[Matze]

Ich habe ein 'kleines' Script geschrieben, welches die HijackThis Logfiles Automatisch auswerten soll. Derzeit liegt die Trefferqoute bei ~95%.

Einfach das komplette Log-File in die Textbox kopieren und auswerten lassen.

NEUE ADRESSE!
Zur automatischen Auswertung auf www.hijackthis.de
NEUE ADRESSE!

In den nächsten Tagen werde ich die Prozessdatenbank um einiges vergößern, sodass nicht bei fast jedem Prozess 'unbekannt' steht.
Weiterhin werde ich versuchen die "Eventuell Böse"-Meldungen einzudämmen und Fehlmeldungen zu korrigieren.

Folgendes wird falsch eingestuft.:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9953C5DC-D682-48A1-8B90-191509BD84AD}: NameServer = 217.237
- Einige ActiveX Objekte werden als eventuell Böse erkannt.
C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s (Böse, Fixen)
C:\WINDOWS\ipinsigt.dll (spyware)
C:\WINDOWS\MSView.DLL (adware)
C:\WINDOWS\System\BHO001.DLL (malware)
C:\Programme\UCmore\UCMIE.dll (spyware)
C:\WINDOWS\System32\msdxm.ocx (Ungefährlich)
- wenn die datei eine doppelendung hat (oder einen punkt wie z.b. versionsnummer im dateinamen) klappt die auswertung gar nicht (evtl von hinten bis zum ersten \ auslesen...)

Sonstige Ideen:

- Prozesskategorie wird von den anderen getrennt.
-Gut wäre es außerdem, wenn die Analye noch eine (genauere) Beschreibung zu den ausgewärteten Ergebnissen liefert.

Kritik und Fehlermeldungen sind erwünscht.

Dieser Beitrag wurde von Matze bearbeitet: 28. November 2004 - 14:17

[DiNozzo]

Die Idee ist sehr gut, und auch die Umsetzung ist ziemlich gelungen, nur würde ich Unbekannt blau und Gut grüner machen

[pSyCHo_SolDiEr]

Die Idee ist an sich nicht schlecht aber ich glaube da steckt noch einige arbeit für dich drin.

Habs grad mal getestet und er zeigt mir bei ziemlich vilen Progs an das sie Böse bzw eventuell Böse sind obwohl sie das defenitiv nicht sind. (z.b. winamp)

Also wenn du da noch ein bisschen was dran machst könnte es glaube ich ein Problemlöser für viele viele Leute werden.

[Matze]

@mastre1 Blaue Schritt auf blauem Hintergrund sieht nicht sooo toll aus Das mit der grüneren Schriftart werde ich machen.

@psycho_soldier
Winamp wird als Böse erkannt?
Wenn du mir die Zeilen sagst die du eingegeben hast, kann ich mal gucken warum Winamp als Böse ausgegeben wurde.

[DiNozzo]

Zitat (MatzeSZ: 12.06.2004, 20:26)

@mastre1 Blaue Schritt auf blauem Hintergrund sieht nicht sooo toll aus Das mit der grüneren Schriftart werde ich machen.

Stimmt, hast recht

Aber ich würde kein Grün nehmen sonder irgendeine andere nicht aufdringliche Farbe

[pSyCHo_SolDiEr]

O4 - HKLM\..\Run: [WinampAgent] D:\Tools\Winamp\winampa.exe

Außerdem hat er das noch fälschlicherweiße als böse erkannt:

O4 - HKLM\..\Run: [CloneCDTray] "D:\Brennen\CloneCD 4319\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

[Matze]

Zitat (pSyCHo_SolDiEr: 12.06.2004, 20:33)

O4 - HKLM\..\Run: [WinampAgent] D:\Tools\Winamp\winampa.exe

Außerdem hat er das noch fälschlicherweiße als böse erkannt:

O4 - HKLM\..\Run: [CloneCDTray] "D:\Brennen\CloneCD 4319\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

So, nach langer suche im Internet und einer MYSQL-Dokumentation später sollten solche Probleme der Vergangenheit angehören. (hoffe ich doch)
Die grüne Farbe habe ich etwas heller gemacht, weil ich finde das man sofort sehen soll, wenn der Eintrag OK ist.

