Zurück   Trojaner-Board > Malware entfernen > Anleitungen, FAQs & Links

Anleitungen, FAQs & Links: FRST Anleitung

Windows 7 Hilfreiche Anleitungen um Trojaner zu entfernen. Viele FAQs & Links zum Thema Sicherheit, Malware und Viren. Die Schritt für Schritt Anleitungen zum Trojaner entfernen sind auch für nicht versierte Benutzer leicht durchführbar. Bei Problemen, einfach im Trojaner-Board nachfragen - unsere Experten helfen kostenlos. Weitere Anleitungen zu Hardware, Trojaner und Malware sind hier zu finden.

Antwort
Alt 08.12.2013, 15:15   #1
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Die Anleitung für FRST wird im Moment generalüberholt.

Dadurch kann es sein, dass einzelne Beiträge bis zur Fertigstellung Fehler beinhalten.

Gruß, M-K-D-B









Farbar's Recovery Scan Tool
Download links: Link 1 | Link 2

Farbar Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten kann. Es funktioniert sowohl im normalen als auch im abgesicherten Modus, sowie im Windows Recovery Environment, falls der PC nicht mehr bootet. Dadurch ist es besonders für unbootbare PCs geeignet.


**********************************************************


Spenden
FRST ist kostenlos. Wer jedoch dem Autor farbar für seine Arbeit danken und ihn unterstüzen möchte, kann ihm unter dem folgenden Link eine Spende zukommen lassen:



Tutorial Überblick
Dieses Tutorial wurde von emeraldnzl erstellt, in Zusammenarbeit mit Farbar, dem Autoren des Programms, sowie der Unterstützung von BC (Bleeping Computer) und G2G (Geeks to Go). Es wird nun von picasso gepflegt. Die Übersetzung ins Deutsche stammt von myrtille. Das Zitieren oder Weiterverbreiten des Tutorials bedarf der Genehmigung von emeraldnz & farbar, sowie von M-K-D-B für die deutsche Übersetzung. Das Tutorial soll den Malware-Helfern in den verschiedenen Foren einen Überblick über die Funktionen des Tools geben.



Weitere Übersetzungen des Tutorials
Englisch (Original)
Französisch
Polnisch
Russisch




Inhaltsverzeichnis
  1. Einleitung
  2. Standard Scan Bereiche
  3. FRST.txt
    • Processes
    • Registry
    • Internet
    • Services
    • Drivers
    • NetSvcs
    • One Month Created Files and Folders und One Month Modified Files and Folders
    • Files to move or delete
    • Some content of TEMP
    • Known DLLs
    • Bamital & volsnap
    • Association
    • Restore Points
    • Memory info
    • Drives und MBR & Partition Table
    • LastRegBack
  4. Addition.txt
    • Accounts
    • Security Center
    • Installed Programs
    • Custom CLSID
    • Scheduled Tasks
    • Shortcuts
    • Loaded Modules
    • Alternate Data Streams
    • Safe Mode
    • Association
    • Internet Explorer trusted/restricted
    • Hosts content
    • Other Areas
    • MSCONFIG/TASK MANAGER disabled items
    • FirewallRules
    • Restore Points
    • Faulty Device Manager Devices
    • Event log errors
    • Memory info
    • Drives
    • MBR & Partition Table
  5. Weitere optionale Suchläufe
    • List BCD
    • Drivers MD5
    • Shortcut.txt
    • 90 Days
    • Dateisuche
    • Registrysuche
  6. Befehle und Beispiele
    • CloseProcesses
    • CMD:
    • CreateRestorePoint:
    • DeleteJunctionsInDirectory:
    • DeleteKey: und DeleteValue:
    • DeleteQuarantine:
    • DisableService:
    • EmptyTemp:
    • ExportKey: und ExportValue:
    • File: und Folder:
    • FindFolder:
    • Hosts:
    • ListPermissions:
    • Move:
    • nointegritychecks on:
    • Powershell:
    • Reboot:
    • Reg:
    • RemoveDirectory:
    • RemoveProxy:
    • Replace:
    • Restore From Backup:
    • RestoreErunt:
    • RestoreMbr:
    • RestoreQuarantine:
    • SaveMbr:
    • SetDefaultFilePermissions:
    • StartBatch: — EndBatch:
    • StartPowershell: — EndPowershell:
    • StartRegedit: — EndRegedit:
    • TasksDetails:
    • testsigning on:
    • Unlock:
    • VerifySignature:
    • Zip:
  7. Bausteine

Security Colleagues & Malware Helper können sich bei BC über die neuesten Entwicklungen informieren: FRST Discussion Thread.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (05.05.2017 um 20:20 Uhr)

Alt 08.12.2013, 15:18   #2
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Einleitung

FSRTs Stärke ist seine einfache Handhabung. Es wurde mit einem besonderen Augenmerk auf Benutzerfreundlichkeit entwickelt: Einzelne Zeilen, die malwarebezogen sind, können direkt aus dem Log in einen Editor kopiert werden, um einen Fix zu erstellen. Dieses gespeicherte Fixskript wird dann automatisch von FRST eingelesen beim Fixen.



Kompatibilität
Farbar Recovery Scan Tool funktioniert unter Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10, sowohl bei 32-bit als auch bei 64-bit Versionen. FRST funktioniert nicht auf XP 64bit.



Handhabung
FRST erstellt ein Log, in dem die für Malwareanalyse relevanten Bereiche von Windows aufgelistet werden, sowie einige grundlegende Informationen über den Rechner.
Da das Tool ständig weiterentwickelt wird, insbesondere im Hinblick auf das Erkennen neuer Malware, ist es äußerst empfehlenswert, es regelmäßig zu aktualisieren, auch während einer Bereinigung. Sollte der Rechner mit dem Internet verbunden sein, wird FRST automatisch nach Updates suchen, wenn es ausgeführt wird. Wird eine Aktualisierung gefunden, erscheint ein Popup und der User hat dann die Möglichkeit, diese zu installieren.

Normalerweise filtert FRST bekannte gutartige Einträge aus den Logs heraus. Dies wird getan, um die Logs so kurz wie möglich zu machen. Wenn man das komplette Log sehen will, muss man entsprechend by Whitelist die Haken entfernen.
  • FRST filtert alle Standard MS-Einträge in der Registry, sonst nichts.
  • FRST filtert alle Standard MS-Dienste und Treiber, sowie bekannte, gutartige Dienste & Treiber.
  • Dienste oder Treiber ohne Firmennamen werden nicht gefiltert.
  • Dienste und Treiber von Sicherheitsprogrammen (Firewall, Antivirus) werden immer angezeigt
  • Sämtliche SPTD-bezognenen Treiber werden immer angezeigt.



Vorbereitungen
FRST braucht Admin-Rechte, um ein zuverläßiges Log zu erstellen und sollte daher immer mit den entsprechenden Rechten ausgeführt werden. Wird FRST mit eingeschränkten Rechten ausgeführt, erscheint eine entsprechende Warnung im Header des Logs. Es ist dann empfehlenswert, den Scan mit Admin-Rechten zu wiederholen.

Gelegentlich wird FRST von Sicherheitsprogrammen behindert. Es passiert nicht häufig, sollte aber im Hinterkopf behalten werden. Während des Scans treten normalerweise keine Probleme auf, aber es ist emfohlen, Sicherheitsprogramme, die die Bereinigung behindern könnten (wie z.B. Comodo), vor einem Fix zu deaktivieren.

Ganz allgemein wird bei Rootkits empfohlen, einen Befall nach dem andern abzuarbeiten und nicht alles gleichzeitig.

Es ist nicht notwendig, ein Registry Backup zu erstellen, denn FRST erstellt sein eigenes Backup bei jeder Ausführung. Das Backup befindet sich in %SystemDrive%\FRST\Hives (In den meisten Fällen ist das C:\FRST\Hives). Für weitere Informationen siehe dazu den Befehl Restore From Backup: .

FRST gibt es in einer Reihe von verschiedenen Sprachen. Sollte das Log in einer Sprache sein, die nicht einfach zu entziffern ist, gibt es die Möglichkeit das Log auf Englisch ausgeben zu lassen. Wenn also der Helfer oder der TO die Logs auf Englisch haben möchte, genügt es dem Dateinamen von FRST das Wort "English" bei zu fügen. Zum Beispiel EnglishFRST.exe oder FRST64English.exe. Das Log wird dann auf Englisch erstellt. (Dies gilt nur für English, nicht für andere Sprachen)



FRST ausführen
Der TO wird angewiesen, FRST auf seinen Desktop herunterzuladen. Dann muss er nur noch das Programm per Doppelklick ausführen und den Disclaimer akzeptieren. Das FRST-Icon sieht wie folgt aus:


Wichtiger Hinweis: Es gibt eine 32-bit und eine 64-bit Version. Die FRST-Version muss mit dem System des TO kompatibel sein. Sollte es unklar sein, welche Version der TO braucht, dann kann er beide Versionen herunterladen und versuchen, sie auszuführen. Nur eine der beiden Versionen wird sich ausführen lassen. Das ist dann die richtige.


Das User-Interface von FRST sieht dann folgendermassen aus:



Wenn FRST fertig ist, speichert es die Logs in dem Ordner in dem es ausgeführt wurde. Beim Ausführen erstellt FRST (außerhalb der Recovery Environment) automatisch zwei Logs: FRST.txt und Addition.txt.
Zudem werden Kopien der Logs in %systemdrive%\FRST\Logs gespeichert (In den meisten Fällen ist das C:\FRST\Logs).



Entfernungen

Achtung: Farbar Recovery Scan Tool nimmt während des Scans keine Veränderungen vor und kann keinen Schaden verursachen. Beim Entfernen wird FRST jedoch versuchen, so gut wie möglich die aufgeführten Einträge zu löschen. Es gibt zwar ein paar Sicherheitsnetze, jedoch nicht genug um alle unbedachten Löschaktionen abzufangen. Der Nutzer muss daher selbst darauf achten, dass sein Skript den Rechner nicht schadet. Falsche Handhabung (das Löschen von Systemdateien z. B.) kann den Rechner unbootbar machen.

Wenn es Zweifel gibt, fragt einen Experten im Forum bevor ihr etwas entfernen möchtet.

FRST hat eine Reihe von Befehlen und Parametern, mit denen Prozesse und Probleme identifiziert und behandelt werden können.



Vorbereiten der Scripte

1. Methode: fixlist.txt

Um die identifizierten Einträge zu entfernen, kopiert man die entsprechenden Zeilen from FRST Protokoll und fügt sie in ein Textdokument mit dem Namen fixlist.txt ein. Diese fixlist.txt muss sich im selben Verzeichnis wie das Programm FRST befinden. Wurde FRST gestartet, so kann man durch Drücken der Tasstenkombination "STRG + y" automatisch ein leeres Textdokument mit dem Namen fixlist.txt öffnen. Daraufhin kann man alle Einträge in die fixlist.txt kopieren und mit "STRG+s" abspeichern.

Wichtiger Hinweis:
Wenn man die fixlist.txt manuell erstellt (d. h. nicht mit der Tastenkombination "STRG+y"), muss man Notepad verwenden! Word oder andere Programme fügen den Dateien weitere Informationen hinzu, die FRST nicht verarbeiten kann.


2. Methode: Zwischenablage
Die zu entfernden Zeilen werden zwischen Start:: und End:: kopiert. Das sieht dann so aus:
Code:
ATTFilter
Start::
Scriptinhalt
End::
         
Nun kopiert man den kompletten Inhalt ( inklusive Start:: und End:: ) und drückt auf den Button Entfernen.



__________________________________________________________________________________

Unicode
Um Einträge mit Unicode Symbolen entfernen zu können, muss die Datei fixlist.txt im Unicode Format abgespeichert werden, andernfalls wird der Fix nicht funktionieren. Die Tastenkombination "STRG+y" speichert die fixlist.txt automaitsch im Unicode Format. Wenn man die fixlist.txt manuell erstellt hat, muss man bei der Codierung eine andere Einstellung vornehmen (siehe unten).

Beispiel:
Zitat:
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
Kopiere die Einträge in ein leeres Textdokument, wähle Datei > Speichern Unter und wähle unter Codierung Unicode aus, bennen die Datei in fixlist.txt und klicke auf Speichern.

Wenn du Unicode nicht auswählst, wird dir der Texteditor eine Warnung ausgeben. Ignorierst du diese, erhälst du folgendes:
Zitat:
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
FRST wird die Einträge daraufhin nicht entfernen können.

__________________________________________________________________________________



Einträge, die von FRST behoben werden, werden nach %systemdrive%\FRST\Quarantine verschoben (In den meisten Fällen ist das C:\FRST\Quarantine). Der Ordner bleibt solange auf dem Computer, bis er am Ende der Bereinigung entfernt wird.

Mehr Details findet man in den folgenden Beiträgen.
__________________

__________________

Geändert von M-K-D-B (06.05.2017 um 22:12 Uhr)

Alt 08.12.2013, 15:24   #3
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Standard-Scanbereiche

Wird FRST zum ersten Mal ausgeführt, so erstellt es zwei Logs: FRST.txt und Addition.txt. Addition.txt wird nicht erstellt, wenn FRST im Recovery Environment ausgführt wurde.


