Zurück   Trojaner-Board > Malware entfernen > Anleitungen, FAQs & Links

Anleitungen, FAQs & Links: Anleitung: Farbar Recovery Scan Tool (FRST)

Windows 7 Hilfreiche Anleitungen um Trojaner zu entfernen. Viele FAQs & Links zum Thema Sicherheit, Malware und Viren. Die Schritt für Schritt Anleitungen zum Trojaner entfernen sind auch für nicht versierte Benutzer leicht durchführbar. Bei Problemen, einfach im Trojaner-Board nachfragen - unsere Experten helfen kostenlos. Weitere Anleitungen zu Hardware, Trojaner und Malware sind hier zu finden.

Antwort
Alt 08.12.2013, 15:15   #1
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)





Farbar's Recovery Scan Tool
Download Links für die neuesten Version: Link 1 | Link 2


Farbar's Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten kann. Es funktioniert sowohl im normalen als auch im abgesicherten Modus, sowie im Windows Recovery Environment, falls der PC nicht mehr bootet. Dadurch ist es besonders für unbootbare PCs geeignet.


**********************************************************


Spenden
FRST ist kostenlos. Wer jedoch dem Autor farbar für seine Arbeit danken und ihn unterstüzen möchte, kann ihm unter dem folgenden Link eine Spende zukommen lassen:



Tutorial Überblick
Dieses Tutorial wurde ursprünglich von emeraldnzl erstellt, in Zusammenarbeit mit farbar, dem Autoren des Programms, sowie der Unterstützung von BC (Bleeping Computer) und G2G (Geeks to Go). emeraldnzl ist mittlerweile zurückgetreten und nun wird das Tutorial, unter Absprache mit farbar, von picasso ergänzt und gepflegt. Die Übersetzung ins Deutsche stammt von myrtille. Das Zitieren oder Weiterverbreiten des Tutorials bedarf der Genehmigung von picasso & farbar, sowie von M-K-D-B für die deutsche Übersetzung. Das Tutorial soll den Malware-Helfern in den verschiedenen Foren einen Überblick über die Funktionen des Tools geben.



Weitere Übersetzungen des Tutorials
Englisch (Original)
Französisch
Polnisch
Russisch




Inhaltsverzeichnis
  1. Einleitung
  2. Standard Scan Bereiche
  3. Hauptsuchlauf (FRST.txt)
    • Processes (Prozesse)
    • Registry
    • Internet
    • Services (Dienste)
    • Drivers (Treiber)
    • NetSvcs
    • One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner) und One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
    • Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
    • Some content of TEMP (Einige Dateien in TEMP)
    • Known DLLs
    • Bamital & volsnap
    • Association (Verknüpfungen)
    • Restore Points (Wiederherstellungspunkte)
    • Memory info (Speicherinformationen)
    • Drives (Laufwerke) und MBR & Partition Table (MBR & Partitionstabelle)
    • LastRegBack
  4. Addition.txt
    • Accounts (Konten)
    • Security Center (Sicherheits-Center)
    • Installed Programs (Installierte Programme)
    • Custom CLSID (Benutzerdefinierte CLSID)
    • Scheduled Tasks (Geplante Aufgaben)
    • Shortcuts (Verknüpfungen) und WMI
    • Loaded Modules (Geladene Module)
    • Alternate Data Streams
    • Safe Mode (Abgesicherter Modus)
    • Association (Verknüpfungen)
    • Internet Explorer trusted/restricted (Internet Explorer Vertrauenswürdig/Eingeschränkt)
    • Hosts content (Hosts Inhalt)
    • Other Areas (Andere Bereiche)
    • MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
    • FirewallRules (Firewall Regeln)
    • Restore Points (Wiederherstellungspunkte)
    • Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
    • Event log errors (Fehlereinträge in der Ereignisanzeige)
    • Memory info (Speicherinformationen)
    • Drives (Laufwerke)
    • MBR & Partition Table (MBR & Partitionstabelle)
  5. Weitere optionale Suchläufe
    • List BCD (BCD auflisten)
    • Drivers MD5 (MD5 Treiber)
    • Shortcut.txt
    • 90 Days Files (Dateiliste 90 Tage)
    • Search Files (Datei-Suche)
    • Search Registry (Registry-Suche)
  6. Befehle und Beispiele
    • CloseProcesses:
    • CMD:
    • CreateDummy:
    • CreateRestorePoint:
    • DeleteJunctionsInDirectory:
    • DeleteKey: und DeleteValue:
    • DeleteQuarantine:
    • DisableService:
    • EmptyTemp:
    • ExportKey: und ExportValue:
    • File: und Folder:
    • FindFolder:
    • Hosts:
    • ListPermissions:
    • Move:
    • nointegritychecks on:
    • Powershell:
    • Reboot:
    • Reg:
    • RemoveDirectory:
    • RemoveProxy:
    • Replace:
    • Restore From Backup:
    • RestoreErunt:
    • RestoreMbr:
    • RestoreQuarantine:
    • SaveMbr:
    • SetDefaultFilePermissions:
    • StartBatch: — EndBatch:
    • StartPowershell: — EndPowershell:
    • StartRegedit: — EndRegedit:
    • TasksDetails:
    • testsigning on:
    • Unlock:
    • VerifySignature:
    • VirusTotal:
    • Zip:
  7. Bausteine

Security Colleagues & Malware Helper können sich bei BC über die neuesten Entwicklungen informieren: FRST Discussion Thread.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (19.08.2017 um 09:19 Uhr)

Alt 08.12.2013, 15:18   #2
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Einleitung

FSRTs Stärke ist seine einfache Handhabung. Es wurde mit einem besonderen Augenmerk auf Benutzerfreundlichkeit entwickelt: Einzelne Zeilen, die malwarebezogen sind, können direkt aus dem Log in einen Editor kopiert werden, um einen Fix zu erstellen. Dieses gespeicherte Fixskript wird dann automatisch von FRST eingelesen beim Fixen.



Kompatibilität
Farbar Recovery Scan Tool funktioniert unter Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10, sowohl bei 32-bit als auch bei 64-bit Versionen. FRST funktioniert nicht auf XP 64bit.



Handhabung
FRST erstellt ein Log, in dem die für Malwareanalyse relevanten Bereiche von Windows aufgelistet werden, sowie einige grundlegende Informationen über den Rechner.
Da das Tool ständig weiterentwickelt wird, insbesondere im Hinblick auf das Erkennen neuer Malware, ist es äußerst empfehlenswert, es regelmäßig zu aktualisieren, auch während einer Bereinigung. Sollte der Rechner mit dem Internet verbunden sein, wird FRST automatisch nach Updates suchen, wenn es ausgeführt wird. Wird eine Aktualisierung gefunden, erscheint ein Popup und der User hat dann die Möglichkeit, diese zu installieren.

Normalerweise filtert FRST bekannte gutartige Einträge aus den Logs heraus. Dies wird getan, um die Logs so kurz wie möglich zu machen. Wenn man das komplette Log sehen will, muss man entsprechend by Ausnahmen die Haken entfernen.
  • FRST filtert alle Standard MS-Einträge in der Registry, sonst nichts.
  • FRST filtert alle Standard MS-Dienste und Treiber, sowie bekannte, gutartige Dienste & Treiber.
  • Dienste oder Treiber ohne Firmennamen werden nicht gefiltert.
  • Dienste und Treiber von Sicherheitsprogrammen (Firewall, Antivirus) werden immer angezeigt
  • Sämtliche SPTD-bezognenen Treiber werden immer angezeigt.



Vorbereitungen
FRST braucht Admin-Rechte, um ein zuverläßiges Log zu erstellen und sollte daher immer mit den entsprechenden Rechten ausgeführt werden. Wird FRST mit eingeschränkten Rechten ausgeführt, erscheint eine entsprechende Warnung im Header des Logs. Es ist dann empfehlenswert, den Scan mit Admin-Rechten zu wiederholen.

Gelegentlich wird FRST von Sicherheitsprogrammen behindert. Es passiert nicht häufig, sollte aber im Hinterkopf behalten werden. Während des Scans treten normalerweise keine Probleme auf, aber es ist emfohlen, Sicherheitsprogramme, die die Bereinigung behindern könnten (wie z.B. Comodo), vor einem Fix zu deaktivieren.

Ganz allgemein wird bei Rootkits empfohlen, einen Befall nach dem andern abzuarbeiten und nicht alles gleichzeitig.

Es ist nicht notwendig, ein Registry Backup zu erstellen, denn FRST erstellt sein eigenes Backup bei jeder Ausführung. Das Backup befindet sich in %SystemDrive%\FRST\Hives (In den meisten Fällen ist das C:\FRST\Hives). Für weitere Informationen siehe dazu den Befehl Restore From Backup: .

FRST gibt es in einer Reihe von verschiedenen Sprachen. Sollte das Log in einer Sprache sein, die nicht einfach zu entziffern ist, gibt es die Möglichkeit das Log auf Englisch ausgeben zu lassen. Wenn also der Helfer oder der TO die Logs auf Englisch haben möchte, genügt es dem Dateinamen von FRST das Wort "English" bei zu fügen. Zum Beispiel EnglishFRST.exe oder FRST64English.exe. Das Log wird dann auf Englisch erstellt. (Dies gilt nur für English, nicht für andere Sprachen)



FRST ausführen
Der TO wird angewiesen, FRST auf seinen Desktop herunterzuladen. Dann muss er nur noch das Programm per Doppelklick ausführen und den Disclaimer akzeptieren. Das FRST-Icon sieht wie folgt aus:


Wichtiger Hinweis: Es gibt eine 32-bit und eine 64-bit Version. Die FRST-Version muss mit dem System des TO kompatibel sein. Sollte es unklar sein, welche Version der TO braucht, dann kann er beide Versionen herunterladen und versuchen, sie auszuführen. Nur eine der beiden Versionen wird sich ausführen lassen. Das ist dann die richtige.


Das User-Interface von FRST sieht dann folgendermassen aus:



Wenn FRST fertig ist, speichert es die Logs in dem Ordner in dem es ausgeführt wurde. Beim Ausführen erstellt FRST (außerhalb der Recovery Environment) automatisch zwei Logs: FRST.txt und Addition.txt.
Zudem werden Kopien der Logs in %systemdrive%\FRST\Logs gespeichert (In den meisten Fällen ist das C:\FRST\Logs).



Entfernungen

Wichtiger Hinweis: Farbar Recovery Scan Tool nimmt während des Scans keine Veränderungen vor und kann keinen Schaden verursachen. Beim Entfernen wird FRST jedoch versuchen, so gut wie möglich die aufgeführten Einträge zu löschen. Es gibt zwar ein paar Sicherheitsnetze, jedoch nicht genug um alle unbedachten Löschaktionen abzufangen. Der Nutzer muss daher selbst darauf achten, dass sein Skript den Rechner nicht schadet. Falsche Handhabung (das Löschen von Systemdateien z. B.) kann den Rechner unbootbar machen.

Wenn es Zweifel gibt, fragt einen Experten im Forum bevor ihr etwas entfernen möchtet.

FRST hat eine Reihe von Befehlen und Parametern, mit denen Prozesse und Probleme identifiziert und behandelt werden können.



Vorbereiten der Scripte

1. Methode: fixlist.txt

Um die identifizierten Einträge zu entfernen, kopiert man die entsprechenden Zeilen from FRST Protokoll und fügt sie in ein Textdokument mit dem Namen fixlist.txt ein. Diese fixlist.txt muss sich im selben Verzeichnis wie das Programm FRST befinden. Wurde FRST gestartet, so kann man durch Drücken der Tasstenkombination "STRG + y" automatisch ein leeres Textdokument mit dem Namen fixlist.txt öffnen. Daraufhin kann man alle Einträge in die fixlist.txt kopieren und mit "STRG+s" abspeichern.

Wichtiger Hinweis:
Wenn man die fixlist.txt manuell erstellt (d. h. nicht mit der Tastenkombination "STRG+y"), muss man Notepad verwenden! Word oder andere Programme fügen den Dateien weitere Informationen hinzu, die FRST nicht verarbeiten kann.


2. Methode: Zwischenablage
Die zu entfernden Zeilen werden zwischen Start:: und End:: kopiert. Das sieht dann so aus:
Zitat:
Start::
Scriptinhalt
End::
Nun kopiert man den kompletten Inhalt ( inklusive Start:: und End:: ) und drückt auf den Button Entfernen.



__________________________________________________________________________________

Unicode
Um Einträge mit Unicode Symbolen entfernen zu können, muss die Datei fixlist.txt im Unicode Format abgespeichert werden, andernfalls wird der Fix nicht funktionieren. Die Tastenkombination "STRG+y" speichert die fixlist.txt automaitsch im Unicode Format. Wenn man die fixlist.txt manuell erstellt hat, muss man bei der Codierung eine andere Einstellung vornehmen (siehe unten).

Beispiel:
Zitat:
S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
Kopiere die Einträge in ein leeres Textdokument, wähle Datei > Speichern Unter und wähle unter Codierung Unicode aus, bennen die Datei in fixlist.txt und klicke auf Speichern.

Wenn du Unicode nicht auswählst, wird dir der Texteditor eine Warnung ausgeben. Ignorierst du diese, erhälst du folgendes:
Zitat:
S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat
FRST wird die Einträge daraufhin nicht entfernen können.

