[ZakMcKracken]

Ich möchte auch noch etwas zur verbesserung dieses sehr guten und wahrschneinlich äußerst Aufwendigen "Tools" beisteuern:

D:\Programme\SpeedswitchXP\SpeedswitchXP.exe -> Tool für Notebooks um den Lüfter besser zu steuern!

D:\xampp\FileZillaFTP\FileZilla Server.exe -> FTP Server

D:\PROGRA~1\Stardock\OBJECT~1\OBJECT~1.EXE -> ObjectDock -> Leiste wie in MacOS X

D:\Programme\Xi\NetTransport 2\NetTransport.exe -> Downloadmanager

Mach weiter so mit deinem Projekt!!!

[Matze]

@ZakMcKracken, Habe die Prozesse hinzugefügt.

Hier mal einige Programmiertechnische Infos:
780 Zeilen Programmcode
1052 eigetragene CLSID's
230 eingetragene Prozesse
4320 eingetragene StartUp Dateien

Ich habe heute ziemlich viel am Script gemacht und es wird immer mehr erkannt und Fehlalarme werden immer weniger.
Deshalb würde ich mich über jedes weitere HijackThis Logfile freuen. Je mehr Leute ihr HijackThis Logfile online scannen lassen und die Ergebnisse hier posten, desto besser und präziser wird das Script!

[Philipp]

Zitat

C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Ist eine Firewall. Wurde als unbekannt erkannt

Zitat

C:\Programme\iPod\bin\iPodService.exe

Müsste etwas von itunes sein

Zitat

O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe

Das auch

Zitat

O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe

Miranda Messenger

Dieser Beitrag wurde von zero-one bearbeitet: 13. Juni 2004 - 19:56

[Strider]

ich hab mich mal amüsiert ein grosser teil der in diesem board geposteten logs wieder zu suchen und die einträge in 3 kategorien zu klassieren, mit dem jeweils dazugehörigem kommentar.. ich bitte jedoch die liste einmal durchzuchecken, nicht dass ich mich irgendwo vertan habe

Angehängte Datei(en)

•  New_Text_Document__2_.txt (11,67K)
  Anzahl der Downloads: 345

[Spezi]

C:\Programme\Foxmail\Foxmail.exe -> is gut
C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe -> is gut

[Matze]

@zero-one
Prozesse eingefügt.

@Strider
Wow... vielen Dank. Das Script hat zwar vieles erkannt aber noch nicht alles. Das meiste habe ich nun eingefügt. Das was noch nicht eingebaut ist, habe ich auf die erste Seite in meinem ersten Post erwähnt.

@Spezi
Ich habe jetzt Foxmail als Gut deklariert und NeroStartSmart als gut aber unnötig.

Dieser Beitrag wurde von MatzeSZ bearbeitet: 13. Juni 2004 - 21:42

[BlueDarknezz]

Zitat (MatzeSZ: 12.06.2004, 20:04)

Sonstige Ideen:

- Speichern der LogfileAuswertung in einer PDF-Datei.

wenn du das ergebnis noch als downloadbare datei ausgeben möchtest, dann glaube ich, dass eine html-datei reichen würde, man braucht dann auch nicht extra noch einen pdf-viewer und das ergebnis ist im prinzip das gleiche, evtl. sogar noch kleiner

[Matze]

@BlueDarknezz
Ist vermutlich auch noch leichter zu Programmieren. Derzeit habe ich zwar eine Funktion eingebaut zum Exportieren in eine *.txt-Datei, allerdings sieht die Formatierung nicht so schön aus.

[BlueDarknezz]

desswegen ja und es erhöht die kompatibilität zu jedem pc, denn nen browser wird wohl noch jeder drauf haben, ansonsten wäre das ansurfen des online-skriptes schon sinnfrei
(wobei es auch nicht für jeden schwer sein dürfte, das ergebnis im browser zu speichern )

der log eines bekannten:

Gut:
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe -> itunes hilfe, hatten wir glaub ich schon und kann warscheinlich auch als nicht notwendig deklariert werden
C:\PROGRA~1\DAP\DAP.EXE -> download accelerator
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Messenger Plus! 2\MsgPlus.exe -> messenger plus 2, sollte glaub ich nicht "böse" sein;)
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\AIM95\aim.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

...viele davon könnten warscheinlich noch als "überflüssig" deklariert werden

[puppet]

gute sache, diese online analyse...
hier noch ein paar verbesserungsvorschlaege:
- bei den laufenenden prozessen sollte vielleicht noch das verzeichnis ueberprueft werden (war es sober der sich als svchost.exe ins \windows\system verzeichnis kopiert hatte?) - oder als hinweis z.b. gut, wenn a) im windowsverzeichnis oder b) wenn software xyz installiert ist
- wenn die datei eine doppelendung hat (oder einen punkt wie z.b. versionsnummer im dateinamen) klappt die auswertung gar nicht (evtl von hinten bis zum ersten \ auslesen...)

hier noch ein paar prozesse

Zitat

C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

Windows XP MCE Fernbedienungsprog (damit MCE startet wenn man den Button mit dem Windows Logo auf der fernbedienung drückt)

Zitat

C:\WINDOWS\ehome\ehSched.exe

Media Center Scheduler Service

Zitat

C:\WINDOWS\ehome\ehmsas.exe

Windows Media Center State Aggregator Service

Zitat

C:\Programme\DirectUpdate\DUControl.exe
C:\PROGRA~1\DIRECT~1\DUService.exe

Programm DirectUpdate (z.b. für dyndns.org usw)

Zitat

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

Acronis Planer (wundert mich das er nicht erkannt wird, da ja die schedul2.exe erkannt wird...)

