Danke, alles klar! (owt)
-nix-
Hallo Loderunner
Gut oder böse:
das weiß ich genau dann, wenn ich das Logfile nicht selber
auswerte, sondern online auswerten lasse.
Die Online-Auswertung ist durchaus eine gute Hilfestellung. Man sollte sich aber nicht allein darauf verlassen, was dort steht. Die Chance ist zwar wohl gross, dass die als ‚gut‘ bewerteten Einträge soweit in Ordnung sind. Aber die Einträge, die mit Fragezeichen oder anders markiert sind, sollte man erst noch anderweitig prüfen. Z.B. indem man den Namen der jeweils gemeldeten Datei in einer Suchmaschine einwirft und schaut, was man an Informationen darüber findet.
CU
Peter
Hallo Loderunner
Imho ist hjt grad dazu gedacht, ALLE laufenden Prozesse zu
listen. Im Unterschied zum Taskmanager auch die unsichtbaren
Prozesse und alle mit Dateinamen.
Es listet zwar mehr als der Windows-eigene Task-Manager. Aber ich bin nicht sicher, ob es wirklich alles listet. Oder ob es nicht doch noch Sachen gibt, die sich selbst vor Hijackthis, Security Task Manager etc. verbergen können.
Wie könnte sich da ein böses Programm verstecken?
Informiere Dich mal darüber, wie sich Rootkits verbergen. Was die können, kann durchaus auch andere Software nutzen.
CU
Peter
Hallo,
Die Online-Auswertung ist durchaus eine gute Hilfestellung.
Man sollte sich aber nicht allein darauf verlassen, was dort
steht.
Völlig klar. Insofern ist hjt auch kein Programm für Anfänger, die einen kostenlosen Ersatz für ihr abgelaufenes Demo-Rundum-Sorglos-Paket suchen.
Aber Danke für die Ergänzung.
Gruß
loderunner
Hallo,
Informiere Dich mal darüber, wie sich Rootkits verbergen. Was
die können, kann durchaus auch andere Software nutzen.
mach ich. Wenn ich dabei zeitnah was interessantes in Bezug auf hjt rausfinde, melde ich mich.
Gruß
loderunner
Leider nicht bestanden!
Gut oder böse:
das weiß ich genau dann, wenn ich das Logfile nicht selber
auswerte, sondern online auswerten lasse.
Schauen wir uns die Online-Auswertung zu diesem Eintrag mal genauer an:
Unknown service.
Jetzt sind wir schon viel schlauer! Die Frage aber lautet immer noch: Gut oder böse?
Gruss
Schorsch
Hallo,
Unknown service.
Jetzt sind wir schon viel schlauer! Die Frage aber lautet
immer noch: Gut oder böse?
ganz klar: sicherheitshalber böse bis zur Klärung.
Gruß
loderunner
Jetzt sind wir schon viel schlauer! Die Frage aber lautet
immer noch: Gut oder böse?ganz klar: sicherheitshalber böse bis zur Klärung.
Aber wie willst du das klären? Das kann einfach ein Teil deiner Soundkarten-Software sein. Aber vielleicht wurde diese Datei auch von einem Virus/Wurm infiziert oder durch eine manipulierte Version ersetzt. Du weißt es schlicht nicht und hast ohne MD5-Summe einer nicht korrumpierten Datei auch keine Möglichkeit, dies zu prüfen.
Hallo,
Aber wie willst du das klären? Das kann einfach ein Teil
deiner Soundkarten-Software sein.
Durchaus. Im Zweifel schaue ich mit einem Hex-editor in die Datei hinein. Bei einem normalen Treiber finden sich dann normalerweise irgendwo spezifische Fehlermeldungen und andere Texte. Bei einem Virus/Trojaner sieht das anders aus.
Aber vielleicht wurde diese
Datei auch von einem Virus/Wurm infiziert oder durch eine
manipulierte Version ersetzt.
Durchaus möglich.
Du weißt es schlicht nicht und
hast ohne MD5-Summe einer nicht korrumpierten Datei auch keine
Möglichkeit, dies zu prüfen.
Richtig. Dessen kann man sich aber niemals sicher sein. Weshalb zum einen Brain 1.0 permanent im Einsatz ist und zum anderen selbstverständlich hjt nicht der einzige Schutz ist.
Es ging mir nur darum, ob hjt überhaupt sinnvoll ist oder nicht. Und da kann ich aus meiner eigenen Erfahrung sagen, dass ich mit dessen Hilfe durchaus schon Trojaner entfernt habe. Wobei ich mir bewusst bin, dass die Entfernung vielleicht nicht alle Hintertürchen geschlossen hat. Aber ich hoffe es, zumal sich das seltsame Verhalten der Kiste danach nicht mehr gezeigt hat.
