Zurück   Trojaner-Board > Malware entfernen > Anleitungen, FAQs & Links

Anleitungen, FAQs & Links: FRST Anleitung

Windows 7 Hilfreiche Anleitungen um Trojaner zu entfernen. Viele FAQs & Links zum Thema Sicherheit, Malware und Viren. Die Schritt für Schritt Anleitungen zum Trojaner entfernen sind auch für nicht versierte Benutzer leicht durchführbar. Bei Problemen, einfach im Trojaner-Board nachfragen - unsere Experten helfen kostenlos. Weitere Anleitungen zu Hardware, Trojaner und Malware sind hier zu finden.

Antwort
Alt 08.12.2013, 16:15   #1
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung





Farbar's Recovery Scan Tool

Download links: link1 | link2
Farbar Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten kann. Es funktioniert sowohl im normalen als auch im abgesicherten Modus, sowie im Windows Recovery Environment, falls der PC nicht mehr bootet. Dadurch ist es besonders für unbootbare PCs geeignet.


**********************************************************

Spenden
FRST ist kostenlos. Wer jedoch dem Autor farbar für seine Arbeit danken und ihn unterstüzen möchte, kann ihm unter dem folgenden Link eine Spende zukommen lassen:



Tutorial Überblick


Dieses Tutorial wurde von emeraldnzl erstellt, in Zusammenarbeit mit Farbar, dem Autoren des Programms, sowie der Unterstützung von BC (Bleeping Computer) und G2G (Geeks to Go). Es wird nun von picasso gepflegt. Die Übersetzung ins Deutsche stammt von myrtille. Das Zitieren oder Weiterverbreiten des Tutorials bedarf der Genehmigung von emeraldnz & farbar, sowie von myrtille für die deutsche Übersetzung. Das Tutorial soll den Malware-Helfern in den verschiedenen Foren einen Überblick über die Funktionen des Tools geben.

Weitere Übersetzungen des Tutorials

Original: FRST Tutorial - How to use Farbar Recovery Scan Tool - Malware Removal Guides and Tutorials
Französich: Assiste.Forums ? Afficher le sujet - FRST: Tutoriel
Polnisch: FRST - Tutorial obs?ugi Farbar Recovery Scan Tool - Tutoriale | Artyku?y | Recenzje - Fixitpc.pl
Russisch: http://safezone.cc/threads/rukovodst...ol-frst.27540/

Inhaltsverzeichnis

  1. Einleitung
  2. Standard Scan Bereiche
  3. FRST.txt
    • Processes
    • Registry
    • Internet
    • Services
    • Drivers
    • NetSvcs
    • One Month Created Files and Folders and One Month Modified Files and Folders
    • AlternateDataStreams
    • Unicode
    • Files to move or delete
    • Some content of TEMP
    • Known DLLs
    • Bamital & volsnap
    • Association
    • Other Areas
    • Restore Points
    • Memory info
    • Drives and MBR & Partition Table
    • LastRegBack
  4. Addition.txt
    • Accounts
    • Security Center
    • Installed Programs
    • Custom CLSID
    • Scheduled Tasks
    • Shortcuts
    • Loaded Modules
    • Alternate Data Streams
    • Safe Mode
    • Association
    • Internet Explorer trusted/restricted
    • Hosts content
    • Other Areas
    • MSCONFIG/TASK MANAGER disabled items
    • FirewallRules
    • Restore Points
    • Faulty Device Manager Devices
    • Event log errors
      • Application errors
      • System errors
      • CodeIntegrity
    • Memory info
    • Drives
    • MBR & Partition Table
  5. Weitere features
    • Optionale Scans
    • List BCD
    • Drivers MD5
    • Shortcut.txt
    • 90 Days
    • Dateisuche
    • Registrysuche
  6. Befehle und Beispiele
    • CloseProcesses
    • CMD:
    • DeleteJunctionsInDirectory:
    • DeleteKey:
    • DeleteQuarantine:
    • DisableService:
    • EmptyTemp:
    • File: and Folder:
    • Hosts:
    • ListPermissions:
    • Move:
    • nointegritychecks on:
    • Powershell:
    • Reboot:
    • Reg:
    • RemoveDirectory:
    • RemoveProxy:
    • Replace:
    • Restore From Backup:
    • RestoreErunt:
    • RestoreMbr:
    • SaveMbr:
    • SetDefaultFilePermissions:
    • StartBatch: — EndBatch:
    • StartPowershell: — EndPowershell:
    • StartRegedit: — EndRegedit:
    • testsigning on:
    • Unlock:
    • VerifySignature:
    • Zip:
  7. Bausteine

Security Colleagues & Malware Helper können sich bei BC über die neuesten Entwicklungen informieren: FRST Discussion Thread.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 12:34 Uhr)

Alt 08.12.2013, 16:18   #2
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Einleitung

FSRTs Stärke ist seine einfache Handhabung. Es wurde mit einem besonderen Augenmerk auf Benutzerfreundlichkeit entwickelt: Einzelne Zeilen, die malwarebezogen sind, können direkt aus dem Log in einen Editor kopiert werden, um einen Fix zu erstellen. Dieses gespeicherte Fixskript wird dann automatisch von FRST eingelesen beim Fixen.

Kompatibilität

Farbars Recovery Scan Tool funktioniert unter Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10, sowohl bei 32-bit als auch bei 64-bit Versionen. FRST funktioniert nicht auf XP 64bit.

Handhabung

FRST erstellt ein Log, in dem die für Malwareanalyse relevanten Bereiche von Windows gelistet werden, sowie einige grundlegende Informationen über den Rechner.
Da das Tool ständig weiterentwickelt wird, insbesondere im Hinblick auf das Erkennen neuer Malware, ist es äußerst empfehlenswert, es regelmäßig zu aktualisieren, auch während einer Bereinigung. Sollte der Rechner mit dem Internet verbunden sein, wird FRST automatisch nach Updates suchen, wenn es ausgeführt wird. Wird eine Aktualisierung gefunden, erscheint ein Popup und der User hat dann die Möglichkeit, diese zu installieren.

Normalerweise filtert FRST bekannte gutartige Einträge aus den Logs heraus. Dies wird getan um die Logs so kurz wie möglich zu machen. Wenn man das komplette Log sehen will, muss man entsprechend by Whitelist die Haken entfernen.
  • FRST filtert alle Standard MS-Einträge in der Registry, sonst nichts.
  • FRST filtert alle Standard MS-Dienste und Treiber, sowie bekannte, gutartige Dienste & Treiber.
  • Dienste oder Treiber ohne Firmennamen werden nicht gefiltert.
  • Dienste und Treiber von Sicherheitsprogrammen (Firewall, Antivirus) werden immer angezeigt
  • Sämtliche SPTD-bezognenen Treiber werden immer angezeigt.
Vorbereitungen

FRST braucht Admin-Rechte, um ein zuverläßiges Log zu erstellen und sollte daher immer mit den entsprechenden Rechten ausgeführt werden. Wird FRST mit eingeschränkten Rechten ausgeführt, erscheint eine entsprechende Warnung im Header des Logs. Es ist dann empfehlenswert, den Scan mit Admin-Rechten zu wiederholen.

Gelegentlich wird FRST von Sicherheitsprogrammen behindert. Es passiert nicht häufig, sollte aber im Hinterkopf behalten werden. Während des Scans treten normalerweise keine Probleme auf, aber es ist emfohlen, Sicherheitsprogramme, die die Bereinigung behindern könnten (wie z.B. Comodo), vor einem Fix zu deaktivieren.

Ganz allgemein wird empfohlen bei Rootkits, einen Befall nach dem andern abzuarbeiten und nicht alles gleichzeitig.

Es ist nicht notwendig, ein Registry Backup zu erstellen, denn FRST erstellt sein eigenes Backup bei jeder Ausführung. Das Backup befindet sich in %SystemDrive%\FRST\Hives und wird nicht von nachfolgenden Backups überschrieben.

FRST gibt es in einer Reihe von verschiedenen Sprachen. Sollte das Log in einer Sprache sein, die nicht einfach zu entziffern ist, gibt es die Möglichkeit das Log auf Englisch ausgeben zu lassen. Wenn also der Helfer oder der TO die Logs auf Englisch haben möchte, genügt es dem Dateinamen von FRST das Wort "English" bei zu fügen. Zum Beispiel EnglishFRST.exe oder FRST64English.exe. Das Log wird dann auf Englisch erstellt. (Dies gilt nur für English, nicht andere Sprachen)

FRST ausführen

Der TO wird angewiesen, FRST auf seinen Desktop herunterzuladen. Dann muss er nur noch das Programm per Doppelklick ausführen und den Disclaimer akzeptieren. Das FRST-Icon sieht wie folgt aus:




Nota Bene: Es gibt eine 32-bit und eine 64-bit Version. Die FRST-Version muss mit dem System des TO kompatibel sein. Sollte es unklar sein, welche Version der TO braucht, dann kann er beide Versionen herunterladen und versuchen, sie auszuführen. Nur eine der beiden Versionen wird sich ausführen lassen. Das ist dann die richtige.


Das User-Interface von FRST sieht dann folgendermassen aus:



Wenn FRST fertig ist, speichert es die Logs in dem Ordner in dem es ausgefuehrt wurde. Beim ersten Ausfuehren, erstellt FRST automatisch zwei logs: FRST.txt und Addition.txt. Danach wird nur noch FRST.txt erstellt, sofern man nicht Additional scans angewaehlt hat.
Zudem werden Kopien der logs in %systemdriver%\FRST\Logs gespeichert. (In den meisten Faellen ist das C:\FRST\Logs


Fixing

Achtung: Farbar Recovery Scan Tool nimmt waehrend des Scans keine Veraenderungen vor und kann keinen Schaden verursachen. Beim Fixing wird FRST jedoch versuchen, so gut wie moeglich die augefuehrten Eintraege zu loeschen. Es gibt zwar ein paar Sicherheitsnetze, jedoch nicht genug um alle unbedachten Loeschaktionen abzufangen. Der Nutzer muss daher selbst darauf achten, dass sein Skript den Rechner nicht schadet. Falsche Handhabung (das Loeschen von Systemdateien zb) kann den Rechner unbootbar machen.


Wenn es Zweifel gibt, fragt einen Experten im Forum bevor einen Fix auszufuehren.


FRST hat eine Reihe von Befehlen und Parametern mit denen Prozesse und Probleme identifiziert und behandelt werden koennen. Um problematische Eintraege zu beheben muss man den entsprechenden Eintrag in die fixlist.txt kopieren. Die fixlist.txt muss im selben Ordner wie FRST gespecihert werden.


Nota bene: Bitte Notepad verwenden, Word oder andere Programme fuegen den Dateien weitere Informationen hinzu, die FRST nicht verarbeiten kann.


Eintraege, die von FRST behoben werden, werden nach %systemdrive%\FRST\Quarantine verschoben. Der Ordner wird beim deinstallieren von FRST entfernt.

Mehr Details findet man in dem Abschnitt FRST.txt sowie Befehle.
__________________

__________________

Geändert von myrtille (16.07.2016 um 11:18 Uhr)

Alt 08.12.2013, 16:24   #3
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Default Scan Areas

Scan im normalen Modus:


Wird FRST zum ersten mal ausgeführt so erstellt es zwei Logs: FRST.txt und Addition.txt. Danach wird Additions.txt nur noch erstellt falls man den entsprechenden Haken in der Benutzeroberfläche setzt. Addition.txt wird nicht erstellt wenn FRST im Recovery Environment ausgführt wurde.

FRST.txt

Processes
Registry
Internet
Services
Drivers
NetSvcs
One Month Created Files and Folders
One Month Modified Files and Folders
Files in the root of some directories
Files to move or delete
Some content of TEMP
Some zero byte size files/folders
Bamital & volsnap Check
LastRegBack

Additional Scan

Accounts
Security Center
Installed Programs
Restore Points
hosts content
Scheduled Tasks
Shortcuts
Loaded Modules
Alternate Data Streams
Safe Mode
Association
Internet Explorer trusted/restricted
MSCONFIG/TASK MANAGER disabled items
FirewallesRules
Faulty Device Manager Devices
Event log errors
Memory info
Drives
MBR & Partition Table

Optional Scans


BCD (Boot Configuration Data)
Drivers MD5
Shortcut.txt
Addition.txt

Search Files
Search Registry

Scans im Recovery Environment:

Farbar Recovery Scan

Registry
Services
Drivers
NetSvcs
One Month Created Files and Folders
One Month Modified Files and Folders
Files to move or delete
Some content of TEMP
Known DLLs
Bamital & volsnap
association
Restore Points
Memory info
Drives
MBR & Partition Table
LastRegBack


Optional scans

List BCD
Drivers MD5
90 Days Files

Search Files
__________________
__________________

Geändert von myrtille (16.07.2016 um 10:56 Uhr)

Alt 08.12.2013, 16:25   #4
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Main Scan log (FRST.txt)

Scan log Header

Hier ist ein Beispiel-Header:

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version:27-08-2015
Ran by Someperson (administrator) on SOMEPERSON-PC (27-08-2015 11:26:18)
Running from C:\Users\Someperson\Desktop
Loaded Profiles: Someperson (Available profiles: Someperson & Administrator & DefaultAppPool)
Platform: Windows 7 Professional Service Pack 1 (X64) Language: English(United States)
Internet Explorer Version 11 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo...very-scan-tool/
         
Es ist wichtig, den Header durchzuschauen:

Die erste Zeile identifiziert das Betriebssystem als 32- oder 64-bit. Die FRST Version wird auch aufgeführt, damit man leicht veraltete Versionen von FRST erkennen und aktualisieren kann. Ältere Versionen können zum Teil bestimmte Befälle nicht erkennen oder bereinigen.

In der zweiten Zeile sieht man, welcher User das Programm ausgeführt hat und mit welchen Rechten. Die Zeile gibt auch den Computernamen und das Datum und die Uhrzeit, zu der der Scan durchgeführt wurde, an. Gelegentlich wird aus Versehen vom User ein altes anstatt des aktuellen Logs gepostet. Am Datum lässt sich das leicht erkennnen.