__________________________________________________________________________________



Einträge, die von FRST behoben werden, werden nach %systemdrive%\FRST\Quarantine verschoben (In den meisten Fällen ist das C:\FRST\Quarantine). Der Ordner bleibt solange auf dem Computer, bis er am Ende der Bereinigung entfernt wird.

Mehr Details findet man in den folgenden Beiträgen.
__________________

__________________

Geändert von M-K-D-B (17.08.2017 um 20:36 Uhr)

Alt 08.12.2013, 15:24   #3
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Standard-Scanbereiche

Beim ersten und jedem weiteren Suchlauf außerhalb der Recovery Environment erstellt FRST zwei Logs: FRST.txt und Addition.txt. Addition.txt wird nicht erstellt, wenn FRST im Recovery Environment ausgführt wurde.


Suchläufe im normalen Modus:

Hauptsuchlauf
Processes (Prozesse)
Registry
Internet
Services (Dienste)
Drivers (Treiber)
NetSvcs
One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner)
One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
Files in the root of some directories (Dateien im Wurzelverzeichnis einiger Verzeichnisse)
Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
Some content of TEMP (Einige Dateien in TEMP)
Some zero byte size files/folders (Einige mit null Byte Größe Dateien/Ordner)
Bamital & volsnap
LastRegBack


Zusätzlicher Suchlauf
Accounts (Konten)
Security Center (Sicherheits-Center)
Installed Programs (Installierte Programme)
Custom CLSID (Benutzerdefinierte CLSID)
Scheduled Tasks (Geplante Aufgaben)
Shortcuts (Verknüpfungen) und WMI
Loaded Modules (Geladene Module)
Alternate Data Streams
Safe Mode (Abgesicherter Modus)
Association (Verknüpfungen)
Internet Explorer trusted/restricted (Internet Explorer Vertrauenswürdig/Eingeschränkt)
Hosts content (Hosts Inhalt)
Other Areas (Andere Bereiche)
MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
FirewallRules (Firewall Regeln)
Restore Points (Wiederherstellungspunkte)
Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
Event log errors (Fehlereinträge in der Ereignisanzeige)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)


Optionale Suchläufe
List BCD (BCD auflisten)
Drivers MD5 (MD5 Treiber)
Shortcut.txt
Addition.txt
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche)
Search Registry (Registry-Suche)



Suchläufe im Recovery Environment:

Hauptsuchlauf
Registry
Services (Dienste)
Drivers (Treiber)
NetSvcs
One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner)
One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
Some content of TEMP (Einige Dateien in TEMP)
Known DLLs
Bamital & volsnap
Association (Verknüpfungen)
Restore Points (Wiederherstellungspunkte)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)
LastRegBack


Optionale Suchläufe
List BCD (BCD auflisten)
Drivers MD5 (MD5 Treiber)
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche)
__________________
__________________

Geändert von M-K-D-B (05.07.2017 um 20:15 Uhr)

Alt 08.12.2013, 15:25   #4
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Hauptsuchlauf (FRST.txt)

Header
Hier ist ein Beispiel-Header:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 06-05-2017
durchgeführt von M-K-D-B (Administrator) auf LAPTOP-1E0PSF9A (06-05-2017 23:30:55)
Gestartet von C:\Users\M-K-D-B\Desktop
Geladene Profile: M-K-D-B (Verfügbare Profile: M-K-D-B)
Platform: Windows 10 Home Version 1703 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic...ery-scan-tool/
         
Es ist wichtig, den Header durchzuschauen:

Die erste Zeile identifiziert das Betriebssystem als 32- oder 64-bit. Die FRST Version wird auch aufgeführt, damit man leicht veraltete Versionen von FRST erkennen und aktualisieren kann. Ältere Versionen können zum Teil bestimmte Befälle nicht erkennen oder bereinigen.

In der zweiten Zeile sieht man, welcher User das Programm ausgeführt hat und mit welchen Rechten. Die Zeile gibt auch den Computernamen und das Datum und die Uhrzeit, zu der der Scan durchgeführt wurde, an. Gelegentlich wird aus Versehen vom User ein altes anstatt des aktuellen Logs gepostet. Am Datum lässt sich das leicht erkennnen.

Die dritte Zeile zeigt, in welchem Ordner FRST ausgeführt wurde. Das kann wichtig sein, wenn man dem User einen Fix geben will, der ja im selben Ordner wie FRST.exe selbst liegen muss.

Die viertel Zeile gibt das Benutzerkonto an unter dem der Scan ausgeführt wurde. Im Anschluss werden in runden Klammern alle "vorhandenen Profilen" des Computers aufgelistet, die aktuell nicht geladen sind.

Wichtiger Hinweis: Wenn mehr als ein Benutzerprofil geladen ist (zb wenn jemand Account gewechselt hat, statt sich auszuloggen und neueinzuloggen), so führt FRST die Einträge aller geladenen Profile auf. FRST listet keine Einträge aus nicht geladenen Profilen.

Die fünfte Zeile gibt die Windows Version (inklusive Service Pack) und das installierte Sprachpaket an. Veraltete Betriebssysteme sollten hier leicht zu erkennen sein.

Die Internet Explorer Version wird gleichermaßen in Zeile Sechs angezeigt, sowie der Standardbrowser.

Die siebte Zeile zeigt an, in welchem Modus der Scan ausgeführt wurde.

Danach folgt ein Link zu der englischen Anleitung von FRST.

Wichtiger Hinweis:Die Informationen im Kopf, die man beim Suchlauf in der Recovery Environment erhält, sind ähnlich. Es wird nur etwas verkürzt dargestellt, da die Benutzerprofile nicht geladen sind.



Warnungen, die im Header erscheinen können:
Wenn der PC nicht bootet und FRST die Warnung "Achtung: System Hive konnte nicht geladen werden" zeigt, kann der System-Schlüssel in der Registry fehlen. In solchen Fällen kann es helfen, den Schlüssel mithilfe eines Backups unter Verwendungs des Befehls LastRegBack: wiederherzustellen (siehe weiter unten).


"Standard: Controlset001" - Weniger eine Warnung als die Information, welches Controlset das Standardcontrolset des Systems ist. Diese Information is immer dann wichtig, wenn man das Controlset zum Auslesen oder Modifizieren imRecovery Environment ansprechen will. Das aktuelle ControlSet ist das einzige, das von Windows während des Bootens eingelesen wird.



Processes (Prozesse)
Es gibt zwei Gründe, einen Prozess stoppen zu wollen. Zum einen kann es sein, dass du ein Antivirenprogramm deaktivieren willst, damit es den Fix nicht behindert. Zum andern kann es sein, dass du einen bösartigen Prozess stoppen und die dazugehörige Datei oder den Ordner löschen willst.

Um den Prozess zu beenden, füge die entsprechende Zeile hinzu, Beispiel:
Zitat:
(Symantec Corporation) C:\Program Files\Norton Security Suite\Engine\5.2.2.3\ccSvcHst.exe
(IObit) C:\Program Files\IObit\Advanced SystemCare 6\ASCService.exe
Die Datei Fixlog.txt wird erstellt mit dem Eintrag des Prozessnamens gefolgt von => Prozess erfolgreich geschlossen.

Falls es sich um einen bösartigen Prozess handelt, bei der man die Datei auch löschen will, muss man die Datei (oder den Ordner) separat aufführen, Beispiel:
Zitat:
(Spigot, Inc.) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe
(Spigot Inc) C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings64.exe
C:\Program Files (x86)\Common Files\Spigot


Registry

FRST besitzt eine mächtige Löschroutine, die auch Schlüssel und Werte ohne Zugriffsrechte oder mit eingebetteten NULL-Charaktern löschen kann. Schlüssel und Werte, die FRST nicht auf Anhieb löschen kann, werden beim geplanten Neustart erneut einer Löschroutine unterzogen. Die einzigen Schlüssel bzw. Werte, die FRST nicht auf Anhieb löschen kann, sind Schlüssel bzw. Werte die von einem Treiber geschützt werden. In solchen Fällen sollte erst der Treiber und anschließend die Registry-Einträge gelöscht werden.

Wenn man einen Registry-Eintrag aus dem Log in den Fix kopiert, führt FRST eine der folgenden beiden Handlungen aus:
  1. Es erstellt den Standardwert des Schlüssels wieder her oder
  2. Es löscht den Schlüssel.
Wenn die in die fixlist.txt kopierten Eintrage zu einem der Bereiche Winlogon-Werte (Userinit, Shell, System), LSA und AppInit_DLLs gehören, werden sie auf die Standard Windows-Werte zurückgesetzt.

Wichtiger Hinweis:
Wenn man einen bösartigen Pfad aus dem AppInit_DLLs Wert löschen lässt, bleiben die anderen Pfade in AppInit_DLLs erhalten und werden nicht angerührt.



Man braucht keine Batch oder Regfix zu erstellen. Dasselbe ist auch für andere wichtige Schlüssel wahr, die von Malware missbraucht werden können.

Wichtiger Hinweis:
FRST rührt die Dateien, die von den Registryeinträgen geladen werden, nicht an. Diese Dateien müssen separat entfernt werden, indem man ihren kompletten Pfad angibt, ohne weitere Infos.


Run und Runonce Einträge werden aus der Registry gelöscht, wenn sie in der fixlist.txt stehen. Die von dem Registryeintrag geladenen Dateien werden nicht entfernt.
Beispiel:
Zitat:
HKLM\...\Run: [3ktQnKPKDDuPsCd] C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe [334848 2012-08-03] ()
C:\Users\Someperson 3\AppData\Roaming\xF9HhFtI.exe

Für die Notify Schlüssel, wenn sie in der fixlist.txt aufgeführt sind, wird der DllName-Wert des Schlüssels zurückgesetzt, falls sie Teil der Standardwerte sind. Wenn der Schlüssel kein Standardwert ist, wird er gelöscht.

Die Image File Execution Options Einträge werden gelöscht, wenn sie in der fixlist.txt aufgeführt sind.

Wenn eine Datei oder eine Verknüpfung im Startup Ordner gefunden wird, führt FRST die Datei in der Rubrik Startup: auf. Wenn die Datei eine Verknüpfung ist, wird in der nächsten Zeile die Zieldatei, auf die die Verknüpfung verweist, angezeigt (also die Datei, die von der Verknüpfung aufgerufen wird). Um beide Dateien zu entfernen, müssen auch beide Dateien (die Verknüpfung und die Zieldatei) in die fixlist.txt kopiert werden.
Beispiel:
Zitat:
Startup: C:\Users\rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
ShortcutTarget: runctf.lnk -> C:\Users\rob\1800947.exe ()
Wichtiger Hinweis: Die erste Zeile entfernt nur die Verknüpfung. Die zweite Zeile entfernt nur die 1800947.exe. Wenn man also nur die zweite Zeile mit der ausführbaren Datei aufführt, wird nur die ausführbare Datei entfernt und die Verknüpfung bleibt im Startup-Ordner. Beim nächsten Neustart wird es dann eine Fehlermeldung geben, wenn die Verknüpfung die Datei auszuführen versucht und diese nicht findet.


Wenn Malware nicht vertrauenswürdige Zertifikate (Untrusted Certificates) oder Richtlinien zur Beschränkung von Software (Software Restriction Policies) einsetzt, findet man beispielsweise folgende Einträge:
Zitat:
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG
Zitat:
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ACHTUNG
Um die Blockierung der Antivirenprogramme aufzuheben, muss man nur die entsprechenden Zeilen in die fixlist.txt einfügen.

Hinweis:
Die Erkennung von Gruppenrichtlinien ist generisch. Es ist möglich, dass andere legitime Einträge erstellt werden, um das System vor Schadsoftware zu schützen.
Mehr dazu hier: How to manually create Software Restriction Policies to block ransomware


FRST erkennt auch das Vorhandensein von Gruppenrichtlinien (Group Policy Objects), (Registry.pol und Skripts), was von Malware missbraucht werden kann. Google Chrome (siehe Chrome Sektion weiter unten) und Windows Defender Richtlinien in der Datei registry.pol werden individuell aufgelistet:
Zitat:
GroupPolicy: Beschränkung - Windows Defender <======= ACHTUNG
Für andere Richtlinien oder Skripte erhält man nur eine generische Mitteilung ohne Details:
Zitat:
GroupPolicy: Beschränkung ? <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG
Um die Richtlinien wiederherzustellen, fügt man die Einträge in die fixlist.txt ein. FRST wird die GroupPolicy-Ordner bereinigen und einen Neustart durchführen.
Beispiel:
Zitat:
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
Wichtiger Hinweis: Die Erkennung ist für einen Standad Heimcomputer, auf dem sich normalerweise keine Richtlinien befinden, ausgelegt. Daher kann es sein, dass legitime Einträge angezeigt werden, die über gpedit.msc hinzugefügt wurden.


Ist die Systemwiederherstellung aufgrund einer Gruppenrichtlinie deaktiviert, wird das wie folgt angezeigt:
Beispiel:
Zitat:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ACHTUNG
Wird diese Zeile in die Fixlist kopiert, so wird der gesamte Schlüssel gelöscht (er existiert normalerweise nicht)

Wichtiger Hinweis:
FRST erstellt auch eine Warning in der Addition.txt wenn die Systemwiederherstellung deaktiviert ist, selbst wenn diese nicht durch eine Group Policy sondern durch den User deaktiviert ist. In letzterem Fall kann FRST die Systemwiederherstellung nicht automatisch aktivieren und man muss dem User bitten das manuell zu tun.