Suchläufe im normalen Modus:

Hauptsuchlauf
Processes (Prozesse)
Registry
Internet
Services (Dienste)
Drivers (Treiber)
NetSvcs
One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner)
One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
Files in the root of some directories (Dateien im Wurzelverzeichnis einiger Verzeichnisse)
Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
Some content of TEMP (Einige Dateien in TEMP)
Some zero byte size files/folders (Einige mit null Byte Größe Dateien/Ordner)
Bamital & volsnap
LastRegBack


Zusätzlicher Suchlauf
Accounts (Konten)
Security Center (Sicherheits-Center)
Installed Programs (Installierte Programme)
Custom CLSID (Benutzerdefinierte CLSID)
Scheduled Tasks (Geplante Aufgaben)
Shortcuts (Verknüpfungen)
Loaded Modules (Geladene Module)
Alternate Data Streams
Safe Mode (Abgesicherter Modus)
Association (Verknüpfungen)
Internet Explorer trusted/restricted (Internet Explorer Vertrauenswürdig/Eingeschränkt)
Hosts content (Hosts Inhalt)
Other Areas (Andere Bereiche)
MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
FirewallRules (Firewall Regeln)
Restore Points (Wiederherstellungspunkte)
Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
Event log errors (Fehlereinträge in der Ereignisanzeige)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)


Optionale Suchläufe
List BCD (BCD auflisten)
Drivers MD5 (MD5 Treiber)
Shortcut.txt
Addition.txt
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche)
Search Registry (Registry-Suche)



Suchläufe im Recovery Environment:

Hauptsuchlauf
Registry
Services (Dienste)
Drivers (Treiber)
NetSvcs
One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner)
One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
Some content of TEMP (Einige Dateien in TEMP)
Known DLLs
Bamital & volsnap
Association (Verknüpfungen)
Restore Points (Wiederherstellungspunkte)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)
LastRegBack


Optionale Suchläufe
List BCD (BCD auflisten)
Drivers MD5 (MD5 Treiber)
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche)
__________________
__________________

Geändert von M-K-D-B (06.05.2017 um 15:22 Uhr)

Alt 08.12.2013, 15:25   #4
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Hauptsuchlauf (FRST.txt)

Header
Hier ist ein Beispiel-Header:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 06-05-2017
durchgeführt von M-K-D-B (Administrator) auf LAPTOP-1E0PSF9A (06-05-2017 23:30:55)
Gestartet von C:\Users\M-K-D-B\Desktop
Geladene Profile: M-K-D-B (Verfügbare Profile: M-K-D-B)
Platform: Windows 10 Home Version 1703 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
         
Es ist wichtig, den Header durchzuschauen:

Die erste Zeile identifiziert das Betriebssystem als 32- oder 64-bit. Die FRST Version wird auch aufgeführt, damit man leicht veraltete Versionen von FRST erkennen und aktualisieren kann. Ältere Versionen können zum Teil bestimmte Befälle nicht erkennen oder bereinigen.

In der zweiten Zeile sieht man, welcher User das Programm ausgeführt hat und mit welchen Rechten. Die Zeile gibt auch den Computernamen und das Datum und die Uhrzeit, zu der der Scan durchgeführt wurde, an. Gelegentlich wird aus Versehen vom User ein altes anstatt des aktuellen Logs gepostet. Am Datum lässt sich das leicht erkennnen.

Die dritte Zeile zeigt, in welchem Ordner FRST ausgeführt wurde. Das kann wichtig sein, wenn man dem User einen Fix geben will, der ja im selben Ordner wie FRST.exe selbst liegen muss.

Die viertel Zeile gibt das Benutzerkonto an unter dem der Scan ausgeführt wurde, sowie die verfügbaren weiteren Profile.
Wichtiger Hinweise:
Wenn mehr als ein Benutzerprofil geladen ist (zb wenn jemand Account gewechselt hat, statt sich auszuloggen und neueinzuloggen), so führt FRST die Einträge aller geladenen Profile auf. FRST listet keine Einträge aus nicht geladenen Profilen.
Diese Zeile entfällt wenn das Log im Recovery Environment erstellt wurde.

Die fünfte Zeile gibt Windows Version (inklusive Service Pack) und das installierte Sprachpaket an. Veraltete Betriebssysteme sollten hier leicht zu erkennen sein. Die Internet Explorer version wird gleichermassen in Zeile Sechs angezeigt, sowie der Default browser.

Die letzte Zeile zeigt an, in welchem Modus (normal oder abgesichert) der Scan ausgeführt wurde.

Danach folgt ein link zu der englischen Anleitung von FRST.


Warnungen, die im Header erscheinen können:
Wenn der PC nicht bootet und FRST die Warnung "Attention: Could not load system hive" zeigt, kann der System-Schlüssel in der Registry fehlen. In solchen Fällen kann es helfen, den Schlüssel mithilfe eines Backups wiederherzustellen.

""Default: Controlset001" - Weniger eine Warnung als die Information, welches Controlset das Standardcontrolset des Systems ist. Diese Information is immer dann wichtig, wenn man das Controlset zum Auslesen oder Modifizieren imRecovery Environment ansprechen will. Das aktuelle ControlSet ist das einzige, das von Windows während des Bootens eingelesen wird.



Processes (Prozesse)
Es gibt zwei Gründe, einen Prozess stoppen zu wollen. Zum einen kann es sein, dass du ein Antivirenprogramm deaktivieren willst, damit es den Fix nicht behindert. Zum andern kann es sein, dass du einen bösartigen Prozess stoppen und die dazugehörige Datei oder den Ordner löschen willst.

Um den Prozess zu beenden, füge die entsprechende Zeile hinzu, Beispiel:
Zitat:
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Die Datei Fixlog.txt wird erstellt mit dem Eintrag des Prozessnamens gefolgt von => Process closed successfully.

Falls es sich um einen bösartigen Prozess handelt, bei der man die Datei auch löschen will, muss man die Datei (oder den Ordner) separat aufführen, Beispiel:
Zitat:
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot


Registry

FRST besitzt eine mächtige Löschroutine, die auch Schlüssel ohne Zugriffsrechte oder Schlüssel mit eingebetteten NULL-Charaktern löschen kann. Schlüssel, die FRST nicht auf Anhieb löschen kann, werden beim geplanten Neustart erneut einer Löschroutine unterzogen. Die einzigen Schlüssel die FRST nicht auf Anhieb löschen kann, sind Schlüssel die von einem Treiber geschützt werden. In solchen Fällen sollte erst der Treiber und anschließend die Registry-Einträge gelöscht werden.

Wenn man einen Registry-Eintrag aus dem Log in den Fix kopiert, führt FRST eine der folgenden beiden Handlungen aus:
  1. Es erstellt den Standardwert des Schlüssels wieder her oder
  2. Es löscht den Schlüssel.
Wenn die in die fixlist.txt kopierten Eintrage zu einem der Bereiche Winlogon-Werte (Userinit, Shell, System), LSA, and AppInit_DLLs gehören, werden sie auf die Standard Windows-Werte zurückgesetzt.

Wichtiger Hinweis:
Wenn man einen bösartigen Pfad aus dem AppInit_DLLs Wert löschen lässt, bleiben die anderen Pfade in AppInit_DLLs erhalten und werden nicht angerührt.



Man braucht keine Batch oder Regfix zu erstellen. Dasselbe ist auch für andere wichtige Schlüssel wahr, die von Malware missbraucht werden können.

Wichtiger Hinweis:
FRST rührt die Dateien, die von den Registryeinträgen geladen werden, nicht an. Diese Dateien müssen separat entfernt werden, indem man ihren kompletten Pfad angibt, ohne weitere Infos.


Run und Runonce Einträge werden aus der Registry gelöscht, wenn sie in der fixlist.txt stehen. Die von dem Registryeintrag geladenen Dateien werden nicht entfernt.
Beispiel:
Zitat:
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe

Für die Notify Schlüssel, wenn sie in der fixlist.txt aufgeführt sind, wird der DllName-Wert des Schlüssels zurückgesetzt, falls sie Teil der Standardwerte sind. Wenn der Schlüssel kein Standardwert ist, wird er gelöscht.

Die Image File Execution Options Einträge werden gelöscht, wenn sie in der fixlist.txt aufgeführt sind.

Wenn eine Datei oder eine Verknüpfung im Startup Ordner gefunden wird, führt FRST die Datei in der Rubrik Startup: auf. Wenn die Datei eine Verknüpfung ist, wird in der nächsten Zeile die Zieldatei, auf die die Verknüpfung verweist, angezeigt (also die Datei, die von der Verknüpfung aufgerufen wird). Um beide Dateien zu entfernen, müssen auch beide Dateien (die Verknüpfung und die Zieldatei) in die fixlist.txt kopiert werden.
Beispiel:
Zitat:
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()
Achtung: Die erste Zeile entfernt nur die Verknüpfung. Die zweite Zeile entfernt nur die 1800947.exe. Wenn man also nur die zweite Zeile mit der ausführbaren Datei aufführt, wird nur die ausführbare Datei entfernt und die Verknüpfung bleibt im Startup-Ordner. Beim nächsten Neustart wird es dann eine Fehlermeldung geben, wenn die Verknüpfung die Datei auszuführen versucht und diese nicht findet.


Wenn Malware Richtlinien zur Beschränkung von Software (Software Restriction Policies) einsetzt, findet man beispielsweise folgende Einträge:
Code:
ATTFilter
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ACHTUNG
HKLM Group Policy restriction on software: C:\Program Files\Avira <====== ACHTUNG
HKLM Group Policy restriction on software: C:\Program Files\Panda Security <====== ACHTUNG
         
Um die Blockierung der Antivirenprogramme aufzuheben, muss man nur die entsprechenden Zeilen in die fixlist.txt einfügen.

Hinweis:
Die Erkennung ist generisch. Es ist möglich, dass andere legitime Einträge erstellt werden, um das System vor Schadsoftware zu schützen.
Mehr dazu hier: How to manually create Software Restriction Policies to block ransomware


FRST erkennt auch das Vorhandensein von Gruppenrichtlinien (Group Policy Objects, (Registry.pol und Skripts), was von Malware missbraucht werden kann. Google Chrome (siehe Chrome Sektion weiter unten) und Windows Defender Richtlinien in der Datei registry.pol werden individuell aufgelistet:
Code:
ATTFilter
GroupPolicy: Restriction - Windows Defender <======= ACHTUNG
         
Für andere Richtlinien oder Skripte erhält man nur eine generische Mitteilung ohne Details:
Code:
ATTFilter
GroupPolicy: Restriction ? <======= ACHTUNG
GroupPolicyScripts: Restriction <======= ACHTUNG
         
Um die Richtlinien wiederherzustellen, fügt man die Einträge in die fixlist.txt ein. FRST wird die Gruppenrichtlinien bereinigen und einen Neustart durchführen.
Beispiel:
Code:
ATTFilter
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
         
Hinweis:
Die Erkennung ist für einen Standad Heimcomputer, auf dem sich normalerweise keine Richtlinien befinden, ausgelegt. Daher kann es sein, dass legitime Einträge angezeigt werden, die über gpedit.msc hinzugefügt wurden.


Wenn der Registrywert DisableSR oder DisableConfig in HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore existiert, dann zeigt FRST in wie folgt:
Beispiel:
Zitat:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ACHTUNG
Wird diese Zeile in die Fixlist kopiert, so wird der gesamte Schlüssel gelöscht (er existiert normalerweise nicht)

Wichtiger Hinweis:
FRST erstellt auch eine Warning in der Addition.txt wenn die Systemwiederherstellung deaktiviert ist, selbst wenn diese nicht durch eine Group Policy sondern durch den User deaktiviert ist. In letzterem Fall kann FRST die Systemwiederherstellung nicht automatisch aktivieren und man muss dem User bitten das manuell zu tun.




Internet
In den meisten Fällen werden Einträge, die in die fixlist.txt kopiert werden, entfernt. Mit der Ausnahme des Google Chrome DefaultSearchProviders. Dieser wird von FRST nicht entfernt. Wo Dateien oder Ordner vorkommen, müssen diese extra in den Fix kopiert werden.

Winsock
Ungewöhnliche Winsock Einträge werden im Log aufgeführt. Wenn ein bösartiger catalog 5 Eintrag identfiziert wurde, kann dieser in die fixlist.txt kopiert werden. Dann passiert eines der folgenden Dinge:

1) Im Falle eines veränderten Eintrags wird der Standardwert wiederhergestellt
2) Im Falle eines neuerstellten Eintrags wird dieser gelöscht und die Catalog-Einträge neu durchnummeriert.

Wenn es um catalog 9 Einträge geht, dann sollte besser der Befehl "netsh winsock reset" benutzt werden. Sollten danach weiterhin bösartige catalog-Einträge existieren, können diese in die fixlist.txt aufgenommen werden. FRST wird dann die Einträge löschen und den Katalog neudurchnummerieren.

Achtung: Eine beschädigte Winsock-Kette wird den Rechner vom Internet trennen.

Eine beschädigte Winsock-Kette sieht wie folgt aus:
Zitat:
Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ACHTUNG
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ACHTUNG
Um diese zu reparieren, kann man die Einträge in die fixlist kopieren.

Im Falle eines ZeroAccess Befalls kann man beispielsweise Folgendes sehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => No File
Winsock: Catalog9 02 mswsock.dll => No File
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => No File
Winsock: Catalog9-x64 02 mswsock.dll => No File
Wenn diese Einträge in fixlist.txt kopiert werden, setzt FRST zwar die Catalog5 zurück, repariert allerdings nicht die problematischen Catalog9-Einträge. Stattdessen wird es einen anweisen, den Befehl "netsh winsock reset" auszuführen, um das Problem zu beheben.

Ein vollständiger Fix für die ZeroAccess Einträge sollte daher wie folgt aussehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset
Nota Bene: Das netsh winsock reset im Fix ist notwendig um den Internatzugang zu erhalten.

Das Fixlog dieses Fixes würde wie folgt aussehen:
Code:
ATTFilter
Winsock: Catalog5 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
=========  netsh winsock reset =========

"Successfully reset the Winsock Catalog. You must restart the computer in order to complete the reset."

========= End of CMD:
         


hosts
Wenn in der Hosts benutzerspezifische Einträge vorhanden sind, sieht man in der Internet-Rubrik des FRST.txt folgenden Eintrag:
Zitat:
Hosts: There are more than one entry in Hosts. (Siehe dazu auch Hosts im Abschnitt Addition.txt)

Falls die Hosts-Datei nicht gefunden wird, wird FRST dies ebenfalls vermerken.
Um die hosts-Datei zurückzusetzen, reicht es, den Eintrag in die fixlist.txt zu kopieren. Das erfolgreiche Zurücksetzen der hosts-Datei wird im fixlog.txt vermerkt.



Tcpip
Tcpip und andere Einträge werden, wenn sie in die fixlist.txt eingefügt werden, gelöscht.