Die dritte Zeile zeigt, in welchem Ordner FRST ausgeführt wurde. Das kann wichtig sein, wenn man dem User einen Fix geben will, der ja im selben Ordner wie FRST.exe selbst liegen muss.

Die viertel Zeile gibt das Benutzerkonto an unter dem der Scan ausgeführt wurde, sowie die verfügbaren weiteren Profile.

Note Bene:
Wenn mehr als ein Benutzerprofil geladen ist (zb wenn jemand Account gewechselt hat, statt sich auszuloggen und neueinzuloggen), so führt FRST die Einträge aller geladenen Profile auf. FRST listet keine Einträge aus nicht geladenen Profilen.
Nota Bene2: Diese Zeile entfällt wenn das Log im Recovery Environment erstellt wurde.
Die fünfte Zeile gibt Windows Version (inklusive Service Pack) und das installierte Sprachpaket an. Veraltete Betriebssysteme sollten hier leicht zu erkennen sein. Die Internet Explorer version wird gleichermassen in Zeile Sechs angezeigt, sowie der Default browser.

Die letzte Zeile zeigt an, in welchem Modus (normal oder abgesichert) der Scan ausgeführt wurde.

Danach folgt ein link zu der englischen Anleitung von FRST.


Warnungen, die im Header erscheinen können:

Wenn der PC nicht bootet und FRST die Warnung "Attention: Could not load system hive" zeigt, kann der System-Schlüssel in der Registry fehlen. In solchen Fällen kann es helfen, den Schlüssel mithilfe eines Backups wiederherzustellen.

""Default: Controlset001" - Weniger eine Warnung als die Information, welches Controlset das Standardcontrolset des Systems ist. Diese Information is immer dann wichtig, wenn man das Controlset zum Auslesen oder Modifizieren imRecovery Environment ansprechen will. Das aktuelle ControlSet ist das einzige, das von Windows während des Bootens eingelesen wird.




Fixlog header

Wie auch beim normalen Log, kann der Header des Fixlogs nützliche Informationen enthalten:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 12-10-2014 02
Ran by Owner at 2014-10-12 20:07:49 Run:7
Running from C:\Users\Owner\Downloads
Loaded Profile: Owner (Available profiles: Owner)
Boot Mode: Normaly
         

Die erste Zeile gleicht dem Header des normalen Logs.
Die zweite Zeile gibt an wann der Fix ausgeführt wurde und wie oft FRST bereits ausgeführt wurde.
Die dritte Zeile zeigt von wo der Fix ausgeführt wurde
Die vierte Zeile gibt den Benutzer an, unter dem man eingeloggt ist.
Die letzte Zeile gibt den Bootmodus an.

Processes

Es gibt zwei Gründe, einen Prozess stoppen zu wollen. Zum einen kann es sein, dass du ein Antivirenprogramm deaktivieren willst, damit es den Fix nicht behindert. Zum andern kann es sein, dass du einen bösartigen Prozess stoppen und die dazugehörige Datei oder den Ordner löschen willst.

Um den Prozess zu beenden, füge die entsprechende Zeile hinzu:

Beispiel:
Zitat:
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Die Datei Fixlog.txt wird erstellt mit dem Eintrag des Prozessnamens gefolgt von => Process closed successfully.

Falls es sich um einen bösartigen Prozess handelt, bei der man die Datei auch löschen will, muss man die Datei (oder den Ordner) separat aufführen:

Beispiel:
Zitat:
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot


Registry

FRST besitzt eine mächtige Löschroutine, die auch Schlüssel ohne Zugriffsrechte oder Schlüssel mit eingebetteten NULL-Charaktern löschen kann. Die einzigen Schlüssel die FRST nicht auf Anhieb löschen kann, sind Schlüssel die von einem Treiber geschützt werden. In solchen Fällen sollt erst der Treiber und anschliessend die Registry-Einträge gelöscht werden.

Wenn man einen Registry-Eintrag aus dem Log in den Fix kopiert, führt FRST eine der folgenden beiden Handlungen aus:
  1. Es erstellt den Standardwert des Schlüssels wieder her oder
  2. Es löscht den Schlüssel.
Wenn die in die fixlist.txt kopierten Eintrage zu einem der Bereiche Winlogon-Werte (Userinit, Shell, System), LSA, and AppInit_DLLs gehören, werden sie auf die Standard Windows-Werte zurückgesetzt.

Nota Bene: Wenn man einen bösartigen Pfad aus dem AppInit_DLLs Wert löschen lässt, bleiben die anderen Pfade in AppInit_DLLs erhalten und werden nicht angerührt.

Man braucht keine Batch oder Regfix zu erstellen. Dasselbe ist auch für andere wichtige Schlüssel wahr, die von Malware missbraucht werden können.

Nota Bene: FRST rührt die Dateien, die von den Registryeinträgen geladen werden, nicht an. Diese Dateien müssen separat entfernt werden, indem man ihren kompletten Pfad angibt, ohne weitere Infos.

Mit einer Ausnahme (siehe unten) werden die Run und Runonce Einträge aus der Registry gelöscht, wenn sie in der fixlist.txt stehen. Die von dem Registryeintrag geladenen Dateien werden nicht entfernt.

Um zum Beispiel bösartige Registryeinträge mitsamt der geladenen Datei zu entfernen, würde die fixlist.txt wie folgt aussehen (die erste Zeile ist direkt aus dem Log kopiert. Die zweite muss manuell erstellt werden):
Zitat:
HKLM\...\Run: [bad] "C:\Windows\bad.exe" [x]
C:\Windows\bad.exe
Beispiel:
Zitat:
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe
Es gibt eine Ausnahme, bei der der Run Eintrag nicht entfernt wird sondern auf seinen Standardwert zurückgesetzt wird. In diesem Fall wird die Zeile im Log wie folgt aussehen:
Zitat:
HKLM\...\Run: [MSC] - "c:\Program Files\Microsoft Security Client\mssecex.exe" -hide -runkey [x] <===== ATTENTION (File name is altered)
Wenn diese Zeile in die fixlist.txt aufgeführt wird, wird der Standardpfad wiedererstellt.

Für die Notify Schlüssel, wenn sie in der fixlist.txt aufgeführt sind, wird der DllName-Wert des Schlüssels zurückgesetzt, falls sie Teil der Standardwerte sind. Wenn der Schlüssel kein Standardwert ist, wird er gelöscht.

Die Image File Execution Options Einträge werden gelöscht, wenn sie in der fixlist.txt aufgeführt sind.

Wenn eine Datei oder eine Verknüpfung im Startup Ordner gefunden wird, führt FRST die Datei in der Rubrik Startup: auf. Wenn die Datei eine Verknüpfung ist, wird in der nächsten Zeile die Zieldatei, auf die die Verknüpfung verweist, angezeigt (also die Datei, die von der Verknüpfung aufgerufen wird). Um beide Dateien zu entfernen, müssen auch beide Dateien (die Verknüpfung und die Zieldatei) in die fixlist.txt kopiert werden.

Beispiel:
Zitat:
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()
Achtung: Die erste Zeile entfernt nur die Verknüpfung. Die zweite Zeile entfernt nur die 1800947.exe. Wenn man also nur die zweite Zeile mit der ausführbaren Datei aufführt, wird nur die ausführbare Datei entfernt und die Verknüpfung bleibt im Startup-Ordner. Beim nächsten Neustart wird es dann eine Fehlermeldung geben, wenn die Verknüpfung die Datei auszuführen versucht und diese nicht findet.

Wenn Der Registrywert DisableSR oder DisableConfig values in HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore existiert, dann zeigt FRST in wie folgt:
Beispiel:
Zitat:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
Wird diese Zeile in die Fixlist kopiert, so wird der gesamte Schlüssel gelöscht (er existiert normalerweise nicht)

Nota Bene: FRST erstellt auch eine Warning in der Addition.txt wenn die Systemwiederherstellung deaktiviert ist, selbst wenn diese nicht durch eine Group Policy sondern durch den User deaktiviert ist. In letzterem Fall kann FRST die Systemwiederherstellung nicht automatisch aktivieren und man muss dem User bitten das manuell zu tun.

Internet

In den meisten Fällen werden Einträge, die in die fixlist.txt kopiert werden, entfernt. Mit der Ausnahme des Google Chrome DefaultSearchProviders. Dieser wird von FRST nicht entfernt. Wo Dateien oder Ordner vorkommen, müssen diese extra in den Fix kopiert werden.

Winsock
Ungewöhnliche Winsock Einträge werden im Log aufgeführt. Wenn ein bösartiger catalog 5 Eintrag identfiziert wurde, kann dieser in die fixlist.txt kopiert werden. Dann passiert eines der folgenden Dinge:

1) Im Falle eines veränderten Eintrags wird der Standardwert wiederhergestellt
2) Im Falle eines neuerstellten Eintrags wird dieser gelöscht und die Catalog-Einträge neu durchnummeriert.

Wenn es um catalog 9 Einträge geht, dann sollte besser der Befehl "netsh winsock reset" benutzt werden. Sollten danach weiterhin bösartige catalog-Einträge existieren, können diese in die fixlist.txt aufgenommen werden. FRST wird dann die Einträge löschen und den Katalog neudurchnummerieren.

Achtung: Eine beschädigte Winsock-Kette wird den Rechner vom Internet trennen.

Eine beschädigte Winsock-Kette sieht wie folgt aus:
Zitat:
Winsock: -> Catalog5 - Broken internet access due to missing entry. <===== ATTENTION
Winsock: -> Catalog9 - Broken internet access due to missing entry. <===== ATTENTION
Um diese zu reparieren, kann man die Einträge in die fixlist kopieren.

Im Falle eines ZeroAccess Befalls kann man beispielsweise Folgendes sehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll No File
Winsock: Catalog9 02 mswsock.dll No File
Winsock: Catalog5-x64 01 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll No File ATTENTION: LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll No File
Winsock: Catalog9-x64 02 mswsock.dll No File
Wenn diese Einträge in fixlist.txt kopiert werden, setzt FRST zwar die Catalog5 zurück, repariert allerdings nicht die problematischen Catalog9-Einträge. Stattdessen wird es einen anweisen, den Befehl "netsh winsock reset" auszuführen, um das Problem zu beheben.

Ein vollständiger Fix für die ZeroAccess Einträge sollte daher wie folgt aussehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset
Nota Bene: Das netsh winsock reset im Fix ist notwendig um den Internatzugang zu erhalten.

Das Fixlog dieses Fixes würde wie folgt aussehen:
Code:
ATTFilter
Winsock: Catalog5 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => restored successfully (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => restored successfully (%SystemRoot%\System32\mswsock.dll)
=========  netsh winsock reset =========

"Successfully reset the Winsock Catalog. You must restart the computer in order to complete the reset."

========= End of CMD:
         




hosts

Wenn in der
--- --- ---

--- --- ---

--- --- ---

--- --- ---
http://de.wikipedia.org/wiki/Hosts-Datei]Hosts
benutzerspezifische Einträge vorhanden sind, sieht man in der Internet-Rubrik des FRST.txt folgenden Eintrag:
Zitat:
Hosts: There are more than one entry in Hosts.
(Siehe dazu auch Hosts im Abschnitt Addition.txt

Falls die Hosts-Datei nicht gefunden wird, wird FRST dies ebenfalls vermerken.

Um die hosts-Datei zurückzusetzen, reicht es, den Eintrag in die fixlist.txt zu kopieren. Das erfolgreiche Zurücksetzen der hosts-Datei wird im fixlog.txt vermerkt.



Tcpip

Tcpip und andere Einträge werden, wenn sie in die fixlist.txt eingefügt werden, gelöscht.


Nota Bene 2: Im Falle der StartMenuInternet-Einträge werden nur veränderte Einträge für IE, FF, Opera oder Chrome aufgeführt. Die Standardwerte sind in einer Whitelist und tauchen nicht auf. Der Eintrag kann in die fixlist.txt kopiert werden und wird dann auf den Standardwert zurückgesetzt.

Für Internet Explorer

Wenn der Homepage-Eintrag in die fixlist.txt kopiert wird, setzt FRST den Wert auf einen Standardwert. Die Zeile kann wie folgt direkt in die fixlist.txt kopiert werden:
Zitat:
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
Wenn Suchmaschinen betroffen sind, kann man den Eintrag ebenfalls direkt in die fixlist.txt kopieren. Der Schlüssel wird dann von FRST gelöscht. Die Einträge sollten wie folgt in die fixlist.txt kopiert werden:
Zitat:
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
Nota Bene: Im Falle veränderter oder fehlender HKLM DefaultScope Einträge setzt FRST die Einträge zurück. Dies ist auch für Firefox und Chrome der Fall.

Toolbars und BHOs (Browser Helper Objects) kann man in den Fix kopieren und dann wird der entsprechende Schlüssel gelöscht. Dazugehörige Dateien/Ordner müssen separat aufgeführt werden.

Beispiel:BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz[/quote]

ActiveX Objekte kann man in den Fix kopieren und dann wird der Eintrag gelöscht. Einfach wie folgt in den Fix kopieren:
Zitat:
DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Für Edge

FRST führt auf welche Webseite der HomeButtonPage linkt, ob die Sitzungswiederherstellung aktiviert ist und welche Addons installiert sind:


Zitat:

Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> is enabled.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]

Wenn man die Einträge HomePageButton und Session Restore der fixlist beifügt, werden sie aus der Registry gelöscht. Bei Extensions wird der Registryeintrag gelöscht und der Ordner entfernt.


Für Firefox

FRST führt Firefox-Einträge und -Profile auf wenn sie vorhanden sind, selbst falls Firefox nicht mehr installiert sein sollte. Die FF ProfilePath Zeile gibt das "default' profil an, selbst wenn es mehrere Profile gibt, wird FRST nur die Einstellungen des default profiles aufführen. Extensions, Searchplugins und user.js werdenfür alle Profile aufgeführt.

