Nyt værktøj til analyse af hijackthis logs og processer

nice !!

Forslag:
1. Tydeligere visning af at den er i gang
Pga. af min opløsning skulle jeg scrolle ned for at se at den var gået i gang
2. Rank fund af filer efter "grad af farlighed" (safe, unknown, danger etc.)
(evt. med mulighed for at sortere dem således)

Jeg havde markeret alle 3 muligheder og sat en HJT-log ind - det gav mig en 'Server request timed out'

espersen >>

1. så har jeg gjort det tydeligere;)
2. god idé. Det tager ikke lige 5min at lave så det er skrevet på listen!

nva >>

Jeg undersøger lige timeout.. jeg har ikke testet med mange elementer:)

nva >> jeg tror det med timeout skulle være løst nu:)

forslag 2a: vise en enkel og nem oversigt over resultat, fx:

Result:
35 safe files
15 unknown
2 dirty files

espersen >> så er det lavet;o)

nice !

Ja, så får jeg ikke timeout længere :)

Men jeg må tilstå at jeg ikke finder den særlig overskuelig. Jeg ville ønske et bedre overblik - noget i stil med fx. www.hijackthis.de - flere detaljer kunne så være et link man skal klikke på.

Det siger jeg så fordi jeg prøvede med en HJT-log ;)

Ordkløveren *S*:

hijackthis -> HiJackThis (så er det mere tydligt)

...and paste the result of that into... -> ...and paste the result into...

that into
the box below.

in the windows folders!. (Ikke . efter !)

---------

Lidt mere om baggrunden for denne side ?

---------

Mere vil måske følge...

nva >>

Jeg lavede det også, som HiJackThis.De først, men "desværre" har jeg flere kilder der skal give status for et element.
Derfor lavede jeg en boks til hver hvor der er god mulighed for, at fylde ud med informationer.
En mere overskuelig oversigt skal jeg nok lave.
Det nuværende må blive "Advanced view" og det andet "Simple view" :)

Den er endnu ikke helt egnet til Hijackthis logs, men det er primært bund elementerne i en log den ikke helt kan tolke endnu (nogle af dem). Den kommer til, at kunne svare tilbage på en hijackthis log. og analyse delen kommer til, at gå en del hurtigere også (langsom fordi den spørger hver kilde om hver linje en af gangen - det tråder jeg ud).

Pt. er det blot en side præcis, som ProcessLibrary.com hvor man kan få info om en fil.
Den eneste forskel er bare, at man også få bekræftet den information man får fra flere kilder i den oversigt jeg laver.

karise_larry >>

Det er okay med ordkløveri:) Jeg regner dog med, at alt teksten skal fjernes.
Det er kun blevet skrevet så der ikke skulle se så tomt ud:P
Design og pynt venter jeg lige med til selve funktionaliteten rykker, som den skal:D

Baggrunden:

Jeg har selv en interesse i virus katagorien og har også  hjulpet mange med deres hijackthis logs.
Der har altid manglet en side hvor man nemt kunne få bekræftet informationerne om en fil og af flere kilder. Google er udmærket, men ofte er det tidskrævende hvis man vil have bekræftet om en fil er snavs fra flere sider.

Det er den ene side af sagen. Den anden er min interesse for programmering.
Jeg havde lyst til, at tage udfodringen op og se om det var noget jeg kunne løse på en pæn måde. Det synes jeg det er. Det er fleksibelt og fungere rimelig fornuftigt.

Et hobby projekt for mig og det kan blive et udmærket værktøj for alle der arbejder med sådan noget til dagligt. Fordelen er, at det som I ønsker det skal kunne vil jeg gerne lave og det koster Jer ikke noget:)

I skal derfor blot skyde løs:)

har lige brugt den til at tjekke en HJT-log - en maskine der ER ramt....
Det bliver bedre og bedre! Fin service at bruge til tjekket.

Designet er fint efter min mening - det er simpelt og enkelt og viser kun det der er brug for.

Hej Espersen,

Jeg smider lige en besked herind lidt senere når jeg har uploadet en ny version af koden.