Wichtiger Hinweis: Im Falle der StartMenuInternet-Einträge werden nur veränderte Einträge für IE, FF, Opera oder Chrome aufgeführt. Die Standardwerte sind in einer Whitelist und tauchen nicht auf. Der Eintrag kann in die fixlist.txt kopiert werden und wird dann auf den Standardwert zurückgesetzt.


Internet Explorer
Wenn der Homepage-Eintrag in die fixlist.txt kopiert wird, setzt FRST den Wert auf einen Standardwert. Die Zeile kann wie folgt direkt in die fixlist.txt kopiert werden:
Zitat:
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
Wenn Suchmaschinen betroffen sind, kann man den Eintrag ebenfalls direkt in die fixlist.txt kopieren. Der Schlüssel wird dann von FRST gelöscht. Die Einträge sollten wie folgt in die fixlist.txt kopiert werden:
Zitat:
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
Nota Bene: Im Falle veränderter oder fehlender HKLM DefaultScope Einträge setzt FRST die Einträge zurück. Dies ist auch für Firefox und Chrome der Fall.

Toolbars und BHOs (Browser Helper Objects) kann man in den Fix kopieren und dann wird der entsprechende Schlüssel gelöscht. Dazugehörige Dateien/Ordner müssen separat aufgeführt werden.

Beispiel:
Zitat:
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz
ActiveX Objekte kann man in den Fix kopieren und dann wird der Eintrag gelöscht. Einfach wie folgt in den Fix kopieren:
Zitat:
DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Edge
FRST führt auf welche Webseite der HomeButtonPage linkt, ob die Sitzungswiederherstellung aktiviert ist und welche Addons installiert sind:

Zitat:
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is enabled.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
Wenn man die Einträge HomePageButton und Session Restore der fixlist beifügt, werden sie aus der Registry gelöscht. Bei Extensions wird der Registryeintrag gelöscht und der Ordner entfernt.


Firefox
FRST führt Firefox-Einträge und -Profile auf wenn sie vorhanden sind, selbst falls Firefox nicht mehr installiert sein sollte. Sollten mehrere Firefox-Profile bzw. Firefox-Klone vorhanden sein, so wird FRST Einstellungen, user.js, Erweiterungen und SearchPlugins aller Profile anzeigen.

Wenn Einträge in die Fixlist.txt kopiert werden werden die entsprechende Einträge gelöscht. Beim nächsten Neustart von Firefox oder einem Firefox-Klon wird der Standard-Eintrag von Firefox genutzt. Die Einträge können wie folgt direkt in die fixlist.txt kopiert werden:
Zitat:
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T
FRST überprüft die digitale Signatur der Add-ons. Nicht signierte Add-ons werden wie folgt angezeigt
Zitat:
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]
Add-ons, Extensions und Plugins können ebenfalls direkt in die fixlist.txt kopiert werden. Wenn im Eintrag eine Datei/ein Ordner aufgeführt wird wird dieser auch gelöscht.
Beispiel für Addons:
Zitat:
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]
Beispiel für Plugins:
Zitat:
fixlist content:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => moved successfully
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => not found
Für alle weiteren FF-Einträge gilt, dass die Einträge gelöscht werden, wenn sie in der fixlist.xt aufgeführt werden. Dateien/Ordner müssen immer separat aufgeführt werden.


Chrome
FRST führt vorhandene Chrome-Einträge und Profile auf unabhängig davon ob Chrome installiert ist oder nicht. Selbst wenn es mehrere Profile gibt, wird FRST nur die Einstellungen des default profiles aufführen. Extensions werden für alle Profile aufgeführt. Nicht-standard Profile, die von Adware erzeugt werden, werden ebefalls aufgelistet.

Bei Chrome ist es besser, die im Browser eingebauten Optionen zu nutzen, um Einstellungen zu verändern. Das Effektivste, um eine Erweiterung in Chrome zu löschen, ist, den Ordner der Erweiterung mit FRST zu löschen. Damit kann die Erweiterung nicht mehr ausgeführt werden. Die Erweiterung bleibt allerdings in den Einstellungen von Chrome stehen und ist nicht sauber entfernt.
Daher ist es am besten wenn man anschliessend Chrome's eigene Tools nutzt um diese zu entfernen:

Der preferences Suchlauf schließt HomePage, StartupUrls, die aktivierte Systemwiederherstellung und einige Parameter von Standardsuchanbieter mit ein:
Zitat:
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> is enabled.
Die Einträge HomePage und StartupUrls werden gelöscht, wenn man sie in die fixlist.txt einfügt. Fügt man andere Einträge in den Fix mit ein, so wird Chrome teilweise zurückgesetzt und ein Benutzer könnte den folgenden Hinweis sehen, wenn er das nächste Mal die Chrome-Einstellungen öffnet: "Chrome hat erkannt, dass einige ihrer Einstellungen durch ein anderes Programm verändert und auf die Standardeinstellungen zurückgesetzt wurden."

FRST erkennt auch New Tab -Weiterleitungen, die von Erweiterungen kontrolliert werden. Um die Weiterleitung zu entfernen, muss man die entsprechende Erweiterung identifizieren und mit Chrome selbst deinstallieren (see darunter).
Zitat:
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
FRST ist nicht in der Lage, eine Erweiterung vollständig zu entfernen. Die Erweiterung wird immer noch in der entsprechenden Liste in Chrome geführt. Es ist möglich, dass der entsprechende Ordner von Chrome wiederhergestellt wird. Daher ist es notwendig, die Chrome-eigenen Tools dafür zu verwenden:
Im Chrome-Menü auf browser toolbar klicken.
Dann Tools and Extensions.
Hier auf den Mülleimer neben dem Icon der Extension klicken und bestätigen


Wichtiger Hinweis: Ausnahme bilden dabei die Erweiterungen, die in der Registry stehen (siehe den nachfolgenden Absatz):

Wenn man eine Erweiterung, die in der Registry steht, in die fixlist.txt kopiert, werden beide Teile, also sowohl der Registry Eintrag als auch die dazugehörige Datei, von FRST gelöscht. Die fixlist.txt würde dann wie folgt aussehen:
Zitat:
fixlist content:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <not found>
*****************

"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => key removed successfully
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => moved successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => key removed successfully

Einige Adware nutzen Group Policyes, um eine Veränderung der Extensions zu verhindern.
Zitat:
==================== Registry (Whitelisted) ===========================
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ACHTUNG
GroupPolicy: Group Policy on Chrome detected <======= ACHTUNG
Diese Zeilen kann man in die fixlist einfügen und dann sieht der Fixlog.txt wie folgt aus:
Zitat:
HKLM\SOFTWARE\Policies\Google => Key deleted successfully.
C:\Windows\system32\GroupPolicy\Machine => Moved successfully.
C:\Windows\system32\GroupPolicy\GPT.ini => Moved successfully.
Dieser Eintrag:
Zitat:
CHR dev: Chrome dev build detected! <======= ATTENTION
erscheint wenn die Chrome version keine offiziell herausgegebene Version ist sondern eine Version die noch im Entwicklungsstadium ist. Häufig wird diese Version von Adware installiert und es empfiehlt sich daher die Chrome version zu deinstallieren und die letzte offizielle Version zu installieren, ausgenommen wenn der User bewusst die Entwicklerversion selbst installiert hat.

Für alles andere gelten dieselben Einschränkungen und Regeln wie für Firefox.


Opera
FRST führt alle Einträge und Profile von Opera auf, unabhängig davon ob Opera installiert ist oder nicht.

Der Scan für Opera ist derzeit begrenzt auf: StartMenuInternet, StartupUrls, Session Restore und extensions:

Zitat:
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is enabled.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

Startup oder SessionRestore Einträge in der fixlist.txt entfernen den Startup Eintrag.
Extensions in der fixlist.txt entfernt die extension. Es ist nicht notwendig den Pfad der Datei separat aufzuführen.
Auch wenn die Extensions danach nicht mehr aktiv ist, wird sie weiterhin unter Extensions in Opera sichtbar sein. Um diese zu entfernen nutzt man am besten die Tools von Opera:
Oben links in Opera klicken um das Drop-Down menu zu sehen, dann auf Extensions klicken.
Anschliessend auf das X neben der zu entfernenden Extension klicken und bestätigen.

Für Browser, die hier nicht aufgeführt werden wird empfohlen, den Browser zu deinstallieren und neu zu installieren.



Services (Dienste) und Drivers (Treiber)
Die Dienste und Treiber sind wie folgt dargestellt:

RunningState StartType ServiceName; ImagePath oder ServiceDLL [Size CreationDate] (CompanyName)

RunningState - Der Buchstabe neben der Nummer stellt den Ausführungsstatus dar:

R=Running (Am Laufen)
S=Stopped (Angehalten)
U=Undetermined (Unbekannt)

Die "StartType" Zahlen sind:

0=Boot,
1=System,
2=Auto,
3=Demand,
4=Disabled
5= FRST kann es nicht auslesen.

Wenn am Ende der Zeile ein [x] zu sehen ist, bedeutet das, dass FRST nicht in der Lage war die Datei zu finden und daher nur den Pfad, der in der Registry gespeichert ist, angibt.

FRST überprüft für bestimmte Dienste und Treiber, die häufig von Malware missbraucht werden, die Dateisignaturen. Wenn die Datei nicht signiert ist, dann zeigt FRST das wie folgt an:
Zitat:
====================[/CODE]
--- --- ---
Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Nota Bene: Der Signature-check ist in der Recovery Environment nicht verfügbar.

Um einen bösartigen Dienst oder Treiber zu entfernen, kopiert die Zeile from Scan log in die fixlist.txt. Die Datei muss ebenefalls aufgeführt werden:

Beispiel:
Zitat:
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig
Das Programm beendet alle Dienste, die in der fixlist.txt aufgeführt wird und löscht den Dienst.



Wichtiger Hinweis:
FRST gibt an, ob es einen laufenden Dienst erfolgreich beendet hat oder nicht. Unhabhängig davon wird FRST versuchen den Dienst zu löschen. Wenn ein laufender Dienst gelöscht wird, wird FRST den User informieren, dass ein Neustart nötig ist. FRST wird anschließend den Rechner neustarten. FRST wird ausserdem dem Log eine Zeile hinzufügen in dem der Neustart vermerkt ist. Wenn der Dienst beendet wurde, ist kein Neustart notwendig.

Es gibt zwei Ausnahmen, bei denen FRST den entsprechenden Dienst nicht löscht, sondern repariert. Falls die Dienste "Themes" oder "Windows Management Instrumentation" von Malware manipuliert wurden, findet man folgendes:
Zitat:
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ACHTUNG
[/quote]
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)
[/quote]
Wenn eine derartige Zeile in die fixlist.txt eingefügt wird, werden die Parameter auf den Standard-Eintrag zurückgesetzt.


Wichtiger Hinweis 2:
Wenn FRST einen Dienst nicht auslesen kann wird das wie folgt dargestellt:
Zitat:
"1b36535375971e1b" => service could not be unlocked. <===== ATTENTION
Sowas kann durch ein Rootkit oder eine korrumpierte Registry passieren. Bei Bedarf andere um Hilfe fragen.



NetSvcs
Bekannte gutartige Einträge werden nicht aufgeführt. Das bedeutet jedoch nicht, dass alle aufgeführten Einträge bösartig sind, sondern dass die aufgeführten Einträge kontrolliert werden müssen.

Die NetSvc Einträge werden jeweils in einer eigenen Zeile aufgeführt:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> No File
NETSVC: WUSB54GCSVC -> No Filepath
Der erste Eintrag wurde als Teil von ZeroAccess identifiziert (=====> ZeroAccess) und sollte daher entfernt werden.

Der zweite Eintrag ist ein Überbleibsel. Die Datei, die mit dem Dienst assoziiert ist, fehlt.

Der dritte Eintrag bedeutet, dass dem Dienst keine Datei zugewiesen ist, die ausgefürht werden soll. Es ist ebenfalls ein Überbleibsel.

Nota Bene: Fügt man die Netsvc Zeile in die fixlist.txt ein, wird nur der netsvc-Eintrag entfernt. Der dazugehörige Dienst und die Datei müssen separat gelöscht werden.

Um zu dem vorherigen Beispiel zurückzukehren: Es gibt einen Dienst, der weiter oben bereits aufgeführt wurde, der zu dem ersten netsvc-Eintrag gehört. Er sieht wie folgt aus:
Zitat:
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
Um den Netsvc Eintrag, den Dienst und die DLL zu löschen, müsste die fixlist.txt wie folgt aussehen:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll


One Month Created Files and Folders und One Month Modified Files and Folders
Diese Rubrik führt die Dateien und Ordner auf, die innerhalb des letzten Monats erstellt oder verändert wurden. "Created" steht für "Erstellt" und "Modified" für "Verändert". Bei den Log der erstellten Dateien, wird erst das Erstelldatum, dann das Datum der letzten Veränderung aufgeführt. Bei den modifizierten Dateien ist die Reihenfolge umgekehrt: Erst das Datum der Letzten Änderung, anschließend das Erstelldatum.
Die Dateigröße ist ebenfalls aufgeführt. Handelt es sich um einen Ordner, so ist die Größe mit 000000 angegeben.



Wichtiger Hinweis: Um lange Scanzeiten zu vermeiden und die Logs kurz zu halten, ist der Scan auf bestimmte Orte begrenzt. FRST führt Ordner auf, aber nicht deren Inhalt. Wenn der Inhalt überprüft werden soll, muss der Folder: Befehl benutzt werden.

FRST führt auch die Attribute der Dateien auf:

C - Compressed (komprimiert)
D - Directory (ordner)
H - Hidden (versteckt)
L - Symbolic Link (symbolischer link)
N - Normal (hat keinerlei Attribute)
O - Offline
R - Readonly (kein Schreibrecht)
S - System
T - Temporary (temporäre Datei)
X - No scrub (Windows 8+)

Um eine Datei oder einen Ordner zu löschen, kann man einfach die Zeile in die fixlist.txt kopieren:
Zitat:
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys
Die Liste der symbolischen Links ist besonders für die Erkennung von einem ZeroAccess Befall von Nutzen.