Wenn Einträge in die Fixlist.txt kopiert werden werden die entsprechende Einträge gelöscht. Beim nächsten Neustart von Firefox wird der Standard-Eintrag von Firefox genutzt. Der Eintrag kann wie folgt direkt in die fixlist.txt kopiert werden:
Zitat:
FF Homepage: hxxp://www.ask.com/
FRST überprüft die digitale Signatur der Add-ons. Nicht signierte Add-ons werden wie folgt angezeigt:

Beispiel:
Zitat:
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [not signed]
Add-ons, Extensions und Plugins können ebenfalls direkt in die fixlist.txt kopiert werden. Wenn im Eintrag eine Datei/ein Ordner aufgeführt wird wird dieser auch gelöscht:

Beispiel für Addons:
Zitat:
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]
Beispiel für Plugins:
Zitat:
fixlist content:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => moved successfully
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => key removed successfully
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => not found
Für alle weiteren FF-Einträge gilt, dass die Einträge gelöscht werden, wenn sie in der fixlist.xt aufgeführt werden. Dateien/Ordner müssen immer separat aufgeführt werden.

Für Chrome

FRST führt vorhandene Chrome-Einträge und Profile auf unabhängig davon ob Chrome installiert ist oder nicht. Selbst wenn es mehrere Profile gibt, wird FRST nur die Einstellungen des default profiles aufführen. Extensions werden für alle Profile aufgeführt.

Wenn "No file"-Einträge wie der folgende Eintrag im Log erscheinen:
Zitat:
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll =>No File
CHR Plugin: (Shockwave Flash) - C:\Users\Farbar\AppData\Local\Google\Chrome\Application\27.0.1453.94\gcswf32.dll =>No File
Bringt es nichts diese in die fixlist einzutragen. FRST entfernt sie nicht. Stattdessen sollte man wie folgt vorgehen:

Unter der Adresse chrome://plugins kann man Plugins aktivieren oder deaktivieren. Um veraltete Einträge zu entfernen, genügt es diese einmal zu deaktivieren und wieder zu aktivieren.

Bei Chrome ist es besser, die im Browser eingebauten Optionen zu nutzen, um Einstellungen zu verändern. Das Effektivste, um eine Erweiterung in Chrome zu löschen, ist, den Ordner der Erweiterung mit FRST zu löschen. Damit kann die Erweiterung nicht mehr ausgeführt werden. Die Erweiterung bleibt allerdings in den Einstellungen von Chrome stehen und ist nicht sauber entfernt.
Daher ist es am besten wenn man anschliessend Chrome's eigene Tools nutzt um diese zu entfernen:

Im Chrome menu auf browser toolbar klicken.
Dann Tools and Extensions.
Hier auf den Mülleimer neben dem Icon der Extension klicken und bestätigen



Nota Bene: Ausnahme bilden dabei die Erweiterungen, die in der Registry stehen (siehe den nachfolgenden Absatz):

Wenn man eine Erweiterung, die in der Registry steht, in die fixlist.txt kopiert, werden beide Teile, also sowohl der Registry Eintrag als auch die dazugehörige Datei, von FRST gelöscht. Die fixlist.txt würde dann wie folgt aussehen:
Zitat:
fixlist content:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <not found>
*****************

"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => key removed successfully
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => moved successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => key removed successfully
Wenn folgendes im Log auftaucht:
Zitat:
==================== Registry (Whitelisted) ===========================
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
Einige Adware nutzen Group Policyes um eine Veränderung der Extensions zu verhindern.
Diese Zeilen kann man in die fixlist einfügen und dann sieht der Fixlog.txt wie folgt aus:

Zitat:
HKLM\SOFTWARE\Policies\Google => Key deleted successfully.
C:\Windows\system32\GroupPolicy\Machine => Moved successfully.
C:\Windows\system32\GroupPolicy\GPT.ini => Moved successfully.
Dieser Eintrag:
Zitat:
CHR dev: Chrome dev build detected! <======= ATTENTION
erscheint wenn die Chrome version keine offiziell herausgegebene Version ist sondern eine Version die noch im Entwicklungsstadium ist. Häufig wird diese Version von Adware installiert und es empfiehlt sich daher die Chrome version zu deinstallieren und die letzte offizielle Version zu installieren, ausgenommen wenn der User bewusst die Entwicklerversion selbst installiert hat.


Für alles andere gelten dieselben Einschränkungen und Regeln wie für Firefox.

Für Opera



FRST führt alle Einträge und Profile von Opera auf, unabhängig davon ob Opera installiert ist oder nicht.

Der Scan für Opera ist derzeit begrenzt auf: StartMenuInternet, StartupUrls, Session Restore und extensions:

Zitat:

OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> is enabled.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

Startup oder SessionRestore Einträge in der fixlist.txt entfernen den Startup Eintrag.
Extensions in der fixlist.txt entfernt die extension. Es ist nicht notwendig den Pfad der Datei separat aufzuführen.
Auch wenn die Extensions danach nicht mehr aktiv ist, wird sie weiterhin unter Extensions in Opera sichtbar sein. Um diese zu entfernen nutzt man am besten die Tools von Opera:
Oben links in Opera klicken um das Drop-Down menu zu sehen, dann auf Extensions klicken.
Anschliessend auf das X neben der zu entfernenden Extension klicken und bestätigen.

Für Browser, die hier nicht aufgeführt werden wird empfohlen, den Browser zu deinstallieren und neu zu installieren.

Services and Drivers

Die Dienste und Treiber sind wie folgt dargestellt:

RunningState StartType ServiceName; ImagePath oder ServiceDLL [Size CreationDate] (CompanyName)

RunningState - Der Buchstabe neben der Nummer stellt den Ausführungsstatus dar:

R=Running (Am Laufen)
S=Stopped (Angehalten)
U=Undetermined (Unbekannt)

Die "StartType" Zahlen sind:

0=Boot,
1=System,
2=Auto,
3=Demand,
4=Disabled
5= FRST kann es nicht auslesen.

Wenn am Ende der Zeile ein [x] zu sehen ist, bedeutet das, dass FRST nicht in der Lage war die Datei zu finden und daher nur den Pfad, der in der Registry gespeichert ist, angibt.

FRST überprüft für bestimmte Dienste und Treiber, die häufig von Malware missbraucht werden, die Dateisignaturen. Wenn die Datei nicht signiert ist, dann zeigt FRST das wie folgt an:
Zitat:
==================== Services (Whitelisted) =================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [File not signed]
Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Nota Bene: Der Signature-check ist in der Recovery Environment nicht verfügbar.

Um einen bösartigen Dienst oder Treiber zu entfernen, kopiert die Zeile from Scan log in die fixlist.txt. Die Datei muss ebenefalls aufgeführt werden:

Beispiel:

Zitat:
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig
Das Programm beendet alle Dienste, die in der fixlist.txt aufgeführt wird und löscht den Dienst.


Es gibt eine Ausnahme: Wenn der Windows Management Instrumentation Dienst von Ransomware verändert wurde. In einem solchen Fall sieht der Eintrag in der FRST.txt wie folgt aus:
Zitat:
S2 Winmgmt; C:\PROGRA~2\dfgujiynkowgcsquunu.bfg [x]
Wenn eine derartige Zeile in die fixlist.txt eingefügt wird, werden die Parameter auf den Standard-Eintrag zurückgesetzt.


Nota Bene:
FRST gibt an ob es einen laufenden Dienst erfolgreich beendet hat oder nicht. Unhabhängig davon wird FRST versuchen den Dienst zu löschen. Wenn ein laufender Dienst gelöscht wird, wird FRST den User informieren, dass ein Neustart nötig ist. FRST wird anschliessend den Rechner neustarten. FRST wird ausserdem dem Log eine Zeilen hinzufügen in dem der Neustart vermerkt ist. Wenn der Dienst beendet wurde, ist kein Neustart notwendig


Nota Bene2:
Wenn FRST einen Dienst nicht auslesen kann wird das wie folgt dargestellt:
Zitat:
"1b36535375971e1b" => service could not be unlocked. <===== ATTENTION
Sowas kann durch ein Rootkit oder eine korrumpierte Registry passieren. Bei Bedarf andere um Hilfe fragen.


Die Sektion der Treiber verhält sich analog zu der der Dienste.

Beispielfix:
Zitat:
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys


NetSvcs

Bekannte gutartige Einträge werden nicht aufgeführt. Das bedeutet jedoch nicht, dass alle aufgeführten Einträge bösartig sind, sondern dass die aufgeführten Einträge kontrolliert werden müssen.

Die NetSvc Einträge werden jeweils in einer eigenen Zeile aufgeführt:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> No File
NETSVC: WUSB54GCSVC -> No Filepath
Der erste Eintrag wurde als Teil von ZeroAccess identifiziert (=====> ZeroAccess) und sollte daher entfernt werden.

Der zweite Eintrag ist ein Überbleibsel. Die Datei, die mit dem Dienst assoziiert ist, fehlt.

Der dritte Eintrag bedeutet, dass dem Dienst keine Datei zugewiesen ist, die ausgefürht werden soll. Es ist ebenfalls ein Überbleibsel.

Nota Bene: Fügt man die Netsvc Zeile in die fixlist.txt ein, wird nur der netsvc-Eintrag entfernt. Der dazugehörige Dienst und die Datei müssen separat gelöscht werden.

Um zu dem vorherigen Beispiel zurückzukehren: Es gibt einen Dienst, der weiter oben bereits aufgeführt wurde, der zu dem ersten netsvc-Eintrag gehört. Er sieht wie folgt aus:
Zitat:
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
Um den Netsvc Eintrag, den Dienst und die DLL zu löschen, müsste die fixlist.txt wie folgt aussehen:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ATTENTION! ====> ZeroAccess
C:\Windows\System32\smcservice.dll


One Month Created Files and Folders and One Month Modified Files and Folders

Diese Rubrik führt die Dateien und Ordner auf, die innerhalb des letzten Monats erstellt oder verändert wurden. "Created" steht für "Erstellt" und "Modified" für "Verändert". Bei den Log der erstellten Dateien, wird erst das Erstelldatum, dann das Datum der letzten Veränderung aufgeführt. Bei den modifizierten Dateien ist die Reihenfolge umgekehrt: Erst das Datum der Letzten Änderung, anschließend das Erstelldatum.
Die Dateigrösse ist ebenfalls aufgeführt. Handelt es sich um einen Ordner, so ist die Grösse mit 000000 angegeben.

Note: To avoid a very long scan time and the production of excessively large logs, the scan is limited to some predefined locations. Also, FRST only lists custom folders, but not their contents. If you wish to know the contents of a custom folder use the Folder: directive.
Nota Bene: Um lange Scanzeiten zu vermeiden und die Logs kurz zu halten, ist der Scan auf bestimmte Orte begrenzt. FRST führt Ordner auf, aber nicht deren Inhalt. Wenn der Inhalt überprüft werden soll, muss der Folder: Befehl benutzt werden.
FRST führt auch die Attribute der Dateien auf:

C - Compressed (komprimiert)
D - Directory (ordner)
H - Hidden (versteckt)
L - Symbolic Link (symbolischer link)
N - Normal (hat keinerlei Attribute)
O - Offline
R - Readonly (kein Schreibrecht)
S - System
T - Temporary (temporäre Datei)
X - No scrub (Windows 8+)

Um eine Datei oder einen Ordner zu löschen, kann man einfach die Zeile in die fixlist.txt kopieren:
Zitat:
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys
Die Liste der symbolischen Links ist besonders für die Erkennung von einem ZeroAccess Befall von Nutzen.

Beispiel:
Zitat:
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64
Bevor dieser Ordner gelöscht wird, sollte man den DeleteJunctionsInDirectory: FolderPath im Normalen Modus nutzen.

Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Windows\system64
Um andere, nicht in der Rubrik erwähnte Dateien/Ordner, zu entfernen, kann man deren Pfad einfach in die fixlist.txt einfügen:
Zitat:
c:\Windows\System32\Drivers\badfile.sys
C:\Program Files (x86)\BadFolder
Hat man zahlreiche Dateien mit ähnlichen Namen, so kann man Platzhalter einsetzen:

Man kann also entweder alle Dateien aufführen:
Zitat:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
Oder einen Platzhalter benutzen:
Zitat:
C:\Windows\Tasks\At*.job
Um Ordner/Dateien mit Leerzeichen im Pfad zu entfernen, muss man diese nicht mit Gänsefüsschen umschliessen (wie bei Kommandozeilenbefehlen üblich), sondern kann diese einfach direkt in die fixlist.txt einfügen:
Zitat:
C:\Program Files (x86)\SearchProtect

[i]Nota bene: Ein Fragezeichen wird nicht als Wildcard akezpetiert, siehe dazu auch den folgenden Abschnitt "Unicode. Wildcards funktionieren nur für Dateien, nicht für Ordner.


Unicode

Um Einträge mit Unicode zu fixen, muss die fixlist.txt als Unicode abgespeichert werden, ansonsten gehen die Unicode Zeichen verloren. Am besten speichert man in solchen Fällen die fixlist.txt und lädt sie hoch.

Beispiel:
Zitat:
2013-07-07 19:53 - 2013-07-07 19:53 - 00000000 ____D C:\υλλογή
Um den Ordner zu löschen, kopiert man die Zeile in Notepad, geht dann auf "Speichern unter" und wählt dort als Zeichensatz Unicode aus und speichert es.

Wenn man die Datei in ANSI zu speichern versucht, gibt notepad eine Warnung aus. Akzeptiert man diese, dann gehen die Unicode Zeichen verloren und FRST kann die Datei dann nicht löschen.


Files to move or delete

Dateien in dieser Rubrik sind entweder bösartige Dateien oder Dateien, die sich am falschen Ort befinden.

Beispiele für legitime Dateien am "falschen Ort" sind User-Downloads, die direkt in %userprofile% gespeichert werden. Dort sollten sich keine Dateien befinden und in vielen Fällen sind Dateien, die sich dort befinden, Malware.