Internet
In den meisten Fällen werden Einträge, die in die fixlist.txt kopiert werden, entfernt. Für Registry Einträge, in denen Dateien oder Ordner vorkommen, müssen die Dateien/Ordner extra in den Fix kopiert werden. Dies bezieht sich allerdings nicht auf Browser-Einträge (mit Ausnahme des Internet Explorers), siehe dazu die Beschreibungen weiten unten für weitere Details.


Winsock
Ungewöhnliche Winsock Einträge werden im Log aufgeführt. Wenn ein bösartiger catalog 5 Eintrag identfiziert wurde, kann dieser in die fixlist.txt kopiert werden. Dann passiert eines der folgenden Dinge:

1) Im Falle eines veränderten Eintrags wird der Standardwert wiederhergestellt
2) Im Falle eines neuerstellten Eintrags wird dieser gelöscht und die Catalog-Einträge neu durchnummeriert.

Wenn es um catalog 9 Einträge geht, dann sollte besser der Befehl "netsh winsock reset" benutzt werden. Sollten danach weiterhin bösartige catalog-Einträge existieren, können diese in die fixlist.txt aufgenommen werden. FRST wird dann die Einträge löschen und den Katalog neudurchnummerieren.

Wichtiger Hinweis: Eine beschädigte Winsock-Kette wird den Rechner vom Internet trennen.

Eine beschädigte Winsock-Kette sieht wie folgt aus:
Zitat:
Winsock: -> Catalog5 - Unterbrochene Internetverbindung aufgrund eines fehlenden Eintrages. <===== ACHTUNG
Winsock: -> Catalog9 - Unterbrochene Internetverbindung aufgrund eines fehlenden Eintrages. <===== ACHTUNG
Um diese zu reparieren, kann man die Einträge in die fixlist kopieren.

Im Falle eines ZeroAccess Befalls kann man beispielsweise Folgendes sehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9 01 mswsock.dll => Keine Datei
Winsock: Catalog9 02 mswsock.dll => Keine Datei
Winsock: Catalog5-x64 01 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog9-x64 01 mswsock.dll => Keine Datei
Winsock: Catalog9-x64 02 mswsock.dll => Keine Datei
Wenn diese Einträge in fixlist.txt kopiert werden, setzt FRST zwar die Catalog5 zurück, repariert allerdings nicht die problematischen Catalog9-Einträge. Stattdessen wird es einen anweisen, den Befehl "netsh winsock reset" auszuführen, um das Problem zu beheben.

Ein vollständiger Fix für die ZeroAccess Einträge sollte daher wie folgt aussehen:
Zitat:
Winsock: Catalog5 01 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 06 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 06 mswsock.dll => Keine Datei ACHTUNG: LibraryPath sollte sein "%SystemRoot%\System32\mswsock.dll"
cmd: netsh winsock reset
Wichtiger Hinweis: Das netsh winsock reset im Fix ist notwendig um den Internatzugang zu erhalten.

Das Fixlog dieses Fixes würde wie folgt aussehen:
Zitat:
Winsock: Catalog5 000000000001\\LibraryPath => erfolgreich wiederhergestellt (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5 000000000006\\LibraryPath => erfolgreich wiederhergestellt (%SystemRoot%\System32\mswsock.dll)
Winsock: Catalog5-x64 000000000001\\LibraryPath => erfolgreich wiederhergestellt (%SystemRoot%\system32\NLAapi.dll)
Winsock: Catalog5-x64 000000000006\\LibraryPath => erfolgreich wiederhergestellt (%SystemRoot%\System32\mswsock.dll)

========= netsh winsock reset =========

Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschließen.

========= Ende von CMD:
Wichtiger Hinweis:In bestimmten Situation kann es sein, dass der netsh winsock reset Befehl nicht funktioniert. Wenn das passiert, sollte man den Benutzer nochmal einen Neustart durchführen und den Befehl cmd: netsh winsock reset erneut ausführen lassen.


hosts
Wenn in der Hosts benutzerspezifische Einträge vorhanden sind, sieht man in der Internet-Rubrik des FRST.txt folgenden Eintrag:
Zitat:
Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt

Falls die Hosts-Datei nicht gefunden wird, wird FRST dies ebenfalls vermerken.
Um die hosts-Datei zurückzusetzen, reicht es, den Eintrag in die fixlist.txt zu kopieren. Das erfolgreiche Zurücksetzen der hosts-Datei wird im fixlog.txt vermerkt.



Tcpip und weitere Einträge
Tcpip und andere Einträge werden, wenn sie in die fixlist.txt eingefügt werden, gelöscht.

Wichtiger Hinweis: Im Falle der StartMenuInternet-Einträge werden nur veränderte Einträge für IE, FF, Opera oder Chrome aufgeführt. Die Standardwerte sind in einer Whitelist und tauchen nicht auf. Wenn der Eintrag im FRST Log erscheint, so bedeutet das, dass ein nicht-standard Pfad angezeigt wird. Es kann oder aber auch nicht sein, dass etwas mit dem Pfad in der Registry nicht stimmt. Evtl. sind weitere Recherchen notwendig. Der Eintrag kann in die fixlist.txt kopiert werden und wird dann auf den Standardwert zurückgesetzt.



Internet Explorer
Startseiten von Browsern, SearchScopes (Suchanbieter) und andere Einträge, die nicht Dateien/Ordner beinhalten: abhängig von der Art des Einträges wird FRST diese von der Registry entfernen oder sie auf den Standardeintrag bringen.
Beispiel:
Zitat:
HKU\S-1-5-21-1177238915-220523388-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172
SearchScopes: HKU\S-1-5-21-1177238915-220523388-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1416067288&from=adks&uid=WDCXWD2500BEVT-22ZCT0_WD-WX31A20C4172C4172&q={searchTerms}
URLSearchHooks, BHO, Toolbar, Handler und Filter Einträge kann man in den Fix kopieren und dann wird der entsprechende Eintrag gelöscht. Dazugehörige Dateien/Ordner müssen separat aufgeführt werden, wenn man sie entfernen möchte.
Beispiel:
Zitat:
BHO: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi64.dll [2015-08-05] ()
BHO-x32: shopperz -> {d0174004-bb12-464b-b666-9ba9bdbd750a} -> C:\Program Files\shopperz\Gaalmi.dll [2015-08-05] ()
C:\Program Files\shopperz

Edge
FRST führt auf welche Webseite der HomeButtonPage linkt, ob Session Restore (Sitzungswiederherstellung) aktiviert ist und welche Addons installiert sind:

Zitat:
Edge HomeButtonPage: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> hxxp://www.istartsurf.com/?type=hp&ts=1439478262&z=019d9423eacc473501fd356gez9c7t5z3mbb5g9g9q&from=obw&uid=CrucialXCT250MX200SSD1_1528100C4588100C4588
Edge Session Restore: HKU\S-1-5-21-3306840180-458517910-2511866134-1001 -> ist aktiviert.
Edge Extension: Adblock Plus -> 10_EyeoGmbHAdblockPlus_d55gg7py3s0m0 => C:\Program Files\WindowsApps\EyeoGmbH.AdblockPlus_0.9.6.0_neutral__d55gg7py3s0m0 [2016-08-14]
Wenn man die Einträge HomePageButton und Session Restore der fixlist beifügt, werden sie aus der Registry gelöscht. Bei Extensions wird der Registryeintrag gelöscht und der Ordner entfernt.


Firefox
FRST führt Firefox-Einträge und -Profile auf wenn sie vorhanden sind, selbst falls Firefox nicht mehr installiert sein sollte. Sollten mehrere Firefox-Profile bzw. Firefox-Klone vorhanden sein, so wird FRST Einstellungen, user.js, Erweiterungen und SearchPlugins aller Profile anzeigen. Nicht-standard Profile, die von Adware erzeugt werden, werden ebenfalls markiert,

Wenn Preferences (Voreinstellungen) in die Fixlist.txt kopiert werden, werden die entsprechende Werte gelöscht. Beim nächsten Neustart von Firefox oder einem Firefox-Klon wird der Standard-Eintrag von Firefox genutzt. Die Einträge können wie folgt direkt in die fixlist.txt kopiert werden:
Zitat:
FF Homepage: Mozilla\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.nicesearches.com?type=hp&ts=1476183215&from=3a211011&uid=st500dm002-1bd142_z2aet08txxxxz2aet08t&z=0559c0a5d07470648e70698g0zdmbqfg7b1c6o6g3q
FF Homepage: Firefox\Firefox\Profiles\v5cxxsxx.default -> hxxp://www.searchinme.com/?type=hp&ts=1476182952551&z=55578e764da22757c48433bg7z8m7q1g1b6tac4t4m&from=official&uid=ST500DM002-1BD142_Z2AET08TXXXXZ2AET08T
FRST überprüft die digitale Signatur der Add-ons. Nicht signierte Add-ons werden wie folgt angezeigt
Zitat:
FF Extension: Web Protector - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\v5uc809j.default\Extensions\{a95d417e-c6bc-decc-ba54-456315cd7f2d} [2015-09-06] [ist nicht signiert]
Add-ons, Extensions und Plugins können ebenfalls direkt in die fixlist.txt kopiert werden. Wenn im Eintrag eine Datei/ein Ordner aufgeführt wird wird dieser auch gelöscht.
Beispiel für Addons:
Zitat:
FF HKU\S-1-5-21-2914137113-2192427215-1418463898-1000\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
FF Extension: Free Games 111 - C:\Users\Owner\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-01-21]
Beispiel für Plugins:
Zitat:
fixlist Inhalt:
*****************
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate)
*****************

HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10 => Schlüssel erfolgreich entfernt
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => erfolgreich verschoben
HKLM\Software\Wow6432Node\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4 => Schlüssel erfolgreich entfernt
C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll => nicht gefunden

Chrome
FRST führt vorhandene Chrome-Einträge und Profile auf unabhängig davon ob Chrome installiert ist oder nicht. Selbst wenn es mehrere Profile gibt, wird FRST nur die Einstellungen des default profiles aufführen. Extensions werden für alle Profile aufgeführt. Nicht-standard Profile, die von Adware erzeugt werden, werden ebenfalls markiert.

Der preferences (Voreinstellungen) Suchlauf schließt HomePage, StartupUrls, die Session Restore (Sitzungswiederherstellung) und einige Parameter von Standardsuchanbieter mit ein:
Zitat:
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935"
CHR DefaultSearchURL: Default -> hxxp://www.nuesearch.com/search/?type=ds&ts=1473242946&z=77f63c84f08249bbf085524g1z0m0ceodz4o6tdz9z&from=che0812&uid=WDCXWD2000BB-00RDA0_WD-WMANL114693546935&q={searchTerms}
CHR Session Restore: Default -> ist aktiviert.
Die Einträge HomePage und StartupUrls werden gelöscht, wenn man sie in die fixlist.txt einfügt. Fügt man andere Einträge in den Fix mit ein, so wird Chrome teilweise zurückgesetzt und ein Benutzer könnte den folgenden Hinweis sehen, wenn er das nächste Mal die Chrome-Einstellungen öffnet: "Chrome hat erkannt, dass einige ihrer Einstellungen durch ein anderes Programm verändert und auf die Standardeinstellungen zurückgesetzt wurden."

FRST erkennt auch New Tab -Weiterleitungen, die von Erweiterungen kontrolliert werden. Um die Weiterleitung zu entfernen, muss man die entsprechende Erweiterung identifizieren und mit Chrome selbst deinstallieren (siehe darunter).
Zitat:
CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]
FRST ist nicht in der Lage, eine CHR Extension zu entfernen. Die CHR Extension wird immer noch in der entsprechenden Liste in Chrome geführt. Der entsprechende Ordner wird von Chrome wiederhergestellt. Daher werden CHR Extension in einem Fix nicht bearbeitet. Es ist notwendig, die Chrome-eigenen Tools dafür zu verwenden:
Tippe chrome://extensions in die Adresszeile und drücke Enter.
Klicke auf das Mülleimersymbol der Erweiterung, die du entfernen möchtest.
Ein Diaglog zur Bestätigung erscheint, klicke auf Entfernen.

Eine Ausnahme ist ein Erweiterung-Installationsprogramm, das sich in der Registry befindet. Wenn ein solcher Eintrag in die fixlist.txt kopiert wird, wird der Schlüssel gelöscht und die dazugehörige Datei verschoben (falls gefunden).
Zitat:
fixlist Inhalt:
*****************
CHR HKLM-x32\...\Chrome\Extension: [emidjbenipnbgpknhjkkdfocdjbogooh] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx [2014-04-24]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx <nicht gefunden>
*****************

"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\emidjbenipnbgpknhjkkdfocdjbogooh" => Schlüssel erfolgreich entfernt
C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4046\ch\MediaBuzzV1mode4046.crx => erfolgreich verschoben
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mmifolfpllfdhilecpdpmemhelmanajl" => Schlüssel erfolgreich entfernt

Einige Adware nutzen Gruppenrichtlinien, um eine Veränderung der Erweiterungen oder anderer Funktionen zu verhindern:
Zitat:
GroupPolicy: Beschränkung - Chrome <======= ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <======= ACHTUNG
Für weitere Details siehe die Beschreibung Gruppenrichtlinien in der Sektion Registry.