Beispiel:
Zitat:
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64
Bevor dieser Ordner gelöscht wird, sollte man den DeleteJunctionsInDirectory: FolderPath nutzen (Dieser Befehl kann in jedem Modus genutzt werden).

Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Windows\system64
Um andere, nicht in der Rubrik erwähnte Dateien/Ordner, zu entfernen, kann man deren Pfad einfach in die fixlist.txt einfügen:
Zitat:
c:\Windows\System32\Drivers\badfile.sys
C:\Program Files (x86)\BadFolder
Hat man zahlreiche Dateien mit ähnlichen Namen, so kann man Platzhalter einsetzen:

Man kann also entweder alle Dateien aufführen:
Zitat:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
Oder einen Platzhalter benutzen:
Zitat:
C:\Windows\Tasks\At*.job
Um Ordner/Dateien mit Leerzeichen im Pfad zu entfernen, muss man diese nicht mit Gänsefüsschen umschliessen (wie bei Kommandozeilenbefehlen üblich), sondern kann diese einfach direkt in die fixlist.txt einfügen:
Zitat:
C:\Program Files (x86)\SearchProtect

Wichtiger Hinweis: Ein Fragezeichen wird nicht als Wildcard akezpetiert, siehe dazu auch den Abschnitt "Unicode" im 2. Post "Einleitung".



Files to move or delete
Dateien in dieser Rubrik sind entweder bösartige Dateien oder Dateien, die sich am falschen Ort befinden.

Beispiele für legitime Dateien am "falschen Ort" sind User-Downloads, die direkt in %userprofile% gespeichert werden. Dort sollten sich keine Dateien befinden und in vielen Fällen sind Dateien, die sich dort befinden, Malware.

Einträge unter veränderten Dateien können genau wie die Dateien im Abschnitt neu-erstellte Dateien gehandhabt werden.



Some content of TEMP
Dieser Abschnitt führt Dateien auf die direkt im %TEMP%-Ordner (und nicht in einem Unterordner) liegen und bestimmte Dateiendungen haben. Wenn keine derartigen Dateien vorhanden sind, dann ist dieser Abschnitt ausgespart. Das heisst allerdings nicht, dass keine Malware im %TEMP%-Ordner liegt. Um eine gründliche Reinigung vorzunehmen, nutzt man am besten den Befehl EmptyTemp.



Known DLLs
Einige der hier aufgeführten Dateien können, wenn nicht vorhanden oder korrumpiert, den Rechner unbootbar machen. Daher erscheint dieser Teil des Logs auch nur, wenn der Scan in der Recovery Environment ausgeführt worden ist.
Einträge erscheinen nur, wenn es Probleme gibt. Ist alles in Ordnung, werden sie nicht aufgeführt.

Vorsicht muss walten bei der Handhabung der Dateien in diesem Abschnitt. Wenn eine Datei fehlt oder verändert wurde, findet sich zumeist eine gute Kopie auf dem Rechner des Systems. Am besten holt man sich sachkundige Hilfe zum Identifizieren der benötigten Datei. FRST besitzt eine Suchfunktion, die in dem Abschnitt "Befehle" erklärt wird.



Bamital & volsnap
Hauptsächlich zum erkennen der [url=https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2FBamital[/url] und volsnap malware gefacht, mittlerweile auf mehr Sonderfälle ausgeweitet.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Wenn eine Datei nicht, wie erwartet, signiert ist, werden die Datei-Eigenschaften gezeigt.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 ____A (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 ____A (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Nota Bene: Der Signatur-Check ist in dem Recovery Environment nicht verfügbar.

Wenn im BCD ein Eintrag von Malware hinzugefügt wurde, kann man folgende Zeile am Ende der Bamital-Rubrik sehen:
Zitat:
TDL4: custom:26000022 <===== ATTENTION!
Dieser Eintrag kann den PC ebenfalls unbootbar machen, wenn das Bootkit entfernt wurde, der Eintrag aber noch nicht gelöscht wurde. Wenn diese Zeile in die fixlist.txt eingefügt wird, so wird der Eintrag gelöscht und der BCD auf den Standardeintrag zurückgesetzt.

Die sicherste Art, in den abgesicherten Modus zu booten, ist mithilfe der F8-Taste (Windows 7 und älter) oder dem Erweiterten Start (Windows 8 und 10) möglich. In einigen Fällen werden die User mithilfe von MSConfig in den abgesicherten Modus booten. Ist der abgesicherte Modus jedoch kaputt, befinden sich die User dann in einer Endlosschleife, aus der sie nicht mehr in den normalen Modus booten können. In einem solchen Fall enthält FRST.txt folgenden Eintrag:
Zitat:
safeboot: ==> The system is configured to boot to Safe Mode <===== ATTENTION!
Um das Problem zu beheben, reicht es, die Zeile in die fixlist.txt zu kopieren. FRST setzt dann den normalen Modus wieder als standard Bootmodus.

Wichtiger Hinweis: Dies gilt für Windows Vista und neuer.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

ASSOCIATION

Nota Bene: Der Abschnitt "ASSOCIATION" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst. In dem Recovery Environment wird nur die .exe Endung kontrolliert

Hier wird die allgemeine Exe-Endung angezeigt:
Zitat:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
In Fällen wo der exe-Eintrag von bösartigen Programmen verändert wurde, erscheint anstelle des "OK" ein "ATTENTION!". Es können weitere Einträge aufgeführt werden, falls diese verändert worden sind.
Wie auch bei anderen Registry-Einträgen, kann man die Zeile einfach in die fixlist.xt kopieren, um sie auf ihren Standardwert zurückzusetzen. Es muss kein Registryfix dafür geschrieben werden.



Restore Points

Nota Bene: Der Abschnitt "Restore Points" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst.

Die Wiederherstellungspunkte werden hier aufgeführt.

Nota Bene2: FRST kann nur für Windows XP die Wiederherstellungspunkte laden. Wenn man ein Vista System auf einen alten Wiederherstellungspunkt zurücksetzten will, sollte man das in der Recovery Environment mittels der Windows System Recovery Options tun.


Um die Registry auf den Status eines Wiederherstellungspunktes zurückzusetzen, reicht es, die Zeile in die fixlist.txt zu kopieren.

Beispiel für XP:
Zitat:
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Um die Registry Hives aus dem Wiederherstellungspunkt 82 (vom 24.10.2010) wiederherzustellen, reicht es, die Zeile in die fixlist.txt zu kopieren:
Zitat:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82[/b]
Um in einem Fix ein anderes Backup (zb von FRST, CF oder Erunt) einzuspielen, siehe die Befehle-Rubrik.



Memory info
Nota Bene: Der Abschnitt "Memory Info" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst.

Die Rubrik gibt Auskunft über die Menge an RAM im Rechner und wieviel davon benutzt wird. Dies kann Probleme am Rechner erklären. Wenn etwa das angeblich vorhandene RAM nicht mit dem angezeigten übereinstimmt, kann dies auf einen kaputten RAM-Riegel hinweisen oder ein veraltetes BIOS.
Bei 32-bit mit mehr als 4GB installiertem RAM wird das Maximum dennoch 4GB sein, da dies die Obergrenze für 32bit Anwendungen ist.

Prozess informationen, Page file Grösse, freier page file Speicher, virtueller Speicherplatz und freier virtueller Speicherplatz werden ebenfalls aufgeführt.


Festplatten und MBR & Partition Tabelle
Nota Bene: Die "MBR & Partition Table" Rubrik erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Diese Rubrik zählt auf, welche primäre und erweiterte Partitionen auf dem PC sind, sowie ihre Größe und der freie Platz auf der Partition. USB-Sticks werden auch aufgeführt, insofern sie zum Zeitpunkt des Scans angeschlossen sind.

Der MBR (Master Boot Record) Code wird aufgeführt.

Eventuell erscheint folgende Zeile:
Zitat:
"ATTENTION: Malware custom entry on BCD on drive "Somedrive": detected." Check for MBR/Partition infection".
Wie bei anderen komplexen Befällen ist es auch hier empfehlenswert, sich Expertenrat einzuholen. Ein falscher Fix kann das Betriebssystem unbootbar machen.

In einigen Fällen gibt es weitere Hinweise im Log, wie man den Befall löschen kann. In anderen Fällen muss man dies manuell in der Recovery Environment tun. Siehe den "Befehle" Teil dazu.

Wenn man Hinweise hat, dass der MBR verändert wurde, sollte man sich diesen genauer anschauen. Am besten mit einem Dump. Dies kann wie folgt getan werden:

Der Befehl kann in jedem von FRSTs Ausführungsmodi benutzt werden:
Zitat:
SaveMbr: drive=0 (oder die entsprechende drive-Nummer)
Er speichert den MBR in die Datei MBRDUMP.txt. Die Datei befindet sich im selben Ordner wie FRST.

Nota Bene: Obwohl ein MBR Dump sowohl im normalen Modus als auch in der RE erstellt werden kann, ist es immer zu bevorzugen, den Dump in der RE vorzunehmen, da einige Bootkits einen sauberen MBR vortäuschen können, wenn Windows geladen ist.



LastRegBack

FRST analysiert das System und führt alle Registry-Backups, die das System gemacht hat, auf. Das Backup enthält ein Backup aller Registry Hives, es unterscheidet sich daher von dem LKGC (Last Known Good Configuration), das nur das Controlset beinhaltet.
Es gibt eine Reihe von Gründen, warum man eines dieser Backups benutzen wollen könnte. Eine der häufigsten ist eine kaputte oder fehlende Registry:

Manchmal kann man folgendes im FRST Header sehen:
Zitat:
"Attention: Could not load system hive"
Um das zu reparieren, reicht es, die folgende Zeile in die fixlist.txt einzufügen:
Zitat:
LastRegBack: >>date<< >>time<<
Beispiel:
Zitat:
LastRegBack: 2013-07-02 15:09
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (26.05.2017 um 21:52 Uhr)

Alt 08.12.2013, 15:28   #5
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Addition.txt

Additional scan header

Der Header enthält ein paar nützliche Infos:

Beispiel
Zitat:
Additional scan result of Farbar Recovery Scan Tool (x64) Version:06-09-2015 01
Ran by Someperson (2015-09-07 11:05:41)
Running from C:\Users\Someperson\Desktop
Windows 10 Pro (X64) (2015-08-30 03:01:13)
Boot Mode: Normal
Erste Zeile: FRST Version und ob es sich um die 32- oder 64bit version handelt.
Zweite Zeile: Der Benutzer, der das program ausgeführt hat und das Datum an dem es ausgeführt wurde.
Dritte Zeile: Von wo wurde das Programm ausgeführt
Vierte Zeile: Welches Betriebssystem installiert ist und wann es installiert wurde.
Fünfte Zeile: In welchem Boot Modus wurde das Programm ausgeführt.

Der Additions Scan wird nur beim ersten Ausführen von FRST erstellt. In den folgenden Scans wird er nicht ausgeführt, ausser er wird explizit in der "optional scan" Box von FRST angewählt (siehe Box in Konsole). Es führt die folgenden Sachen auf:

Accounts - Liste der vorhandenen Benutzerkonten. Nach dem folgenden Schema: Kontoname (Konto SID -> Rechte - Enabled/Disabled) -> Pfad zum Benutzerkonto
Beispiel:
Zitat:
Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
Someperson (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\Someperson
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)

Security Center
Diese Liste kann veraltete Einträge beinhalten, in diesem Fall kann der Eintag in die Fixlist.txt kopiert werden. Einige Programme können die Entfernung verhindern, in solchen Fällen erscheint folgende Nachricht:
Zitat:
Security Center Entry => The item is protected. Make sure the software is uninstalled and its services is removed.

Installed Programs - Liste aller installierten Programme
FRST besitzt eine eingebaute Datenbank mit den Namen von bekannten Adware/PUP Programmen, wenn ein solches gefunden wird, zeigt FRST es wie folgt an:
Zitat:
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version: - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION
Es wird empfohlen derartige Programme zu deinstallieren bevor man andere Säuberungtools ausführt. Da die Deinstallation in der Regel mehr rückgängig macht als die Säuberungstools entfernen.

Findet FRST ein installiertes Programm, das nicht in der Liste der installierten Programme aufgeführt wird, listet FRST es wie folgt auf:
Zitat:
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden
Diese Programme sind nicht zwangsläufig bösartig, sie sind einfach nur nicht in der Systemsteuerung unter Programme aufgeführt. Dies liegt daran, dass der RegistryWert SystemComponent zu 1 gesetzt ist. FRST kann diesen Wert auf 0 zurücksetzen und das Programm so in der Systemsteuerung-Liste sichtbar machen.

Wenn also die obige Zeile in die fixlist.txt eingefügt wird, erhält man folgenden Output im Fixlog.txt:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff \\SystemComponent => Value deleted successfully.
Nota Bene: Dieser Fix macht das Programm in der Systemsteuerung sichtbar und deinstalliert das Programm nicht.

Ein verstecktes Programm ist nicht unbedingt schlecht, viele Programme sind auf diese Art und Weise versteckt, insbesondere die von Microsoft.
Custom CLSID - führt die Einträge der modfizierten CLSID in HKCU auf.

Beispiel:
Zitat:
CustomCLSID: HKU\S-1-5-21-1659004503-1801674531-839522115-1003_Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\localserver32 -> rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";eval("epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktds (the data entry has 247 more characters). <==== Poweliks?
Um einen bösartigen Eintrag zu entfernen, reicht es diesen in die fixlist.txt einzutragen und FRST wird ihn entfernen.