Einträge unter veränderten Dateien können genau wie die Dateien im Abschnitt neu-erstellte Dateien gehandhabt werden.

Some content of TEMP

Dieser Abschnitt führt Dateien auf die direkt im %TEMP%-Ordner (und nicht in einem Unterordner) liegen und bestimmte Dateiendungen haben. Wenn keine derartigen Dateien vorhanden sind, dann ist dieser Abschnitt ausgespart. Das heisst allerdings nicht, dass keine Malware im %TEMP%-Ordner liegt. Um eine gründliche Reinigung vorzunehmen, nutzt man am besten den Befehl EmptyTemp.

Known DLLs

Einige der hier aufgeführten Dateien können, wenn nicht vorhanden oder korrumpiert, den Rechner unbootbar machen. Daher erscheint dieser Teil des Logs auch nur, wenn der Scan in der Recovery Environment ausgeführt worden ist.
Einträge erscheinen nur, wenn es Probleme gibt. Ist alles in Ordnung, werden sie nicht aufgeführt.

Vorsicht muss walten bei der Handhabung der Dateien in diesem Abschnitt. Wenn eine Datei fehlt oder verändert wurde, findet sich zumeist eine gute Kopie auf dem Rechner des Systems. Am besten holt man sich sachkundige Hilfe zum Identifizieren der benötigten Datei. FRST besitzt eine Suchfunktion, die in dem Abschnitt "Befehle" erklärt wird.



Bamital & volsnap

Hauptsächlich zum erkennen der Bamital und volsnap malware gefacht, mittlerweile auf mehr Sonderfälle ausgeweitet.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Wenn eine Datei nicht, wie erwartet, signiert ist, werden die Datei-Eigenschaften gezeigt.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 ____A (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 ____A (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Nota Bene: Der Signatur-Check ist in dem Recovery Environment nicht verfügbar.

Wenn im BCD ein Eintrag von Malware hinzugefügt wurde, kann man folgende Zeile am Ende der Bamital-Rubrik sehen:
Zitat:
TDL4: custom:26000022 <===== ATTENTION!
Dieser Eintrag kann den PC ebenfalls unbootbar machen, wenn das Bootkit entfernt wurde, der Eintrag aber noch nicht gelöscht wurde. Wenn diese Zeile in die fixlist.txt eingefügt wird, so wird der Eintrag gelöscht und der BCD auf den Standardeintrag zurückgesetzt.

Die sicherste Art, in den abgesicherten Modus zu booten, ist mithilfe der F8-Taste. In einigen Fällen werden die User mithilfe von MSConfig in den abgesicherten Modus booten. Ist der abgesicherte Modus jedoch kaputt, befinden sich die User dann in einer Endlosschleife, aus der sie nicht mehr in den normalen Modus booten können. In einem solchen Fall enthält FRST.txt folgenden Eintrag:
Zitat:
safeboot: ==> The system is configured to boot to Safe Mode <===== ATTENTION!
Um das Problem zu beheben, reicht es, die Zeile in die fixlist.txt zu kopieren. FRST setzt dann den normalen Modus wieder als standard Bootmodus.

Nota Bene: Dies gilt für Windows Vista und neuer.



ASSOCIATION

Nota Bene: Der Abschnitt "ASSOCIATION" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst. In dem Recovery Environment wird nur die .exe Endung kontrolliert

Hier wird die allgemeine Exe-Endung angezeigt:
Zitat:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ATTENTION
In Fällen wo der exe-Eintrag von bösartigen Programmen verändert wurde, erscheint anstelle des "OK" ein "ATTENTION!". Es können weitere Einträge aufgeführt werden, falls diese verändert worden sind.
Wie auch bei anderen Registry-Einträgen, kann man die Zeile einfach in die fixlist.xt kopieren, um sie auf ihren Standardwert zurückzusetzen. Es muss kein Registryfix dafür geschrieben werden.



Restore Points

Nota Bene: Der Abschnitt "Restore Points" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst.

Die Wiederherstellungspunkte werden hier aufgeführt.

Nota Bene2: FRST kann nur für Windows XP die Wiederherstellungspunkte laden. Wenn man ein Vista System auf einen alten Wiederherstellungspunkt zurücksetzten will, sollte man das in der Recovery Environment mittels der Windows System Recovery Options tun.


Um die Registry auf den Status eines Wiederherstellungspunktes zurückzusetzen, reicht es, die Zeile in die fixlist.txt zu kopieren.

Beispiel für XP:
Zitat:
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Um die Registry Hives aus dem Wiederherstellungspunkt 82 (vom 24.10.2010) wiederherzustellen, reicht es, die Zeile in die fixlist.txt zu kopieren:
Zitat:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82[/b]
Um in einem Fix ein anderes Backup (zb von FRST, CF oder Erunt) einzuspielen, siehe die Befehle-Rubrik.



Memory info

Nota Bene: Der Abschnitt "Memory Info" erscheint im FRST.txt log wenn der Scan im Recovery Environment ausgeführt wurde und in der Addition.txt sonst.

Die Rubrik gibt Auskunft über die Menge an RAM im Rechner und wieviel davon benutzt wird. Dies kann Probleme am Rechner erklären. Wenn etwa das angeblich vorhandene RAM nicht mit dem angezeigten übereinstimmt, kann dies auf einen kaputten RAM-Riegel hinweisen oder ein veraltetes BIOS.
Bei 32-bit mit mehr als 4GB installiertem RAM wird das Maximum dennoch 4GB sein, da dies die Obergrenze für 32bit Anwendungen ist.

Prozess informationen, Page file Grösse, freier page file Speicher, virtueller Speicherplatz und freier virtueller Speicherplatz werden ebenfalls aufgeführt.


Festplatten und MBR & Partition Tabelle
Nota Bene: Die "MBR & Partition Table" Rubrik erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Diese Rubrik zählt auf, welche primäre und erweiterte Partitionen auf dem PC sind, sowie ihre Größe und der freie Platz auf der Partition. USB-Sticks werden auch aufgeführt, insofern sie zum Zeitpunkt des Scans angeschlossen sind.

Der MBR (Master Boot Record) Code wird aufgeführt.

Eventuell erscheint folgende Zeile:
Zitat:
"ATTENTION: Malware custom entry on BCD on drive "Somedrive": detected." Check for MBR/Partition infection".
Wie bei anderen komplexen Befällen ist es auch hier empfehlenswert, sich Expertenrat einzuholen. Ein falscher Fix kann das Betriebssystem unbootbar machen.

In einigen Fällen gibt es weitere Hinweise im Log, wie man den Befall löschen kann. In anderen Fällen muss man dies manuell in der Recovery Environment tun. Siehe den "Befehle" Teil dazu.

Wenn man Hinweise hat, dass der MBR verändert wurde, sollte man sich diesen genauer anschauen. Am besten mit einem Dump. Dies kann wie folgt getan werden:

Der Befehl kann in jedem von FRSTs Ausführungsmodi benutzt werden:
Zitat:
SaveMbr: drive=0 (oder die entsprechende drive-Nummer)
Er speichert den MBR in die Datei MBRDUMP.txt. Die Datei befindet sich im selben Ordner wie FRST.

Nota Bene: Obwohl ein MBR Dump sowohl im normalen Modus als auch in der RE erstellt werden kann, ist es immer zu bevorzugen, den Dump in der RE vorzunehmen, da einige Bootkits einen sauberen MBR vortäuschen können, wenn Windows geladen ist.



LastRegBack

FRST analysiert das System und führt alle Registry-Backups, die das System gemacht hat, auf. Das Backup enthält ein Backup aller Registry Hives, es unterscheidet sich daher von dem LKGC (Last Known Good Configuration), das nur das Controlset beinhaltet.
Es gibt eine Reihe von Gründen, warum man eines dieser Backups benutzen wollen könnte. Eine der häufigsten ist eine kaputte oder fehlende Registry:

Manchmal kann man folgendes im FRST Header sehen:
Zitat:
"Attention: Could not load system hive"
Um das zu reparieren, reicht es, die folgende Zeile in die fixlist.txt einzufügen:
Zitat:
LastRegBack: >>date<< >>time<<
Beispiel:
Zitat:
LastRegBack: 2013-07-02 15:09
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 13:10 Uhr)

Alt 08.12.2013, 16:28   #5
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Addition.txt

Additional scan header

Der Header enthält ein paar nützliche Infos:

Beispiel
Zitat:
Additional scan result of Farbar Recovery Scan Tool (x64) Version:06-09-2015 01
Ran by Someperson (2015-09-07 11:05:41)
Running from C:\Users\Someperson\Desktop
Windows 10 Pro (X64) (2015-08-30 03:01:13)
Boot Mode: Normal
Erste Zeile: FRST Version und ob es sich um die 32- oder 64bit version handelt.
Zweite Zeile: Der Benutzer, der das program ausgeführt hat und das Datum an dem es ausgeführt wurde.
Dritte Zeile: Von wo wurde das Programm ausgeführt
Vierte Zeile: Welches Betriebssystem installiert ist und wann es installiert wurde.
Fünfte Zeile: In welchem Boot Modus wurde das Programm ausgeführt.

Der Additions Scan wird nur beim ersten Ausführen von FRST erstellt. In den folgenden Scans wird er nicht ausgeführt, ausser er wird explizit in der "optional scan" Box von FRST angewählt (siehe Box in Konsole). Es führt die folgenden Sachen auf:

Accounts - Liste der vorhandenen Benutzerkonten. Nach dem folgenden Schema: Kontoname (Konto SID -> Rechte - Enabled/Disabled) -> Pfad zum Benutzerkonto
Beispiel:
Zitat:
Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
Someperson (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\Someperson
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)

Security Center
Diese Liste kann veraltete Einträge beinhalten, in diesem Fall kann der Eintag in die Fixlist.txt kopiert werden. Einige Programme können die Entfernung verhindern, in solchen Fällen erscheint folgende Nachricht:
Zitat:
Security Center Entry => The item is protected. Make sure the software is uninstalled and its services is removed.

Installed Programs - Liste aller installierten Programme
FRST besitzt eine eingebaute Datenbank mit den Namen von bekannten Adware/PUP Programmen, wenn ein solches gefunden wird, zeigt FRST es wie folgt an:
Zitat:
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version: - Mindspark Interactive Network) <==== ATTENTION
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ATTENTION
Es wird empfohlen derartige Programme zu deinstallieren bevor man andere Säuberungtools ausführt. Da die Deinstallation in der Regel mehr rückgängig macht als die Säuberungstools entfernen.

Findet FRST ein installiertes Programm, das nicht in der Liste der installierten Programme aufgeführt wird, listet FRST es wie folgt auf:
Zitat:
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden
Diese Programme sind nicht zwangsläufig bösartig, sie sind einfach nur nicht in der Systemsteuerung unter Programme aufgeführt. Dies liegt daran, dass der RegistryWert SystemComponent zu 1 gesetzt ist. FRST kann diesen Wert auf 0 zurücksetzen und das Programm so in der Systemsteuerung-Liste sichtbar machen.

Wenn also die obige Zeile in die fixlist.txt eingefügt wird, erhält man folgenden Output im Fixlog.txt:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adwarestuff \\SystemComponent => Value deleted successfully.
Nota Bene: Dieser Fix macht das Programm in der Systemsteuerung sichtbar und deinstalliert das Programm nicht.

Ein verstecktes Programm ist nicht unbedingt schlecht, viele Programme sind auf diese Art und Weise versteckt, insbesondere die von Microsoft.
Custom CLSID - führt die Einträge der modfizierten CLSID in HKCU auf.

Beispiel:
Zitat:
CustomCLSID: HKU\S-1-5-21-1659004503-1801674531-839522115-1003_Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\localserver32 -> rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";eval("epdvnfou/xsjuf)(=tdsjqu!mbohvbhf>ktds (the data entry has 247 more characters). <==== Poweliks?
Um einen bösartigen Eintrag zu entfernen, reicht es diesen in die fixlist.txt einzutragen und FRST wird ihn entfernen.

Nota Bene: Es können sich auch legitime Einträge in diesem Abschnitt befinden, Vorsicht walten lassen!
Scheduled Tasks
- Bekannte gutartige geplante Tasks werden gefiltert. Nur ungewöhnliche Einträge sollten in dieser Rubrik auftauchen. Wenn ein derartiger Eintrag in die fixlist.txt eingefügt wird, wird der geplante Task entfernt.
Zitat:
fixlist content:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ATTENTION
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ATTENTION
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => key removed successfully
C:\Windows\System32\Tasks\FocusPick => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => key removed successfully
C:\windows\Tasks\FocusPick.job => moved successfully.
FRST entfernt die relevanten Registry-Einträge, sowie die Datei des geplanten Tasks, jedoch nicht die ausgeführte Datei. Wenn diese Datei bösartig ist, sollte sie zusätzlich auf die fixlist.txt kopiert werden, um diese zu löschen.
/Malware kann durchaus die Namen legitimer Prozesse benutzen (z.B. kann es sc.exe nutzen, um seinen Dienst auszuführen), um sich selbst auszuführen. In anderen Worten: Stellt sicher, dass die Datei, die gelöscht werden soll, bösartig ist.
Shortcuts


Verknüpfungen in den Ordnern C:\ProgramData\Microsoft\Windows\Start Menu\Programs und C:\Users\Public\Desktop und im Profilordner des eingeloggten Benutzers werden gescannt. Veränderte oder suspekte Verknüpfungen werden hier aufgelistet. Die Einträge werden mit "ACHTUNG" besonders hervorgehoben.
Die Zeilen können der fixlist.txt zum Entfernen hinzugefügt werden. Siehe auch die "Shortcut.txt" in "Other features".

Nota Bene: Die Shortcut.txt führt alle Verknüpfungen von allen Benutzern im System auf. Die Additions.txt beinhaltet nur die Einträge die als bedenklich eingestuft wurden und im Profil des eingeloggten Benutzer sind.

