HijackThis Onlineauswertung, automatische Logfile-Auswertung Einstellungen

[Gast_Passat2002_*]

Hi @ll!

Bin im AVPE -Forum seit ca. 4 Monaten als Mitglied laufend am Lernen.
Dort wie da ist das HJT-Log eine wichtige Stütze zur Entfernung von
Trojanern.
Nun habe ich eine HP mit diesem Thema erstellt, dabei bin ich auf eine
Onlineauswertung des Logfils gestossen. Ist dies hier bekannt, das es
eine Onlineauswertung gibt?

Beschreibung und Link zur Onlineauswertung

Der Beitrag wurde von Passat2002 bearbeitet: 02.07.2004, 01:07

[Gast_Bo Derek_*]

Wow, ich hab das gerade mal ausprobiert und das funktioniert ja tatsächlich richtig gut!

Danke für den Hinweis, ich hab Deinen Beitrag gleich mal gepinnt

[Yopie]

Habs gleich mal ausprobiert und leider 2 false positives entdeckt. Aber im Großen und Ganzen scheint das wirklich gut zu funktionieren!

[Gast_rock_*]

hey passat,

welcome to rokop sag ich mal...wir beide kennen uns ja schon

NICHT SCHLECHT was du da wieder in deiner seite hast, mir ist bereits deine anleitung und info zu AntiVir PE aufgefallen die schon sehr oft zum einsatz gekommen ist.

diese onlineüberprüfung mach ich dann auch mal, momentan wollt ich gerade hijackthis updaten auf 1.98 aber bekomme immer so ne error-meldung das es eben jetzt nicht geht...

kommt zeit, kommt test.

BestenGruss
rock

[raman]

Hm, hatten wir das hier nicht schon mal? Irgendwo hatte ich das doch schon mal gelesen?
AUf jeden Fall ist das eine feine Sache und es scheint auch immer etwas optimiert zu werden. Sehr gut zur schnellen Kontrolle.
Nun muessen wir es nur schaffen, die User dazu zu bringen erst dort zu kontrollieren und wenn dann noch etwas unklar ist, ihr Log dann zu posten!

[Gast_Spider04_*]

Danke für den tollen Tip.....hab mich mal als Testperson "geopfert"
Logfile macht noch einen guten Eindruck.....mal sehen wie's Morgen
aussieht

nochmal Danke und Grüße
Spider04

[Remover]

Naja, bei der ganze Euphorie wuerde ich aber gerne noch anmerken,
das so eine Autoauswertung, nie perfekt sein kann.
Als schneller Hinweis, ist es sicherlich okay aber so genau wie
eine persoenliche Auswertung wird es nie sein.

Dies einfach als Anmerkung.....

[Gast_Bo Derek_*]

Das würde ich nicht unterschreiben. Setz Dich mal einen Tag lang hin und beantworte jedes eingehende HiJackThis-Log. Du wirst feststellen, dass sich die Fragen ständig wiederholen und nach wenigen Logs hast Du spätestens Dein erstes Déja-Vu, denn auch die Loginhalte sind genauen Trends unterworfen.

Insofern ist eine automatische Logauswertung optimal, denn die Datenbank kann bereits aufgetretene Fälle viel exakter auf neue Logs anwenden und so schneller für die entsprechende Reinigung sorgen.

Perfekt kann es natürlich nie sein, aber das sind unsere Tipps meist auch nicht auf Anhieb.

[Remover]

Das Ding beruht dann aber doch auf einer Black und Whitelist oder?
Wenn dann mal irgendwas auftaucht, das auf dieser Whitelist eingetragen ist,
dann gibt der Onlinecheck OK aus, obwohl es sich um Malware handelt.

[DerBilk]

Perfekt kann es natürlich nie sein, aber das sind unsere Tipps meist auch nicht auf Anhieb.

Ganz meine Meinung!
Natürlich muss man bei einer automatisierten Antwort immer mit Unabwägbarkeiten rechnen, beispielsweise die Nichterkennung von gutartiger 'Exoten-Software'.
Letzlich ist es hier doch wie bei einem Virenscanner, bzw. einem Online-AVScan - unbekannte Sachen werden immer 'durchrutschen'.
Je mehr Leute dies nutzen und dann hoffentlich auch ihre 'false positiv' melden, umso genauer wird die Auswertung.

Ich beobachte diesen Service jetzt schon ca. 14 Tagen und imho verbessert sich das Ergebnis nahezu täglich.

[x2x]

aber so genau wie
eine persoenliche Auswertung wird es nie sein.

Das würde aber voraussetzen, dass der Auswertende sich nicht irrt - und daran hab ich genauso meine Zweifel wie du sie an der automatischen Auswertung hast.

Wenn dann mal irgendwas auftaucht, das auf dieser Whitelist eingetragen ist, dann gibt der Onlinecheck OK aus, obwohl es sich um Malware handelt.

Eigentlich nicht, da in so einem Fall ein Eintrag als unbekannt bzw. "möglicherweise Schädlich" markiert wird. Das setzt natürlich voraus, dass die Database nicht falsch "gefüttert" wurde.

Die Erkennungsrate steigt übrigens von Tag zu Tag, da man unter "Kontakt" noch nicht klassifizierte Funde als gut oder böse melden kann.

Den Dienst gibt es meines Wissens seit dem 16. Juni.