Nota Bene: Es können sich auch legitime Einträge in diesem Abschnitt befinden, Vorsicht walten lassen!
Scheduled Tasks
- Bekannte gutartige geplante Tasks werden gefiltert. Nur ungewöhnliche Einträge sollten in dieser Rubrik auftauchen. Wenn ein derartiger Eintrag in die fixlist.txt eingefügt wird, wird der geplante Task entfernt.
Zitat:
fixlist content:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
C:\Windows\System32\Tasks\FocusPick => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => key removed successfully
C:\windows\Tasks\FocusPick.job => moved successfully.
FRST entfernt die relevanten Registry-Einträge, sowie die Datei des geplanten Tasks, jedoch nicht die ausgeführte Datei. Wenn diese Datei bösartig ist, sollte sie zusätzlich auf die fixlist.txt kopiert werden, um diese zu löschen.
/Malware kann durchaus die Namen legitimer Prozesse benutzen (z.B. kann es sc.exe nutzen, um seinen Dienst auszuführen), um sich selbst auszuführen. In anderen Worten: Stellt sicher, dass die Datei, die gelöscht werden soll, bösartig ist.
Shortcuts


Verknüpfungen in den Ordnern C:\ProgramData\Microsoft\Windows\Start Menu\Programs und C:\Users\Public\Desktop und im Profilordner des eingeloggten Benutzers werden gescannt. Veränderte oder suspekte Verknüpfungen werden hier aufgelistet. Die Einträge werden mit "ACHTUNG" besonders hervorgehoben.
Die Zeilen können der fixlist.txt zum Entfernen hinzugefügt werden. Siehe auch die "Shortcut.txt" in "Other features".

Nota Bene: Die Shortcut.txt führt alle Verknüpfungen von allen Benutzern im System auf. Die Additions.txt beinhaltet nur die Einträge die als bedenklich eingestuft wurden und im Profil des eingeloggten Benutzer sind.

Im Falle von WMI malware die die Shortcuts gehijackt hat,zeigt FRST folgende Warnung:
Zitat:

WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
Um die Malware zu entfernen, muss diese Zeile in die fixlist.txt kopiert werden.

Loaded Modules
- Nur geladenen Module ohne Company Name werden aufgeführt. Alle Module mit Company Name sind ausgespart, selbst wenn es sich dabei um Malware halten sollte.
Alternate Data Streams

FRST führt ADS als Teil der Addition.txt auf:
Zitat:
==================== Alternate Data Streams (whitelisted) ==========

AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe[134]
AlternateDataStreams: C:\malware:malware.exe[134]
Die Grösse des ADS wird in den [] angezeigt.
Wenn der ADS sich auf einem legitimen Ordner/einer leigitmen Datei befindet, kann man die komplette Zeile einfach in die fixlist.txt kopieren.

Beispiel:
Zitat:
AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe
Ist der Ordner/die Datei ebenfalls bösartig, dann schreibt man:
Zitat:
C:\malware
Im ersten Fall entfernt FRST nur den ADS, im zweiten den Ordner/die Datei mitsamt dem ADS.

Safe Mode
Die Standardeinträge werden nicht aufgeführt. Wenn dieser Abschnitt also leer ist, gibt es keine veränderten Einträge. Falls einer der Hauptschlüssel (Safeboot, Safeboot\minimal oder Safeboot\network) fehlt wird dieses im Log fehlt. In solchen Fällen muss der Schlüssel manuell wieder erstellt werden.
Ist ein bösartiger Eintrag in diesem Abschnitt zu sehen, kann er mittels fixlist.txt entfernt werden.
Association - siehe Association in Fixing
Die Endungen .bat, .cmd, .com, .exe, .reg und .scr werden angezeigt. Die Standardwerte werden nicht angezeigt ausser es gibt veränderte oder zusätzliche Einträge. Fügt man einen Standard-Schlüssel in die fixlist.txt ein so wird dieser auf Werkeinstellungen zurückgesetzt. Andere Schlüssel werden einfach gelöscht.
Internet Explorer trusted/restricted
Liste der Internet Explorer trusted und restricted sites.
When ein Eintrag in die Fixlist aufgenommen wird, so wird diese aus der Registry gelöscht.

Hosts content



Zeigt die Eigenschaften der Hosts-Datei, sowie die ersten 30 aktiven Einträge (kommentierte Einträge werden nicht angezeigt)

Beispiel:

Zitat:

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 ____A C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Die Zeilen können nicht einzeln entfernt werden. Um die ganze Hosts datei zurückzusetzen nutzen den Befehl Hosts: oder kopiere die Warnung aus dem FRST.txt in die fixlist.txt.
Other Areas

Einige Sachen werde unter diesem Begriff zusammengefasst, da sie sonst nirgendswo erwähnt werden. Derzeit werden hier die Hintegrundeinstellungen für den Desktop und DNS Einträge , UAC Einstellungen und Firewall-Einstellungen aufgeführt. Diese Einträge werden nur gelistet, sie können derzeit nicht mit FRST gefixt werden.
DNS Server
Zitat:
DNS Servers: 213.46.228.196 - 62.179.104.196
Nota Bene: Diese Einträge werden nicht aus der Registry ausgelesen, eine Internetverbindung ist hier notwendig.
Wenn der Scan im abgesicherten Modus ausgeführt wurde oder keine Internetverbindung besteht, erscheint der Eintrag wie folgt:
Zitat:
DNS Servers: "Media is not connected to internet."

- UAC settings.
Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Das obige Beispiel zeigt die Standardeinstellungen:
Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Dieses Beispiel zeigt die Zeile, wenn UAC deaktiviert ist. Diese Änderung kann sowohl vom Nutzer selbst als auch von Malware vorgenommen worden sein. Sollte es nicht eindeutig Malware zuzuordnen zu sein, sollte man den User fragen bevor man etwas ändert.

- Windows Firewall

Beispiel:
Zitat:

Windows Firewall is enabled.
Ob die Windows Firewall aktiv oder inaktiv ist, wird ebenfalls angegeben. Wenn FRST im abgesicherten Modus ausgeführt wurde oder wenn FRST nicht in der Lage ist den Status abzufragen, zB aufgrund eines defekten Systems, wird diese Zeile nicht gezeigt.

Wallpaper
Mehrere Ransomwares benutzen Hintegrundbilder um ihre Nachricht zu zeigen:
Zitat:
Normaler Pfad:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Someperson\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Bösartiger Pfad:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Someperson\My Documents\!Decrypt-All-Files-scqwxua.bmp
Wenn das Hintegrundbild bösartig ist, kann es wie jede andere Datei mit FRST gelöscht werden.
Nota Bene: Löscht man die Datei, so verschwindet auch das Hintergrundbild
Der User muss dann selbst ein neues Hintergrundbild setzen.




MSCONFIG/TASK MANAGER disabled items - Deaktivierte Einträge in MSCONFIG
Dieser Abschnitt ist besonders dann von Nutzen wenn jemand bereits versucht hat Malware anhand von MSCONFIG oder TASK MANAGER zu deaktivieren oder wenn jemand den Rechner zu sehr modifiziert hat und nun einige Dienste nicht mehr zum laufen bringen kann.
Beispiellog:
Windows 7 und ältere Systeme
Code:
ATTFilter
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: gusvc => 3
MSCONFIG\startupfolder: C:^Users^baman^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^HijackThis.exe => C:\Windows\pss\HijackThis.exe.Startup
MSCONFIG\startupreg: MSC => "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
MSCONFIG\startupreg: swg => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
         
Folgende Einträge sind möglich:
Dienst:
Zitat:
MSCONFIG\Services: Name des Diensts =>Ursprüglicher Starttyp
AutoStart-Ordner:
Zitat:
MSCONFIG\startupfolder: Ursprünglicher Pfad (wobei Windows "\" mit "^" ersetzt hat) => Pfad des Backups das Windows gemacht hat.
Run-Eintrag:
Zitat:
MSCONFIG\startupreg: Wert => Pfad zur Datei.
TASK MANAGER in Windows 8 und Windows 10:
Zitat:
HKLM\...\StartupApproved\StartupFolder: => "MobileGo Service.lnk"
HKLM\...\StartupApproved\Run: => "ShadowPlay"
HKLM\...\StartupApproved\Run32: => "Aeria Ignite"
HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "join.me.launcher"
Nota Bene: Windows 8 und danach nutzen msconfig nur noch für Dienste. Startup Einträge werden per Taskmanager gemanaged und in anderen Registry Einträgen gespeichert. Ein deaktivierter Eintrag wird zweimal aufgeführt: Einmal in FRST.txt(Registry section) und einmal in Addition.txt.

Derzeit erstellt FRST nur eine Liste dieser Einträge. Es gibt keine Fix-Möglichkeit. Gutartige Einträge können manuell wieder aktiviert werden. Bei bösartigen Einträgen ist es empfehlenswert erst die Datei zu löschen, dann den Eintrag aktivieren zu lassen um ihn anschliessend mittels des normalen Logs löschen zu lassen.
Eine Erklärung der einzelnen Starttypen der Dienste kann man hier finden: link (englisch).
FirewallRules


- Liste der FirewallRules und AuthorizedApplications und GloballyOpenPorts Einträge.
Beispiel log (Win 7):
Zitat:
FirewallRules: [TCP Query User{7A1425F8-1CBB-4EC5-82B7-EB6A3F8DF412}C:\program files (x86)\filezilla ftp client\filezilla.exe] => (Block) C:\program files (x86)\filezilla ftp client\filezilla.exe
FirewallRules: [UDP Query User{8F78B075-D269-4D1A-A66B-36B59452534F}C:\program files (x86)\filezilla ftp client\filezilla.exe] => (Block) C:\program files (x86)\filezilla ftp client\filezilla.exe
FirewallRules: [{774ED1BC-0943-4C22-9944-17DDD44BF63F}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq.exe
FirewallRules: [{BDAB5E99-C0A4-429D-A82E-BBB44AEEBDC8}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq.exe
FirewallRules: [{4911A41A-D828-46D0-BF3E-6911F35726FA}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq64.exe
FirewallRules: [{7D5257BD-77C2-4796-B6D6-06990F618D7F}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq64.exe
FirewallRules: [{F274BD97-4899-44A9-82A6-90DC9A6E88D6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{A3A02655-8020-47B6-9781-7175D035BFD6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Beispiel log (XP):
Zitat:

==================== FirewallRules (whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

StandardProfile\AuthorizedApplications: [C:\Program Files\Google\Chrome\Application\chrome.exe] => Enabled:Google Chrome
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Farbar\Application Data\Dropbox\bin\Dropbox.exe] => Enabledropbox
Wenn ein Eintrag in die Fixlist übernommen wird, so wird der Registryeintrag entfernt. Dazughörige Dateien werder NICHT entfernt.
Restore Points - Siehe Wiederherstellungspunkte weiter oben

Führt Wiederherstellungspunkte im folgenden Format auf:
Zitat:
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
Ist die Systemwiederherstellung deaktviert, zeigt FRST eine Warnung:
Zitat:

ATTENTION: System Restore is disabled
Faulty Device Manager Devices

Event log errors:
- Application errors
- System errors
- CodeIntegrity Errors
Memory info - Siehe Memory info weiter oben
Drives
MBR & Partition Table - Siehe Drives and MBR & Partition Table weiter oben

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 11:57 Uhr)

Alt 08.12.2013, 17:33   #6
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Other features

Optional Scans

Man kann die optionalen Scans mithilfe der Checkboxen aktivieren.

List BCD

Liste der Boot Configuration Data.


Drivers MD5

Erstellt eine Lister der vorhandenen Treiber und der MD5-Hashs der Dateien:
Zitat:
========================== Drivers MD5 =======================

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451
Shortcut.txt

Erstellt eine Liste der Verknüpfungen für alle Benutzerkonten. Gehijackte Einträge können der Fixlist beigefügt werden.

Zitat:
==================== Shortcuts =============================
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
Für ShortcutWithArgument kann die Zeile einfach direkt in die fixlist.txt kopiert werden, ansonsten müsse Die Verknüpfung und das Ziel separat in der Fixlist aufgeführt werden:
Code:
ATTFilter
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
         
Nota Bene: FRST entfernt das Argument aus der Verknüpfung mit Ausnahme des Internet Explorer (No Add-ons).lnk Eintrags. Diese Verknüpfung ist standardmässig mit einem Argument versehen ( -extoff) und dient dazu den Internet Explorer ohne Add-Ons zu starten. Es wird zur Fehlerdiagnose bei Internet Explorer benutzt, daher stellt FRST das Argument automatisch wieder her, wenn es dieses löschen soll.

Falls ein anderes Programm das Argument von Internet Explorer (No Add-ons).lnk gelöscht hat, wird FRST den Eintrag nicht mehr unter ShortcutWithArgument: aufführen und somit kann das fehlende Argument auch nicht von FRST wiederhergestellt werden. In diesem Fall muss der Nutzer es manuell wiederherstellen.


Um den Eintrag von Hand wiederherzustellen, sollte der Nutzer den Ordner in dem Internet Explorer (No Add-ons).lnk liegt öffnen:

Mit einem Rechts-Klick den Eintrag anwählen und Eigenschaften auswählen.

Unter Ziel dann zwei Leerzeichen und -extoff dem Pfad anfügen.

Zum Schluss Anwenden und OK clicken.

90 Days Files

Wenn die Option "90 Days Files" angehakt ist, erstellt FRST die "Three Months Created/Modified Files and Folders" Liste statt der "One Month Created/Modified Files and Folders". Es führt also Dateien der letzten drei, statt nur einem Monat auf.


Suchfunktion
für Dateien

Es gibt eine Suchfunktion in FRST. Es ist der Eingabe-Bereich im Hauptfenster von FRST. Es reicht, einfach den zu suchenden Dateinamen dort einzugeben. Die Suche ist auf %systemdrive% beschränkt. Platzhalter sind erlaubt, wie zb afd.sys.*. Um nach mehreren Dateinamen zu suchen, trennt man diese mit einem Strichpunkt: ;

Alle der folgenden Beispiel sind möglich:
Zitat:
afd.sys
Zitat:
afd.sys*
Zitat:
afd.sys;ndis.sys
Zitat:
afd.sys*;ndis.sys*
Wenn der "Search"-Button gedrückt wird, gibt es eine Info, dass die Suche jetzt startet. Danach zeigt ein Ladebalken den Fortschritt der Suche. Wenn die Suche beendet ist, erscheint ein Popup mit der entsprechenden Meldung. Die Ergebnisse der Suche werden in der Datei Search.txt im selben Ordner wie FRST.exe gespeichert.