Im Falle von WMI malware die die Shortcuts gehijackt hat,zeigt FRST folgende Warnung:
Zitat:

WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
Um die Malware zu entfernen, muss diese Zeile in die fixlist.txt kopiert werden.

Loaded Modules
- Nur geladenen Module ohne Company Name werden aufgeführt. Alle Module mit Company Name sind ausgespart, selbst wenn es sich dabei um Malware halten sollte.
Alternate Data Streams

FRST führt ADS als Teil der Addition.txt auf:
Zitat:
==================== Alternate Data Streams (whitelisted) ==========

AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe[134]
AlternateDataStreams: C:\malware:malware.exe[134]
Die Grösse des ADS wird in den [] angezeigt.
Wenn der ADS sich auf einem legitimen Ordner/einer leigitmen Datei befindet, kann man die komplette Zeile einfach in die fixlist.txt kopieren.

Beispiel:
Zitat:
AlternateDataStreams: C:\Windows\System32\legitfile:malware.exe
Ist der Ordner/die Datei ebenfalls bösartig, dann schreibt man:
Zitat:
C:\malware
Im ersten Fall entfernt FRST nur den ADS, im zweiten den Ordner/die Datei mitsamt dem ADS.

Safe Mode
Die Standardeinträge werden nicht aufgeführt. Wenn dieser Abschnitt also leer ist, gibt es keine veränderten Einträge. Falls einer der Hauptschlüssel (Safeboot, Safeboot\minimal oder Safeboot\network) fehlt wird dieses im Log fehlt. In solchen Fällen muss der Schlüssel manuell wieder erstellt werden.
Ist ein bösartiger Eintrag in diesem Abschnitt zu sehen, kann er mittels fixlist.txt entfernt werden.
Association - siehe Association in Fixing
Die Endungen .bat, .cmd, .com, .exe, .reg und .scr werden angezeigt. Die Standardwerte werden nicht angezeigt ausser es gibt veränderte oder zusätzliche Einträge. Fügt man einen Standard-Schlüssel in die fixlist.txt ein so wird dieser auf Werkeinstellungen zurückgesetzt. Andere Schlüssel werden einfach gelöscht.
Internet Explorer trusted/restricted
Liste der Internet Explorer trusted und restricted sites.
When ein Eintrag in die Fixlist aufgenommen wird, so wird diese aus der Registry gelöscht.

Hosts content



Zeigt die Eigenschaften der Hosts-Datei, sowie die ersten 30 aktiven Einträge (kommentierte Einträge werden nicht angezeigt)

Beispiel:

Zitat:

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 ____A C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Die Zeilen können nicht einzeln entfernt werden. Um die ganze Hosts datei zurückzusetzen nutzen den Befehl Hosts: oder kopiere die Warnung aus dem FRST.txt in die fixlist.txt.
Other Areas

Einige Sachen werde unter diesem Begriff zusammengefasst, da sie sonst nirgendswo erwähnt werden. Derzeit werden hier die Hintegrundeinstellungen für den Desktop und DNS Einträge , UAC Einstellungen und Firewall-Einstellungen aufgeführt. Diese Einträge werden nur gelistet, sie können derzeit nicht mit FRST gefixt werden.
DNS Server
Zitat:
DNS Servers: 213.46.228.196 - 62.179.104.196
Nota Bene: Diese Einträge werden nicht aus der Registry ausgelesen, eine Internetverbindung ist hier notwendig.
Wenn der Scan im abgesicherten Modus ausgeführt wurde oder keine Internetverbindung besteht, erscheint der Eintrag wie folgt:
Zitat:
DNS Servers: "Media is not connected to internet."

- UAC settings.
Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Das obige Beispiel zeigt die Standardeinstellungen:
Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Dieses Beispiel zeigt die Zeile, wenn UAC deaktiviert ist. Diese Änderung kann sowohl vom Nutzer selbst als auch von Malware vorgenommen worden sein. Sollte es nicht eindeutig Malware zuzuordnen zu sein, sollte man den User fragen bevor man etwas ändert.

- Windows Firewall

Beispiel:
Zitat:

Windows Firewall is enabled.
Ob die Windows Firewall aktiv oder inaktiv ist, wird ebenfalls angegeben. Wenn FRST im abgesicherten Modus ausgeführt wurde oder wenn FRST nicht in der Lage ist den Status abzufragen, zB aufgrund eines defekten Systems, wird diese Zeile nicht gezeigt.

Wallpaper
Mehrere Ransomwares benutzen Hintegrundbilder um ihre Nachricht zu zeigen:
Zitat:
Normaler Pfad:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Someperson\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Bösartiger Pfad:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Someperson\My Documents\!Decrypt-All-Files-scqwxua.bmp
Wenn das Hintegrundbild bösartig ist, kann es wie jede andere Datei mit FRST gelöscht werden.
Nota Bene: Löscht man die Datei, so verschwindet auch das Hintergrundbild
Der User muss dann selbst ein neues Hintergrundbild setzen.




MSCONFIG/TASK MANAGER disabled items - Deaktivierte Einträge in MSCONFIG
Dieser Abschnitt ist besonders dann von Nutzen wenn jemand bereits versucht hat Malware anhand von MSCONFIG oder TASK MANAGER zu deaktivieren oder wenn jemand den Rechner zu sehr modifiziert hat und nun einige Dienste nicht mehr zum laufen bringen kann.
Beispiellog:
Windows 7 und ältere Systeme
Code:
ATTFilter
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: gusvc => 3
MSCONFIG\startupfolder: C:^Users^baman^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^HijackThis.exe => C:\Windows\pss\HijackThis.exe.Startup
MSCONFIG\startupreg: MSC => "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
MSCONFIG\startupreg: swg => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
         
Folgende Einträge sind möglich:
Dienst:
Zitat:
MSCONFIG\Services: Name des Diensts =>Ursprüglicher Starttyp
AutoStart-Ordner:
Zitat:
MSCONFIG\startupfolder: Ursprünglicher Pfad (wobei Windows "\" mit "^" ersetzt hat) => Pfad des Backups das Windows gemacht hat.
Run-Eintrag:
Zitat:
MSCONFIG\startupreg: Wert => Pfad zur Datei.
TASK MANAGER in Windows 8 und Windows 10:
Zitat:
HKLM\...\StartupApproved\StartupFolder: => "MobileGo Service.lnk"
HKLM\...\StartupApproved\Run: => "ShadowPlay"
HKLM\...\StartupApproved\Run32: => "Aeria Ignite"
HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "join.me.launcher"
Nota Bene: Windows 8 und danach nutzen msconfig nur noch für Dienste. Startup Einträge werden per Taskmanager gemanaged und in anderen Registry Einträgen gespeichert. Ein deaktivierter Eintrag wird zweimal aufgeführt: Einmal in FRST.txt(Registry section) und einmal in Addition.txt.

Derzeit erstellt FRST nur eine Liste dieser Einträge. Es gibt keine Fix-Möglichkeit. Gutartige Einträge können manuell wieder aktiviert werden. Bei bösartigen Einträgen ist es empfehlenswert erst die Datei zu löschen, dann den Eintrag aktivieren zu lassen um ihn anschliessend mittels des normalen Logs löschen zu lassen.
Eine Erklärung der einzelnen Starttypen der Dienste kann man hier finden: link (englisch).
FirewallRules


- Liste der FirewallRules und AuthorizedApplications und GloballyOpenPorts Einträge.
Beispiel log (Win 7):
Zitat:
FirewallRules: [TCP Query User{7A1425F8-1CBB-4EC5-82B7-EB6A3F8DF412}C:\program files (x86)\filezilla ftp client\filezilla.exe] => (Block) C:\program files (x86)\filezilla ftp client\filezilla.exe
FirewallRules: [UDP Query User{8F78B075-D269-4D1A-A66B-36B59452534F}C:\program files (x86)\filezilla ftp client\filezilla.exe] => (Block) C:\program files (x86)\filezilla ftp client\filezilla.exe
FirewallRules: [{774ED1BC-0943-4C22-9944-17DDD44BF63F}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq.exe
FirewallRules: [{BDAB5E99-C0A4-429D-A82E-BBB44AEEBDC8}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq.exe
FirewallRules: [{4911A41A-D828-46D0-BF3E-6911F35726FA}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq64.exe
FirewallRules: [{7D5257BD-77C2-4796-B6D6-06990F618D7F}] => (Allow) C:\Program Files (x86)\IDA 6.5\idaq64.exe
FirewallRules: [{F274BD97-4899-44A9-82A6-90DC9A6E88D6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{A3A02655-8020-47B6-9781-7175D035BFD6}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Beispiel log (XP):
Zitat:

==================== FirewallRules (whitelisted) ===============

(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)

StandardProfile\AuthorizedApplications: [C:\Program Files\Google\Chrome\Application\chrome.exe] => Enabled:Google Chrome
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Farbar\Application Data\Dropbox\bin\Dropbox.exe] => Enabledropbox
Wenn ein Eintrag in die Fixlist übernommen wird, so wird der Registryeintrag entfernt. Dazughörige Dateien werder NICHT entfernt.
Restore Points - Siehe Wiederherstellungspunkte weiter oben

Führt Wiederherstellungspunkte im folgenden Format auf:
Zitat:
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
Ist die Systemwiederherstellung deaktviert, zeigt FRST eine Warnung:
Zitat:

ATTENTION: System Restore is disabled
Faulty Device Manager Devices

Event log errors:
- Application errors
- System errors
- CodeIntegrity Errors
Memory info - Siehe Memory info weiter oben
Drives
MBR & Partition Table - Siehe Drives and MBR & Partition Table weiter oben

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 12:57 Uhr)

Alt 08.12.2013, 18:33   #6
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Other features

Optional Scans

Man kann die optionalen Scans mithilfe der Checkboxen aktivieren.

List BCD

Liste der Boot Configuration Data.


Drivers MD5

Erstellt eine Lister der vorhandenen Treiber und der MD5-Hashs der Dateien:
Zitat:
========================== Drivers MD5 =======================

C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451
Shortcut.txt

Erstellt eine Liste der Verknüpfungen für alle Benutzerkonten. Gehijackte Einträge können der Fixlist beigefügt werden.

Zitat:
==================== Shortcuts =============================
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
Für ShortcutWithArgument kann die Zeile einfach direkt in die fixlist.txt kopiert werden, ansonsten müsse Die Verknüpfung und das Ziel separat in der Fixlist aufgeführt werden:
Code:
ATTFilter
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
         
Nota Bene: FRST entfernt das Argument aus der Verknüpfung mit Ausnahme des Internet Explorer (No Add-ons).lnk Eintrags. Diese Verknüpfung ist standardmässig mit einem Argument versehen ( -extoff) und dient dazu den Internet Explorer ohne Add-Ons zu starten. Es wird zur Fehlerdiagnose bei Internet Explorer benutzt, daher stellt FRST das Argument automatisch wieder her, wenn es dieses löschen soll.

Falls ein anderes Programm das Argument von Internet Explorer (No Add-ons).lnk gelöscht hat, wird FRST den Eintrag nicht mehr unter ShortcutWithArgument: aufführen und somit kann das fehlende Argument auch nicht von FRST wiederhergestellt werden. In diesem Fall muss der Nutzer es manuell wiederherstellen.


Um den Eintrag von Hand wiederherzustellen, sollte der Nutzer den Ordner in dem Internet Explorer (No Add-ons).lnk liegt öffnen:

Mit einem Rechts-Klick den Eintrag anwählen und Eigenschaften auswählen.

Unter Ziel dann zwei Leerzeichen und -extoff dem Pfad anfügen.

Zum Schluss Anwenden und OK clicken.

90 Days Files

Wenn die Option "90 Days Files" angehakt ist, erstellt FRST die "Three Months Created/Modified Files and Folders" Liste statt der "One Month Created/Modified Files and Folders". Es führt also Dateien der letzten drei, statt nur einem Monat auf.


Suchfunktion
für Dateien

Es gibt eine Suchfunktion in FRST. Es ist der Eingabe-Bereich im Hauptfenster von FRST. Es reicht, einfach den zu suchenden Dateinamen dort einzugeben. Die Suche ist auf %systemdrive% beschränkt. Platzhalter sind erlaubt, wie zb afd.sys.*. Um nach mehreren Dateinamen zu suchen, trennt man diese mit einem Strichpunkt: ;

Alle der folgenden Beispiel sind möglich:
Zitat:
afd.sys
Zitat:
afd.sys*
Zitat:
afd.sys;ndis.sys
Zitat:
afd.sys*;ndis.sys*
Wenn der "Search"-Button gedrückt wird, gibt es eine Info, dass die Suche jetzt startet. Danach zeigt ein Ladebalken den Fortschritt der Suche. Wenn die Suche beendet ist, erscheint ein Popup mit der entsprechenden Meldung. Die Ergebnisse der Suche werden in der Datei Search.txt im selben Ordner wie FRST.exe gespeichert.

Die gefundenen Dateien werden dann mit ihrem Erstellungsdatum, dem Datum der letzten Änderung, der Grösse, der Attribute, des Firmennamens, der MD5 Prüfsumme und ihrer digitalen Signatur aufgeführt:
Zitat:
================== Search: ndis.sys ===================
C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.212_none_6a600c6ece9d9f09\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]

C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.0_none_89bc7b0a1a05cdb8\ndis.sys
[2015-10-30 07:44][2015-10-30 07:44] 0922464 ____A (Microsoft Corporation) 471CF5F6D7C5FDC912F52DF52C8C1E71 [File is digitally signed]

C:\Windows\System32\drivers\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 ____A (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [File is digitally signed]
Nota Bene: Digitale Signatur wird nicht in dem Recovery Environment geprüft.