Den skulle meget gerne kunne opsnappe filerne i bunden af en hijackthis log også.
Den kommer også til at kunne forstå linjerne uden filer, men dem har jeg blot ikke tilføjet til db'en endnu da jeg har fokuseret på, at fylde info om filer ind i db'en.
Nu sidder jeg og fylder info ind omkring registry keys, toolbars og hvad jeg lige kan finde.

Det skal nok blive godt:) Projektet er som sagt kun en påskeferie gammelt og jeg arbejder på fuldtryk for, at gøre det til et effektivt værktøj:D

Details found about: nvcpl.dll,nvstartup
giver dette på processlibrary.com:
nvcpl.exe
W32.SpyBot.S Worm
Det er en klar fejl, det er en DLL jeg tjekker, ikke en EXE

Har du overvejet at tage bleepingcomputer.com ind i stedet for?
http://www.bleepingcomputer.com/filedb/
Den har jeg mest fidus til ;-)

http://www.bleepingcomputer.com/startups/

Hej fromsej >>

Det har du ret i:)
Tak for feedback på den.
Det er rettet nu, så den søger korrekt på deres side.
Dog kommer det først op lidt senere i dag.

Jeg har arbejdet en del med det i dag og databasen bliver ligeledes opdateret her om ikke så længe med ca. 60.000 nye elementer.
Dermed er der over 100.000 i min database.
De nye elementer er info om toolbars bla.

Angående bleepingcomputer.. så kan jeg ikke umiddelbart se der er nogle form for status omkring filerne.
Der er en beskrivelse, men ingen oplysninger jeg kan udlæse for at se om filen er dårlig eller god.

Jeg kan dog godt tilføje den værktøjet og så give en indikation om, at man skal trykke på hyperlinket for, at læse om resultatet på deres hjemmeside.

espersen >>

nu burde det se pænere ud hvis du prøver at køre en hijackthis igennem.. den kan også tjekke GUIDS, Toolbars, BHO osv.
så den burde være rimelig fornuftig på det område.

Jeg kom dog lige til at slette nogle elementer fra db'en så den ikke lige ved hvad explorer.exe og en del andre, men dem får jeg lige smidt ind igen hurtigst muligt.


fromsej >>

jeg har testet og det virker fint nu med nvcpl.dll men også andre søgninger.
Jeg søgte ikke med extension og det var det som gav problemet:)

Nu er den hurtig, at arbejde med:)
Den er blevet smidt ud i tråde, så det tager ikke længere 2-5min for den, at tyde en stor hijackthislog hvis man har sat flueben i alle kilder:)

Jeg forsøgte med et par store logs og flueben i alle kilder og fik svar på mellem 5-10 sekunder hver gang.
Det er ret flot når man tænker på der bliver spurgt eksternt og i en db i den størrelse jeg har oprettet:)

Jeg har stadig mange opgaver jeg vil have ordnet.. når alt hovedfunktionalitet, design er på plads så skal jeg rydde ud i databasen for elementer som ikke stemmer helt korrekt.

men er super tilfreds med hastigheden nu!! Det er ganske acceptabelt:)

Jeg lukker lige tråden - interesserede er velkommen til, at stille spørgsmål, forslag osv.
Jeg arbejder stadig med projektet og opdatere det løbende med forbedringer.
Den er blevet mere præcis til, at finde resultater fra andre sider og db'en.

Næste del må være sortering:-)

så er der tilføjet "startups" til værktøjet.
Der er pt. 21.000 rækker i Startups databasen.. jeg mangler at tilføje et par tusinde rækker, men har opbrugt mine transaktioner imod databasen for denne måned:D

det bliver altså på tirsdag så kommer der et par MB rækker i den.

Den returnere selvfølgelig mange "BAD" hvis man indtaster f.eks "iexplore.exe".
Derfor er det nok en god idé ikke, at sætte flueben i den når man skal tjekke en hele hjt log, men mere hvis man vil slå en enkelt eller to processer op.

espersen >> jeg har ikke glemt sortering.. det kommer:-)

så er der sortering på.
det er lidt "grov" sortering.
men problemet er, at der i en boks kan være forskellige status niveau'er.

men en form for sortering er der da nu.