Die gefundenen Dateien werden dann mit ihrem Erstellungsdatum, dem Datum der letzten Änderung, der Grösse, der Attribute, des Firmennamens, der MD5 Prüfsumme und ihrer digitalen Signatur aufgeführt:
Zitat:
================== Search: ndis.sys ===================
C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.212_none_6a600c6ece9d9f09\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]

C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.0_none_89bc7b0a1a05cdb8\ndis.sys
[2015-10-30 07:44][2015-10-30 07:44] 0922464 ____A (Microsoft Corporation) 471CF5F6D7C5FDC912F52DF52C8C1E71 [File is digitally signed]

C:\Windows\System32\drivers\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]
Nota Bene: Digitale Signatur wird nicht in dem Recovery Environment geprüft.

In einigen Fällen kann die legitime Datei fehlen oder beschädigt sein wodurch der Rechner unbootbar wird. Es ist möglich, dass es zudem keine Ersatzdatei auf dem System gibt. Für solche Fälle, scannt FRST auch die X: Partition im Recovery mode (Vista und neuer). Wenn also zum Beispiel die services.exe fehlt, könnte diese von X:\windows\system32\services.exe nach C:\windows\system32 kopiert werden.
Nota Bene: Die X Partition enthält nur die 64bit-version einer Datei für 64bit-Systeme

für Registryeinträge
Man kann mit FRST auch nach Registryeinträgen suchen, dafür fügt man den zu suchenden Begriff einfach in das Eingabe-Feld ein, wenn man nach mehreren Eingaben gleichzeitig suchen will kann man diese durch ein ; trennen. Platzhalter werden in der Registrysuche ignoriert und gefiltert.

Eine einfache Suche sieht wie folgt aus:
Zitat:
websearch
Mehrere Suchen auf einmal sehen wie folgt aus:
Zitat:
websearch;dealply;searchprotect
Diese Suche funktioniert nur ausserhalb der RE.

Anders als bei der Dateisuche, sollte man bei der Registrysuche keine Platzhalter verwenden. In der Tat werden Zeichen wie *,?, usw als entsprechendes Zeichen interpretiert und nicht als Platzhalter. Wenn man diese Zeichen in einem Suchterm am Ende oder Anfang einfügt ignoriert FRST diese und sucht nach dem Term ohne die entsprechenden Sonderzeichen.

Ein Log mit dem Namen SearchReg.txt wird in dem Ordner erstellt, in dem sich auch FRST befindet.


Note Bene: Die Registry suche funktioniert nicht in dem Recovery Environment.
__________________
--> FRST Anleitung

Geändert von myrtille (22.07.2016 um 11:22 Uhr)

Alt 08.12.2013, 17:34   #7
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Befehle



Sämtliche Befehle in FRST sollten auf einer eigenen einzelnen Zeile stehen, da FRST die fixlist.txt Zeile für Zeile ausliest und verarbeitet.



Kurzübersicht der Befehle

Nota Bene: Befehle unterliegen nicht der Gross- und Kleinschreibung.

Befehle, die nur im normalen Modus benutzt werden können:

CreateRestorePoint:

Befehle, die nur im normalen oder abgesicherten Modus benutzt werden können:

CloseProcesses:
DeleteKey:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
Zip:

Befehle, die im normalen oder abgesicherten Modus und in der Recovery Environment benutzt werden können:

cmd:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
File:
FindFolder:
Folder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
testsigning on:
SaveMBR:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
Unlock:

Nur in der Recovery Environment nutzbar:

LastRegBack:
RestoreErunt:
Restore From Backup:
RestoreMbr:


Beispiele


CloseProcesses:
Beendet alle unwichtigen Prozesse. Hilft dabei den Fix schneller und sicherer auszuführen.
Beispiel:
Zitat:
CloseProcesses:
Wenn dieser Befehl in den Fix eingebaut wird, startet FRST am Schluss den Rechner automatisch neu. Man braucht dafür kein Reboot:. Der Befehl CloseProcesses: ist in der Recovery Console weder notwendig noch vorhanden.


CMD:

Gelegentlich möchte man ein Kommandozeilenskript ausführen. Der CMD: Befehl ist für solche Fälle gedacht:
Zitat:
CMD: >Command<
Wenn man mehr als einen Befehl ausführen möchte, dann muss man jede Zeile mit CMD: beginnen.
Beispiel:
Zitat:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Der erste Befehl kopiert die minidump-Dateien auf den USB-Stick (falls dieser den Laufwerkbuchstaben E: hat).
Der zweite Befehl repariert den MBR für Windows Vista und neuer.



Alternativ können die StartBatch: — EndBatch: benutzt werden. (Siehe unten)

Nota Bene: Anders als bei den Befehlen von FRST muss hier die korrekte Syntax für die Kommandozeile eingehalten werden. Das heisst auch, dass man die Pfade mit Gänsefüsschen umschliessen muss, wenn sie Leerzeichen enthalten.

CreateRestorePoint:

Erstellt einen Wiederherstellungspunkt.

Beispiel:
Zitat:
CreateRestorePoint:
Nota Bene: Diese Befehl funktioniert nur im Normalen Modus und nur wenn die Wiederherstellungspunkte nicht deaktiviert sind.

DeleteJunctionsInDirectory:

Um symbolische Links zu löschen, sollte man folgenden Befehl benutzen:
Zitat:
DeleteJunctionsInDirectory: Pfad
Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

DeleteKey

Um Schlüssel zu löschen kann man diesen Befehl wie folgt nutzen:
Zitat:
DeleteKey: HKLM\Software\Google
Alternativ ist auch ein REGEDIT Format möglich:
Code:
ATTFilter
[-HKEY_LOCAL_MACHINE\Software\Google]
         
Beziehungsweise:
Code:
ATTFilter
    [-HKLM\Software\Google]
         
Nota Bene: Der Befehl geht nur für Schlüssel, nicht für Werte

Nota Bene:
Da diese Funktion für alle Registry-Schlüssel zur Verfügung stehen soll, inklusive Classes und Controlsets, kann sie nur ausserhalb des Recovery Enironments angewendet werden.


Deletekey ist in der Lage Schlüssel ohne Rechte oder Schlüssel mit eingebetteten Nullen zu löschen.
Bei Schlüsseln die durch eine laufende Software geschützt werden muss statt dieses Befehls ein Skript im abgesicherten Modus benutzt werden.

Deletekey: kann auch symbolische Links aus der Registry entfernen.


Nota Bene: Wenn ein symbolischer Link gelöscht werden soll, so entfernt FRST nur den Link selbst, nicht aber das Ziel auf den der Link verweist. Dies soll verhindern dass FRST einen legitimen Eintrag löscht, wenn ein bösartiger Link auf ihn verweist. Sollten sowohl der Link als auch das Ziel auf der er verweist gelöscht werden, müssen beide im Fix-Script aufgeführt werden.


DeleteQuarantine:

Nachdem FRST deinstalliert wurde, sollte die Quarantäne in %SystemDrive%\FRST (normalerweise C:\FRST) ebenfalls entfernt worden sein. In einigen Fällen beinhaltet die Quarantäne aber Dateien ohne Berechtigungen oder andere ungewöhnliche Dateien und die Quarantäne kann nicht automatisch gelöscht werden. Dann kann man diese mit dem Befehl DeleteQuarantine: entfernen.

Der Befehl kann einfach in die fixlist.txt eingefügt werden:
Zitat:
DeleteQuarantine:


DisableService:

Um einen Dienst oder Treiber zu deaktivieren, kann man diesen Befehl wie folgt nutzen:
Zitat:
DisableService: ServiceName
Beispiel:
Zitat:
DisableService: sptd
DisableService: Schedule
DisableService: Wmware Nat Service
FRST ändert den Starttyp des zu deaktivierenden Dienstes und der Dienst wird dadurch beim nächsten Neustart nicht mehr ausgeführt.

Nota Bene: Der Servicename sollte einfach aus dem FRST-Log kopiert werden, ohne etwas zu verändern. Anführungszeichen sind nicht notwendig.

EmptyTemp:

Die folgenden Ordner und Dateien werden geleert:
- Windows Temp.
- Benutzer Temp
- Edge,IE, FF und Chrome cache,Opera cache, HTML5 Local Storage, Cookies und Verlauf. (Firefox Verlauf wird nicht entfernt).
- Java Cache
- Zuletzt geöffnete Dateien.
- Flash Player cache.
- Steam HTML cache
- Explorer thumbnail und icon cache
- BITS transfer queue (qmgr*.dat Dateien)
- Mülleimer.

Wenn der Befehl EmptyTemp: benutzt wird, wird der Rechner anschliessend neugestartet. Man braucht Reboot: nicht zu benutzen. Zudem wird EmptyTemp: immer als letzter Befehl ausgeführt nachdem alle anderen Befehle abgearbeitet wurden, unabhängig davon wo es im Skript selbst steht.

Wichtig: EmptyTemp löscht endgültig. Die Dateien werden nicht in die Quarantäne verschoben.


File: und Folder:

Diese Befehle werden genutzt, um Datei-Infos oder den Inhalt eines Ordners anzugeben. Die Syntax ist wie folgt:
Zitat:
File: Pfad
Folder: Pfad
Beispiel:
Zitat:
File: C:\Windows\System32\Drivers\afd.sys
Folder: C:\Windows\Boot
Das Log sieht dann wie folgt aus:
Zitat:
========================= File: C:\Windows\System32\Drivers\afd.sys ========================


File is digitally signed
MD5: 9A4A1EEE802BF2F878EE8EAB407B21B7
Creation and modification date: 2015-11-27 14:19 - 2015-10-13 18:41
Size: 0497664
Attributes: ----A
Company Name: Microsoft Corporation
Internal Name: afd.sys
Original Name: afd.sys
Product: Microsoft® Windows® Operating System
Description: Ancillary Function Driver for WinSock
File Version: 6.1.7601.19031 (win7sp1_gdr.151013-0600)
Product Version: 6.1.7601.19031
Copyright: © Microsoft Corporation. All rights reserved.

====== End Of File: ======

========================= Folder: C:\Windows\Boot ========================

2012-09-27 08:49 - 2010-11-20 14:40 - 0383786 ____A () C:\Windows\Boot\PCAT\bootmgr
2012-09-27 08:47 - 2010-11-20 14:30 - 0485760 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\memtest.exe
2009-07-14 02:55 - 2009-07-14 03:17 - 0085056 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\en-US\bootmgr.exe.mui
2009-07-14 07:35 - 2009-07-14 04:11 - 0043600 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\en-US\memtest.exe.mui
2009-06-10 22:31 - 2009-06-10 22:31 - 3694080 ____A () C:\Windows\Boot\Fonts\chs_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 3876772 ____A () C:\Windows\Boot\Fonts\cht_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 1984228 ____A () C:\Windows\Boot\Fonts\jpn_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 2371360 ____A () C:\Windows\Boot\Fonts\kor_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 0047452 ____A () C:\Windows\Boot\Fonts\wgl4_boot.ttf

... (gekürzt) ...

====== End of Folder: ======
------------------

FindFolder


Sucht Ordner. Die Suche ist auf %systemdrive% beschränkt. Joker sind erlaubt. Wenn mehr als ein Ordner gesucht werden soll, müssen diese durch einen Strichpunkt getrennt werden:

Beispiel:
Zitat:
FindFolder: google
FindFolder: *google*;adobe

Beide Beispiele sind erlaubt.

Hosts
Setzt die Hosts-Datei auf den Standardinhalt zurück. Siehe auch Hosts unter Fixing.

ListPermissions:

Führt die Nutzerrechte für Dateien/Ordner und Registryschlüssel auf.

Zitat:
ListPermissions: Pfad/Schlüssel
Beispiel:
Code:
ATTFilter
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\farbar\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
         

Move:

Dieser Befehl wird benutzt, um eine Datei umzubenennen oder zu verschieben. Die Syntax ist wie folgt:
Zitat:
Move: Ursprung Ziel
Beispiel:
Zitat:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.alt
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
Das Programm verschiebt die Ziel-Datei (falls vorhanden) in die Quarantäne und verschiebt dann die Ursprungsdatei zum Ziel-Namen.

Nota Bene: Man kann mit dem Befehl auch einfach Dateien umbenennen.

Nota Bene 2: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.



nointegritychecks on:

Gilt nur für Windows Vista und neuer.

Wenn der Integrity Check (Kontrolle der Intaktheit) deaktiviert ist, erscheint im FRST log folgende Zeile:
Zitat:
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION!
Das bedeutet, dass jemand den BCD verändert hat, um den Integrity Check beim Booten zu dekativieren. Um den Integrity Check beim Booten zu reaktivieren, kann man einfach die obige Zeile aus dem Log in die fixlist.txt kopieren.

Bei einigen unbootbaren Computern kann es helfen, den Integrity Check zu deaktivieren, um den Rechner wieder zum Booten zu bekommen. Um den Integrity Check zum Test zu deaktvieren oder um ein Backup zu machen, bevor man formatiert, benutzt man diesen Befehl:
Zitat:
nointegritychecks on:
Reboot:

Erzwingt einen Neustart. Es ist irrelevant wo die Zeile in der Fixlist steht, der Neustart wird erzwungen nachdem alle anderen Befehle des Fixes ausgeführt wurden.

Nota Bene: Dieser Befehl funktioniert nicht in der Recovery Environment.


RemoveProxy:

Entfernt bestimmte Internet Explorer Einstellungen, etwa "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" und "ProxySettingsPerUser" in "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings". Es entfernt auch "ProxyEnable" (Falls es auf 1 gesetzt ist), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" und "SavedLegacySettings" Werte in HKLM und HKCU. Es führt zudem den BITSAdmin Befehl mit NO_PROXY aus.

Des weiteren wird auch der Wert Default in "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" zurückgesetzt sofern dieser verändert wurde.

Nota Bene: Dienste und Programme die diesen Wert verändern sollten vor dem Fixen entfernt werden, sonst setzen sie den Proxy erneut.