In einigen Fällen kann die legitime Datei fehlen oder beschädigt sein wodurch der Rechner unbootbar wird. Es ist möglich, dass es zudem keine Ersatzdatei auf dem System gibt. Für solche Fälle, scannt FRST auch die X: Partition im Recovery mode (Vista und neuer). Wenn also zum Beispiel die services.exe fehlt, könnte diese von X:\windows\system32\services.exe nach C:\windows\system32 kopiert werden.
Nota Bene: Die X Partition enthält nur die 64bit-version einer Datei für 64bit-Systeme

für Registryeinträge
Man kann mit FRST auch nach Registryeinträgen suchen, dafür fügt man den zu suchenden Begriff einfach in das Eingabe-Feld ein, wenn man nach mehreren Eingaben gleichzeitig suchen will kann man diese durch ein ; trennen. Platzhalter werden in der Registrysuche ignoriert und gefiltert.

Eine einfache Suche sieht wie folgt aus:
Zitat:
websearch
Mehrere Suchen auf einmal sehen wie folgt aus:
Zitat:
websearch;dealply;searchprotect
Diese Suche funktioniert nur ausserhalb der RE.

Anders als bei der Dateisuche, sollte man bei der Registrysuche keine Platzhalter verwenden. In der Tat werden Zeichen wie *,?, usw als entsprechendes Zeichen interpretiert und nicht als Platzhalter. Wenn man diese Zeichen in einem Suchterm am Ende oder Anfang einfügt ignoriert FRST diese und sucht nach dem Term ohne die entsprechenden Sonderzeichen.

Ein Log mit dem Namen SearchReg.txt wird in dem Ordner erstellt, in dem sich auch FRST befindet.


Note Bene: Die Registry suche funktioniert nicht in dem Recovery Environment.
__________________
--> FRST Anleitung

Geändert von myrtille (22.07.2016 um 12:22 Uhr)

Alt 08.12.2013, 18:34   #7
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Befehle



Sämtliche Befehle in FRST sollten auf einer eigenen einzelnen Zeile stehen, da FRST die fixlist.txt Zeile für Zeile ausliest und verarbeitet.



Kurzübersicht der Befehle

Nota Bene: Befehle unterliegen nicht der Gross- und Kleinschreibung.

Befehle, die nur im normalen Modus benutzt werden können:

CreateRestorePoint:

Befehle, die nur im normalen oder abgesicherten Modus benutzt werden können:

CloseProcesses:
DeleteKey:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
Zip:

Befehle, die im normalen oder abgesicherten Modus und in der Recovery Environment benutzt werden können:

cmd:
DeleteJunctionsInDirectory:
DeleteQuarantine:
DisableService:
File:
FindFolder:
Folder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
testsigning on:
SaveMBR:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
Unlock:

Nur in der Recovery Environment nutzbar:

LastRegBack:
RestoreErunt:
Restore From Backup:
RestoreMbr:


Beispiele


CloseProcesses:
Beendet alle unwichtigen Prozesse. Hilft dabei den Fix schneller und sicherer auszuführen.
Beispiel:
Zitat:
CloseProcesses:
Wenn dieser Befehl in den Fix eingebaut wird, startet FRST am Schluss den Rechner automatisch neu. Man braucht dafür kein Reboot:. Der Befehl CloseProcesses: ist in der Recovery Console weder notwendig noch vorhanden.


CMD:

Gelegentlich möchte man ein Kommandozeilenskript ausführen. Der CMD: Befehl ist für solche Fälle gedacht:
Zitat:
CMD: >Command<
Wenn man mehr als einen Befehl ausführen möchte, dann muss man jede Zeile mit CMD: beginnen.
Beispiel:
Zitat:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Der erste Befehl kopiert die minidump-Dateien auf den USB-Stick (falls dieser den Laufwerkbuchstaben E: hat).
Der zweite Befehl repariert den MBR für Windows Vista und neuer.



Alternativ können die StartBatch: — EndBatch: benutzt werden. (Siehe unten)

Nota Bene: Anders als bei den Befehlen von FRST muss hier die korrekte Syntax für die Kommandozeile eingehalten werden. Das heisst auch, dass man die Pfade mit Gänsefüsschen umschliessen muss, wenn sie Leerzeichen enthalten.

CreateRestorePoint:

Erstellt einen Wiederherstellungspunkt.

Beispiel:
Zitat:
CreateRestorePoint:
Nota Bene: Diese Befehl funktioniert nur im Normalen Modus und nur wenn die Wiederherstellungspunkte nicht deaktiviert sind.

DeleteJunctionsInDirectory:

Um symbolische Links zu löschen, sollte man folgenden Befehl benutzen:
Zitat:
DeleteJunctionsInDirectory: Pfad
Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

DeleteKey

Um Schlüssel zu löschen kann man diesen Befehl wie folgt nutzen:
Zitat:
DeleteKey: HKLM\Software\Google
Alternativ ist auch ein REGEDIT Format möglich:
Code:
ATTFilter
[-HKEY_LOCAL_MACHINE\Software\Google]
         
Beziehungsweise:
Code:
ATTFilter
    [-HKLM\Software\Google]
         
Nota Bene: Der Befehl geht nur für Schlüssel, nicht für Werte

Nota Bene:
Da diese Funktion für alle Registry-Schlüssel zur Verfügung stehen soll, inklusive Classes und Controlsets, kann sie nur ausserhalb des Recovery Enironments angewendet werden.


Deletekey ist in der Lage Schlüssel ohne Rechte oder Schlüssel mit eingebetteten Nullen zu löschen.
Bei Schlüsseln die durch eine laufende Software geschützt werden muss statt dieses Befehls ein Skript im abgesicherten Modus benutzt werden.

Deletekey: kann auch symbolische Links aus der Registry entfernen.


Nota Bene: Wenn ein symbolischer Link gelöscht werden soll, so entfernt FRST nur den Link selbst, nicht aber das Ziel auf den der Link verweist. Dies soll verhindern dass FRST einen legitimen Eintrag löscht, wenn ein bösartiger Link auf ihn verweist. Sollten sowohl der Link als auch das Ziel auf der er verweist gelöscht werden, müssen beide im Fix-Script aufgeführt werden.


DeleteQuarantine:

Nachdem FRST deinstalliert wurde, sollte die Quarantäne in %SystemDrive%\FRST (normalerweise C:\FRST) ebenfalls entfernt worden sein. In einigen Fällen beinhaltet die Quarantäne aber Dateien ohne Berechtigungen oder andere ungewöhnliche Dateien und die Quarantäne kann nicht automatisch gelöscht werden. Dann kann man diese mit dem Befehl DeleteQuarantine: entfernen.

Der Befehl kann einfach in die fixlist.txt eingefügt werden:
Zitat:
DeleteQuarantine:


DisableService:

Um einen Dienst oder Treiber zu deaktivieren, kann man diesen Befehl wie folgt nutzen:
Zitat:
DisableService: ServiceName
Beispiel:
Zitat:
DisableService: sptd
DisableService: Schedule
DisableService: Wmware Nat Service
FRST ändert den Starttyp des zu deaktivierenden Dienstes und der Dienst wird dadurch beim nächsten Neustart nicht mehr ausgeführt.

Nota Bene: Der Servicename sollte einfach aus dem FRST-Log kopiert werden, ohne etwas zu verändern. Anführungszeichen sind nicht notwendig.

EmptyTemp:

Die folgenden Ordner und Dateien werden geleert:
- Windows Temp.
- Benutzer Temp
- Edge,IE, FF und Chrome cache,Opera cache, HTML5 Local Storage, Cookies und Verlauf. (Firefox Verlauf wird nicht entfernt).
- Java Cache
- Zuletzt geöffnete Dateien.
- Flash Player cache.
- Steam HTML cache
- Explorer thumbnail und icon cache
- BITS transfer queue (qmgr*.dat Dateien)
- Mülleimer.

Wenn der Befehl EmptyTemp: benutzt wird, wird der Rechner anschliessend neugestartet. Man braucht Reboot: nicht zu benutzen. Zudem wird EmptyTemp: immer als letzter Befehl ausgeführt nachdem alle anderen Befehle abgearbeitet wurden, unabhängig davon wo es im Skript selbst steht.

Wichtig: EmptyTemp löscht endgültig. Die Dateien werden nicht in die Quarantäne verschoben.


File: und Folder:

Diese Befehle werden genutzt, um Datei-Infos oder den Inhalt eines Ordners anzugeben. Die Syntax ist wie folgt:
Zitat:
File: Pfad
Folder: Pfad
Beispiel:
Zitat:
File: C:\Windows\System32\Drivers\afd.sys
Folder: C:\Windows\Boot
Das Log sieht dann wie folgt aus:
Zitat:
========================= File: C:\Windows\System32\Drivers\afd.sys ========================


File is digitally signed
MD5: 9A4A1EEE802BF2F878EE8EAB407B21B7
Creation and modification date: 2015-11-27 14:19 - 2015-10-13 18:41
Size: 0497664
Attributes: ----A
Company Name: Microsoft Corporation
Internal Name: afd.sys
Original Name: afd.sys
Product: Microsoft® Windows® Operating System
Description: Ancillary Function Driver for WinSock
File Version: 6.1.7601.19031 (win7sp1_gdr.151013-0600)
Product Version: 6.1.7601.19031
Copyright: © Microsoft Corporation. All rights reserved.

====== End Of File: ======

========================= Folder: C:\Windows\Boot ========================

2012-09-27 08:49 - 2010-11-20 14:40 - 0383786 ____A () C:\Windows\Boot\PCAT\bootmgr
2012-09-27 08:47 - 2010-11-20 14:30 - 0485760 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\memtest.exe
2009-07-14 02:55 - 2009-07-14 03:17 - 0085056 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\en-US\bootmgr.exe.mui
2009-07-14 07:35 - 2009-07-14 04:11 - 0043600 ____A (Microsoft Corporation) C:\Windows\Boot\PCAT\en-US\memtest.exe.mui
2009-06-10 22:31 - 2009-06-10 22:31 - 3694080 ____A () C:\Windows\Boot\Fonts\chs_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 3876772 ____A () C:\Windows\Boot\Fonts\cht_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 1984228 ____A () C:\Windows\Boot\Fonts\jpn_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 2371360 ____A () C:\Windows\Boot\Fonts\kor_boot.ttf
2009-07-13 22:17 - 2009-06-10 22:31 - 0047452 ____A () C:\Windows\Boot\Fonts\wgl4_boot.ttf

... (gekürzt) ...

====== End of Folder: ======
------------------

FindFolder


Sucht Ordner. Die Suche ist auf %systemdrive% beschränkt. Joker sind erlaubt. Wenn mehr als ein Ordner gesucht werden soll, müssen diese durch einen Strichpunkt getrennt werden:

Beispiel:
Zitat:
FindFolder: google
FindFolder: *google*;adobe

Beide Beispiele sind erlaubt.

Hosts
Setzt die Hosts-Datei auf den Standardinhalt zurück. Siehe auch Hosts unter Fixing.

ListPermissions:

Führt die Nutzerrechte für Dateien/Ordner und Registryschlüssel auf.

Zitat:
ListPermissions: Pfad/Schlüssel
Beispiel:
Code:
ATTFilter
Listpermissions: C:\Windows\Explorer.exe

Listpermissions: C:\users\farbar\appdata

ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip

ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd
         

Move:

Dieser Befehl wird benutzt, um eine Datei umzubenennen oder zu verschieben. Die Syntax ist wie folgt:
Zitat:
Move: Ursprung Ziel
Beispiel:
Zitat:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.alt
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
Das Programm verschiebt die Ziel-Datei (falls vorhanden) in die Quarantäne und verschiebt dann die Ursprungsdatei zum Ziel-Namen.

Nota Bene: Man kann mit dem Befehl auch einfach Dateien umbenennen.

Nota Bene 2: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.



nointegritychecks on:

Gilt nur für Windows Vista und neuer.

Wenn der Integrity Check (Kontrolle der Intaktheit) deaktiviert ist, erscheint im FRST log folgende Zeile:
Zitat:
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION!
Das bedeutet, dass jemand den BCD verändert hat, um den Integrity Check beim Booten zu dekativieren. Um den Integrity Check beim Booten zu reaktivieren, kann man einfach die obige Zeile aus dem Log in die fixlist.txt kopieren.

Bei einigen unbootbaren Computern kann es helfen, den Integrity Check zu deaktivieren, um den Rechner wieder zum Booten zu bekommen. Um den Integrity Check zum Test zu deaktvieren oder um ein Backup zu machen, bevor man formatiert, benutzt man diesen Befehl:
Zitat:
nointegritychecks on:
Reboot:

Erzwingt einen Neustart. Es ist irrelevant wo die Zeile in der Fixlist steht, der Neustart wird erzwungen nachdem alle anderen Befehle des Fixes ausgeführt wurden.

Nota Bene: Dieser Befehl funktioniert nicht in der Recovery Environment.


RemoveProxy:

Entfernt bestimmte Internet Explorer Einstellungen, etwa "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" und "ProxySettingsPerUser" in "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings". Es entfernt auch "ProxyEnable" (Falls es auf 1 gesetzt ist), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" und "SavedLegacySettings" Werte in HKLM und HKCU. Es führt zudem den BITSAdmin Befehl mit NO_PROXY aus.

Des weiteren wird auch der Wert Default in "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" zurückgesetzt sofern dieser verändert wurde.

Nota Bene: Dienste und Programme die diesen Wert verändern sollten vor dem Fixen entfernt werden, sonst setzen sie den Proxy erneut.


Reg:

Befehl um die Registry zu bearbeiten, nutzt Reg.exe.
Die Syntax ist:
Zitat:
Reg: reg command
Beispiel:
Zitat:
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Nota Bene: Anders als bei den FRST-Befehlen muss man hier die korrekte Syntax für reg.exe benutzen. Das heisst beispielsweise, dass Pfade mit Leerzeichen mit Anführungszeichen umschlossen werden müssen.
Nota Bene: Dieser Befehl kann keine ungültigen oder locked Schlüssel entfernen. Um einen normalen Schlüssel zu entfernen nutzt man am besten DeleteKey:.
RemoveDirectory:

Dieser Befehl ist zum löschen (es wird nicht in die Quarantäne verschoben) von Ordnern und Dateien, die entweder nicht erlaubte Zeichen im Pfad haben oder deren Rechte manipuliert wurden, sodass ein einfaches Entfernen nicht mölich ist. Man sollte diesen Befehl nur benutzen, wenn der normale Befehl fehlgeschlagen ist. Der Befehl ist am mächtigsten in der Recovery Environment.