Dieser Eintrag:
Zitat:
CHR dev: Chrome dev build erkannt! <======= ACHTUNG
erscheint wenn die Chrome version keine offiziell herausgegebene Version ist sondern eine Version die noch im Entwicklungsstadium ist. Häufig wird diese Version von Adware installiert und es empfiehlt sich daher die Chrome version zu deinstallieren und die letzte offizielle Version zu installieren, ausgenommen wenn der User bewusst die Entwicklerversion selbst installiert hat.


Opera
FRST führt alle Einträge und Profile von Opera auf, unabhängig davon ob Opera installiert ist oder nicht.

Der Scan für Opera ist derzeit begrenzt auf: StartMenuInternet, StartupUrls, Session Restore (Sitzungswiederherstellung) und extensions:

Zitat:
OPR StartupUrls: "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggadghZAFsUQxhHIlxZTA1JEwEOeQsJWBQTFwQUIgoJAFhGFwMFIk0FA1oDB0VXfV5bFElXTwh3MlxZEkwDRGFRIVpT"
OPR Session Restore: -> ist aktiviert.
OPR Extension: (iWebar) - C:\Users\operator\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2015-01-15]

StartupUrls oder Session Restore Einträge in der fixlist.txt entfernen den Eintrag.
Erweiterungen in der fixlist.txt entfernt die Erweiterungen. Es ist nicht notwendig den Pfad der Datei separat aufzuführen.
Auch wenn die Erweiterung danach nicht mehr aktiv ist, wird sie weiterhin unter Erweiterungen in Opera sichtbar sein. Um diese zu entfernen nutzt man am besten die Tools von Opera:
Tippe chrome://extensions in die Adresszeile und drücke Enter.
Um die jeweilige Erweiterung zu entfernen, klicke auf das X für jedes Element und dann auf OK.

Für Browser, die hier nicht aufgeführt werden wird empfohlen, den Browser zu deinstallieren und neu zu installieren.



Services (Dienste) und Drivers (Treiber)
Die Dienste und Treiber sind wie folgt dargestellt:

Laufstatus Starttyp Dienstname; ImagePath oder ServiceDLL [Größe Erstelldatum] (Name der Firma)

Laufstatus - Der Buchstabe neben der Nummer stellt den Ausführungsstatus dar:

R=Running (Am Laufen)
S=Stopped (Angehalten)
U=Undetermined (Unbekannt)

Die "Starttyp" Zahlen sind:

0=Boot,
1=System,
2=Auto,
3=Demand (bei Bedarf),
4=Disabled (Deaktiviert)
5= FRST kann es nicht auslesen.

Wenn am Ende der Zeile ein [x] zu sehen ist, bedeutet das, dass FRST nicht in der Lage war, die Datei zu finden und daher nur den ImagePath oder die ServiceDll, der in der Registry gespeichert ist, angibt.

FRST untersucht Dienste und Treiber auf ein paar bekannten Infektionen und prüft dafür die Dateisignaturen der entsprechenden Dateien.
Wenn die Datei nicht signiert ist, dann zeigt FRST das wie folgt an:
Zitat:
==================== Dienste (Nicht auf der Ausnahmeliste) ====================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Datei ist nicht signiert]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Datei ist nicht signiert]
Wenn eine Microsoft Systemdatei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Wichtiger Hinweis: Der Signature-check ist in der Recovery Environment nicht verfügbar.

Um einen bösartigen Dienst oder Treiber zu entfernen, kopiert die Zeile from Scan log in die fixlist.txt. Die Datei muss ebenefalls aufgeführt werden:

Beispiel:
Zitat:
R2 Khiufa; C:\Users\User\AppData\Roaming\Eepubseuig\Eepubseuig.exe [174432 2016-04-13] ()
C:\Users\User\AppData\Roaming\Eepubseuig
Das Programm beendet alle Dienste, die in der fixlist.txt aufgeführt wird und löscht den Dienst.



Wichtiger Hinweis:
FRST gibt an, ob es einen laufenden Dienst erfolgreich beendet hat oder nicht. Unhabhängig davon wird FRST versuchen den Dienst zu löschen. Wenn ein laufender Dienst gelöscht wird, wird FRST den User informieren, dass ein Neustart nötig ist. FRST wird anschließend den Rechner neustarten. FRST wird ausserdem dem Log eine Zeile hinzufügen in dem der Neustart vermerkt ist. Wenn der Dienst beendet wurde, ist kein Neustart notwendig.

Es gibt zwei Ausnahmen, bei denen FRST den entsprechenden Dienst nicht löscht, sondern repariert. Falls die Dienste "Themes" oder "Windows Management Instrumentation" von Malware manipuliert wurden, findet man folgendes:
Zitat:
S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== ACHTUNG
Zitat:
S2 Winmgmt; C:\ProgramData\3qz8qm8z8.gsa [188169 2014-03-29] (Microsoft Corporation)
Wenn eine derartige Zeile in die fixlist.txt eingefügt wird, werden die Parameter auf den Standard-Eintrag zurückgesetzt.

Wichtiger Hinweis: Wenn FRST einen Dienst nicht auslesen kann wird das wie folgt dargestellt:
Zitat:
"1b36535375971e1b" => service konnte nicht entsperrt werden. <===== ACHTUNG
Sowas kann durch ein Rootkit oder eine korrumpierte Registry passieren. Bei Bedarf andere um Hilfe fragen.



NetSvcs
Bekannte gutartige Einträge werden nicht aufgeführt. Das bedeutet jedoch nicht, dass alle aufgeführten Einträge bösartig sind, sondern dass die aufgeführten Einträge kontrolliert werden müssen.

Die NetSvc Einträge werden jeweils in einer eigenen Zeile aufgeführt:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ACHTUNG ====> ZeroAccess
NETSVC: pMgt -> C:\Window\System32\dstor.dll ==> keine Datei
NETSVC: WUSB54GCSVC -> kein Dateipfad
Der erste Eintrag wurde als Teil von ZeroAccess identifiziert (=====> ZeroAccess) und sollte daher entfernt werden.

Der zweite Eintrag ist ein Überbleibsel. Die Datei, die mit dem Dienst assoziiert ist, fehlt.

Der dritte Eintrag bedeutet, dass der Dienst WUSB54GCSVC keinen ServiceDll Eintrag in der Registry besitzt.

Wichtiger Hinweis: Fügt man die Netsvc Zeile in die fixlist.txt ein, wird nur der netsvc-Eintrag entfernt. Der dazugehörige Dienst und die Datei müssen separat gelöscht werden.

Um zu dem vorherigen Beispiel zurückzukehren: Es gibt einen Dienst, der weiter oben bereits aufgeführt wurde, der zu dem ersten netsvc-Eintrag gehört. Er sieht wie folgt aus:
Zitat:
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ACHTUNG ====> ZeroAccess
Um den Netsvc Eintrag, den Dienst und die DLL zu löschen, müsste die fixlist.txt wie folgt aussehen:
Zitat:
NETSVC: NMSSvc -> C:\Windows\system32\smcservice.dll (Oak Technology Inc.) ACHTUNG ====> ZeroAccess
R2 NMSSvc; C:\Windows\System32\smcservice.dll [6656 2009-07-13] (Oak Technology Inc.) ACHTUNG ====> ZeroAccess
C:\Windows\System32\smcservice.dll


One Month Created Files and Folders (Ein Monat: Erstellte Dateien und Ordner) und One Month Modified Files and Folders (Ein Monat: Geänderte Dateien und Ordner)
Bei den Log der erstellten Dateien, wird erst das Erstelldatum, dann das Datum der letzten Veränderung aufgeführt. Bei den modifizierten Dateien ist die Reihenfolge umgekehrt: Erst das Datum der Letzten Änderung, anschließend das Erstelldatum.
Die Dateigröße ist ebenfalls aufgeführt. Handelt es sich um einen Ordner, so ist die Größe mit 000000 angegeben.



Wichtiger Hinweis: Um lange Scanzeiten zu vermeiden und die Logs kurz zu halten, ist der Scan auf bestimmte Orte begrenzt. FRST führt Ordner auf, aber nicht deren Inhalt. Wenn der Inhalt überprüft werden soll, muss der Folder: Befehl benutzt werden.

FRST führt auch die Attribute der Dateien auf:

C - Compressed (komprimiert)
D - Directory (ordner)
H - Hidden (versteckt)
L - Symbolic Link (symbolischer link)
N - Normal (hat keinerlei Attribute)
O - Offline
R - Readonly (kein Schreibrecht)
S - System
T - Temporary (temporäre Datei)
X - No scrub (keine Bereinigungsdatei) (hier Windows 8+)

Um eine Datei oder einen Ordner zu löschen, kann man einfach die Zeile in die fixlist.txt kopieren:
Zitat:
2013-03-20 22:55 - 2013-03-20 22:55 - 00000000 ____D C:\Program Files (x86)\SearchProtect
2010-10-12 01:06 - 2008-11-07 18:18 - 0000406 _____ c:\Windows\Tasks\At12.job
2010-10-12 01:06 - 2008-11-07 18:17 - 0001448 ____S c:\Windows\System32\Drivers\bwmpm.sys
Die Liste der symbolischen Links ist besonders für die Erkennung von einem ZeroAccess Befall von Nutzen.

Beispiel:
Zitat:
2013-07-14 18:17 - 2013-07-14 18:17 - 00000000 ___DL C:\Windows\system64
Bevor dieser Ordner gelöscht wird, sollte man den DeleteJunctionsInDirectory: Pfad zum Ordner nutzen (Dieser Befehl kann in jedem Modus genutzt werden).

Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Windows\system64
Um andere, nicht in der Rubrik erwähnte Dateien/Ordner, zu entfernen, kann man deren Pfad einfach in die fixlist.txt einfügen. Es sind keine Anführungszeichen für Pfade mit Leerzeichen notwendig:
Zitat:
c:\Windows\System32\Drivers\bösartigeDatei.sys
C:\Program Files (x86)\BösartigerOrdner
Hat man zahlreiche Dateien mit ähnlichen Namen, so kann man Platzhalter einsetzen.

Man kann also entweder alle Dateien aufführen:
Zitat:
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job
Oder einen Platzhalter benutzen:
Zitat:
C:\Windows\Tasks\At*.job
Wichtiger Hinweis: Ein Fragezeichen wird nicht als Wildcard akezpetiert, siehe dazu auch den Abschnitt "Unicode" im 2. Post "Einleitung". Des Weiteren werden keine Wildcards für Ordner akzeptiert.



Files to move or delete (Dateien, die verschoben oder gelöscht werden sollten)
Dateien in dieser Rubrik sind entweder bösartige Dateien oder Dateien, die sich am falschen Ort befinden.

Beispiele für legitime Dateien am "falschen Ort" sind User-Downloads, die direkt in %userprofile% gespeichert werden. Ein anderes Beispiel wäre, wenn eine legitime Software eines Drittanbieters einige seiner Dateien im Benutzerordner ablegt. Das ist ein schlechtes Verhalten von jedem Softwareanbieter. Daher sollten derartige Dateien verschoben werden, auch wenn sie legitim sind. Es gibt viele Infektionen, die ihre fingierten Dateien (diese sehen legitim aus, sind aber bösartig) in diesen Ordner legen und von dort gestartet werden.

Einträge können genau wie die Dateien im Abschnitt Ein Monat: Erstellte/Geänderte Dateien und Ordner weiter oben gehandhabt werden.



Some content of TEMP (Einige Dateien in TEMP)
Dieser Abschnitt führt Dateien auf die direkt im %TEMP%-Ordner (und nicht in einem Unterordner) liegen und bestimmte Dateiendungen haben. Wenn keine derartigen Dateien vorhanden sind, dann ist dieser Abschnitt ausgespart. Das heißt allerdings nicht, dass der %TEMP%-Ordner leer ist oder sich dort keine Schadsoftware befindet. Um eine gründliche Reinigung vorzunehmen, nutzt man am besten den Befehl EmptyTemp: .



Known DLLs
Einige der hier aufgeführten Dateien können, wenn nicht vorhanden oder korrumpiert, den Rechner unbootbar machen. Daher erscheint dieser Teil des Logs auch nur, wenn der Scan in der Recovery Environment ausgeführt worden ist.
Einträge erscheinen nur, wenn es Probleme gibt. Ist alles in Ordnung, werden sie nicht aufgeführt.

Vorsicht muss walten bei der Handhabung der Dateien in diesem Abschnitt. Wenn eine Datei fehlt oder verändert wurde, findet sich zumeist eine gute Kopie auf dem Rechner des Systems. Am besten holt man sich sachkundige Hilfe zum Identifizieren der benötigten Datei. Bitte siehe in den Abschnitt Befehle dieser Anleitung, in der gezeigt wird, wie eine Datei ersetzt wird und im Abschnitt "Weitere optionale Suchläufe" wird gezeigt, wie man eine Suche ausführt.



Bamital & volsnap
Hauptsächlich zum Erkennen der Bamital und volsnap Malware gefragt, mittlerweile auf mehr Sonderfälle ausgeweitet.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Wenn eine Datei nicht, wie erwartet, signiert ist, werden die Datei-Eigenschaften gezeigt.

Beispiel eines Hijacker.DNS.Hosts Befalls:
Zitat:
C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E
Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man die Replace:-Funktion.

Wichtiger Hinweis: Der Signatur-Check ist in dem Recovery Environment nicht verfügbar.