Der Beitrag wurde von x2x bearbeitet: 02.07.2004, 20:38

[christian4u2]

Ich habe es auch gleich mal ausprobiert....und finde es richtig klasse
Zumindest wird es die User dazu animieren sich mit ihren Logs auseinanderzusetzen und unbekannte Prozesse genauer unter die Lupe zu nehmen...und alleine das ist schon ein Gewinn!!

[Gast_Passat2002_*]

hi @ll!

Nun muessen wir es nur schaffen, die User dazu zu bringen erst dort zu kontrollieren und wenn dann noch etwas unklar ist, ihr Log dann zu posten! wink.gif

würde vorschlagen, eine anleitung mit download von hijackthis, ähnlich meiner
hjt anleitung einzusetzen.

zusätzlich sollte der user das orginal speichern und den link hier herein kopieren
http://www.hijackthis.de/logfiles/34a59bf2...fb6f095288.html
schaumamal ob der link funzt

bin nun aber gespannt, wie sich die umstellung von 1.97.7 auf 1.98 auswirkt.

schönen abend noch

Der Beitrag wurde von Passat2002 bearbeitet: 03.07.2004, 01:25

[Gast_rock_*]

morning,

also ich hab jetzt auch mal so eine online-auswertung gemacht.

WINPATROL ist ein unbekannter prozess,
eine datei von mc afee wird "beantstandet".
HP software kennt es scheinbar überhaupt keine, scanner, drucker, camera, alles wird "bemängelt".

gruss
rock

Der Beitrag wurde von rock bearbeitet: 03.07.2004, 05:05

[Rene-gad]

Hallo

...WINPATROL ist ein unbekannter prozess....

..und die dürften gutartig sein (es ist nicht von meinem PC, keine Angst ) :

O18 - Filter: text/html - {A678B794-B087-4336-8F41-163D8D9D2C49} - C:\WINDOWS\System32\ojaebaa.dll   Eventuell Gut
O18 - Filter: text/plain - {A678B794-B087-4336-8F41-163D8D9D2C49} - C:\WINDOWS\System32\ojaebaa.dll   Eventuell Gut

...na ja. Ich hatte immer ein bisschen skeptische Meinung von der Zuverlässigkeit des HJT .
Jetzt weiss ich - warum.

[x2x]

...na ja. Ich hatte immer ein bisschen skeptische Meinung von der  Zuverlässigkeit des HJT .
Jetzt weiss ich - warum.

HJT bewertet von sich aus überhaupt nichts. Daher kann es aus rein analytischer Sicht weder zuverlässig noch unzuverlässig sein. Die Onlineauswertung ist eine andere Sache. Man muss aber auch mal bedenken, dass sich alles noch im Aufbau befindet.

Also nicht so viel meckern und lieber alles was eindeutig von euch als gut oder böse identifiziert werden kann, aber in der online Auswertung noch nicht berücksichtigt wird, über das Kontaktformular einsenden. In der Regel werden seriöse Einsendungen innerhalb von 24 Stunden in die Database aufgenommen.

[Gast_rock_*]

kann man dort melden auch, was in ordnung ist, aber bei dem onlinecheck noch nicht bekannt ist??

weil der eintrag von mc afee ist ja nicht bös, oder unbekannt...unbekannt dort, aber nicht wenn man mc hat. ich bin ja nicht der einzige mit dem scanner daher sollten soclhe dinge schon ehest ausgebessert werden.
ebenso winpatrol, das sollte aber schon 'jeder' kennen...

gruss
rock

[x2x]

kann man dort melden auch, was in ordnung ist, aber bei dem onlinecheck noch nicht bekannt ist??

Ja, ganz unten auf der Seite einfach auf Kontakt klicken. Dadurch öffnet sich ein Formular, in das man alle unbekannten Meldungen eintragen und diese dann als gut oder böse bezeichnen kann. Wenn du also nochmal ein Scan von dir untersuchen lassen würdest und dann die ganzen unbekannten McAfee Einträge als gutartig meldest, dann dürften Sie spätestens morgen oder übermorgen auch in der Datenbank enthalten sein.

[Gast_Passat2002_*]

hi @ll !

bin zwar noch begeistert von der auswertung, aber was passiert, wenn jemand eine böse datei einschmugelt ?

Ja, ganz unten auf der Seite einfach auf Kontakt klicken. Dadurch öffnet sich ein Formular, in das man alle unbekannten Meldungen eintragen und diese dann als gut oder böse bezeichnen kann.

das manuelle durchsehen von profis (wie ihr es seid), sollte aber auf alle fälle durchgeführt werden.

wäre echt super, könnte sich der autor dazu durchringen, jedem internet-sicherheitsforum eine nackte version abzugeben, dann könnte jedes forum selbst entscheiden, was aufgenommen wird oder nicht.

[x2x]

Der Autor arbeitet doch mit dem WinFuture und Protectus Board zusammen. In letzterem sind auf jeden Fall kompetente Leute unterwegs. Ich könnte mir vorstellen, dass der ein oder andere auch mal einen Blick mit auf die Neueinträge wirft. Diese werden schließlich nicht automatisch, sondern anscheinend nach Prüfung übernommen.

Außerdem würden Falscheinträge sicherlich alsbald gemeldet und korrigiert werden.

Zwar kann eine automatische Auswertung keine 100%ige Sicherheit bringen, eine manuelle aber auch nicht. Im Endeffekt kommt es auf die intelligente Kombination an. Nicht jeder der sich als Profi bezeichnet oder glaubt einer zu sein, ist auch einer