Reg:

Befehl um die Registry zu bearbeiten, nutzt Reg.exe.
Die Syntax ist:
Zitat:
Reg: reg command
Beispiel:
Zitat:
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Nota Bene: Anders als bei den FRST-Befehlen muss man hier die korrekte Syntax für reg.exe benutzen. Das heisst beispielsweise, dass Pfade mit Leerzeichen mit Anführungszeichen umschlossen werden müssen.
Nota Bene: Dieser Befehl kann keine ungültigen oder locked Schlüssel entfernen. Um einen normalen Schlüssel zu entfernen nutzt man am besten DeleteKey:.
RemoveDirectory:

Dieser Befehl ist zum löschen (es wird nicht in die Quarantäne verschoben) von Ordnern und Dateien, die entweder nicht erlaubte Zeichen im Pfad haben oder deren Rechte manipuliert wurden, sodass ein einfaches Entfernen nicht mölich ist. Man sollte diesen Befehl nur benutzen, wenn der normale Befehl fehlgeschlagen ist. Der Befehl ist am mächtigsten in der Recovery Environment.

Beispiel:
Code:
ATTFilter
RemoveDirecotry: Pfad
         
Replace:

Um Dateien zu ersetzen, nutzt man folgendes Skript:
Zitat:
Replace: Ursprung Ziel
Beispiel:
Zitat:
Replace: c:\WINDOWS\ServicePackFiles\i386\afd.sys c:\WINDOWS\system32\drivers\afd.sys
Replace: c:\WINDOWS\ServicePackFiles\i386\atapi.sys c:\WINDOWS\system32\drivers\atapi.sys
FRST.exe verschiebt die Zieldatei (falls vorhanden) in die Quarantäne und kopiert die Ursprungsdatei an die Stelle der Zieledatei.
Die Ursprungsdatei bleibt erhalten und wird nicht verschoben. Im Beispiel bleibt also die afd.sys im i386 Ordner erhalten.

Nota Bene: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.
Nota Bene: Der Zielordner muss existieren, sonst wird die Datei nicht ersetzt.



Restore From Backup:

Beim ersten Ausführen von FRST.exe wird ein Backup der Registry unter %SystemDrive%\FRST\Hives (normalerweise C:\FRST\Hives) erstellt. Es wird beim nächsten Ausführen des Programms nicht überschrieben werden. Wenn etwas schief geht, kann man also dieses Backup wiederherstellen, um den Ursprungszustand wiederherzustellen. Die Syntax ist:
Zitat:
Restore From Backup: HiveName
Beispiele:
Zitat:
Restore From Backup: software
Restore From Backup: system


RestoreErunt:

Um die Registry aus einem Erunt-Backup wiederherzustellen, würde das Skript wie folgt aussehen:
Zitat:
RestoreErunt: Pfad
Um ein Backup von ComboFix wiederherzustellen, benutzt man folgende Syntax:
Zitat:
RestoreErunt: cf


RestoreMBR:

Um den MBR wiederherzustellen, nutzt FRST die MbrFix.exe, die sich im selben Ordner wie FRST.exe befindet. Daher benötigt man zum Wiederherstellen des MBR, FRST.exe, MbrFix/MBrFix64 und die MBR.bin, die das Backup des MBR enthält, und das folgende Skript:
Zitat:
RestoreMbr: Drive=#
Beispiel:
Zitat:
RestoreMbr: Drive=0
Nota Bene: Der MBR, den man wiederherstellen will, sollte MBR.bin heissen.

RestoreQuarantine:

Man kann entweder die komplette Quarantäne oder einzelne Dateien/Ordner wiederherstellen.

Um die gesamte Quarantäne wiederherzustellen nutzt man:

Code:
ATTFilter
RestoreQuarantine:
         
Oder:

Code:
ATTFilter
RestoreQuarantine: C:\FRST\Quarantine
         
Um eine Datei oder einen Ordner wiederherzustellen benutzt man folgenden Befehl:

Zitat:
RestoreQuarantine: PathInQuarantine
Beispiel:

Zitat:
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD

Um den genauen Pfad in der Quarantäne zu finden kann folgender Befehl benutzt werden:
Code:
ATTFilter
Folder: C:\FRST\Quarantine
         
Oder:

Code:
ATTFilter
CMD: dir /a/b/s C:\FRST\Quarantine
         
Nota Bene: Sollte die wieder erstellte Datei ausserhalb der Quarantäne bereits existieren, so überschreibt FRST diese nicht. Die Datei bleibt dann in der Quarantäne. Muss eine Datei überschreiben werden, so sollte zuerst die existierende Datei umbenannt werden, bevor die wiederherzustellende Datei zurück kopiert werden kann.




SaveMbr:

Siehe auch die Drives and MBR & Partition Table Rubrik in diesem Tutorial.

Um eine Kopie des MBRs zu erstellen, nutzt man folgende Syntax:
Zitat:
SaveMbr: Drive=#
Beispiel:
Zitat:
SaveMbr: Drive=0
Nota Bene: Es wird eine MBRDUMP.txt erstellt. Wenn man diese einsehen will, sollte man den User bitten, diese anzuhängen, da es sich um eine binäre Datei handelt.

SetDefaultFilePermissions:

Dieser Befehl setzt den Besitzer einer Datei auf die Gruppe "Administratoren" zurück und gibt allen Nutzern die Standardzugriffsrechte auf die Datei.
Nota Bene: Der Trusted-Installer wird nicht als Besitzer eingetragen. Man kann den Befehl aber zur Not auch auf Systemdateien anwenden, die von Malware blockiert werden.

Beispiel:
Code:
ATTFilter
SetDefaultFilePermissions: Pfad
         

testsigning on:

Gilt nur für Windows Vista und neuer.

Um dem weiter oben erwähnten Integrity Check zu entgehen, fügt Malware manchmal eine weitere Einstellung im BCD hinzu, die den Check der Signaturen von Treibern deaktiviert. In solchen Fällen muss erst die Malware entfernt und anschliessend der BCD repariert werden.
Vorsicht: Der BCD ist sehr anfällig gegenüber Veränderungen und eine falsche Handlung kann den PC leicht unbootbar machen.

Wenn FRST Hinweise auf Veränderungen findet, dann werden diese wie folgt aufgeführt:
Zitat:
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
Wenn die Malware noch aktiv ist, wird es auch einen unsignierten (versteckten) Treiber geben, der wie folgt aussehen kann:
Zitat:
442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
Es kann auch sein, dass der User selber die Veränderungen bemerkt:
"Ich habe eben bemerkt, dass in der Ecke unten rechts jetzt Test Mode, Windows 7, Build 7601 steht. Das war früher nicht da."

Das komplette Skript sollte dann wie folgt aussehen:
Zitat:
U0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
FRST löscht dann den Treiber und entfernt auch den Eintrag aus dem BCD. Keine weiteren Schritte sind notwendig.

Gelegentlich wird man Fälle haben, in denen andere Programme bereits die Malware entfernt, aber nicht den BCD repariert haben. In solchen Fällen sieht man dann nur diese Zeile im Log:
Zitat:
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
In dem Fall, dass man testsigning wieder deaktiviert hat und der Rechner dann plötzlich nicht mehr bootet, kann man testsigning auch wieder aktivieren, um das Problem zu lokalisieren und reparieren. Dafür benutzt man dann den Befehl:
Zitat:
testsigning on:


Unlock:

Wird der Befehl auf eine Datei oder einen Ordner angewendet, so wird der Besitzer auf "Everyone" gesetzt und Zugriffsrechte für alle gewährt. Wenn der Befehl auf einen Ordner angewandt wird, dann werden alle Unterordner und Dateien rekursiv durchlaufen und ebenfalls zurückgesetzt. Dieser Befehl sollte nur für bösartige Ordner/Dateien benutzt werden.

Im Falle eines Registryschlüssels, wird der Besitzer ebenfalls auf "Administrator" zurückgesetzt und verschiedenen Gruppen wird Zugriff auf den Schlüssel gewährt. Der Befehl ist in diesem Fall nicht rekursiv und kann sowohl für gutartige als auch bösartige Einträge genutzt werden.

Der Fix sollte wie folgt aussehen:
Zitat:
Unlock: Pfad
Gelegentlich wird das Löschen einer Datei / eines Registryschlüssels aufgrund fehlender Berechtigungen fehlschlagen. Man sieht dann im Fixlog.txt folgenden Eintrag: "Could not move File/Directory". In solchen Fällen kann man dann Unlock: benutzen, um die Datei freizugeben.


Beispiel:
Zitat:
Unlock: C:\Windows\explorer.exe
Unlock: C:\Windows\System32\svchost.exe
Um den Ordner/die Datei zu entfernen, muss man danach den Pfad in einer eigenen Zeile hinzufügen:
Zitat:
Unlock: C:\Windows\System32\bad.exe
C:\Windows\System32\bad.exe
Mit dem Befehl Unlock: kann man Registryschlüssel, von denen man mittels ACL ausgeschlossen wurde, wieder zugänglich machen. Wenn man zum Beispiel in der Recovery Environment ist und ControlSet001 das aktive Controlset ist, dann würde der Fix wie folgt aussehen:
Zitat:
Unlock: hklm\system\controlset001\badservice\subkeyname
Um dann den Eintrag mit dem Reg: Befehl manuell zu entfernen, würde man wie folgt vorgehen:
Zitat:
Unlock: hklm\system\controlset001\badservice\subkeyname
Reg: reg delete hklm\system\controlset001\badservice /f
VerifySignature:

Der Befehl überprüft die digitale Signatur einer Datei.
Syntax:
Zitat:
VerifySignature: path
Beispiel:

Code:
ATTFilter
VerifySignature: C:\Windows\notepad.exe
         




Zip:

Um Dateien/Ordner zu zippen (wenn man sie, zum Beispiel, anschließend hochladen lassen will). Die Zip-Datei wird auf dem Desktop erstellt und heisst upload.zip, man muss sie manuell zur Website seiner Wahl hochladen lassen.



Zitat:
Zip: path;path


Es können beliebig viele Dateien/Ordner gezipt werden, solange sie per Semikolon getrennt werden.

Beispiel:
Zitat:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log



Powershell:

Um Powershell-Befehle auszuführen:
  • Einzelne Befehle:

    Zitat:

    Powershell: command
    Beispiel:

    Code:
    ATTFilter
    Powershell: Get-Service
             
  • Um Informationen eines Befehls in ein Log zu schreiben: (mit redirection oder Out-File cmdiet
    Zitat:
    Powershell: command > "Path to a text file"
    Powershell: command | Out-File "Path to a text file"
    Beispiel:
    Zitat:
    Powershell: Get-Service > C:\log.txt
    Powershell: Get-Process >> C:\log.txt
  • Um ein Powershell script (.ps1) mit einem oder mehreren Befehlen auszuführen:
    Zitat:
    Powershell: "Path to a script file"
    Beispiel:
    Zitat:
    Powershell: C:\Users\UserName\Desktop\script.ps1

    Powershell: "C:\Users\User Name\Desktop\script.ps1"
  • Mehrzeilige Befehle können mithilfe von ; getrennt werden:
    Zitat:
    Powershell: line 1; line 2; (und so weiter)
    Beispiel:
    Zitat:
    Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Alternativ können die StartPowershell: — EndPowershell: Befehle benutzt werden. (Siehe unten)



StartBatch: — EndBatch:


Um eine Batchdatei zu erstellen und auszuführen.


Syntax ist:
Code:
ATTFilter
StartBatch:
Linie 1
Linie 2
usw.
EndBatch:
         
Die Ausgabe wird in die fixlog.txt gedruckt.





StartPowershell: — EndPowershell:


Alternative um ein mehrzeiliges Powershellskript auszuführen (siehe auch den Powershell-Befehl weiter oben)


Syntax:
Code:
ATTFilter
StartPowershell:
Linie 1
Linie 2
usw.
EndPowershell:
         
Die Ausgabe wird in die fixlog.txt gedruckt.


StartRegedit: — EndRegedit:


Um eine Registry-Datei zu importieren. (.reg)

Die Syntax ist:
Zitat:
StartRegedit:
.reg Datei Format
EndRegedit:
Der Windows Registry Editor Version 5.00 header ist optional, aber REGEDIT4 header muss eingefügt werden, wenn benötigt.

Beispiel:
Zitat:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
Im Fixlog befindet sich folgende Bestätigung, dass das Skript ausgeführt wurde:
Zitat:
====> Registry
Nota Bene: Fehler des Skripts werden nirgends angezeigt.
Nota Bene: Ungültige oder gelockte Schlüssel mit DeleteKey: entfernen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 11:47 Uhr)

Alt 25.01.2014, 13:50   #8
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Bausteine



Die folgenden Bausteine sind Beispielbausteine für die Verwendung von FRST:

FRST-Scan im normalen Modus:
Zitat:
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Bitte lade dir die passende Version von [B]Farbar's Recovery Scan Tool[/B] auf deinen [COLOR="Green"][B]Desktop[/B][/COLOR]: [URL= http://208.43.87.2/download/farbar-recovery-scan-tool/]FRST 32bit oder FRST 64bit[/URL]
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)[list][*] Starte jetzt [B]FRST[/B].[*] Ändere ungefragt keine der Checkboxen und klicke auf [B]Scan[/B].[*] Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.[*] Poste mir die [color=darkorchid][B]FRST.txt[/B][/color] und nach dem ersten Scan auch die [B][color=darkorchid]Addition.txt[/color][/B] in deinem Thread ([B]#[/B]-Symbol im Eingabefenster der Webseite anklicken)[/LIST]
         
Im Trojaner-Board kann man auch direkt die dafür vorgesehenen BB-Code Tags verwenden: [frst][/frst]



FRST Scan für Vista, Windows 7 and Windows 8 in dem Recovery Environment (RE):
Zitat:
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
[indent]Hinweise für Windows 8-Nutzer: [URL= http://www.trojaner-board.de/135287-anleitung-bootvarianten-seit-windows-8-a.html#post1066280][B]Anleitung 1[/B] (FRST-Variante)[/URL] und [URL= http://www.trojaner-board.de/130086-windows-8-abgesicherten-modus-f8-taste-aktivieren.html#post998760][B]Anleitung 2[/B] (zweiter Teil)[/URL]