Dieser Beitrag wurde von MatzeSZ bearbeitet: 12. Juni 2004 - 20:27

[achilleus]

so ich hab auch mal mein logfiles durchgejagd und einige noch offene Sachen gefunden, anbei noch ne kleine Liste an guten Sachen

Running processes:
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe - Common Client Settings Manager Service von Symantec
C:\Programme\Century\TinyTERM\NetUtils\Cenlpd.exe - CenLPD Module
C:\Programme\Symantec AntiVirus\DefWatch.exe - Virus Definition Daemon von Symantec
C:\Programme\Multimedia Card Reader\shwicon2k.exe - Alcor Micro Sunkist (halt cardreader software;))
C:\Programme\Symantec AntiVirus\Rtvscan.exe - Symantec AntiVirus
C:\Programme\Motherboard Monitor 5\MBM5.EXE - MotherBoardMonitor halt;)
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe - Common Client User Session von Symantec
C:\PROGRA~1\SYMANT~2\VPTray.exe - Symantec AntiVirus (schon super, das die nen eigenen Prozess für des Icon brauchen;D
C:\Programme\uptime_client\client.exe - uptime project client
C:\PROGRA~1\OBJECT~1\WindowFX\wfxload.exe - Stardock WindowFX
C:\Programme\OO Software\DriveLED\OODLed.exe - O&O DriveLED
C:\Programme\Skype\Phone\Skype.exe - Skype
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cenlpdstatus.exe - CenLPDStatus
C:\Programme\kodak\Kodak EasyShare software\bin\EasyShare.exe - Kodak EasyShare Software
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe - Software fürs SX1
C:\WINDOWS\System32\devldr32.exe - Creative Software
C:\Programme\distributed.net\dnetc.exe - distributed.net client
C:\Programme\KiSS Technology\KiSS PC-Link\KiSS PC-Link.exe - KISS PC-Link Software
C:\Programme\Object Desktop\SpringFolders\SpringFolders.exe - Stardock SpringFolders

C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE 	 Laufender Prozess. (SPHONE~2.EXE) 	 Unbekannt 	 Dies ist ein unbekannter Prozess.
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE  Laufender Prozess. (SYMBIA~1.EXE)  Unbekannt  Dies ist ein unbekannter Prozess.
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe  Laufender Prozess. (SCBAL.exe)  Unbekannt  Dies ist ein unbekannter Prozess.
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE  Laufender Prozess. (MROUTE~2.EXE)  Unbekannt  Dies ist ein unbekannter Prozess.
HABEN ALLE WAS MIT DER SX1 SOFTWARE ZU TUN;)

C:\Programme\mIRC\mirc.exe - mIRC halt;)
C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe - ACDSee
C:\Programme\WebTemp\WebTemp.exe - WebTemp Software
C:\Programme\FlashGet\flashget.exe - FlashGet
C:\Programme\Azureus\Azureus.exe - Bittorrent client
C:\Programme\Java\j2re1.5.0\bin\javaw.exe - SUN Java Runtimes
C:\PROGRA~1\DAMNNF~1\DAMNNF~1.EXE - DAMN NFO Viewer :)

---- nächste Kategorie, solltest du ggf noch von den Prozessen trennen ----
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = router:8080 - warum ist doe Proxyeinstellung böse ?;)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.c - warum soll windowsupdate böse sein;)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.5.0\bin\jusched.exe - Sun Java Update Engine
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background - MSN Messenger 6
O4 - HKCU\..\Run: [Uptime-Project] C:\Programme\uptime_client\client.exe - Uptime Projekt Client halt;)
O4 - HKCU\..\Run: [WebTemp] "C:\Programme\WebTemp\WebTemp.exe" - WepTemp
O4 - Startup: dnetc.lnk = C:\Programme\distributed.net\dnetc.exe - Distributed.net client
O4 - Startup: KiSS PC-Link.lnk = C:\Programme\KiSS Technology\KiSS PC-Link\KiSS PC-Link.exe - KISS Software
O4 - Startup: SpringFolders.lnk = C:\Programme\Object Desktop\SpringFolders\SpringFolders.exe - ...;)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adob - nicht böse, aber wohl überflüssig :D
O4 - Global Startup: Cenlpdstatus.exe - TinyTERM;)
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\kodak\Kodak EasyShare software\bin\ - kodak easy....
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\kodak\KODAK Software Updater\7288971\ - telefoniert nach hause
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe - SX1

