|
Standards bei der Systemanalyse Ich wollte hier mal eine Diskussion anstoßen, ob es überhaupt noch sinnvoll ist, von Hilfesuchenden anfangs lediglich ein HJT-Log zu verlangen. Sieht man im HJT-Log etwas, bedeutet das nicht, dass das alles ist. Sieht man im HJT-Log nichts, muss man einen Virenscan anfordern und gelegentlich auch gleich noch ein Log eines Rootkitscanners. Mein Anliegen also geht in Richtung einer standardisierten Zusammenstellung von Logs die ein Hilfesuchender erbringen sollte. Was meint Ihr? |
Zitat:
Das finde ich eine sehr gute Idee bzw. Anregung. :daumenhoc In anderen Boards/Foren (kenne das genau! ;) ) wird so schon seit langer Zeit verfahren. D.h. bei der Anmeldung eines zukünftigen TO könnte ja neben den "Goldenen Regeln" eine Standartisierung folgender Programme beigefügt werden. 1.) MWAV - eScan 2.) F-Secure Blacklight 3.) Und zusätzlich HijackThis (eventuell noch die "datfind.bat") Meiner Meinung nicht mehr und nicht weniger! Das sind die wichtigsten, ausführlichsten, unkompliziertesten, und (meiner Ansicht!) präzisesten Programme für eine "grobe" Systemanalyse. ;) Gruß Sunny |
Prinzipiell keine schlechte Idee, aber: MWAV - eScan ist in manchen Fällen (wenn nicht von Anfang an sicher ist, ob auf dem System überhaupt was Böses drauf ist) umständlich/böse/gefährlich. Zu viele 'Kauf mich'-Funde! Für eine erste "grobe" Analyse ist außerdem der extreme Aufwand für MWAV - eScan (unter 2h ist mal gar nichts, aber drüber alles möglich) bei unverhältnismäßig groß. Für die Erstanalyse würd ich eher weiterhin HJT-Logs heranziehen (zusätzlich kann, um festzustellen, ob ein Fund eines Virenscanners wirklich das ist, was er meint zu sein, auch ein einfaches netstat -a schon erste Aufschlüsse geben), wenn die keine eindeutigen Ergebnisse liefern, dann erst weitere Maßnahmen. |
Keine schlechte Idee, das "aber" erfolgt aus anderen Gründen: Wie verläuft denn die Einhaltung der 7 gldenen Regeln? Sie wurden aufgestellt, um bestimmte Auswertungen den Helfern leichter zu machen? Wird dieses Ansinnen auch von den Helfern befolgt. Das gleiche Schicksal wir auch diesem Vorschlag beschieden sein, leider. |
Zitat:
Wenn einer fragt, wie er seinen SD-Bot los wird, brauchen wir keinen Virenscan und keinen Rootkitscan, aber die wenigsten Fälle lassen sich doch wirklich eindeutig mit einem HJT-Log lösen. Evas Einwand ist natürlich auch berechtigt, zudem kommt noch die Problematik, dass die Geschichte mit der find.bat meist gründlich schief läuft. |
Doppelposting |
Hallo zusammen, je nach Softwareausstattung würde so aber jemand mit einem befallenen System noch Mal weiter ins Netz geschickt. Damit gefährdet er sein System weiter und auch andere Nutzer wenn das System streut. Von da aus würde ich dafür plädieren sich weiterhin nur auf das HJT-Log zu beschränken. Gruß Jochen |
Auf jeden Fall muss man allen deutlich machen, dass mit dem HJT-Log zwar einige Mißstände aufgedeckt werden können, aber ein "sauberes HJT-Log" niemals bedeutet, dass das System sicherlich sauber ist. Es kann nur die Existenz von Malware angezeigt werden, nicht aber die Nichtexistenz bewiesen werden. |
Zitat:
|
Hallo, Zitat:
Ich habe versuchsweise einem Kollegen(war gerade ein bisserl Luft :) ) die Anleitung zu EScan gegeben und ihm beim erstellen nur über die Schulter gesehen...:) Er hat sich sichtlich schwer getan damit und hat`s natürlich verbockt....:kloppen: Vielleicht könnte man die Anleitung etwas umschreiben,einfacher machen,sozusagen ONU-angepasster ? Irrlicht |
Zitat:
|
Zitat:
(Erinnert u.a. auch an den bekannten Spruch, demnach Religion ist, in einem finsteren Raum eine schwarze Katze zu suchen, die gar nicht da ist. Offensichtlich kann man also nicht nur Religion so definieren ;) ) |