Alle anderen Windowsversionen ab hier:[List][*] Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/][b]FRST 32-Bit[/b][/url] [B]|[/B] [url=http://208.43.87.2/download/farbar-recovery-scan-tool/dl/82/][b]FRST 64-Bit[/b][/url][*] Schließe den USB Stick an das infizierte System an und boote das System in die [b]System Reparatur Option[/b].[*] Scanne jetzt nach der [URL=http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026550]bebilderten Anleitung[/URL] oder verwende die folgende [B]Kurzanleitung[/B]:[/LIST][color=green][b]Über den Boot Manager:[/color][/b][list][*] Starte den Rechner neu.[*] Während dem Hochfahren drücke mehrmals die [B]F8[/B] Taste[*] Wähle nun [b]Computer reparieren[/b].[*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
[color=green][B]Mit Windows CD/DVD (auch bei Windows 8 möglich):[/color][/B][list][*] Lege die Windows CD in dein Laufwerk.[*] Starte den Rechner neu und [url=http://www.trojaner-board.de/81857-computer-cd-booten.html]starte von der CD[/url].[*] Wähle die Spracheinstellungen und klicke "Weiter".[*] Klicke auf [B]Computerreparaturoptionen[/B] ![*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
Wähle in den Reparaturoptionen: [b]Eingabeaufforderung[/b][list][*] Gib nun bitte [B]notepad[/B] ein und drücke Enter.[*] Im öffnenden Textdokument: [B]Datei > Speichern unter...[/B] und wähle [B]Computer[/B].
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.[*] Schließe Notepad wieder[*] Gib nun bitte folgenden Befehl ein.
[B][color=purple]e[/color]:\frst.exe[/b] bzw. [B][color=purple]e[/color]:\frst64.exe[/b]
[B]Hinweis: [color=purple]e[/color][/b] steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.[*] Akzeptiere den Disclaimer mit [B]Yes[/B] und klicke [color=darkblue][B]Scan[/B][/color][/list]Das Tool erstellt eine [color=darkorchid][B]FRST.txt[/B][/color] auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags ([URL= http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026555]Anleitung[/URL]).
[/indent]
         
Auf TB gibt es die Tags: [frstre][/frstre]


Wenn FRST seinen Scan beendet hat, speichert es die Logs in dem Verzeichnis ab, aus welchem FRST ausgeführt wurde. Beim ersten Ausführen wird FRST.txt und Addition.txt erstellt. Danach wird nur noch FRST.txt erstellt, außer man konfiguriert FRST anderweitig (siehe dazu Optionale Scans in der Konsole).
Zusätzlich wird eine Kopie der Logs in %SystemDrive%\FRST\Logs gespeichert.



Fixes

FRST hat eine Reihe von Befehlen und Switches, die man entweder für Scans oder Fixes benutzen kann.
Um identfizierte Probleme zu beheben, kann man einfach die entsprechende Zeile aus FRST.txt kopieren und in eine Textdatei enfügen. Diese muss dann unter dem Namen fixlist.txt gespeichert werden. Die fixlist.txt muss im selben Ordner liegen wie die FRST.exe. Normalerweise also auf dem Desktop, wenn man einen Scan im normalen oder abgesicherten Modus macht oder auf dem USB-Stick, wenn man den Fix im Recovery Environment ausführen will.
Nota Bene: Es muss ein Texteditor wie notepad benutzt werden, der keinen zusätzlichen Text einfügt. Programme wie Words funktionieren nicht.


Beispiel für einen Fix im normalen oder abgesicherten Modus:
Zitat:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe "[b]notepad[/b]" in das [b]Ausführen[/b] Fenster.

[b]Kopiere[/b] nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] ebenfalls auf deinen [b]Desktop[/b] neben FRST.[list][*] Starte nun [B]FRST[/B] und klicke den [color=darkblue][B]Fix[/B][/color] Button.[*] Das Tool erstellt eine [color=darkorchid][B]Fixlog.txt[/B][/color]. Poste mir deren Inhalt.[/list]
         
Oder auf TB den FRSTFix-Tag: [frstfix][/frstfix]



Beispiel für einen Fix im Recovery Environment:
Zitat:
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  bitte die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe [b]notepad[/b] in das [b]Ausführen[/b] Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] auf deinen USB Stick neben FRST.[list][*]Schliesse den USB Stick an den infizierten Rechner an.[*] Starte deinen Rechner in die Reparaturoptionen.[*] Starte nun wiederum  [B]FRST[/B], aber klicke dieses Mal auf den [color=darkblue][b]Fix[/b][/color] Button.[/list]Das Tool erstellt eine Datei [color=darkorchid][b]Fixlog.txt[/b][/color] auf deinem USB Stick. Poste deren Inhalt bitte hier.
         
oder den FRSTREFix-Tag: [frstrefix][/frstrefix]


Einträge, die von FRST entfernt werden, werden nach %systemdrive%\FRST\Quarantine kopiert. Der Quarantäne-Ordner wird während der Deinstallation von FRST entfernt.

Weitere Informationen zum Erstellen eines Fixes können in dem Absatz Fixing dieses Tutorials gefunden werden.



Download Links


Direkter Download Link

Die neueste Version von Farbars Recovery Scan Tool kann unter Farbar Recovery Scan Tool Download gefunden werden.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (16.07.2016 um 10:02 Uhr)

Alt 20.12.2014, 15:59   #9
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Updates des Tutorials:

11/01/2013 Winsock: Catalog5 section amended to carry out the netsh winsock reset after reboot
-----------------------------------------

11/19/2013 Fixing - information about Fixlog header added
-----------------------------------------

12/30/2013 RemoveDirectory: and SetDefaultFilePermissions: added to Commands/Directives
12/30/2013 Explanation of what the Unlock: directive sets, added:
12/30/2013 Further explanation added to the Search Feature.
-----------------------------------------------------------------------------------------------

01/19/2014 Statement added that FRST will not work with XP 64-bit machines
01/19/2014 Whitelisting explanation added
01/19/2014 Header example amended and updated
-----------------------------------------------------------------------------------------------

01/22/2014 explanation note added for Applnit_Dlls fixing under Registry.
-----------------------------------------------------------------------------------------------

02/12/2014 Installed programs list explanation under Addition.txt amended to cover hidden programs
02/12/2014 Disabled items from MSCONFIG report added under Addition.txt
-----------------------------------------------------------------------------------------------

03/06/2014 Reboot: command is added and Unlock: example is amended.
-----------------------------------------------------------------------------------------------

03/14/2014 Added Information on RestoreQuarantine, Drivers MD5, Shortcut.txt
-----------------------------------------------------------------------------------------------

03/15/2014 Added information on group policies for chrome
-----------------------------------------------------------------------------------------------

03/16/2014 Added information on winsock resets for catalog 5 & 9
-----------------------------------------------------------------------------------------------
04/24/2014 Added ListPermissions and SaveMBR
-----------------------------------------------------------------------------------------------
05/05/2014 Added Deletekey
-----------------------------------------------------------------------------------------------
05/16/2014 Updated search section
-----------------------------------------------------------------------------------------------
06/02/2014 Updated Chrome section in Fixing
-----------------------------------------------------------------------------------------------
06/10/2014 Updated Registry section and added VerifySignature: command
-----------------------------------------------------------------------------------------------
06/24/2014 Updated Default Scan areas

-----------------------------------------------------------------------------------------------
07/24/2014 Updated Firefox output and DeleteKey command

-----------------------------------------------------------------------------------------------
07/29/2014 Added Custom CLSIDs

-----------------------------------------------------------------------------------------------
08/11/2014 Added EmptyTemp

-----------------------------------------------------------------------------------------------
08/14/2014 Updated EmptyTemp, Memory Info

-----------------------------------------------------------------------------------------------
08/19/2014 Updated Google Chrome

-----------------------------------------------------------------------------------------------
08/25/2014 Updated DeleteJunctionsInDirectory

-----------------------------------------------------------------------------------------------
08/27/2014 Updated Log Output
08/27/2014 Added Hosts command

-----------------------------------------------------------------------------------------------
08/28/2014 Updated Log Output

-----------------------------------------------------------------------------------------------
08/30/2014 Added other translations of tutorial
-----------------------------------------------------------------------------------------------
08/31/2014 Cosmetics
-----------------------------------------------------------------------------------------------
09/01/2014 Updated Firefox Plugins, Loaded Modules, Installed Programs
-----------------------------------------------------------------------------------------------
09/07/2014 Updated Firefox Plugins, Loaded Modules, Pictures and content list
-----------------------------------------------------------------------------------------------
09/08/2014 Added close processes
-----------------------------------------------------------------------------------------------
09/19/2014 Header aktualisiert
-----------------------------------------------------------------------------------------------
12/02/2014 Split addition.txt into separate post
-----------------------------------------------------------------------------------------------
12/03/2014 Updated everything from HKCU to HKU
-----------------------------------------------------------------------------------------------
12/13/2014 Modified testsigning output
-----------------------------------------------------------------------------------------------
12/19/2014 Added CreateRestorePoint
-----------------------------------------------------------------------------------------------
12/29/2014 Updated header output
-----------------------------------------------------------------------------------------------
01/12/2015 Updated extensions
-----------------------------------------------------------------------------------------------
01/24/2015 Added SR detection
-----------------------------------------------------------------------------------------------
01/27/2015 Updated SR
-----------------------------------------------------------------------------------------------
01/28/2015 Added Opera, updated Chrome
-----------------------------------------------------------------------------------------------
02/09/2015 Rewrite Deletekey
-----------------------------------------------------------------------------------------------
02/16/2015 Added "Other Areas"
-----------------------------------------------------------------------------------------------
03/01/2015 Updated EmptyTemp
-----------------------------------------------------------------------------------------------
03/05/2015 Updated Services & Drivers
-----------------------------------------------------------------------------------------------
03/09/2015 Added RemoveProxy and 90 Days
-----------------------------------------------------------------------------------------------
04/14/2015 Minor update
-----------------------------------------------------------------------------------------------
04/22/2015 Added Internet restricted/trusted
-----------------------------------------------------------------------------------------------
04/24/2015 Layout

-----------------------------------------------------------------------------------------------
04/27/2015 Added FirewallRules

-----------------------------------------------------------------------------------------------
07/21/2015 Explanation of [X] added to Services and Drivers section under Fixing

-----------------------------------------------------------------------------------------------
07/22/2015 UAC and Windows firewall added to Other Areas scan in the Addition.txt section

-----------------------------------------------------------------------------------------------
08/28/2015 Revamp of all sections to reflect new wording in FRST
-----------------------------------------------------------------------------------------------
09/01/2015 restructuring fixing section
-----------------------------------------------------------------------------------------------
09/10/2015 updated addition section
-----------------------------------------------------------------------------------------------
10/09/2015 added edge detection
-----------------------------------------------------------------------------------------------
10/22/2015 added firefox signed extensions, updated examples

-----------------------------------------------------------------------------------------------
11/12/2015 added instructions for english display of log
-----------------------------------------------------------------------------------------------
11/24/2015 added shortcut information in additions.log
-----------------------------------------------------------------------------------------------
12/01/2015 updateed shortcut information in additions.log

-----------------------------------------------------------------------------------------------
12/30/2015 restructured additions.txt

-----------------------------------------------------------------------------------------------
01/04/2016 updated shortcuts and firewallrules

-----------------------------------------------------------------------------------------------
03/05/2016 added zip command
-----------------------------------------------------------------------------------------------
04/16/2016 complete rehaul of the tutorial
-----------------------------------------------------------------------------------------------
04/26/2016 Cosmetic updates

-----------------------------------------------------------------------------------------------
04/28/2016 added wmi malware

-----------------------------------------------------------------------------------------------
05/08/2016 Cosmetic updates

-----------------------------------------------------------------------------------------------
06/16/2016 Updated search behaviour
-----------------------------------------------------------------------------------------------
06/18/2016 Powershell
-----------------------------------------------------------------------------------------------
07/05/2016 Powershell update

-----------------------------------------------------------------------------------------------
07/21/2016 Befehle StartBatch: — EndBatch: & StartPowershell: — EndPowershell: hinzugefuegt
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (22.07.2016 um 11:23 Uhr)

Antwort

Themen zu FRST Anleitung
abgesicherten, blue, center, erstellt, files, fix, foren, funktioniert, helper, link, log, malware, modus, nicht mehr, pcs, recovery, scan, scripte, security, standard, tool, tools, tutorial, unlock, verschiedene, windows



Ähnliche Themen: FRST Anleitung


  1. FRST Log Auswertung?
    Log-Analyse und Auswertung - 10.10.2015 (4)
  2. ich habe einen Virus eingefangen der aus FRST.txt ein FRST.txt!___prosschiff@gmail.com_ macht
    Log-Analyse und Auswertung - 27.09.2015 (3)
  3. FRST Logfile auswertung?
    Log-Analyse und Auswertung - 03.08.2015 (1)
  4. FRST Scan und nun?
    Diskussionsforum - 31.07.2015 (3)
  5. Überprüfung mit FRST
    Log-Analyse und Auswertung - 23.07.2015 (10)
  6. FRST Logfiles
    Log-Analyse und Auswertung - 23.02.2015 (5)
  7. Bundestrojaner: FRST Log
    Log-Analyse und Auswertung - 24.08.2014 (12)
  8. FRST-Log verstehen
    Diskussionsforum - 24.03.2014 (6)
  9. Probleme mit FRST gemäß Anleitung AW:Probleme mit static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (41)
  10. BKA Trojaner: FRST, was nun?
    Log-Analyse und Auswertung - 27.11.2013 (8)
  11. GVU Trojaner - FRST.txt
    Plagegeister aller Art und deren Bekämpfung - 23.08.2013 (4)
  12. Weißer Bildschirm nach Neustart, scan via FRST.exe --> FRST.txt
    Log-Analyse und Auswertung - 06.08.2013 (5)
  13. GUV Trojaner -- LOG FRST
    Log-Analyse und Auswertung - 24.06.2013 (1)

Zum Thema FRST Anleitung - Die Anleitung für FRST wird im Moment generalüberholt. Dadurch kann es sein, dass einzelne Beiträge bis zur Fertigstellung Fehler beinhalten. Gruß, M-K-D-B Farbar's Recovery Scan Tool Download links: Link 1 - FRST Anleitung...
Archiv
Du betrachtest: FRST Anleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.