HiJackThis, OTL und andere

    Der wichtige Punkt beim abgesicherten Modus ist, dass halt eben nicht alles was sich irgendwann mal in den Autostart/Service geschrieben hat, gestartet wird. Wenn Schädlinge wirklich gut geschrieben wurden, dann haken die sich schon früh in den Bootprozess ein und setzen allen Wächtern Scheuklappen auf. Was man dann findet sind im Zweifel nur die "Kinder" der eigentlichen Schädlinge. Das Elternteil hingegen wird nicht gefunden. Ist im Zweifel auch nicht löschbar, da es sich auf kritischer Systemebene verbarrikadiert und kein Programm mehr darauf Zugriff erhält.

    Mit dem abgesicherten Modus kann man zumeist verhindern dass sich der Elternteil überhaupt startet und verbarrikadieren kann. Sucht man dann nach Schädling, kommt man ohne seine Scheuklappen eher zum Ziel.

    Guten Morgen,

    bitte nicht aus den Augen verlieren, dass Camp Firefox kein Security- oder Malwareforum ist, sondern lediglich mit freiwilligen Helfern inoffiziellen Support für den Internetbrowser Firefox leistet.

    Auch das Sub-Forum "Sicherheitsecke" hat nicht primär den Zweck Logfiles in Malware-Verdachtsfällen zu analysieren. In solchen Einzelfällen helfen wir natürlich gerne weiter. Das muss aber im Rahmen bleiben. Vor allem sollte die hier gewährte Hilfe nicht derart ausufern, dass die Grenzen zwischen Browser-Forum und spezialisiertem Malware-Forum verwischt werden.

    Unter dieser Prämisse ist der Status Quo ausreichend. Und für das, was wir hier leisten wollen und leisten können, ist ein HijackThis-Log auch fast immer ausreichend. Zumindest reicht der Blick durch das HJT-Schlüsselloch meist schon aus, um ein kompromittiertes System zu erkennen. Wem das nicht reicht, der kann auf das gleichermaßen bei x86 und x64-Systemen bewährte Malwarebytes setzen. Es macht aber keinen Sinn mit unseren paar Leutchen hier komplexe OTL- oder gar DDs-Logs anzufordern und analysieren zu wollen.

    In Bezug auf HijackThis halte ich es für wichtig darauf hinzuweisen, dass die automatische Logfileauswertung eine nur sehr eingeschränkte Aussagekraft hat. Darin wird stereotyp bewertet, ob eine Datei bzw. ein Prozess in einem bestimmten Pfad liegt oder an einem bestimmten Ort abläuft. Ansonsten fällt er durch das Auswerteraster und bleibt regelmäßig unerkannt. Ein HJT-Log macht also nur dann Sinn, wenn man genügend routiniert ist, um es händisch auswerten zu können.

    Ohnehin sollte man sich von dem Gedanken verabschieden, dass man zur Analyse unbedingt spezielle Malwaretools benötigt. Beste Beispiele sind Autoruns und Process Explorer (beide sind Bestandteil der MS SysInternals), die ursprünglich nicht speziell zur Malwareanalyse gedacht waren, aber als sehr mächtige Analysetools anzusehen sind, weil sie sehr präzise und detailliert das gesamte System einschließlich der Peripherie abbilden und Abhängigkeiten bis in die Tiefe aufschlüsseln können.

    gruß,
    docc

    Natürlich reicht ein normaler Bericht aus dem laufenden System, um zumindest die Ausläufer eines Schädlings zu sehen. Das würde mich aber nicht davon abhalten einen zweiten Bericht im abgesicherten Modus anzufertigen, um weiteren Aufschluss über den Grad der Verseuchung zu erlangen. Unvollständige Berichte sind wenig hilfreich, wenn das Relevante fehlt. Aber jeder wie er mag. *schulterzuck*

    Ich kann den Diskurs kaum nachvollziehen. Im Moment sprecht ihr jedenfalls an einander vorbei.

    Zitat von bugcatcher

    Mit dem abgesicherten Modus kann man zumeist verhindern dass sich der Elternteil überhaupt startet und verbarrikadieren kann. Sucht man dann nach Schädling, kommt man ohne seine Scheuklappen eher zum Ziel.


    In diesen beiden Sätzen steht doch das Wesentliche drin.

    Kurz gesagt: Wenn man verlässliche Daten haben will, muss man das System "von außen" unter die Lupe nehmen. Die Malwareautoren sind auch schlauer geworden in den vergangenen Jahren. Viele Schädlinge kommen heute als "harmloser" Sekundärschädling auf das System. Dieser benebelt der unter Windows laufenden Security Software die Augen. Die damit ruhig gestellte Security Software winkt dann im Nachgang den Hauptschädling durch. Und schon hat man ein worst case scenario.

    Will jemand ernsthaft an die Verlässlichkeit und Aussagekraft eines Analysetools glauben, dass auf einem (eventuell) kompromittierten System ausgeführt wird??

    Zitat von Bernd.

    Da du angeführt hast, dass dieses Forum vordergründig eine andere Zielrichtung hat, wäre es doch zielführender, Benutzer gleich in ein anderes Fachforum zu leiten statt sie zu verarschen. Denn die oben zitierte Aussage hast du nicht nur einmal in dieser Form geschrieben, obwohl HJT in diesen Fällen schon angefordert wurde - und wenn nicht von dir, ziehst du damit denjenigen in Misskredit, der es angefordert hatte - und das ist ebenfalls nicht sonderlich produktiv.


    Um das zu unterstreichen hatte ich weiter oben betont, dass dies eben kein spezielles Malwareforum ist.

    Mal ganz davon abgesehen liefert HJT auf x86- genauso wie auf x64-Systemen einen verlässlichen Blick auf den Patchlevel und auf weite Teile der installierten Software. Das kann äußerst praktisch sein, wenn man mal schnell einen Blick auf das System werfen will. Nicht mehr und nicht weniger. Und mehr solltest du da auch nicht hinein interpretieren.