontakt" noch nicht klassifizierte Funde als gut oder böse melden kann.

Den Dienst gibt es meines Wissens seit dem 16. Juni.

Der Beitrag wurde von x2x bearbeitet: 02.07.2004, 20:38
Go to the top of the page
 
+Quote Post
christian4u2
Beitrag 02.07.2004, 20:39
Beitrag #12



Triumphator
Gruppensymbol

Gruppe: Freunde
Beiträge: 2.099
Mitglied seit: 12.05.2004
Wohnort: Oberscheidweiler
Mitglieds-Nr.: 812

Betriebssystem:
Windows7
Virenscanner:
KIS11
Firewall:
KIS11



Ich habe es auch gleich mal ausprobiert....und finde es richtig klasse thumbup.gif thumbup.gif thumbup.gif
Zumindest wird es die User dazu animieren sich mit ihren Logs auseinanderzusetzen und unbekannte Prozesse genauer unter die Lupe zu nehmen...und alleine das ist schon ein Gewinn!!
Go to the top of the page
 
+Quote Post
Gast_Passat2002_*
Beitrag 02.07.2004, 21:46
Beitrag #13


Threadersteller




Gäste






hi @ll!

QUOTE
Nun muessen wir es nur schaffen, die User dazu zu bringen erst dort zu kontrollieren und wenn dann noch etwas unklar ist, ihr Log dann zu posten! wink.gif


würde vorschlagen, eine anleitung mit download von hijackthis, ähnlich meiner
hjt anleitung einzusetzen.

zusätzlich sollte der user das orginal speichern und den link hier herein kopieren
http://www.hijackthis.de/logfiles/34a59bf2...fb6f095288.html
schaumamal ob der link funzt

bin nun aber gespannt, wie sich die umstellung von 1.97.7 auf 1.98 auswirkt.

schönen abend noch

Der Beitrag wurde von Passat2002 bearbeitet: 03.07.2004, 01:25
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 03.07.2004, 05:04
Beitrag #14






Gäste






morning,

also ich hab jetzt auch mal so eine online-auswertung gemacht.

WINPATROL ist ein unbekannter prozess,
eine datei von mc afee wird "beantstandet".
HP software kennt es scheinbar überhaupt keine, scanner, drucker, camera, alles wird "bemängelt".

gruss
rock ph34r.gif

Der Beitrag wurde von rock bearbeitet: 03.07.2004, 05:05
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 03.07.2004, 17:43
Beitrag #15



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Hallo
QUOTE(rock @ 3. July 2004, 06:03)
...WINPATROL ist ein unbekannter prozess....

..und die dürften gutartig sein (es ist nicht von meinem PC, keine Angst wink.gif ) :
QUOTE
O18 - Filter: text/html - {A678B794-B087-4336-8F41-163D8D9D2C49} - C:\WINDOWS\System32\ojaebaa.dll   Eventuell Gut
O18 - Filter: text/plain - {A678B794-B087-4336-8F41-163D8D9D2C49} - C:\WINDOWS\System32\ojaebaa.dll   Eventuell Gut

...na ja. Ich hatte immer ein bisschen skeptische Meinung von der Zuverlässigkeit des HJT .
Jetzt weiss ich - warum.


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
x2x
Beitrag 03.07.2004, 19:12
Beitrag #16



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 139
Mitglied seit: 02.02.2004
Mitglieds-Nr.: 393



QUOTE(Rene-gad @ 3. July 2004, 18:42)
...na ja. Ich hatte immer ein bisschen skeptische Meinung von der  Zuverlässigkeit des HJT .
Jetzt weiss ich - warum.

HJT bewertet von sich aus überhaupt nichts. Daher kann es aus rein analytischer Sicht weder zuverlässig noch unzuverlässig sein. Die Onlineauswertung ist eine andere Sache. Man muss aber auch mal bedenken, dass sich alles noch im Aufbau befindet.

Also nicht so viel meckern und lieber alles was eindeutig von euch als gut oder böse identifiziert werden kann, aber in der online Auswertung noch nicht berücksichtigt wird, über das Kontaktformular einsenden. In der Regel werden seriöse Einsendungen innerhalb von 24 Stunden in die Database aufgenommen.
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 04.07.2004, 13:48
Beitrag #17






Gäste






kann man dort melden auch, was in ordnung ist, aber bei dem onlinecheck noch nicht bekannt ist??

weil der eintrag von mc afee ist ja nicht bös, oder unbekannt...unbekannt dort, aber nicht wenn man mc hat. ich bin ja nicht der einzige mit dem scanner daher sollten soclhe dinge schon ehest ausgebessert werden.
ebenso winpatrol, das sollte aber schon 'jeder' kennen...

gruss
rock ph34r.gif
Go to the top of the page
 
+Quote Post
x2x
Beitrag 04.07.2004, 17:19
Beitrag #18



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 139
Mitglied seit: 02.02.2004
Mitglieds-Nr.: 393



QUOTE(rock @ 4. July 2004, 14:47)
kann man dort melden auch, was in ordnung ist, aber bei dem onlinecheck noch nicht bekannt ist??

Ja, ganz unten auf der Seite einfach auf Kontakt klicken. Dadurch öffnet sich ein Formular, in das man alle unbekannten Meldungen eintragen und diese dann als gut oder böse bezeichnen kann. Wenn du also nochmal ein Scan von dir untersuchen lassen würdest und dann die ganzen unbekannten McAfee Einträge als gutartig meldest, dann dürften Sie spätestens morgen oder übermorgen auch in der Datenbank enthalten sein.
Go to the top of the page
 
+Quote Post
Gast_Passat2002_*
Beitrag 04.07.2004, 17:40
Beitrag #19


Threadersteller




Gäste






hi @ll !

bin zwar noch begeistert von der auswertung, aber was passiert, wenn jemand eine böse datei einschmugelt ?

QUOTE
Ja, ganz unten auf der Seite einfach auf Kontakt klicken. Dadurch öffnet sich ein Formular, in das man alle unbekannten Meldungen eintragen und diese dann als gut oder böse bezeichnen kann.


das manuelle durchsehen von profis (wie ihr es seid), sollte aber auf alle fälle durchgeführt werden.

wäre echt super, könnte sich der autor dazu durchringen, jedem internet-sicherheitsforum eine nackte version abzugeben, dann könnte jedes forum selbst entscheiden, was aufgenommen wird oder nicht.
Go to the top of the page
 
+Quote Post
x2x
Beitrag 04.07.2004, 21:13
Beitrag #20



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 139
Mitglied seit: 02.02.2004
Mitglieds-Nr.: 393



Der Autor arbeitet doch mit dem WinFuture und Protectus Board zusammen. In letzterem sind auf jeden Fall kompetente Leute unterwegs. Ich könnte mir vorstellen, dass der ein oder andere auch mal einen Blick mit auf die Neueinträge wirft. Diese werden schließlich nicht automatisch, sondern anscheinend nach Prüfung übernommen.

Außerdem würden Falscheinträge sicherlich alsbald gemeldet und korrigiert werden.

Zwar kann eine automatische Auswertung keine 100%ige Sicherheit bringen, eine manuelle aber auch nicht. Im Endeffekt kommt es auf die intelligente Kombination an. Nicht jeder der sich als Profi bezeichnet oder glaubt einer zu sein, ist auch einer wink.gif
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Closed TopicStart new topic
3 Besucher lesen dieses Thema (Gäste: 3 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 19.03.2024, 11:02
Impressum