@All Ich möchte wirklich nicht, dass der Eindruck entsteht, dass ich hier die Bremse spielen will. Aber meine Erfahrung zeigt, dass es die ultimative Antwort nicht gibt. Wenn ich mir die Situation z.Z ansehe, sind wir wieder bei dem Punkt, als Cobra seinen Thread zur Diskussion stellte. Es wird gepostet, ohne Beschreibung der Probleme, ohne nachzusehen, ob das Thema schon mal behandelt wurde. Aktuell: Wieviele posten, dass sie den 1&1-Virus hätten. Und wenn sie ihn wirklich haben, missachten sie den Thread von Yopie. Auf der anderen Seite muss ich aber auch konstatieren, dass die Qualität der Antworten gesunken ist. Es fühlen sich Leute berufen, Antworten zu geben, die nicht in der Lage sind, ihre eigenen Probleme zu lösen. Beispiele erspare ich mir und den Angesprochenen jetzt aus Gründen des Boardfriedens:daumenhoc Weshalb ich auch skeptisch bin: Was ist aus all den guten An- und Vorsätzen geworden wie Kompetenzteam, Taskforce? Recht geben muss ich jedenfalls allen, die der Auffassung sind, dass ein HJT-Log kein Allheilmittel ist, dass es nur ein Hilfmittel und erster Ansatz sein kann. |
Zitat:
Zitat:
Dem muss ich leider auch zustimmen! Es gibt kaum noch "anständige" Regulars hier an Board die regelmäßig ihre Hilfe zur Schau stellen. (wobei wir wieder beim Beitrag von Cobra sind ;) ) Es gibt Tage, da sind bestimmte Regulars (Shadow, Felix, Marc, nochdigger) so gut wie alleine in den Foren unterwegs. Man kommt mit dem beantworten der "Hilfeschreie" oftmals kaum noch hinterher... :schmoll: Wir verbringen alle wahnsinnig viel Zeit damit uns mit den Problemen der TO auseinanderzusetzen, "frickeln" zusätzlich daheim mit neuen Programmen oder "experimentieren" mit schädlichem Code, nur um einigermaßen den Standard im Forum zu halten... Wobei wir dann beim nächsten Thema wären... Zitat:
OT:END @Marc Sorry das ich deinen Beitrag missbrauche... :party: |
@ Eva Um die 100% geht es mir gar nicht. Ich fürchte ich habe mich u.U. etwas missverständlich ausgedrückt. Mein Wunsch ist es, die Abläufe hier im Board zu optimieren. Je schneller man mehr Informationen bekommt, desto schneller kann geholfen werden und desto weniger werden Nerven und Geduld strapaziert. Zitat:
Was aber die meisten auf die Reihe bekommen ist ein HJT-Log und auch mit Rootkitscannern gibt es keine größeren Probleme. Unter der Annahme, dass die eScan-Anleitung noch etwas ONU-optimiert wird, stellt sich mir die Frage, warum die Informationen erst nach und nach abgefragt werden sollen? Zitat:
Zitat:
|
Ich möchte nicht das diese gute Anregung die Marc und die anderen gemacht haben, "zerredet" wird, daher mal direkt folgende Punkte für die Boardleitung: ------------------------------------------------------ 1.) "Chat-Ecke" nur für Regulars/Mods (und vielleicht auch Admins :daumenhoc ) zum Austausch von Erfahrungen/Strategien oder Diskussionen über Probleme und deren Lösungen?! -sofern technisch möglich ------------------------------------------------------ 2.) Zusammenstellung (eScan, Backlight, datfind usw.) von Logs die ein Hilfesuchender automatisch erstellt bevor er zum ersten mal postet! -natürlich sollte dann eine Auswahl der wichtigsten Programme getroffen werden. ------------------------------------------------------ 3.) kleinere Überarbeitungen von Anleitungen (z.B. eScan), auch die Goldenen Regeln könnten etwas verändert bzw. erweitert werden. *wobei ich gerne bereit bin, neue Anleitungen zur Entfernung von schädlichem Code (sofern die Anregungen angenommen werden!) zu schreiben um diese mit einzubinden! -eScan etwas kürzen und vereinfachen -bei HijackThis darauf hinweisen was das Programm macht und wozu es gedacht ist. Sowie was es alles enttarnt oder auch nicht. Gruß Sunny EDIT: Man korrigiere mich wenn ich was vergessen haben sollte. ;) |
