Standards bei der Systemanalyse
 

Ich wollte hier mal eine Diskussion anstoßen, ob es überhaupt noch sinnvoll ist, von Hilfesuchenden anfangs lediglich ein HJT-Log zu verlangen.

Sieht man im HJT-Log etwas, bedeutet das nicht, dass das alles ist. Sieht man im HJT-Log nichts, muss man einen Virenscan anfordern und gelegentlich auch gleich noch ein Log eines Rootkitscanners.

Mein Anliegen also geht in Richtung einer standardisierten Zusammenstellung von Logs die ein Hilfesuchender erbringen sollte. Was meint Ihr?

Hallo Marc. :)

Das finde ich eine sehr gute Idee bzw. Anregung. :daumenhoc

In anderen Boards/Foren (kenne das genau! ;) ) wird so schon seit langer Zeit verfahren.

D.h. bei der Anmeldung eines zukünftigen TO könnte ja neben den "Goldenen Regeln" eine Standartisierung folgender Programme beigefügt werden.

1.) MWAV - eScan
2.) F-Secure Blacklight
3.) Und zusätzlich HijackThis
(eventuell noch die "datfind.bat")

Meiner Meinung nicht mehr und nicht weniger!
Das sind die wichtigsten, ausführlichsten, unkompliziertesten, und (meiner Ansicht!) präzisesten Programme für eine "grobe" Systemanalyse. ;)

Gruß
Sunny

Prinzipiell keine schlechte Idee, aber:
MWAV - eScan
ist in manchen Fällen (wenn nicht von Anfang an sicher ist, ob auf dem System überhaupt was Böses drauf ist) umständlich/böse/gefährlich. Zu viele 'Kauf mich'-Funde!
Für eine erste "grobe" Analyse ist außerdem der extreme Aufwand für MWAV - eScan (unter 2h ist mal gar nichts, aber drüber alles möglich) bei unverhältnismäßig groß.
Für die Erstanalyse würd ich eher weiterhin HJT-Logs heranziehen (zusätzlich kann, um festzustellen, ob ein Fund eines Virenscanners wirklich das ist, was er meint zu sein, auch ein einfaches netstat -a schon erste Aufschlüsse geben), wenn die keine eindeutigen Ergebnisse liefern, dann erst weitere Maßnahmen.

Keine schlechte Idee, das "aber" erfolgt aus anderen Gründen:
Wie verläuft denn die Einhaltung der 7 gldenen Regeln?
Sie wurden aufgestellt, um bestimmte Auswertungen den Helfern leichter zu machen? Wird dieses Ansinnen auch von den Helfern befolgt.
Das gleiche Schicksal wir auch diesem Vorschlag beschieden sein, leider.

Ja, nein, weiß nicht. Ich hatte einen Sticky im Sinn, auf den der Ersthelfer einen Ratsuchenden verweisen kann. Würde das nur in 50% der Fälle funktionieren, wäre meiner Meinung nach schon viel gewonnen. Teilweise dauert es ja schon mal 2-3 Tage bis überhaupt alle Logs da sind. Das ist sowohl für Helfer als auch für Hilfesuchende nervtötend und ermüdend.

Wenn einer fragt, wie er seinen SD-Bot los wird, brauchen wir keinen Virenscan und keinen Rootkitscan, aber die wenigsten Fälle lassen sich doch wirklich eindeutig mit einem HJT-Log lösen.
Evas Einwand ist natürlich auch berechtigt, zudem kommt noch die Problematik, dass die Geschichte mit der find.bat meist gründlich schief läuft.

Doppelposting

Hallo zusammen,

je nach Softwareausstattung würde so aber jemand mit einem befallenen System noch Mal weiter ins Netz geschickt.
Damit gefährdet er sein System weiter und auch andere Nutzer wenn das System streut.

Von da aus würde ich dafür plädieren sich weiterhin nur auf das HJT-Log zu beschränken.

Gruß Jochen

Auf jeden Fall muss man allen deutlich machen, dass mit dem HJT-Log zwar einige Mißstände aufgedeckt werden können, aber ein "sauberes HJT-Log" niemals bedeutet, dass das System sicherlich sauber ist.

Es kann nur die Existenz von Malware angezeigt werden, nicht aber die Nichtexistenz bewiesen werden.

Die meisten die einen Router haben sind eh ständig im Netz. Und auch die meisten Modemnutzer werden wegen eines Befalls nicht auf das Internet verzichten.

Hallo,

Das wäre mein erster Ansatzpunkt...
Ich habe versuchsweise einem Kollegen(war gerade ein bisserl Luft :) ) die Anleitung zu EScan gegeben und ihm beim erstellen nur über die Schulter gesehen...:)
Er hat sich sichtlich schwer getan damit und hat`s natürlich verbockt....:kloppen:
Vielleicht könnte man die Anleitung etwas umschreiben,einfacher machen,sozusagen ONU-angepasster ?
Irrlicht

Das habe ich auch schon öfters angemerkt, zudem weise ich auch ausdrücklich hin sofern ich einen eScan empfehle, unbedingt das Ergebnis mit Hilfe der "find.bat" zu posten. Da ONU es nicht schafft (wahrscheinlich zuviel zum lesen in der Anleitung ;) ) diese bis zum Schluss durchzuackern! :pukeface:

Das ist aber, wenn man's genau nimmt, die allgegenwärtige und unvermeidbare Schwäche, und wenn man monatelang nichts anderes mehr macht als Prüfprogramme auf sein System loszulassen und nach etwas (aber was?) zu suchen. Nur, weil ein installierter Virenscanner, mehrere Spywarescanner, HJT, escan nichts finden, keine unerwartete Netzwerkaktivität herrscht und ein Rootkitscanner nichts findet, bedeutet das noch immer nicht, dass die Nichtexistenz von Malware bewiesen ist. Könnt ja irgendwas sein, dass ausgerechnet die gerade verwendeten Prüfprogramme was übersehen haben, oder etwas, das noch gar nicht erkannt wird. Das ganze könnte man nun relativ endlos weiterspielen, ohne jemals 100% sicher zu sein, dass das System sauber ist.
(Erinnert u.a. auch an den bekannten Spruch, demnach Religion ist, in einem finsteren Raum eine schwarze Katze zu suchen, die gar nicht da ist. Offensichtlich kann man also nicht nur Religion so definieren ;) )

@All
Ich möchte wirklich nicht, dass der Eindruck entsteht, dass ich hier die Bremse spielen will. Aber meine Erfahrung zeigt, dass es die ultimative Antwort nicht gibt. Wenn ich mir die Situation z.Z ansehe, sind wir wieder bei dem Punkt, als Cobra seinen Thread zur Diskussion stellte.
Es wird gepostet, ohne Beschreibung der Probleme, ohne nachzusehen, ob das Thema schon mal behandelt wurde. Aktuell: Wieviele posten, dass sie den 1&1-Virus hätten. Und wenn sie ihn wirklich haben, missachten sie den Thread von Yopie.
Auf der anderen Seite muss ich aber auch konstatieren, dass die Qualität der Antworten gesunken ist. Es fühlen sich Leute berufen, Antworten zu geben, die nicht in der Lage sind, ihre eigenen Probleme zu lösen. Beispiele erspare ich mir und den Angesprochenen jetzt aus Gründen des Boardfriedens:daumenhoc
Weshalb ich auch skeptisch bin: Was ist aus all den guten An- und Vorsätzen geworden wie Kompetenzteam, Taskforce?
Recht geben muss ich jedenfalls allen, die der Auffassung sind, dass ein HJT-Log kein Allheilmittel ist, dass es nur ein Hilfmittel und erster Ansatz sein kann.

Aber was soll ONU auch tun? Stillschweigend eine Neuinstallation hinnehmen, oder vielleicht doch mal einen Beitrag erstellen und es "persönlich" gesagt bekommen das nur noch eine Neuinstallation "zieht"?!

OT:

Dem muss ich leider auch zustimmen!
Es gibt kaum noch "anständige" Regulars hier an Board die regelmäßig ihre Hilfe zur Schau stellen.
(wobei wir wieder beim Beitrag von Cobra sind ;) )
Es gibt Tage, da sind bestimmte Regulars (Shadow, Felix, Marc, nochdigger) so gut wie alleine in den Foren unterwegs. Man kommt mit dem beantworten der "Hilfeschreie" oftmals kaum noch hinterher... :schmoll:
Wir verbringen alle wahnsinnig viel Zeit damit uns mit den Problemen der TO auseinanderzusetzen, "frickeln" zusätzlich daheim mit neuen Programmen oder "experimentieren" mit schädlichem Code, nur um einigermaßen den Standard im Forum zu halten...


Wobei wir dann beim nächsten Thema wären...
Wir sind hier alle immer noch da stehen geblieben (Kenntnisstand), wo wir vor ein paar Jahren auch schon waren. (möchte es nicht näher erläutern, die meisten wissen was ich meine, im Bezug auf die Boardqualität bzw. dessen Ruf.)

OT:END

@Marc


Sorry das ich deinen Beitrag missbrauche... :party:

@ Eva

Um die 100% geht es mir gar nicht. Ich fürchte ich habe mich u.U. etwas missverständlich ausgedrückt. Mein Wunsch ist es, die Abläufe hier im Board zu optimieren. Je schneller man mehr Informationen bekommt, desto schneller kann geholfen werden und desto weniger werden Nerven und Geduld strapaziert.

Lass mal die User weg. Die sind größtenteils unempfänglich für die goldenen Regeln, vllt auch deswegen, weil ihnen etwas abverlangt wird, was sie nicht leisten können (aus welchen Gründen auch immer).

Was aber die meisten auf die Reihe bekommen ist ein HJT-Log und auch mit Rootkitscannern gibt es keine größeren Probleme. Unter der Annahme, dass die eScan-Anleitung noch etwas ONU-optimiert wird, stellt sich mir die Frage, warum die Informationen erst nach und nach abgefragt werden sollen?

Gut, inzwischen ist auch dem letzten klar geworden, dass man die Hilfesuchenden nicht erziehen kann. IMO sind aber die meisten Gäste in der Lage, Anleitungen zu befolgen (dt. Tugend?). Das können wir doch zu unserem Vorteil nutzen.

Anderer Vorschlag: eine Ecke für die Regulars, wo man auch mal reinposten kann, wenn man bei einem Thread den Wald vor lauter Bäumen nicht mehr sieht (passiert mir ab und an, weil ich "etwas" aus der Übung bzw. wie die meisten hier auch nur Amatuer bin).