Beispiel:
Code:
ATTFilter
RemoveDirecotry: Pfad
         
Replace:

Um Dateien zu ersetzen, nutzt man folgendes Skript:
Zitat:
Replace: Ursprung Ziel
Beispiel:
Zitat:
Replace: c:\WINDOWS\ServicePackFiles\i386\afd.sys c:\WINDOWS\system32\drivers\afd.sys
Replace: c:\WINDOWS\ServicePackFiles\i386\atapi.sys c:\WINDOWS\system32\drivers\atapi.sys
FRST.exe verschiebt die Zieldatei (falls vorhanden) in die Quarantäne und kopiert die Ursprungsdatei an die Stelle der Zieledatei.
Die Ursprungsdatei bleibt erhalten und wird nicht verschoben. Im Beispiel bleibt also die afd.sys im i386 Ordner erhalten.

Nota Bene: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.
Nota Bene: Der Zielordner muss existieren, sonst wird die Datei nicht ersetzt.



Restore From Backup:

Beim ersten Ausführen von FRST.exe wird ein Backup der Registry unter %SystemDrive%\FRST\Hives (normalerweise C:\FRST\Hives) erstellt. Es wird beim nächsten Ausführen des Programms nicht überschrieben werden. Wenn etwas schief geht, kann man also dieses Backup wiederherstellen, um den Ursprungszustand wiederherzustellen. Die Syntax ist:
Zitat:
Restore From Backup: HiveName
Beispiele:
Zitat:
Restore From Backup: software
Restore From Backup: system


RestoreErunt:

Um die Registry aus einem Erunt-Backup wiederherzustellen, würde das Skript wie folgt aussehen:
Zitat:
RestoreErunt: Pfad
Um ein Backup von ComboFix wiederherzustellen, benutzt man folgende Syntax:
Zitat:
RestoreErunt: cf


RestoreMBR:

Um den MBR wiederherzustellen, nutzt FRST die MbrFix.exe, die sich im selben Ordner wie FRST.exe befindet. Daher benötigt man zum Wiederherstellen des MBR, FRST.exe, MbrFix/MBrFix64 und die MBR.bin, die das Backup des MBR enthält, und das folgende Skript:
Zitat:
RestoreMbr: Drive=#
Beispiel:
Zitat:
RestoreMbr: Drive=0
Nota Bene: Der MBR, den man wiederherstellen will, sollte MBR.bin heissen.

RestoreQuarantine:

Man kann entweder die komplette Quarantäne oder einzelne Dateien/Ordner wiederherstellen.

Um die gesamte Quarantäne wiederherzustellen nutzt man:

Code:
ATTFilter
RestoreQuarantine:
         
Oder:

Code:
ATTFilter
RestoreQuarantine: C:\FRST\Quarantine
         
Um eine Datei oder einen Ordner wiederherzustellen benutzt man folgenden Befehl:

Zitat:
RestoreQuarantine: PathInQuarantine
Beispiel:

Zitat:
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD

Um den genauen Pfad in der Quarantäne zu finden kann folgender Befehl benutzt werden:
Code:
ATTFilter
Folder: C:\FRST\Quarantine
         
Oder:

Code:
ATTFilter
CMD: dir /a/b/s C:\FRST\Quarantine
         
Nota Bene: Sollte die wieder erstellte Datei ausserhalb der Quarantäne bereits existieren, so überschreibt FRST diese nicht. Die Datei bleibt dann in der Quarantäne. Muss eine Datei überschreiben werden, so sollte zuerst die existierende Datei umbenannt werden, bevor die wiederherzustellende Datei zurück kopiert werden kann.




SaveMbr:

Siehe auch die Drives and MBR & Partition Table Rubrik in diesem Tutorial.

Um eine Kopie des MBRs zu erstellen, nutzt man folgende Syntax:
Zitat:
SaveMbr: Drive=#
Beispiel:
Zitat:
SaveMbr: Drive=0
Nota Bene: Es wird eine MBRDUMP.txt erstellt. Wenn man diese einsehen will, sollte man den User bitten, diese anzuhängen, da es sich um eine binäre Datei handelt.

SetDefaultFilePermissions:

Dieser Befehl setzt den Besitzer einer Datei auf die Gruppe "Administratoren" zurück und gibt allen Nutzern die Standardzugriffsrechte auf die Datei.
Nota Bene: Der Trusted-Installer wird nicht als Besitzer eingetragen. Man kann den Befehl aber zur Not auch auf Systemdateien anwenden, die von Malware blockiert werden.

Beispiel:
Code:
ATTFilter
SetDefaultFilePermissions: Pfad
         

testsigning on:

Gilt nur für Windows Vista und neuer.

Um dem weiter oben erwähnten Integrity Check zu entgehen, fügt Malware manchmal eine weitere Einstellung im BCD hinzu, die den Check der Signaturen von Treibern deaktiviert. In solchen Fällen muss erst die Malware entfernt und anschliessend der BCD repariert werden.
Vorsicht: Der BCD ist sehr anfällig gegenüber Veränderungen und eine falsche Handlung kann den PC leicht unbootbar machen.

Wenn FRST Hinweise auf Veränderungen findet, dann werden diese wie folgt aufgeführt:
Zitat:
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
Wenn die Malware noch aktiv ist, wird es auch einen unsignierten (versteckten) Treiber geben, der wie folgt aussehen kann:
Zitat:
442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
Es kann auch sein, dass der User selber die Veränderungen bemerkt:
"Ich habe eben bemerkt, dass in der Ecke unten rechts jetzt Test Mode, Windows 7, Build 7601 steht. Das war früher nicht da."

Das komplette Skript sollte dann wie folgt aussehen:
Zitat:
U0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
FRST löscht dann den Treiber und entfernt auch den Eintrag aus dem BCD. Keine weiteren Schritte sind notwendig.

Gelegentlich wird man Fälle haben, in denen andere Programme bereits die Malware entfernt, aber nicht den BCD repariert haben. In solchen Fällen sieht man dann nur diese Zeile im Log:
Zitat:
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
In dem Fall, dass man testsigning wieder deaktiviert hat und der Rechner dann plötzlich nicht mehr bootet, kann man testsigning auch wieder aktivieren, um das Problem zu lokalisieren und reparieren. Dafür benutzt man dann den Befehl:
Zitat:
testsigning on:


Unlock:

Wird der Befehl auf eine Datei oder einen Ordner angewendet, so wird der Besitzer auf "Everyone" gesetzt und Zugriffsrechte für alle gewährt. Wenn der Befehl auf einen Ordner angewandt wird, dann werden alle Unterordner und Dateien rekursiv durchlaufen und ebenfalls zurückgesetzt. Dieser Befehl sollte nur für bösartige Ordner/Dateien benutzt werden.

Im Falle eines Registryschlüssels, wird der Besitzer ebenfalls auf "Administrator" zurückgesetzt und verschiedenen Gruppen wird Zugriff auf den Schlüssel gewährt. Der Befehl ist in diesem Fall nicht rekursiv und kann sowohl für gutartige als auch bösartige Einträge genutzt werden.

Der Fix sollte wie folgt aussehen:
Zitat:
Unlock: Pfad
Gelegentlich wird das Löschen einer Datei / eines Registryschlüssels aufgrund fehlender Berechtigungen fehlschlagen. Man sieht dann im Fixlog.txt folgenden Eintrag: "Could not move File/Directory". In solchen Fällen kann man dann Unlock: benutzen, um die Datei freizugeben.


Beispiel:
Zitat:
Unlock: C:\Windows\explorer.exe
Unlock: C:\Windows\System32\svchost.exe
Um den Ordner/die Datei zu entfernen, muss man danach den Pfad in einer eigenen Zeile hinzufügen:
Zitat:
Unlock: C:\Windows\System32\bad.exe
C:\Windows\System32\bad.exe
Mit dem Befehl Unlock: kann man Registryschlüssel, von denen man mittels ACL ausgeschlossen wurde, wieder zugänglich machen. Wenn man zum Beispiel in der Recovery Environment ist und ControlSet001 das aktive Controlset ist, dann würde der Fix wie folgt aussehen:
Zitat:
Unlock: hklm\system\controlset001\badservice\subkeyname
Um dann den Eintrag mit dem Reg: Befehl manuell zu entfernen, würde man wie folgt vorgehen:
Zitat:
Unlock: hklm\system\controlset001\badservice\subkeyname
Reg: reg delete hklm\system\controlset001\badservice /f
VerifySignature:

Der Befehl überprüft die digitale Signatur einer Datei.
Syntax:
Zitat:
VerifySignature: path
Beispiel:

Code:
ATTFilter
VerifySignature: C:\Windows\notepad.exe
         




Zip:

Um Dateien/Ordner zu zippen (wenn man sie, zum Beispiel, anschließend hochladen lassen will). Die Zip-Datei wird auf dem Desktop erstellt und heisst upload.zip, man muss sie manuell zur Website seiner Wahl hochladen lassen.



Zitat:
Zip: path;path


Es können beliebig viele Dateien/Ordner gezipt werden, solange sie per Semikolon getrennt werden.

Beispiel:
Zitat:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log



Powershell:

Um Powershell-Befehle auszuführen:
  • Einzelne Befehle:

    Zitat:

    Powershell: command
    Beispiel:

    Code:
    ATTFilter
    Powershell: Get-Service
             
  • Um Informationen eines Befehls in ein Log zu schreiben: (mit redirection oder Out-File cmdiet
    Zitat:
    Powershell: command > "Path to a text file"
    Powershell: command | Out-File "Path to a text file"
    Beispiel:
    Zitat:
    Powershell: Get-Service > C:\log.txt
    Powershell: Get-Process >> C:\log.txt
  • Um ein Powershell script (.ps1) mit einem oder mehreren Befehlen auszuführen:
    Zitat:
    Powershell: "Path to a script file"
    Beispiel:
    Zitat:
    Powershell: C:\Users\UserName\Desktop\script.ps1

    Powershell: "C:\Users\User Name\Desktop\script.ps1"
  • Mehrzeilige Befehle können mithilfe von ; getrennt werden:
    Zitat:
    Powershell: line 1; line 2; (und so weiter)
    Beispiel:
    Zitat:
    Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Alternativ können die StartPowershell: — EndPowershell: Befehle benutzt werden. (Siehe unten)



StartBatch: — EndBatch:


Um eine Batchdatei zu erstellen und auszuführen.


Syntax ist:
Code:
ATTFilter
StartBatch:
Linie 1
Linie 2
usw.
EndBatch:
         
Die Ausgabe wird in die fixlog.txt gedruckt.





StartPowershell: — EndPowershell:


Alternative um ein mehrzeiliges Powershellskript auszuführen (siehe auch den Powershell-Befehl weiter oben)


Syntax:
Code:
ATTFilter
StartPowershell:
Linie 1
Linie 2
usw.
EndPowershell:
         
Die Ausgabe wird in die fixlog.txt gedruckt.


StartRegedit: — EndRegedit:


Um eine Registry-Datei zu importieren. (.reg)

Die Syntax ist:
Zitat:
StartRegedit:
.reg Datei Format
EndRegedit:
Der Windows Registry Editor Version 5.00 header ist optional, aber REGEDIT4 header muss eingefügt werden, wenn benötigt.

Beispiel:
Zitat:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
Im Fixlog befindet sich folgende Bestätigung, dass das Skript ausgeführt wurde:
Zitat:
====> Registry
Nota Bene: Fehler des Skripts werden nirgends angezeigt.
Nota Bene: Ungültige oder gelockte Schlüssel mit DeleteKey: entfernen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (15.10.2016 um 12:47 Uhr)

Alt 25.01.2014, 14:50   #8
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Bausteine



Die folgenden Bausteine sind Beispielbausteine für die Verwendung von FRST:

FRST-Scan im normalen Modus:
Zitat:
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Bitte lade dir die passende Version von [B]Farbar's Recovery Scan Tool[/B] auf deinen [COLOR="Green"][B]Desktop[/B][/COLOR]: [URL= http://208.43.87.2/download/farbar-recovery-scan-tool/]FRST 32bit oder FRST 64bit[/URL]
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)[list][*] Starte jetzt [B]FRST[/B].[*] Ändere ungefragt keine der Checkboxen und klicke auf [B]Scan[/B].[*] Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.[*] Poste mir die [color=darkorchid][B]FRST.txt[/B][/color] und nach dem ersten Scan auch die [B][color=darkorchid]Addition.txt[/color][/B] in deinem Thread ([B]#[/B]-Symbol im Eingabefenster der Webseite anklicken)[/LIST]
         
Im Trojaner-Board kann man auch direkt die dafür vorgesehenen BB-Code Tags verwenden: [frst][/frst]



FRST Scan für Vista, Windows 7 and Windows 8 in dem Recovery Environment (RE):
Zitat:
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
[indent]Hinweise für Windows 8-Nutzer: [URL= http://www.trojaner-board.de/135287-anleitung-bootvarianten-seit-windows-8-a.html#post1066280][B]Anleitung 1[/B] (FRST-Variante)[/URL] und [URL= http://www.trojaner-board.de/130086-windows-8-abgesicherten-modus-f8-taste-aktivieren.html#post998760][B]Anleitung 2[/B] (zweiter Teil)[/URL]