Zitat

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

Dispatcher von FinePrint5

Zitat

C:\Programme\Moony\moony.exe
O4 - HKCU\..\Run: [Moony] C:\Programme\Moony\moony.exe

Moony ISDN Monitor

Zitat

C:\WINDOWS\system32\srvany.exe

Tool aus dem WinXP ResKit um beliebige Anweundungen als Dienste laufen zu lassen... man sollte pruefen ob dies wirklich gewollt ist...

Zitat

C:\Programme\Pegasys Inc\TMPGEnc 3.0 XPress\VFAPIFrameServer.exe

TMPGEnc XPress

Zitat

C:\Programme\NGrab\NGrab.exe

NGrab Streamingserver

Zitat

C:\Programme\Gaim\gaim.exe

gAIM

und hier noch ein paar DPFs die eigentlich auch nicht boese sind... herkunft und nutzen sollte ja klar sein...

Zitat

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplane...DC_1_0_0_41.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.tre...all/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivi...n/ravonline.cab

und wieso wurde das BHO von DAP als boese eingestuft?

Dieser Beitrag wurde von puppet bearbeitet: 13. Juni 2004 - 22:48

[DiebischerElb]

Hi!

Sehr geile Idee, mit der Hijackthis-Auswertung!

Einige Verbesserungen von mir:

Zitat

C:\Programme\RedLine\Taskbar.exe 

--- Gut --- RedLine ist ein OC-Tool für ATI Grafikkarten.

Zitat

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

--- Gut --- Symantec ist ein integriertes LiveUpdate von Norton Personal Firewall.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#102
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#1021

--- Böse --- Dieser Eintrag setzt sich im Internet Explorer als Startseite ein und lässt sich nicht, wie normalerweise unter Extras/Internetoptionen/Startseite, umstellen.

Zitat

C:\Programme\Avant Browser\A
C:\Programme\Avant Browser\Highlight.htm
C:\Programme\Avant Browser\Search.htm
C:\Programme\Avant Browser\Ad
C:\Programme\Avant Browser\Open

--- Gut --- Avant Browser ist ein Internet-Explorer-Aufsatz.

Zitat

D:\Programme\Internet Download Manager\I
D:\Programme\Internet Download Manager\IEExt.htm

--- Gut --- Internet Download Manager hilft bei der optimalen Auslastung der Bandbreite.

Gut wäre es außerdem, wenn die Analye noch eine (genauere) Beschreibung zu den ausgewärteten Ergebnissen liefert. Ansonsten echt top!


*Edit*

Zitat

Du schreibst:

Zitat

 
HijackThis ist ein Programm für Erfahrene Benutzer, welches Ihnen beim aufspüren von Browser Hijackern behilflich sein kann. Das Programm erkennt Spyware und andere Malware (auch Dinge wie Trojaner und Würmer.

Du hast aber eine Klammer vergessen:

So Siehts richtig aus:

Zitat

 
HijackThis ist ein Programm für Erfahrene Benutzer, welches Ihnen beim aufspüren von Browser Hijackern behilflich sein kann. Das Programm erkennt Spyware und andere Malware (auch Dinge wie Trojaner und Würmer).

War nicht viel, aber gehört auch dazu

Zwei Fehler gibt es da noch "..beim Aufspüren.." (bitte groß geschrieben)
"Wenn Sie HijackThis noch nicht haben, können Sie es hier herunterladen:" (Kommasetzung ^^)

Dieser Beitrag wurde von Mattii bearbeitet: 14. Juni 2004 - 00:33

[Matze]

@BlueDarknezz:
>C:\Programme\Messenger Plus! 2\MsgPlus.exe
Wurde als böse Deklariert, da das Tool Spyware beinhaltet.

@puppet:

Zitat

- bei den laufenenden prozessen sollte vielleicht noch das verzeichnis ueberprueft werden (war es sober der sich als svchost.exe ins \windows\system verzeichnis kopiert hatte?) - oder als hinweis z.b. gut, wenn a) im windowsverzeichnis oder b) wenn software xyz installiert ist

Ist bereists geplant aber relativ umfangreich.

Zitat

- wenn die datei eine doppelendung hat (oder einen punkt wie z.b. versionsnummer im dateinamen) klappt die auswertung gar nicht (evtl von hinten bis zum ersten \ auslesen...)

Problem ist mir bekannt und ich bin auch dabei das zu beheben.

>und wieso wurde das BHO von DAP als boese eingestuft?
Gib mir bitte einmal die genaue CLSID, die als böse eingestuft wurde (ist dieser Zahlen/Buchstabensalat zwischen { und }) so kann ich dann feststellen, warum es böse ist.

@Mattii

Zitat

C:\Programme\Avant Browser\A
C:\Programme\Avant Browser\Highlight.htm
C:\Programme\Avant Browser\Search.htm
C:\Programme\Avant Browser\Ad
C:\Programme\Avant Browser\Open
D:\Programme\Internet Download Manager\I
D:\Programme\Internet Download Manager\IEExt.htm

Verstehe ich nicht ganz. Sind das Prozesse? Da fehlen doch die Endungen oder?

Zitat

Gut wäre es außerdem, wenn die Analye noch eine (genauere) Beschreibung zu den ausgewärteten Ergebnissen liefert.

Ist bereits geplant, allerdings auch relativ umfangreich.
----

Die anderen Sachen wurden eingetragen bzw. gefixt.

[EDragon]

\GHOSTS~2.EXE Laufender Prozess. (GHOSTS~2.EXE) Unbekannt (gut)
\AsusProb.exe Laufender Prozess. (AsusProb.exe) Unbekannt (gut)
\dsidebar.exe Laufender Prozess. (dsidebar.exe) Unbekannt (gut)