Zitat:
Zitat:
|
Zitat:
Nehmen wir mal die ersten Zeilen der find.bat Code: dir /s /b %systemdrive%\mwav.log>%systemdrive%\Pfad.txtWenn Du weiter schaust wirst Du eine Serie von find-Anweisungen finden,um relevante Zeilen in eine neue Datei zu schreiben. Kopiert man nun diesen Teil und ersetzt die englischen durch die deutschen Begriffe, ist die Version kompatibel sowohl mit deutscher als auch mit englischer Sprache. Diese Stolperfalle könnte also auch beseitigt werden. Ich will die sehr umfassende Anleitung von Cidre so lassen wie sie ist, aber man könnte sie für einen Sticky deutlich verkürzen. |
@All Fangt doch bitte nicht schon wieder mit Kleinklein an und zerredet das Thema. Ich würde doch erst mal abwarten, was die Boardleitung zum Post Nr. 16 von Sunny sagt. Es sind durchaus interessante Vorschläge vorhanden. Aber entscheidend ist, ob die Boardleitung sie mittragen will. |
Zitat:
Zitat:
die user die damit abgefangen werden sollen, verfügen zum überwiegenden teil über wenig bis null ahnung und ein "verseuchtes" system das nur noch teilweise oder gar nicht mehr funktioniert... meist haben sie erkannt, dass sie sich irgendwo bewusst oder unbewusst schadsoftware heruntergeladen... denen aufzuerlegen, das sie vor einem posting hier ersteinmal mehrere, für sie unbekannte software herunterladen müssen, wird schon schwierig werden und die zwangssteuerung dafür könnte viele abschrecken... da muss man nochmal intensiv drüber nachdenken... Zitat:
änderungswünsche von anleitungen usw. können doch jederzeit im entsprechenden forum ;) (oder per pn) angestoßen werden?! GUA |
*in Vergessenheit geschmökert* und in diesen Zusammenhang werfe ich die Beiträge von fuer-neue-benutzer-hilfesuchende gleich mit in die Runde: Meine Vorschläge für eine erste Systemanalyse sind: 1. HJT 2. silentrunners 3. eine findlist.bat (nach meinen Beobachtungen reichte sogar 1 Monat) 4. autoruns Damit wäre das Gröbste abgedeckt und der Eingriff ins System des TO minimal. Die Vorteile liegen auf der Hand. Deshalb zu den Nachteilen, die ich sehe: 1. Der Output schwillt an, ohne codeformat wird's kaum gehen, und ich weiß auch nicht, wie die Boardleitung das im Hinblick auf den Traffic sieht, oder ob das überhaupt ein Problem ist. :confused: 2. Ohne ausführliche Anleitungen, die dem TO alles abnehmen, wird's schwierig. Insbesondere denke ich da an autoruns, das ohne batch kaum zu meistern sein wird. Mit jeder batch aber steigt der administrative Aufwand des Autors in unbekannte Höhe. :eek: 3. GUAs Einwand: Download einer Vielzahl unbekannter Programme, die dem TO erst mal gar nichts sagen, weder vom Namen, noch von den gelieferten Ergebnissen. Es könnte tatsächlich abschrecken. Andererseits sehe ich eine hohe Bereitwilligkeit der üblichen Verdächtigen, erst mal auf alles zu klicken, was nicht bei 3 auf dem Baum ist. Von daher könnte man das ganze staffeln. Der erste Einstieg in den thread bleibt ein simples HJT-log. Im zweiten Schritt könnte aber ein Verweis des Helfers auf eine in den faq untergebrachte Sammlung/Anleitung der "Systemanalyse" erfolgen. Dort finden sich Anleitungen zu silentrunners, eine batch zu autoruns, vllt sogar zu vundofix usw. Abhängig vom Verdacht kann der Helfer dann die gesamte Sammlung abarbeiten lassen oder nur sich nur einzelne tools picken. edit: Fällt mir im Nachgang ein: So eine faq bedeudet ja nicht, dass sie in Marmor gemeißelt ist. Bewährt sich etwas nicht, schmeißt man's wieder raus. *************** Zitat:
Zum einen finde ich das schade, zum anderen unnötig. So eine Ecke gäbe mir als Helfer (wobei ich selber kaum an forderster Front stehe) die Möglichkeit der Rückversicherung und des Vorher-Fragens, bevor ich unsinnige Tipps in die Welt posaune. Des weiteren bliebe mir die oberlehrerhafte Attitüde erspart, sich in einen thread einzumischen, obwohl ich's selbst dann doch nicht so genau weiß, aber trotzdem das Gefühl habe, da wird Quatsch erzählt. Und auch für ambitionierte Neueinsteiger könnte so eine Ecke eine Fundgrube werden. Die Ecke muss ja nicht mal ein eigenes Unterforum werden, ein thread á la Nachtcafe kann genügen. Wenn nicht, ändern läßt sich alles. Was meint ihr? Gruß ordell |
Viel Glück mit Deinem Ansinnen. Die Erfahrung sagt mir allerdings, dass vor Dezember 2012 nicht mit der Einrichtung einer solchen Ecke zu rechnen ist (eigentlich rechne ich überhaupt nicht damit, dass so etwas kommt). |
Zitat:
Ist ja auch ok, wenn es für Euch kein Thema ist, nur dann kommuniziert das bitte auch so. Marc BTW: Letzter Kenntnisstand (ausm irc) ich: und habt Ihr die Sache jetzt intern ausdiskutiert? GUA(?): wir sind sogar schon viel weiter [log out] ... |
Zitat:
ich habe am 12.01.07 auf die fragen geantwortet und seit dem ist von allen, die hier meinungen geäussert haben nix mehr gekommen... da das schweigen 6 monate angedauert hat kann es sooo wichtig dann wohl doch nicht gewesen sein, oder? Zitat:
in dem posting von ordell1234 vom 30.06.07 lese ich zudem keine direkte frage die nur an die die administration gestellt wurde heraus sondern eher fragen an alle d.h. auch an den to... GUA |
Dito insoweit GUA, meine Frage richtete sich in erster Linie an die regulars. Solange kein Bedarf angemeldet wird, braucht sich die Boardleitung keine Raste machen. Und in der Tat sind die Reaktionen mehr als verhalten. Man kann es aber auch drehen: Solange sich die Boardleitung ausschweigt, Stichwort "interne Diskussion", können sich auch regulars konkrete Vorschläge sparen. Besonders kryptisch: Zitat:
In diesem Zusammenhang habe ich die Frage nach dem Traffic gestellt. Kann gut sein, dass ich da völlig neben der Schüssel rühre, denn ich habe von Serverkapazitäten null Dunst. Vielleicht sieht die interne Boardpolitik aber auch Anderes vor, vielleicht ist diese Art der Systemanalyse auch nicht gewünscht... nur so bleibt es ein nebulöses Mutmaßen und Nachfragen in den leeren Raum. Bisschen mehr Transparenz schadete nicht, und dies hat mMn nichts mit Offenlegung von Internas zu tun. - Wie weit ist denn nun die interne Diskussion? Ist ein Ende absehbar? - Stehen langen logs - abgesehen von der Abschreckwirkung - Belange des Boards entgegen? - Anhand welcher Kriterien entscheidet die Boardleitung über die "Chat-Ecke" und "Log-Sammlung" ++++++++ Zitat:
Gruß auf Sach- und Fachebene |
Zitat:
da keiner mehr nachfragte wurde es nicht veröffentlicht... man hat sich nicht auf eine chat-ecke für regulars nicht einigen können... "weiter" war die diskussion, als man intern über ein neues kompetenzteam beratschlagt hat, das intern dann ein eigenes forum bekommt um sich auszutauschen... an dem punkt, wer und warum alles dazu gehören sollte und wer leider "draussen bleiben" muss kamen wir intern leider nicht zusammen Zitat:
Zitat:
Zitat:
GUA |
Tun sie. Danke für die Antwort. ordell |
Zitat:
Zitat:
Zitat:
Aber es ist mir inzwischen auch egal. Meine Vorstellungen kollidieren mit Euren (Deinen) Vorstellungen. Soweit kein Problem. Nur wenn man mir unterstellen will, ich würde haltloses Zeugs von mir geben, habe ich ein massives Problem damit. Da ich als Diskussionspartner nicht akzeptiert werde, halte ich mich in Zukunft aus solchen Diskussionen raus. |
Zitat:
zum einen fehlt mir die zeit und zum anderen ist es eher müßig... Zitat:
Zitat:
Zitat:
GUA |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board