Wenn im BCD ein Eintrag von Malware hinzugefügt wurde, kann man folgende Zeile am Ende der Bamital-Rubrik sehen:
Zitat:
TDL4: custom:26000022 <===== ACHTUNG
Dieser Eintrag kann den PC ebenfalls unbootbar machen, wenn das Bootkit entfernt wurde, der Eintrag aber noch nicht gelöscht wurde. Wenn diese Zeile in die fixlist.txt eingefügt wird, so wird der Eintrag gelöscht und der BCD auf den Standardeintrag zurückgesetzt.

Die sicherste Art, in den abgesicherten Modus zu booten, ist mithilfe der F8-Taste (Windows 7 und älter) oder dem Erweiterten Start (Windows 8 und 10) möglich. In einigen Fällen werden die User mithilfe von MSConfig in den abgesicherten Modus booten. Ist der abgesicherte Modus jedoch kaputt, befinden sich die User dann in einer Endlosschleife, aus der sie nicht mehr in den normalen Modus booten können. In einem solchen Fall enthält FRST.txt folgenden Eintrag:
Zitat:
safeboot: ==> Das System ist konfiguriert in den abgesicherten Modus zu starten <===== ACHTUNG
Um das Problem zu beheben, reicht es, die Zeile in die fixlist.txt zu kopieren. FRST setzt dann den normalen Modus wieder als standard Bootmodus.

Wichtiger Hinweis: Dies gilt für Windows Vista und neuer.



Association (Verknüpfungen)
Wichtiger Hinweis: Der Abschnitt "Association (Verknüpfungen)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden. In der Recovery Environment wird nur die .exe Endung kontrolliert.

Hier wird die allgemeine exe-Endung angezeigt:
Zitat:
HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ACHTUNG
Wie auch bei anderen Registry-Einträgen, kann man die Zeile einfach in die fixlist.xt kopieren, um sie auf ihren Standardwert zurückzusetzen. Es muss kein Registryfix dafür geschrieben werden.



Restore Points (Wiederherstellungspunkte)
Wichtiger Hinweis: Der Abschnitt "Restore Points (Wiederherstellungspunkte)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Die Wiederherstellungspunkte werden hier aufgeführt.

Wichtiger Hinweis: FRST kann nur für Windows XP die Wiederherstellungspunkte laden. Wenn man ein Vista System auf einen alten Wiederherstellungspunkt zurücksetzten will, sollte man das in der Recovery Environment mittels der Windows System Recovery Options tun.


Um die Registry auf den Status eines Wiederherstellungspunktes zurückzusetzen, reicht es, die Zeile in die fixlist.txt zu kopieren.

Beispiel für XP:
Zitat:
RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81
Um die Registry Hives aus dem Wiederherstellungspunkt 82 (vom 24.10.2010) wiederherzustellen, reicht es, die Zeile in die fixlist.txt zu kopieren:
Zitat:
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
Um in einem Fix ein anderes Backup (zb von FRST, CF oder Erunt) einzuspielen, siehe die Befehle-Rubrik.



Memory info (Speicherinformationen)
Wichtiger Hinweis: Der Abschnitt "Memory info (Speicherinformationen)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Die Rubrik gibt Auskunft über die Menge an RAM im Rechner und wieviel davon benutzt wird. Dies kann Probleme am Rechner erklären. Wenn etwa das angeblich vorhandene RAM nicht mit dem angezeigten übereinstimmt, kann dies auf einen kaputten RAM-Riegel, einen fehlerhalten Steckplatz am Motherboard oder ein veraltetes BIOS hinweisen.
Bei 32-bit mit mehr als 4GB installiertem RAM wird das Maximum dennoch 4GB sein, da dies die Obergrenze für 32bit Anwendungen ist.

Prozessor informationen, virtueller Speicherplatz und freier virtueller Speicherplatz werden ebenfalls aufgeführt.



Drives (Laufwerke) und MBR & Partition Table (MBR & Partitionstabelle)

Wichtiger Hinweis: Die Abschnitte "Drives (Laufwerke)" und "MBR & Partition Table (MBR & Partitionstabelle)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Diese Rubrik zählt auf, welche primäre und erweiterte Partitionen auf dem PC sind, sowie ihre Größe und der freie Platz auf der Partition. USB-Sticks werden auch aufgeführt, insofern sie zum Zeitpunkt des Scans angeschlossen sind.

Der MBR (Master Boot Record) Code wird aufgeführt.

Eventuell erscheint folgende Zeile:
Zitat:
ATTENTION: Malware custom entry on BCD on drive EinLaufwerk: detected. Check for MBR/Partition infection.
Wie bei anderen komplexen Befällen ist es auch hier empfehlenswert, sich Expertenrat einzuholen. Ein falscher Fix kann das Betriebssystem unbootbar machen.

In einigen Fällen gibt es weitere Hinweise im Log, wie man den Befall löschen kann. In anderen Fällen muss man dies manuell in der Recovery Environment tun. Siehe den "Befehle" Teil dazu.

Wenn man Hinweise hat, dass der MBR verändert wurde, sollte man sich diesen genauer anschauen. Am besten mit einem Dump. Dies kann wie folgt getan werden:

Der Befehl kann in jedem von FRSTs Ausführungsmodi benutzt werden:
Zitat:
SaveMbr: drive=0 (oder die entsprechende drive-Nummer)
Er speichert den MBR in die Datei MBRDUMP.txt. Die Datei befindet sich im selben Ordner wie FRST.

Wichtiger Hinweis: Obwohl ein MBR Dump sowohl im normalen Modus als auch in der RE erstellt werden kann, ist es immer zu bevorzugen, den Dump in der RE vorzunehmen, da einige Bootkits einen sauberen MBR vortäuschen können, wenn Windows geladen ist.



LastRegBack
FRST analysiert das System und führt alle Registry-Backups, die das System gemacht hat, auf. Das Backup enthält ein Backup aller Registry Hives, es unterscheidet sich daher von dem LKGC (Last Known Good Configuration), das nur das Controlset beinhaltet.
Es gibt eine Reihe von Gründen, warum man eines dieser Backups benutzen wollen könnte. Eine der häufigsten ist eine kaputte oder fehlende Registry:

Manchmal kann man folgendes im FRST Header sehen:
Zitat:
"ACHTUNG: System Hive konnte nicht geladen werden"
Um das zu reparieren, reicht es, die folgende Zeile in die fixlist.txt einzufügen:
Zitat:
LastRegBack: >> Datum << >> Zeit <<
Beispiel:
Zitat:
LastRegBack: 2013-07-02 15:09
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (19.08.2017 um 16:02 Uhr)

Alt 08.12.2013, 15:28   #5
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Addition.txt

Header
Der Header enthält ein paar nützliche Infos:

Beispiel:
Zitat:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 21-06-2017 01
durchgeführt von M-K-D-B (24-06-2017 13:48:23)
Gestartet von C:\Users\M-K-D-B\Desktop
Windows 10 Home Version 1703 (X64) (2017-04-12 19:39:26)
Start-Modus: Normal
Erste Zeile: FRST Version und ob es sich um die 32- oder 64bit version handelt.
Zweite Zeile: Der Benutzer, der das program ausgeführt hat und das Datum an dem es ausgeführt wurde.
Dritte Zeile: Von wo wurde das Programm ausgeführt
Vierte Zeile: Welches Betriebssystem installiert ist und wann es installiert wurde.
Fünfte Zeile: In welchem Boot Modus wurde das Programm ausgeführt.

Es führt die folgenden Sachen auf:


Accounts (Konten)
Listet die Standard-Benutzerkonten nach dem folgenden Schema: Lokaler Kontoname (Konto SID -> Rechte - Enabled/Disabled) -> Pfad zum Benutzerkonto
Microsoft Benutzerkonten werden nicht angezeigt.
Beispiel:
Zitat:
Administrator (S-1-5-21-12236832-921050215-1751123909-500 - Administrator - Enabled) => C:\Users\Administrator
Someperson (S-1-5-21-12236832-921050215-1751123909-1001 - Administrator - Enabled) => C:\Users\EinBenutzername
Guest (S-1-5-21-12236832-921050215-1751123909-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-12236832-921050215-1751123909-1003 - Limited - Enabled)


Security Center (Sicherheits-Center)
Diese Liste kann veraltete Einträge beinhalten, in diesem Fall kann der Eintag in die Fixlist.txt kopiert werden. Einige Programme können die Entfernung verhindern, in solchen Fällen erscheint folgende Nachricht:
Zitat:
Sicherheits-Center Eintrag: Dieser Eintrag ist geschützt. Stellen Sie sicher dass die Software deinstalliert und der Dienst entfernt wurde.


Installed Programs (Installierte Programme)
FRST besitzt eine eingebaute Datenbank mit den Namen von bekannten Adware/PUP Programmen, wenn ein solches gefunden wird, zeigt FRST es wie folgt an:
Zitat:
DictionaryBoss Firefox Toolbar (HKLM\...\DictionaryBossbar Uninstall Firefox) (Version: - Mindspark Interactive Network) <==== ACHTUNG
Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ACHTUNG
Es wird empfohlen derartige Programme zu deinstallieren bevor man andere Säuberungtools ausführt. Da die Deinstallation in der Regel mehr rückgängig macht als die Säuberungstools entfernen.

Findet FRST ein installiertes Programm, das nicht in der Liste der installierten Programme aufgeführt wird, listet FRST es wie folgt auf:
Zitat:
Google Update Helper (x32 Version: 1.3.22.3 - Google Inc.) Hidden
Diese Programme sind nicht zwangsläufig bösartig, sie sind einfach nur nicht in der Systemsteuerung unter Programme aufgeführt. Dies liegt daran, dass der RegistryWert SystemComponent zu 1 gesetzt ist. FRST kann diesen Wert auf 0 zurücksetzen und das Programm so in der Systemsteuerung-Liste sichtbar machen.

Wenn also die obige Zeile in die fixlist.txt eingefügt wird, erhält man folgenden Output im Fixlog.txt:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdwareKomponente\\SystemComponent => Wert erfolgreich entfernt
Wichtiger Hinweis: Dieser Fix macht das Programm in der Systemsteuerung sichtbar und deinstalliert das Programm nicht.

Ein verstecktes Programm ist nicht unbedingt schlecht, viele Programme sind auf diese Art und Weise versteckt, insbesondere die von Microsoft.



Custom CLSID (Benutzerdefinierte CLSID)
Listet benutzerdefinierte Classes auf, die in den Benutzer-Hives, ShellIconOverlayIdentifiers, ContextMenuHandlers und FolderExtensions erzeugt werden.
Beispiele:
Zitat:
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) <==== ATTENTION
Zitat:
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-01] ()
Zitat:
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2017-06-13] ()
Um die bösartigen Einträge zu entfernen, können diese einfach in die fixlist.txt eingefügt werden. FRST wird die Schüssel aus der Registry entfernen. Die dazugehörigen Dateien/Ordner sollten manuell in die fixlist.txt aufgeführt werden, um entfernt zu werden.

Wichtiger Hinweis: Es können sich auch legitime Einträge in diesem Abschnitt befinden, Vorsicht walten lassen!



Scheduled Tasks (Geplante Aufgaben)
Bekannte gutartige geplante Tasks werden gefiltert. Nur ungewöhnliche Einträge sollten in dieser Rubrik auftauchen. Wenn ein derartiger Eintrag in die fixlist.txt eingefügt wird, wird der geplante Task entfernt.
Zitat:
fixlist Inhalt:
*****************
Task: {41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF} - System32\Tasks\FocusPick => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe [2014-07-05] () <==== ACHTUNG
Task: C:\windows\Tasks\FocusPick.job => c:\programdata\{21428fd3-d588-925d-2142-28fd3d583f4f}\708853146668916958b.exe <==== ACHTUNG
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => Schlüssel erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41724A9A-4D5B-4BA0-BB3B-5E8527B95BDF}" => Schlüssel erfolgreich entfernt
C:\Windows\System32\Tasks\FocusPick => erfolgreich verschoben.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FocusPick" => Schlüssel erfolgreich entfernt
C:\windows\Tasks\FocusPick.job => erfolgreich verschoben.
FRST entfernt die relevanten Registry-Einträge, sowie die Datei des geplanten Tasks, jedoch nicht die ausgeführte Datei. Wenn diese Datei bösartig ist, sollte sie zusätzlich auf die fixlist.txt kopiert werden, um diese zu löschen.
/Malware kann durchaus die Namen legitimer Prozesse benutzen (z.B. kann es sc.exe nutzen, um seinen Dienst auszuführen), um sich selbst auszuführen. In anderen Worten: Stellt sicher, dass die Datei, die gelöscht werden soll, bösartig ist.



Shortcuts (Verknüpfungen) und WMI
Verknüpfungen in den Ordnern C:\ProgramData\Microsoft\Windows\Start Menu\Programs und C:\Users\Public\Desktop und im Profilordner des eingeloggten Benutzers werden gescannt. Veränderte oder suspekte Verknüpfungen werden hier aufgelistet.
Die Zeilen können der fixlist.txt zum Entfernen hinzugefügt werden. Siehe auch die "Shortcut.txt" in "Optionale Suchläufe".

Wichtiger Hinweis: Die Shortcut.txt führt alle Verknüpfungen von allen Benutzern im System auf. Die Additions.txt beinhaltet nur die Einträge die als bedenklich eingestuft wurden und im Profil des eingeloggten Benutzer sind.