Alle anderen Windowsversionen ab hier:[List][*] Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/][b]FRST 32-Bit[/b][/url] [B]|[/B] [url=http://208.43.87.2/download/farbar-recovery-scan-tool/dl/82/][b]FRST 64-Bit[/b][/url][*] Schließe den USB Stick an das infizierte System an und boote das System in die [b]System Reparatur Option[/b].[*] Scanne jetzt nach der [URL=http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026550]bebilderten Anleitung[/URL] oder verwende die folgende [B]Kurzanleitung[/B]:[/LIST][color=green][b]Über den Boot Manager:[/color][/b][list][*] Starte den Rechner neu.[*] Während dem Hochfahren drücke mehrmals die [B]F8[/B] Taste[*] Wähle nun [b]Computer reparieren[/b].[*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
[color=green][B]Mit Windows CD/DVD (auch bei Windows 8 möglich):[/color][/B][list][*] Lege die Windows CD in dein Laufwerk.[*] Starte den Rechner neu und [url=http://www.trojaner-board.de/81857-computer-cd-booten.html]starte von der CD[/url].[*] Wähle die Spracheinstellungen und klicke "Weiter".[*] Klicke auf [B]Computerreparaturoptionen[/B] ![*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
Wähle in den Reparaturoptionen: [b]Eingabeaufforderung[/b][list][*] Gib nun bitte [B]notepad[/B] ein und drücke Enter.[*] Im öffnenden Textdokument: [B]Datei > Speichern unter...[/B] und wähle [B]Computer[/B].
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.[*] Schließe Notepad wieder[*] Gib nun bitte folgenden Befehl ein.
[B][color=purple]e[/color]:\frst.exe[/b] bzw. [B][color=purple]e[/color]:\frst64.exe[/b]
[B]Hinweis: [color=purple]e[/color][/b] steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.[*] Akzeptiere den Disclaimer mit [B]Yes[/B] und klicke [color=darkblue][B]Scan[/B][/color][/list]Das Tool erstellt eine [color=darkorchid][B]FRST.txt[/B][/color] auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags ([URL= http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026555]Anleitung[/URL]).
[/indent]
         
Auf TB gibt es die Tags: [frstre][/frstre]


Wenn FRST seinen Scan beendet hat, speichert es die Logs in dem Verzeichnis ab, aus welchem FRST ausgeführt wurde. Beim ersten Ausführen wird FRST.txt und Addition.txt erstellt. Danach wird nur noch FRST.txt erstellt, außer man konfiguriert FRST anderweitig (siehe dazu Optionale Scans in der Konsole).
Zusätzlich wird eine Kopie der Logs in %SystemDrive%\FRST\Logs gespeichert.



Fixes

FRST hat eine Reihe von Befehlen und Switches, die man entweder für Scans oder Fixes benutzen kann.
Um identfizierte Probleme zu beheben, kann man einfach die entsprechende Zeile aus FRST.txt kopieren und in eine Textdatei enfügen. Diese muss dann unter dem Namen fixlist.txt gespeichert werden. Die fixlist.txt muss im selben Ordner liegen wie die FRST.exe. Normalerweise also auf dem Desktop, wenn man einen Scan im normalen oder abgesicherten Modus macht oder auf dem USB-Stick, wenn man den Fix im Recovery Environment ausführen will.
Nota Bene: Es muss ein Texteditor wie notepad benutzt werden, der keinen zusätzlichen Text einfügt. Programme wie Words funktionieren nicht.


Beispiel für einen Fix im normalen oder abgesicherten Modus:
Zitat:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe "[b]notepad[/b]" in das [b]Ausführen[/b] Fenster.

[b]Kopiere[/b] nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] ebenfalls auf deinen [b]Desktop[/b] neben FRST.[list][*] Starte nun [B]FRST[/B] und klicke den [color=darkblue][B]Fix[/B][/color] Button.[*] Das Tool erstellt eine [color=darkorchid][B]Fixlog.txt[/B][/color]. Poste mir deren Inhalt.[/list]
         
Oder auf TB den FRSTFix-Tag: [frstfix][/frstfix]



Beispiel für einen Fix im Recovery Environment:
Zitat:
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  bitte die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe [b]notepad[/b] in das [b]Ausführen[/b] Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] auf deinen USB Stick neben FRST.[list][*]Schliesse den USB Stick an den infizierten Rechner an.[*] Starte deinen Rechner in die Reparaturoptionen.[*] Starte nun wiederum  [B]FRST[/B], aber klicke dieses Mal auf den [color=darkblue][b]Fix[/b][/color] Button.[/list]Das Tool erstellt eine Datei [color=darkorchid][b]Fixlog.txt[/b][/color] auf deinem USB Stick. Poste deren Inhalt bitte hier.
         
oder den FRSTREFix-Tag: [frstrefix][/frstrefix]


Einträge, die von FRST entfernt werden, werden nach %systemdrive%\FRST\Quarantine kopiert. Der Quarantäne-Ordner wird während der Deinstallation von FRST entfernt.

Weitere Informationen zum Erstellen eines Fixes können in dem Absatz Fixing dieses Tutorials gefunden werden.



Download Links


Direkter Download Link

Die neueste Version von Farbars Recovery Scan Tool kann unter Farbar Recovery Scan Tool Download gefunden werden.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (16.07.2016 um 11:02 Uhr)

Alt 20.12.2014, 16:59   #9
myrtille
/// TB-Ausbilder
 
FRST Anleitung - Standard

FRST Anleitung



Updates des Tutorials:

11/01/2013 Winsock: Catalog5 section amended to carry out the netsh winsock reset after reboot
-----------------------------------------

11/19/2013 Fixing - information about Fixlog header added
-----------------------------------------

12/30/2013 RemoveDirectory: and SetDefaultFilePermissions: added to Commands/Directives
12/30/2013 Explanation of what the Unlock: directive sets, added:
12/30/2013 Further explanation added to the Search Feature.
-----------------------------------------------------------------------------------------------

01/19/2014 Statement added that FRST will not work with XP 64-bit machines
01/19/2014 Whitelisting explanation added
01/19/2014 Header example amended and updated
-----------------------------------------------------------------------------------------------

01/22/2014 explanation note added for Applnit_Dlls fixing under Registry.
-----------------------------------------------------------------------------------------------

02/12/2014 Installed programs list explanation under Addition.txt amended to cover hidden programs
02/12/2014 Disabled items from MSCONFIG report added under Addition.txt
-----------------------------------------------------------------------------------------------

03/06/2014 Reboot: command is added and Unlock: example is amended.
-----------------------------------------------------------------------------------------------

03/14/2014 Added Information on RestoreQuarantine, Drivers MD5, Shortcut.txt
-----------------------------------------------------------------------------------------------

03/15/2014 Added information on group policies for chrome
-----------------------------------------------------------------------------------------------

03/16/2014 Added information on winsock resets for catalog 5 & 9
-----------------------------------------------------------------------------------------------
04/24/2014 Added ListPermissions and SaveMBR
-----------------------------------------------------------------------------------------------
05/05/2014 Added Deletekey
-----------------------------------------------------------------------------------------------
05/16/2014 Updated search section
-----------------------------------------------------------------------------------------------
06/02/2014 Updated Chrome section in Fixing
-----------------------------------------------------------------------------------------------
06/10/2014 Updated Registry section and added VerifySignature: command
-----------------------------------------------------------------------------------------------
06/24/2014 Updated Default Scan areas

-----------------------------------------------------------------------------------------------
07/24/2014 Updated Firefox output and DeleteKey command

-----------------------------------------------------------------------------------------------
07/29/2014 Added Custom CLSIDs

-----------------------------------------------------------------------------------------------
08/11/2014 Added EmptyTemp

-----------------------------------------------------------------------------------------------
08/14/2014 Updated EmptyTemp, Memory Info

-----------------------------------------------------------------------------------------------
08/19/2014 Updated Google Chrome

-----------------------------------------------------------------------------------------------
08/25/2014 Updated DeleteJunctionsInDirectory

-----------------------------------------------------------------------------------------------
08/27/2014 Updated Log Output
08/27/2014 Added Hosts command

-----------------------------------------------------------------------------------------------
08/28/2014 Updated Log Output

-----------------------------------------------------------------------------------------------
08/30/2014 Added other translations of tutorial
-----------------------------------------------------------------------------------------------
08/31/2014 Cosmetics
-----------------------------------------------------------------------------------------------
09/01/2014 Updated Firefox Plugins, Loaded Modules, Installed Programs
-----------------------------------------------------------------------------------------------
09/07/2014 Updated Firefox Plugins, Loaded Modules, Pictures and content list
-----------------------------------------------------------------------------------------------
09/08/2014 Added close processes
-----------------------------------------------------------------------------------------------
09/19/2014 Header aktualisiert
-----------------------------------------------------------------------------------------------
12/02/2014 Split addition.txt into separate post
-----------------------------------------------------------------------------------------------
12/03/2014 Updated everything from HKCU to HKU
-----------------------------------------------------------------------------------------------
12/13/2014 Modified testsigning output
-----------------------------------------------------------------------------------------------
12/19/2014 Added CreateRestorePoint
-----------------------------------------------------------------------------------------------
12/29/2014 Updated header output
-----------------------------------------------------------------------------------------------
01/12/2015 Updated extensions
-----------------------------------------------------------------------------------------------
01/24/2015 Added SR detection
-----------------------------------------------------------------------------------------------
01/27/2015 Updated SR
-----------------------------------------------------------------------------------------------
01/28/2015 Added Opera, updated Chrome
-----------------------------------------------------------------------------------------------
02/09/2015 Rewrite Deletekey
-----------------------------------------------------------------------------------------------
02/16/2015 Added "Other Areas"
-----------------------------------------------------------------------------------------------
03/01/2015 Updated EmptyTemp
-----------------------------------------------------------------------------------------------
03/05/2015 Updated Services & Drivers
-----------------------------------------------------------------------------------------------
03/09/2015 Added RemoveProxy and 90 Days
-----------------------------------------------------------------------------------------------
04/14/2015 Minor update
-----------------------------------------------------------------------------------------------
04/22/2015 Added Internet restricted/trusted
-----------------------------------------------------------------------------------------------
04/24/2015 Layout

-----------------------------------------------------------------------------------------------
04/27/2015 Added FirewallRules

-----------------------------------------------------------------------------------------------
07/21/2015 Explanation of [X] added to Services and Drivers section under Fixing

-----------------------------------------------------------------------------------------------
07/22/2015 UAC and Windows firewall added to Other Areas scan in the Addition.txt section

-----------------------------------------------------------------------------------------------
08/28/2015 Revamp of all sections to reflect new wording in FRST
-----------------------------------------------------------------------------------------------
09/01/2015 restructuring fixing section
-----------------------------------------------------------------------------------------------
09/10/2015 updated addition section
-----------------------------------------------------------------------------------------------
10/09/2015 added edge detection
-----------------------------------------------------------------------------------------------
10/22/2015 added firefox signed extensions, updated examples

-----------------------------------------------------------------------------------------------
11/12/2015 added instructions for english display of log
-----------------------------------------------------------------------------------------------
11/24/2015 added shortcut information in additions.log
-----------------------------------------------------------------------------------------------
12/01/2015 updateed shortcut information in additions.log

-----------------------------------------------------------------------------------------------
12/30/2015 restructured additions.txt

-----------------------------------------------------------------------------------------------
01/04/2016 updated shortcuts and firewallrules

-----------------------------------------------------------------------------------------------
03/05/2016 added zip command
-----------------------------------------------------------------------------------------------
04/16/2016 complete rehaul of the tutorial
-----------------------------------------------------------------------------------------------
04/26/2016 Cosmetic updates

-----------------------------------------------------------------------------------------------
04/28/2016 added wmi malware

-----------------------------------------------------------------------------------------------
05/08/2016 Cosmetic updates

-----------------------------------------------------------------------------------------------
06/16/2016 Updated search behaviour
-----------------------------------------------------------------------------------------------
06/18/2016 Powershell
-----------------------------------------------------------------------------------------------
07/05/2016 Powershell update

-----------------------------------------------------------------------------------------------
07/21/2016 Befehle StartBatch: — EndBatch: & StartPowershell: — EndPowershell: hinzugefuegt
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (22.07.2016 um 12:23 Uhr)

Antwort

Themen zu FRST Anleitung
abgesicherten, blue, center, erstellt, files, fix, foren, funktioniert, helper, link, log, malware, modus, nicht mehr, pcs, recovery, scan, scripte, security, standard, tool, tools, tutorial, unlock, verschiedene, windows



Ähnliche Themen: FRST Anleitung


  1. FRST Log Auswertung?
    Log-Analyse und Auswertung - 10.10.2015 (4)
  2. ich habe einen Virus eingefangen der aus FRST.txt ein FRST.txt!___prosschiff@gmail.com_ macht
    Log-Analyse und Auswertung - 27.09.2015 (3)
  3. FRST Logfile auswertung?
    Log-Analyse und Auswertung - 03.08.2015 (1)
  4. FRST Scan und nun?
    Diskussionsforum - 31.07.2015 (3)
  5. Überprüfung mit FRST
    Log-Analyse und Auswertung - 23.07.2015 (10)
  6. FRST Logfiles
    Log-Analyse und Auswertung - 23.02.2015 (5)
  7. Bundestrojaner: FRST Log
    Log-Analyse und Auswertung - 24.08.2014 (12)
  8. FRST-Log verstehen
    Diskussionsforum - 24.03.2014 (6)
  9. Probleme mit FRST gemäß Anleitung AW:Probleme mit static.australianbrewingcompany.com
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (41)
  10. BKA Trojaner: FRST, was nun?
    Log-Analyse und Auswertung - 27.11.2013 (8)
  11. GVU Trojaner - FRST.txt
    Plagegeister aller Art und deren Bekämpfung - 23.08.2013 (4)
  12. Weißer Bildschirm nach Neustart, scan via FRST.exe --> FRST.txt
    Log-Analyse und Auswertung - 06.08.2013 (5)
  13. GUV Trojaner -- LOG FRST
    Log-Analyse und Auswertung - 24.06.2013 (1)

Zum Thema FRST Anleitung - Farbar's Recovery Scan Tool Download links: link1 | link2 Farbar Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten kann. Es funktioniert sowohl im normalen - FRST Anleitung...
Archiv
Du betrachtest: FRST Anleitung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.