---- und wieder ein paar nicht böse Sachen ----
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm 
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM) 
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM) 
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E 
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://r 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zo
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft 
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F3987B-C190-40BD-9621-34348AC8A4ED}: NameServer = 192.168  

[BlueDarknezz]

hab im anhang mal die auswertung meines logs, zur veranschaulichung gleich die *.php gespeichert

zu aufklärung für evtl. änderungen bzw. updates:
Laufender Prozess. (StyleXPService.exe)
Laufender Prozess. (taskswitch.exe) <- gehört zu den Windows Powertoys von MS
Laufender Prozess. (printray.exe) <- Lexmark Druckservice
Laufender Prozess. (Alcohol.exe) <- wie der name schon sagt Alcohol 120%
Laufender Prozess. (ClamTray.exe) <- die win-version von ClamAV, wird im weiteren verlauf sogar noch als "Böse" erkannt
Laufender Prozess. (ProtoWall.exe) <- wie der name auch hier schon sagt Protowall
Laufender Prozess. (overnet.exe) <- brauch ich, denke ich auch nicht großartig zu erläutern...p2p-client
Laufender Prozess. (QCDPlayer.exe) <- media player a la winamp
Laufender Prozess. (CursorXP.exe) <- programm von stardock zum cursor stylen
C:\Programme\FlashFXP\IEFlash.dll <- wird teilweise (schlecht) erkannt...name sagt es ja schon
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) <- ist denke ich, nicht "Eventuell Böse"

...diese können als "Gut" und nicht länger "Unbekannt" bzw. "(Eventuell)/Böse" eingestuft werden

hoffe ich konnte einer evtl. ausreifung behilflich sein

[pSyCHo_SolDiEr]

Ok also ein paar Dinger stuft dein Prog jetzt nicht mehr als Böse ein, wie z.b CloneCd ...
aber Winamp stuft er immer noch als Böse ein.

Außerdem stuft er mein Virenscanner F-Secure jetzt als Böse ein:
O4 - HKLM\..\Run: [F-Secure TNB] "D:\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL

Also wie gesagt wenn du noch ein paar Tage Arbeit rein steckst und deine Datenbank ausweitest könnte dein Program echt der Renner werden.
Dann müssten Leute wie Rika etc. nicht mehr die LogFiles auswerten sonder könnten einfach auf den Link deiner Seite verweisen und das Prob wäre gelöst.

Also viel Glück noch.

[DiNozzo]

Du schreibst:

Zitat

HijackThis ist ein Programm für Erfahrene Benutzer, welches Ihnen beim aufspüren von Browser Hijackern behilflich sein kann. Das Programm erkennt Spyware und andere Malware (auch Dinge wie Trojaner und Würmer.

Du hast aber eine Klammer vergessen:

So Siehts richtig aus:

Zitat

HijackThis ist ein Programm für Erfahrene Benutzer, welches Ihnen beim aufspüren von Browser Hijackern behilflich sein kann. Das Programm erkennt Spyware und andere Malware (auch Dinge wie Trojaner und Würmer).

War nicht viel, aber gehört auch dazu

[DiNozzo]

So hab auch was gefunden:

O4 - Global Startup: IDW Logging Tool.lnk = C:\WINDOWS\system32\idwlog.exe Nicht implementiert! Dieses Problem wurde noch nicht implementiert.
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinema Nicht implementiert! Dieses Problem wurde noch nicht implementiert.
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\ Nicht implementiert! Dieses Problem wurde noch nicht implementiert.

[Matze]

@evilized:
Ein Link und eine Beschreibung zu HijackThis ist eingebaut.
Deine Programme werde ich auch im laufe des Tages fixen.

@achilleus und BlueDarknezz:
Vielen Dank, ich werde dieses im Laufe des Tages fixen.

@pSyCHo_SolDiEr:
Die Zeile die du mir gestern von Winamp gegeben hast, stuft er bei mir als Gut ein. Hast du die gleiche Zeile genommen?

EDIT:
@mastre1:
Diese Problemgruppe werde ich auch bald (vermutlich noch heute) machen. Rechtschreibfehler werde ich auch beheben.

Edit2:
Mein Gott alle posten, wenn ich poste *g*

Edit3:
Fast alles gefixt. Reste stehen im ersten Post.

Dieser Beitrag wurde von MatzeSZ bearbeitet: 13. Juni 2004 - 11:42