Im Falle von WMI malware, die die Shortcuts gehijackt hat, zeigt FRST folgende Warnung:
Zitat:
WMI_ActiveScriptEventConsumer_ASEC: <===== ACHTUNG
Um die Malware zu entfernen, muss diese Zeile in die fixlist.txt kopiert werden.



Loaded Modules (Geladene Module)
Nur geladene Module ohne Firmennamen werden aufgeführt. Alle Module mit Firmennamen sind ausgespart, selbst wenn es sich dabei um Malware handeln sollte.



Alternate Data Streams
FRST führt ADS als Teil der Addition.txt auf:
Zitat:
==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ==========

AlternateDataStreams: C:\Windows\System32\legitimeDatei:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]
Die Größe des ADS wird in den [] angezeigt.
Wenn der ADS sich auf einem legitimen Ordner/einer leigitmen Datei befindet, kann man die komplette Zeile einfach in die fixlist.txt kopieren.

Beispiel:
Zitat:
AlternateDataStreams: C:\Windows\System32\legitimeDatei:malware.exe
Ist der Ordner/die Datei ebenfalls bösartig, dann schreibt man:
Zitat:
C:\malware
Im ersten Fall entfernt FRST nur den ADS, im zweiten den Ordner/die Datei mitsamt dem ADS.



Safe Mode (Abgesicherter Modus)
Die Standardeinträge werden nicht aufgeführt. Wenn dieser Abschnitt also leer ist, gibt es keine veränderten Einträge. Falls einer der Hauptschlüssel (Safeboot, Safeboot\minimal oder Safeboot\network) fehlt wird dieses im Log fehlt. In solchen Fällen muss der Schlüssel manuell wieder erstellt werden.
Ist ein bösartiger Eintrag in diesem Abschnitt zu sehen, kann er mittels fixlist.txt entfernt werden.



Association (Verknüpfungen) - siehe Verknüpfungen weiten unten
Die Endungen .bat, .cmd, .com, .exe, .reg und .scr werden angezeigt. Die Standardwerte werden nicht angezeigt ausser es gibt veränderte oder zusätzliche Einträge. Fügt man einen Standard-Schlüssel in die fixlist.txt ein so wird dieser auf Werkeinstellungen zurückgesetzt. Andere Schlüssel werden einfach gelöscht.



Internet Explorer trusted/restricted (Internet Explorer Vertrauenswürdig/Eingeschränkt)
Liste der vertrauenswürdigen und eingeschränkten Seiten des Internet Explorers.
When ein Eintrag in die Fixlist aufgenommen wird, so wird diese aus der Registry gelöscht.



Hosts content (Hosts Inhalt)
Zeigt die Eigenschaften der Hosts-Datei, sowie die ersten 30 aktiven Einträge (kommentierte Einträge werden nicht angezeigt)
Beispiel:
Zitat:
2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
Die Zeilen können nicht einzeln entfernt werden. Um die ganze Hosts datei zurückzusetzen nutzen den Befehl Hosts: oder kopiere die Warnung aus dem FRST.txt in die fixlist.txt.



Other Areas (Andere Bereiche)
Einige Sachen werde unter diesem Begriff zusammengefasst, da sie sonst nirgendswo erwähnt werden. Derzeit werden hier die Hintergrundeinstellungen für den Desktop und DNS Einträge , UAC-Einstellungen, SmartScreen-Einstellungen und Firewall-Einstellungen aufgeführt. Diese Einträge werden nur gelistet, sie können derzeit nicht mit FRST gefixt werden.

Wallpaper - Verschiedene Verschlüsselungstrojaner nutzen diese Einstellungen, um Ihre "Nachricht/Meldung" zu projezieren.

Beispiel:
Zitat:
Ein normaler Pfad könnte so aussehen:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Someperson\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Ein bösartiger Pfad inklusive Datei könnte so aussehen:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Someperson\My Documents\!Decrypt-All-Files-scqwxua.bmp
Bei Malware-Einträgen kann der Dateipfad (ggf. zusammen mit weiteren Dateien, die in der FRST.txt gefunden wurden) in die fixlist.txt aufgenommen werden.

Wichtiger Hinweis: Entfernt man die Malware Wallpaper Datei, wird der Desktophintergrund entfernt.

Der Benutzer sollte den Desktop Hintergrund selbst auswählen.

In Windows XP:
Um den Desktophintergrund einzustellen, rechtsklicke irgendwo auf den Desktop und wähle Eigenschaften, wähle den Tab Desktop, wähle ein Bild aus, klicke auf "Übernehmen" und "OK".

In Windows Vista und höher:
Um den Desktophintergrund einzustellen, rechtsklicke irgendwo auf den Desktop und wähle Personalisierung, wähle Desktophintergrund, wähle ein Bild aus und klicke auf "Änderungen speichern".


DNS Server
Diese Einträge sind nützlich, um DNS/Router Hijacker zu erkennen.
Suche auf der Seite WhoisLookup nach Informationen, ob der Server legitim ist oder nicht.
Zitat:
DNS Servers: 213.46.228.196 - 62.179.104.196
Wichtiger Hinweis: Diese Einträge werden nicht aus der Registry ausgelesen, eine Internetverbindung ist hier notwendig.
Wenn der Scan im abgesicherten Modus ausgeführt wurde oder keine Internetverbindung besteht, erscheint der Eintrag wie folgt:
Zitat:
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.

UAC Einstellungen
Zitat:
Aktiviert (Standardeinstellung):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Deaktiviert:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
Diese Änderung kann sowohl vom Nutzer selbst als auch von Malware vorgenommen worden sein. Sollte es nicht eindeutig Malware zuzuordnen zu sein, sollte man den User fragen bevor man etwas ändert.


SmartScreen (Windows 8+)
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Daten des Wertes)
Daten des Wertes, die von Windows unterstützt werden: RequireAdmin (Standardeinstellung), Prompt, Off.

Ein fehlender oder leerer Wert wird auf die folgende Art angezeigt:
Zitat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )
So etwas wird höchstwahrscheinlich von Malware verursacht und sollte manuell behoben werden.


Windows Firewall
Beispiel:
Zitat:
Windows Firewall ist aktiviert.
Ob die Windows Firewall aktiv oder inaktiv ist, wird ebenfalls angegeben. Wenn FRST im abgesicherten Modus ausgeführt wurde oder wenn FRST nicht in der Lage ist den Status abzufragen, zB aufgrund eines defekten Systems, wird diese Zeile nicht gezeigt.



MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
Dieser Abschnitt ist besonders dann von Nutzen, wenn jemand bereits versucht hat Malware anhand von MSCONFIG oder TASK MANAGER zu deaktivieren oder wenn jemand den Rechner zu sehr modifiziert hat und nun einige Dienste nicht mehr zum laufen bringen kann.
Beispiel:
Windows 7 und ältere Systeme
Zitat:
MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S
Folgende Einträge sind möglich:
Dienst:
Zitat:
MSCONFIG\Services: Name des Diensts => Ursprüglicher Starttyp
AutoStart-Ordner:
Zitat:
MSCONFIG\startupfolder: Ursprünglicher Pfad (wobei Windows "\" mit "^" ersetzt hat) => Pfad des Backups das Windows gemacht hat.
Run-Eintrag:
Zitat:
MSCONFIG\startupreg: Wert => Pfad zur Datei.
TASK MANAGER in Windows 8 und Windows 10:
Zitat:
HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"
Wichtiger Hinweis: Windows 8 und danach nutzen msconfig nur noch für Dienste. Startup Einträge werden per Taskmanager gemanaged und in anderen Registry Einträgen gespeichert. Ein deaktivierter Eintrag wird zweimal aufgeführt: Einmal in FRST.txt(Registry section) und einmal in Addition.txt.

Einträge aus diesem Bereich können in die Fixlist mit aufgenommen werden. FRST wird dabei die folgenden Schritten durchführen:
  • Im Fall eines deaktivierten Dienstes wird FRST sowohl den Schlüssel in MSCONFIG als auch den Dienst selbst entfernen.
  • Im Fall deines deaktivierten Run-Eintrages wird FRST sowohl den Schlüssel/Wert in MSCONFIG als auch den Run-Eintrag selbst entfernen (auf neueren Systemen).
  • Im Fall eines Elements im Bereich der Startup-Ordner wird FRST sowohl den Schlüssel in MSCONFIG als auch das Backup der Datei (welches selbst von Windows auf älteren Systemen erstellt wird) oder die Datei selbst (auf neueren Systemen) entfernen.

Wichtig:
Entferne einen Eintrag von diesem Bereich nur, wenn du sicher bist, dass es ein Malware-Eintrag ist. Wenn du unsicher bist, entferne den jeweiligen Eintrag nicht (nicht, dass legitime Einträge entfernt werden).
Im Falle von deaktivierten legitimen Einträge, die wieder aktiviert werden sollen, sollte ein Benutzer diese mit Hilfe von MSCONFIG oder dem TaskManager wieder aktivieren.




FirewallRules (Firewall Regeln)
Liste der FirewallRules, AuthorizedApplications und GloballyOpenPorts Einträge.
Beispiel (Win 10):
Zitat:
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [UDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => (Allow) C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
Beispiel (XP):
Zitat:
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh
Wenn ein Eintrag in die Fixlist übernommen wird, so wird der Registryeintrag entfernt. Dazughörige Dateien werder NICHT entfernt.



Restore Points (Wiederherstellungspunkte) - Siehe Wiederherstellungspunkte weiter oben
Führt Wiederherstellungspunkte im folgenden Format auf:
Zitat:
18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST
Ist die Systemwiederherstellung deaktviert, zeigt FRST eine Warnung:
Zitat:
ACHTUNG: Systemwiederherstellung ist deaktiviert


Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
Beispiel:
Zitat:
Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdriver
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.


Event log errors (Fehlereinträge in der Ereignisanzeige)
- Applikationsfehler
- Systemfehler
- CodeIntegrityfehler



Memory info (Speicherinformationen) - Siehe Speicherinformationen weiter oben



Drives (Laufwerke)



MBR & Partition Table (MBR & Partitionstabelle) - Siehe Laufwerke und MBR & Partitionstabelle weiter oben

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (21.08.2017 um 09:29 Uhr)

Alt 08.12.2013, 17:33   #6
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Weitere optionale Suchläufe

Optionale Suchläufe
Man kann die optionalen Suchläufe mithilfe der Checkboxen aktivieren.



List BCD (BCD auflisten)
Liste der Boot Configuration Data.



Drivers MD5 (MD5 Treiber)
Erstellt eine Liste der vorhandenen Treiber und der MD5-Hashs der Dateien:
Zitat:
C:\Windows\System32\drivers\ACPI.sys 3D30878A269D934100FA5F972E53AF39
C:\Windows\System32\Drivers\acpiex.sys AC8279D229398BCF05C3154ADCA86813
C:\Windows\System32\drivers\acpipagr.sys A8970D9BF23CD309E0403978A1B58F3F
C:\Windows\System32\drivers\acpitime.sys 5758387D68A20AE7D3245011B07E36E7
C:\Windows\system32\drivers\afd.sys 239268BAB58EAE9A3FF4E08334C00451
Diese können auf ihre Gültigkeit hin überprüft werden.



Shortcut.txt
Erstellt eine Liste der Verknüpfungen für alle Benutzerkonten. Gehijackte Einträge können der Fixlist beigefügt werden.

Zitat:
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
Für ShortcutWithArgument kann die Zeile einfach direkt in die fixlist.txt kopiert werden, ansonsten müsse Die Verknüpfung und das Ziel separat in der Fixlist aufgeführt werden:
Zitat:
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Wichtiger Hinweis: FRST entfernt das Argument aus der Verknüpfung mit Ausnahme des Internet Explorer (No Add-ons).lnk Eintrags. Diese Verknüpfung ist standardmässig mit einem Argument versehen ( -extoff) und dient dazu den Internet Explorer ohne Add-Ons zu starten. Es wird zur Fehlerdiagnose bei Internet Explorer benutzt, daher stellt FRST das Argument automatisch wieder her, wenn es dieses löschen soll.

Falls ein anderes Programm das Argument von Internet Explorer (No Add-ons).lnk gelöscht hat, wird FRST den Eintrag nicht mehr unter ShortcutWithArgument: aufführen und somit kann das fehlende Argument auch nicht von FRST wiederhergestellt werden. In diesem Fall muss der Nutzer es manuell wiederherstellen.


Um den Eintrag von Hand wiederherzustellen, sollte der Nutzer den Ordner in dem Internet Explorer (No Add-ons).lnk liegt öffnen:
Mit einem Rechts-Klick den Eintrag anwählen und Eigenschaften auswählen.
Unter Ziel dann zwei Leerzeichen und -extoff dem Pfad anfügen.
Zum Schluss Anwenden und OK clicken.



90 Days Files (Dateiliste 90 Tage)
Wenn die Option "Dateiliste 90 Tage" angehakt ist, erstellt FRST die "Drei Monate: Erstellte/Geänderte Dateien und Ordner" Liste statt der "Ein Monat: Erstellte/Geänderte Dateien und Ordner". Es führt also Dateien der letzten drei, statt nur einem Monat auf.