Gruß
loderunner
Durchaus. Im Zweifel schaue ich mit einem Hex-editor in die
Datei hinein. Bei einem normalen Treiber finden sich dann
normalerweise irgendwo spezifische Fehlermeldungen und andere
Texte. Bei einem Virus/Trojaner sieht das anders aus.
Nein, bei einem Virus schaut das gar nicht anders, aus, weil der infiziert ja Dateien nur mit ein bisschen Code. Die „spezifischen Fehlermeldungen“ bleiben ja in der Datei nach wie vor erhalten, schließlich muss die Datei ja noch ihren Dienst verrichten. Gleiches gilt für einen Trojaner, der sich an eine Datei anhängt. Der startet sich am Anfang in einem neuen Thread und lässt das eigentliche Programm dann ganz normal weiterlaufen. Außerdem kannst du dir die meisten DLLs anschauen und wirst dort keine ASCII-Texte finden. Und mehr kannst du mit deinem Hex-Editor auch nicht anschauen. Was soll das also über eine Infektion aussagen?
Die Taktik mit einem Hex-Editor mal da rein zu schauen, steht damit auf mehr als wackeligen Füßen…
Richtig. Dessen kann man sich aber niemals sicher sein.
Weshalb zum einen Brain 1.0 permanent im Einsatz ist und zum
anderen selbstverständlich hjt nicht der einzige Schutz ist.
Und was bringt dir dann Hijack This überhaupt?
Ich stelle fest:
Ein wirkliches Schadprogramm, das im Hintergrund heimlich laufen soll, taucht nirgends im Log auf. Und wenn, dann kannst du es nicht von einem ungefährlichen Eintrag unterscheiden… Tolle Sache.
Es ging mir nur darum, ob hjt überhaupt sinnvoll ist oder
nicht. Und da kann ich aus meiner eigenen Erfahrung sagen,
dass ich mit dessen Hilfe durchaus schon Trojaner entfernt
habe.
Entfernt hast du allenfalls die Erstinfektion. Das wichtige und eigentliche Zeugs wird aber oft nachgeladen und das hast du eben nicht entfernt…
Wobei ich mir bewusst bin, dass die Entfernung
vielleicht nicht alle Hintertürchen geschlossen hat.
Sehr optimistisch…
Aber ich
hoffe es, zumal sich das seltsame Verhalten der Kiste danach
nicht mehr gezeigt hat.
Natürlich zeigt sie das Verhalten nicht mehr. Die eigentlichen Schadprogramme laufen ja auch unauffällig im Hintergrund! Oder glaubst du, dass jemand nen Keylogger bei dir installiert, der mit seltsamen Verhalten auffällt???
Hallo,
irgendwie hat man mich hier offensichtlich missverstanden. Selbstverständlich ist hjt für mich kein Ersatz für alle anderen Sicherheitseinrichtungen / -Programme, sondern nur eine Ergänzung. Es ging mir nur um die Frage, wie gut denn diese Ergänzung ist und wie sich eine Schadsoftware vor hjt verstekcen kann.
Ein wirkliches Schadprogramm, das im Hintergrund heimlich
laufen soll, taucht nirgends im Log auf. Und wenn, dann kannst
du es nicht von einem ungefährlichen Eintrag unterscheiden…
Kann ich in den meisten Fällen.
Tolle Sache.
Durchaus.
Entfernt hast du allenfalls die Erstinfektion. Das wichtige
und eigentliche Zeugs wird aber oft nachgeladen und das hast
du eben nicht entfernt…
Das kommt drauf an, was denn da nun genau installiert war. Es ist keineswegs so, dass JEDER Trojaner gleich alles mögliche an Zusatzprogrammen installiert. Das ist nur der Worst Case.
Wobei ich mir bewusst bin, dass die Entfernung
vielleicht nicht alle Hintertürchen geschlossen hat.Sehr optimistisch…
Genau.
Aber ich
hoffe es, zumal sich das seltsame Verhalten der Kiste danach
nicht mehr gezeigt hat.Natürlich zeigt sie das Verhalten nicht mehr. Die
eigentlichen Schadprogramme laufen ja auch
unauffällig im Hintergrund! Oder glaubst du, dass jemand nen
Keylogger bei dir installiert, der mit seltsamen Verhalten
auffällt???
Ja. Dadurch habe ich die Existenz des Trojaners überhaupt erst bemerkt. Verschiedene Virenprogramme (insgesamt 6 verschiedene) haben dann leider nichts gefunden. HJT schon. Und beseitigt habe ich das Ding dann zu Fuß, nachdem mir google nähere Informationen zu dem Programm geliefert hat.
Nochmal: hjt ist nur eine Ergänzung, nicht mehr. Aber auch nicht weniger.
Gruß
loderunner