Datei-Suche
Es gibt eine Suchfunktion in FRST. Es ist der Eingabe-Bereich im Hauptfenster von FRST. Es reicht, einfach den zu suchenden Dateinamen dort einzugeben. Platzhalter sind erlaubt, wie zb afd.sys.*. Um nach mehreren Dateinamen zu suchen, trennt man diese mit einem Strichpunkt: ;

Alle der folgenden Beispiel sind möglich:
Zitat:
afd.sys
Zitat:
afd.sys*
Zitat:
afd.sys;ndis.sys
Zitat:
afd.sys*;ndis.sys*
Wenn der "Datei-Suche"-Button gedrückt wird, gibt es eine Info, dass die Suche jetzt startet. Danach zeigt ein Ladebalken den Fortschritt der Suche. Wenn die Suche beendet ist, erscheint ein Popup mit der entsprechenden Meldung. Die Ergebnisse der Suche werden in der Datei Search.txt im selben Ordner wie FRST.exe gespeichert.

Die gefundenen Dateien werden dann mit ihrem Erstellungsdatum, dem Datum der letzten Änderung, der Grösse, der Attribute, des Firmennamens, der MD5 Prüfsumme und ihrer digitalen Signatur aufgeführt:
Zitat:
C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.212_none_6a600c6ece9d9f09\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 _____ (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [Datei ist digital signiert]

C:\Windows\WinSxS\x86_microsoft-windows-ndis-minwin_31bf3856ad364e35_10.0.10586.0_none_89bc7b0a1a05cdb8\ndis.sys
[2015-10-30 07:44][2015-10-30 07:44] 0922464 _____ (Microsoft Corporation) 471CF5F6D7C5FDC912F52DF52C8C1E71 [Datei ist digital signiert]

C:\Windows\System32\drivers\ndis.sys
[2016-04-13 06:24][2016-03-29 11:21] 0922456 _____ (Microsoft Corporation) 37256414284A0A85A3DDD3FB2A39874B [Datei ist digital signiert]
Wichtiger Hinweis: Digitale Signatur wird nicht in dem Recovery Environment geprüft.

Die Suche ist auf das Systemlaufwerk beschränkt. In einigen Fällen kann die legitime Datei fehlen oder beschädigt sein wodurch der Rechner unbootbar wird. Es ist möglich, dass es zudem keine Ersatzdatei auf dem System gibt. Für solche Fälle, scannt FRST auch die X: Partition im Recovery mode (Vista und neuer). Wenn also zum Beispiel die services.exe fehlt, könnte diese von X:\windows\system32\services.exe nach C:\windows\system32 kopiert werden.

Wichtiger Hinweis: Die X Partition enthält nur die 64bit-version einer Datei für 64bit-Systeme



Registry-Suche
Man kann mit FRST auch nach Registryeinträgen suchen, dafür fügt man den zu suchenden Begriff einfach in das Eingabe-Feld ein, wenn man nach mehreren Eingaben gleichzeitig suchen will kann man diese durch ein ; trennen. Platzhalter werden in der Registrysuche ignoriert und gefiltert. Mit einem Klick auf den Button "Registry-Suche" wird eine Suche gestartet.

Eine einfache Suche sieht wie folgt aus:
Zitat:
websearch
Mehrere Suchen auf einmal sehen wie folgt aus:
Zitat:
websearch;dealply;searchprotect
Diese Suche funktioniert nur ausserhalb der RE.

Anders als bei der Dateisuche, sollte man bei der Registrysuche keine Platzhalter verwenden. In der Tat werden Zeichen wie *,?, usw als entsprechendes Zeichen interpretiert und nicht als Platzhalter. Wenn man diese Zeichen in einem Suchterm am Ende oder Anfang einfügt ignoriert FRST diese und sucht nach dem Term ohne die entsprechenden Sonderzeichen.

Ein Log mit dem Namen SearchReg.txt wird in dem Ordner erstellt, in dem sich auch FRST befindet.


Wichtiger Hinweis: Die Registry suche funktioniert nicht in dem Recovery Environment.
__________________
--> Anleitung: Farbar Recovery Scan Tool (FRST)

Geändert von M-K-D-B (02.07.2017 um 16:25 Uhr)

Alt 08.12.2013, 17:34   #7
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Befehle


Sämtliche Befehle in FRST sollten auf einer eigenen einzelnen Zeile stehen, da FRST die fixlist.txt Zeile für Zeile ausliest und verarbeitet.



Kurzübersicht der Befehle
Wichtiger Hinweis: Befehle unterliegen nicht der Groß- und Kleinschreibung.


Befehle, die nur im normalen Modus benutzt werden können:

CreateRestorePoint:
TasksDetails:


Befehle, die nur im normalen oder abgesicherten Modus benutzt werden können:

CloseProcesses:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
VerifySignature:
VirusTotal:
Zip:


Befehle, die im normalen oder abgesicherten Modus und in der Recovery Environment benutzt werden können:

cmd:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: und DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: und ExportValue:
File:
FindFolder:
Folder:
Hosts:
ListPermissions:
Move:
nointegritychecks on:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMBR:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
testsigning on:
Unlock:


Nur in der Recovery Environment nutzbar:

LastRegBack:
RestoreErunt:
Restore From Backup:
RestoreMbr:



Beispiele


CloseProcesses:
Beendet alle unwichtigen Prozesse. Hilft dabei den Fix schneller und sicherer auszuführen.
Beispiel:
Zitat:
CloseProcesses:
Wenn dieser Befehl in den Fix eingebaut wird, startet FRST am Schluss den Rechner automatisch neu. Man braucht dafür kein "Reboot:".
Der Befehl CloseProcesses: ist in der Recovery Console weder notwendig noch vorhanden.



CMD:
Gelegentlich möchte man ein Kommandozeilenskript ausführen. Der CMD: Befehl ist für solche Fälle gedacht:
Zitat:
CMD: Befehl
Wenn man mehr als einen Befehl ausführen möchte, dann muss man jede Zeile mit CMD: beginnen.
Beispiel:
Zitat:
CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr
Der erste Befehl kopiert die minidump-Dateien auf den USB-Stick (falls dieser den Laufwerkbuchstaben E: hat).
Der zweite Befehl repariert den MBR für Windows Vista und neuer.

Alternativ können die Befehle StartBatch: — EndBatch: benutzt werden. (Siehe unten)

Wichtiger Hinweis: Anders als bei den Befehlen von FRST muss hier die korrekte Syntax für die Kommandozeile eingehalten werden. Das heißt auch, dass man die Pfade mit Gänsefüßchen umschließen muss, wenn sie Leerzeichen enthalten.



CreateDummy:
Erzeugt einen gesperrten Scheinordner, um die Wiederherstellung von schädlichen Dateien und Ordnern zu verhindern. Der Scheinordner sollte nach dem Löschen der Malware ebenfalls wieder entfernt werden.
Beispiel:
Zitat:
CreateDummy: C:\Windows\System32\böse.exe
CreateDummy: C:\ProgramData\Böse


CreateRestorePoint:
Erstellt einen Wiederherstellungspunkt.
Beispiel:
Zitat:
CreateRestorePoint:
Wichtiger Hinweis: Diese Befehl funktioniert nur im Normalen Modus und nur wenn die Wiederherstellungspunkte nicht deaktiviert sind.



DeleteJunctionsInDirectory:
Um symbolische Links zu löschen, sollte man folgenden Befehl benutzen:
Zitat:
DeleteJunctionsInDirectory: Pfad
Beispiel:
Zitat:
DeleteJunctionsInDirectory: C:\Program Files\Windows Defender


DeleteKey: und DeleteValue:
Dies ist der effizienteste Weg, um Schlüssel/Werte zu löschen, da hierbei Beschränkungen eines Standardlöschalgorythmus wie sie in "Reg:" und "StartRegedit: — EndRegedit:" auftreten können, umgangen werden.
Die Syntax sieht so aus:

1. für Schlüssel
Zitat:
DeleteKey: Schlüssel
Alternativ ist auch ein REGEDIT Format möglich:
Zitat:
[-Schlüssel]
2. für Werte
Zitat:
DeleteValue: Schlüssel|Wert
Wenn es sich bei dem Wert um den Standardwert hanelt, dann muss man den Namen des Wertes leer lassen:
Zitat:
DeleteValue: Schlüssel|
Beispiele:
Zitat:
DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]
Mit diesen Befehlen ist man in der Lage, Schlüssel/Werte trotz fehlender Rechte, Schlüssel/Werte mit eingebetteten Nullen und symbolische Verlinkungen in der Registry zu löschen.
Der Befehl Unlock: muss nicht extra verwendet werden.

Bei Schlüsseln/Werten, die durch eine laufende Software geschützt werden (diese Schlüssel/Werte geben die Rückmeldung "Zugriff verweigert" aus), muss statt dieses Befehls ein Skript im abgesicherten Modus benutzt werden und man löscht die Hauptkomponente zuerst.

Wichtiger Hinweis: Wenn ein symbolischer Link gelöscht werden soll, so entfernt FRST nur den Link selbst, nicht aber das Ziel auf den der Link verweist. Dies soll verhindern dass FRST einen legitimen Eintrag löscht, wenn ein bösartiger Link auf ihn verweist. Sollten sowohl der Link als auch das Ziel auf der er verweist gelöscht werden, müssen beide im Fix-Script aufgeführt werden.



DeleteQuarantine:
Nachdem die Malware entfernt wurde, sollte der Ordner %SystemDrive%\FRST (normalerweise C:\FRST) ebenfalls entfernt werden. In einigen Fällen beinhaltet der Ordner Quarantine aber Dateien ohne Berechtigungen oder andere ungewöhnliche Dateien und die Quarantine kann nicht automatisch gelöscht werden. Dann kann man diese mit dem Befehl DeleteQuarantine: entfernen.

Der Befehl kann einfach in die fixlist.txt eingefügt werden:
Zitat:
DeleteQuarantine:


DisableService:
Um einen Dienst oder Treiber zu deaktivieren, kann man diesen Befehl wie folgt nutzen:
Zitat:
DisableService: Dienstname
Beispiel:
Zitat:
DisableService: sptd
DisableService: Wmware Nat Service
FRST ändert den Starttyp des zu deaktivierenden Dienstes und der Dienst wird dadurch beim nächsten Neustart nicht mehr ausgeführt.

Wichtiger Hinweis: Der Servicename sollte einfach aus dem FRST-Log kopiert werden, ohne etwas zu verändern. Anführungszeichen sind nicht notwendig.



EmptyTemp:
Die folgenden Ordner und Dateien werden geleert:
- Windows Temp.
- Benutzer Temp
- Edge, IE, FF, Chrome, Opera cache, HTML5 Speicherungen, Cookies und Verlauf. (Hinweis: Firefox Verlauf wird nicht entfernt).
- Java Cache
- Zuletzt geöffnete Dateien.
- Flash Player cache.
- Steam HTML cache
- Explorer thumbnail und icon cache
- BITS transfer queue (qmgr*.dat Dateien)
- Mülleimer.

Wenn der Befehl EmptyTemp: benutzt wird, wird der Rechner anschließend neu gestartet. Man braucht Reboot: nicht zu benutzen. Zudem wird EmptyTemp: immer als letzter Befehl ausgeführt nachdem alle anderen Befehle abgearbeitet wurden, unabhängig davon wo es im Skript selbst steht.

Wichtiger Hinweis: EmptyTemp löscht endgültig. Die Dateien werden nicht in die Quarantäne verschoben.

Wichtiger Hinweis: Der Befehl ist in der Recovery Environment deaktiviert, um Schäden zu vermeiden.



ExportKey: und ExportValue:
Ein zuverlässiger Weg, um den Inhalt eines Schlüssels zu inspizieren. Die Befehle überwinden eine Beschränkungen der Dateien regedit.exe und reg.exe. Der Unterschied zwischen den Befehlen ist der Umfang.
ExportKey: Listet alle Werte und Unterschlüssel rekursiv während ExportValue: nur Werte im betreffenden Schlüssel auflistet

Die Syntax sieht so aus:
Zitat:
ExportKey: Schlüssel
Zitat:
ExportValue: Schlüssel
Beispiel:
Zitat:
ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel
Zitat:
================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel]
[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\UngültigerSchlüssel ]
"Versteckter Wert"="Versteckte Daten"
[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\GesperrterSchlüssel]
HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\GesperrterSchlüssel => Zugriff verweigert.

=== Ende von ExportKey ===
Wichtiger Hinweis: Die Befehle sind nur für Untersuchungen und können nicht für Sicherungen oder Imports verwenden werden.



File: und Folder:
Diese Befehle werden genutzt, um Datei-Infos oder den Inhalt eines Ordners anzugeben. Der Befehl Folder: funktioniert rekursiv und listet den Inhalt von allen Unterordnern. Dies könnte riesige Logdateien erzeugen.
Die Syntax ist wie folgt:
Zitat:
File: Pfad
Folder: Pfad
Beispiel:
Zitat:
File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe
Folder: C:\Users\User\AppData\Local\Microsoft\Protect
Das Log sieht dann wie folgt aus:
Zitat:
========================= File: C:\Users\User\AppData\Roaming\Pcregfixer\PCREGFIXER\background\wmplayer.exe ========================

Datei ist nicht signiert
MD5: 4793A9663376EF3A9044E07A9A45D966
Erstellungs- und Änderungsdatum: 2017-07-30 12:04 - 2017-07-30 12:04
Größe: 000242688
Attribute: ----A
Firmenname:
Interne Name: wmplayer.exe
Original Name: wmplayer.exe
Produkt: Windows Media Player
Beschreibung: Windows Media Player
Datei Version: 1.0.0.0
Produkt Version: 1.0.0.0
Urheberrecht: Copyright © 2017
VirusTotal: https://www.virustotal.com/file/8eb7...is/1503093556/

====== Ende von File: ======

========================= Folder: C:\Users\User\AppData\Local\Microsoft\Protect ========================

2016-06-12 17:10 - 2016-06-12 17:10 - 1719296 _____ () C:\Users\User\AppData\Local\Microsoft\Protect\protecthost.dll

====== Ende von Folder: ======
Wichtiger Hinweis: Eine Überprüfung der digitalen Signatur ist in der Recovery Environment nicht verfügbar.

Wichtiger Hinweis: Der Befehl File: lädt Dateien nicht automatisch bei VirusTotal hoch. Dazu muss der Befehl VirusTotal: verwendet werden.



FindFolder:
Sucht Ordner auf dem Systemlaufwerk. Platzhalter sind erlaubt. Wenn mehr als ein Ordner gesucht werden soll, müssen diese durch einen Strichpunkt getrennt werden:

Zitat:
FindFolder: bestcleaner;gtfhaughton*


Hosts
Setzt die Hosts-Datei auf den Standardinhalt zurück. Siehe auch Hosts unter Hauptsuchlauf (FRST.txt).



ListPermissions:
Führt die Nutzerrechte für Dateien/Ordner und Registryschlüssel auf.
Zitat:
ListPermissions: Pfad/Schlüssel
Beispiel:
Zitat:
Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\farbar\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd


Move:
Dieser Befehl wird benutzt, um eine Datei umzubenennen oder zu verschieben. Die Syntax ist wie folgt:
Zitat:
Move: Ursprung Ziel
Beispiel:
Zitat:
Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.alt
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys
Das Programm verschiebt die Ziel-Datei (falls vorhanden) in die Quarantäne und verschiebt dann die Ursprungsdatei zum Ziel-Namen.

Wichtiger Hinweis: Man kann mit dem Befehl auch einfach Dateien umbenennen.

Wichtiger Hinweis: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.



nointegritychecks on:
Gilt nur für Windows Vista und neuer.

Wenn der Integrity Check (Kontrolle der Intaktheit) deaktiviert ist, erscheint im FRST log folgende Zeile:
Zitat:
nointegritychecks: ==> "IntegrityChecks" ist deaktiviert. <===== ACHTUNG
Das bedeutet, dass jemand den BCD verändert hat, um den Integrity Check beim Booten zu deaktivieren. Um den Integrity Check beim Booten zu reaktivieren, kann man einfach die obige Zeile aus dem Log in die fixlist.txt kopieren.

Bei einigen unbootbaren Computern kann es helfen, den Integrity Check zu deaktivieren, um den Rechner wieder zum Booten zu bekommen. Um den Integrity Check zum Test zu deaktvieren oder um ein Backup zu machen, bevor man formatiert, benutzt man diesen Befehl:
Zitat:
nointegritychecks on:


Powershell:
Um Powershell-Befehle auszuführen:

1. Um einen einzelnen, unabhängigen Befehl mit Powershell auszuführen, dessen Ergebnis dann in der fixlog.txt angezeigt wird, muss man die folgenden Syntax verwenden
Zitat:
Powershell: Befehl
Beispiel:
Zitat:
Powershell: Get-Service
2. Um einen einzelnen, unabhängigen Befehl mit Powershell auszuführen und dessen Informationen in ein Log zu schreiben (nicht in die fixlog.txt): (redirection oder Out-File cmdiet)
Zitat:
Powershell: Befehl > "Pfad zu einer Textdatei"
Powershell: Befehl | Ziel-Datei "Pfad zu einer Textdatei"
Beispiel:
Zitat:
Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt
3. Um ein Powershell script (.ps1) mit einem oder mehreren Befehlen/Zeilen auszuführen:
Zitat:
Powershell: "Pfad zu einer Skriptdatei"
Beispiel:
Zitat:
Powershell: C:\Users\UserName\Desktop\script.ps1
Powershell: "C:\Users\User Name\Desktop\script.ps1"
4. Um mehrere PowerShell Befehle/Zeilen in einem Script ausführen zu können (so wie sie in einer Skriptdatei (.ps1) vorhanden sind; aber ohne eine .ps1 Datei zu erzeugen), muss ein Strichpunkt ; anstatt einer neuen Zeile verwendet werden, um die einzelnen Befehle/Zeilen zu trennen:
Zitat:
Powershell: Zeile 1; Zeile 2; (und so weiter)
Beispiel:
Zitat:
Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Alternativ können die StartPowershell: — EndPowershell: Befehle benutzt werden. (Siehe unten)



Reboot:
Erzwingt einen Neustart. Es ist irrelevant wo die Zeile in der Fixlist steht, der Neustart wird erzwungen, nachdem alle anderen Befehle des Fixes ausgeführt wurden.

Wichtiger Hinweis: Dieser Befehl funktioniert nicht in der Recovery Environment.



Reg:
Befehl, um die Registry zu bearbeiten, nutzt Reg.exe.
Die Syntax ist:
Zitat:
Reg: reg Befehl
Beispiel:
Zitat:
Reg: reg query "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
Reg: reg add hklm\system\controlset001\services\sptd /v Start /t REG_DWORD /d 0x4 /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f
Wichtiger Hinweis: Anders als bei den FRST-Befehlen muss man hier die korrekte Syntax für reg.exe benutzen. Das heisst beispielsweise, dass Pfade mit Leerzeichen mit Anführungszeichen umschlossen werden müssen.
Wichtiger Hinweis: Dieser Befehl kann keine ungültigen oder gesperrten Schlüssel/Werte entfernen. Siehe dazu die Beschreibung DeleteKey: und DeleteValue: weiter oben in der Anleitung.



RemoveDirectory:
Dieser Befehl ist zum Löschen (es wird nicht in die Quarantäne verschoben) von Ordnern und Dateien, die entweder nicht erlaubte Zeichen im Pfad haben oder deren Rechte manipuliert wurden, sodass ein einfaches Entfernen nicht möglich ist. Es ist nicht nötig, den Befehl Unlock: zu verwenden. Man sollte diesen Befehl nur benutzen, wenn der normale Befehl fehlgeschlagen ist. Der Befehl ist am Mächtigsten in der Recovery Environment.
Beispiel:
Zitat:
RemoveDirectory: Pfad


RemoveProxy:
Entfernt bestimmte Internet Explorer Einstellungen, etwa "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" und "ProxySettingsPerUser" in "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings". Es entfernt auch "ProxyEnable" (Falls es auf 1 gesetzt ist), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" und "SavedLegacySettings" Werte in HKLM und HKCU. Es führt zudem den BITSAdmin Befehl mit NO_PROXY aus.

Des weiteren wird auch der Wert Default in "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" zurückgesetzt sofern dieser verändert wurde.

Wichtiger Hinweis: Dienste und Programme die diesen Wert verändern sollten vor dem Fixen entfernt werden, sonst setzen sie den Proxy erneut.



Replace:
Um Dateien zu ersetzen, nutzt man folgendes Skript:
Zitat:
Replace: Ursprung Ziel
Beispiel:
Zitat:
Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll
FRST.exe verschiebt die Zieldatei (falls vorhanden) in die Quarantäne und kopiert die Ursprungsdatei an die Stelle der Zieledatei.
Die Ursprungsdatei bleibt erhalten und wird nicht verschoben. Im Beispiel bleibt also die dnsapi.dll im WinSxS Unterordner erhalten.

Wichtiger Hinweis: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.
Wichtiger Hinweis: Der Zielordner muss existieren, sonst wird die Datei nicht ersetzt.



Restore From Backup:
Beim ersten Ausführen von FRST.exe wird ein Backup der Registry unter %SystemDrive%\FRST\Hives (normalerweise C:\FRST\Hives) erstellt. Es wird beim nächsten Ausführen des Programms nicht überschrieben werden, sofern das Backup nicht älter als 2 Monate ist. Wenn etwas schief geht, kann man also dieses Backup wiederherstellen, um den Ursprungszustand wiederherzustellen. Die Syntax ist:
Zitat:
Restore From Backup: NamedesHauptschlüssels
Beispiele:
Zitat:
Restore From Backup: software
Restore From Backup: system


RestoreErunt:
Um die Registry aus einem Erunt-Backup wiederherzustellen, würde das Skript wie folgt aussehen:
Zitat:
RestoreErunt: Pfad
Um ein Backup von ComboFix wiederherzustellen, benutzt man folgende Syntax:
Zitat:
RestoreErunt: cf


RestoreMBR:
Um den MBR wiederherzustellen, nutzt FRST die MbrFix.exe, die sich im selben Ordner wie FRST.exe befindet. Daher benötigt man zum Wiederherstellen des MBR, FRST.exe, MbrFix/MBrFix64 und die MBR.bin, die das Backup des MBR enthält, und das folgende Skript:
Zitat:
RestoreMbr: Drive=#
Beispiel:
Zitat:
RestoreMbr: Drive=0
Wichtiger Hinweis: Der MBR, den man wiederherstellen will, sollte MBR.bin heißen.



RestoreQuarantine:
Man kann entweder die komplette Quarantäne oder einzelne Dateien/Ordner wiederherstellen.
Um die gesamte Quarantäne wiederherzustellen nutzt man:
Zitat:
RestoreQuarantine:
Oder:
Zitat:
RestoreQuarantine: C:\FRST\Quarantine
Um eine Datei oder einen Ordner wiederherzustellen benutzt man folgenden Befehl:
Zitat:
RestoreQuarantine: PfadzurQuarantäne
Beispiele:
Zitat:
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\Someperson\Desktop\ANOTB.exe.xBAD

Um den genauen Pfad in der Quarantäne zu finden kann folgender Befehl benutzt werden:
Zitat:
Folder: C:\FRST\Quarantine
Oder:
Zitat:
CMD: dir /a/b/s C:\FRST\Quarantine
Wichtiger Hinweis: Sollte die wieder erstellte Datei außerhalb der Quarantäne bereits existieren, so überschreibt FRST diese nicht. Die Datei bleibt dann in der Quarantäne. Muss eine Datei überschreiben werden, so sollte zuerst die existierende Datei umbenannt werden, bevor die wiederherzustellende Datei zurück kopiert werden kann.




SaveMbr:
Siehe auch die Rubrik Laufwerke und MBR & Partitionstabelle in dieser Anleitung.

Um eine Kopie des MBRs zu erstellen, nutzt man folgende Syntax:
Zitat:
SaveMbr: Drive=#
Beispiel:
Zitat:
SaveMbr: Drive=0
Wichtiger Hinweis: Es wird eine MBRDUMP.txt erstellt. Wenn man diese einsehen will, sollte man den User bitten, diese anzuhängen, da es sich um eine binäre Datei handelt.



SetDefaultFilePermissions:
Dieser Befehl ist für gesperrte Systemdateien. Der Befehl setzt die Gruppe der "Administratoren" als Besitzer einer Datei ein und gewährt - in Abhänigkeit des vorhandenen Systems - Zugriffsrechte für die Standardgruppen.

Wichtiger Hinweis: Der Trusted-Installer wird nicht als Besitzer eingetragen. Man kann den Befehl aber zur Not auch auf Systemdateien anwenden, die von Malware blockiert werden.

Beispiel:
Zitat:
SetDefaultFilePermissions: Pfad


StartBatch: — EndBatch:
Um eine Batchdatei zu erstellen und auszuführen.
Syntax ist:
Zitat:
StartBatch:
Linie 1
Linie 2
usw.
EndBatch:
Die Ausgabe wird in die fixlog.txt gedruckt.



StartPowershell: — EndPowershell:
Alternative, um ein mehrzeiliges Powershellskript auszuführen (siehe auch den Befehl Powershell: weiter oben).
Syntax:
Zitat:
StartPowershell:
Linie 1
Linie 2
usw.
EndPowershell:
Die Ausgabe wird in die fixlog.txt gedruckt.



StartRegedit: — EndRegedit:
Um eine Registry-Datei zu importieren. (.reg)
Die Syntax ist:
Zitat:
StartRegedit:
.reg Datei Format
EndRegedit:
Der Windows Registry Editor Version 5.00 header ist optional, aber REGEDIT4 header muss eingefügt werden, wenn benötigt.

Beispiel:
Zitat:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:
Im Fixlog befindet sich folgende Bestätigung, dass das Skript ausgeführt wurde:
Zitat:
====> Registry
Wichtiger Hinweis: Fehler des Skripts werden nirgends angezeigt.
Wichtiger Hinweis: Dieser Befehl kann keine ungültigen oder gesperrten Schlüssel/Werte entfernen. Siehe dazu die Beschreibung DeleteKey: und DeleteValue: weiter oben in der Anleitung.



TaskDetails:
Listet erweiterte Informationen über einen Task in Bezug auf die Ausführungszeit.
Die Syntax sieht so aus:
Zitat:
TasksDetails:
Beispiel:
Zitat:
========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)
Wichtiger Hinweis: Der Befehl wird nicht unter Windows XP unterstützt und funktioniert nur im normalen Modus.



testsigning on:
Gilt nur für Windows Vista und neuer.

Um dem weiter oben erwähnten Integrity Check zu entgehen, fügt Malware manchmal eine weitere Einstellung im BCD hinzu, die den Check der Signaturen von Treibern deaktiviert. In solchen Fällen muss erst die Malware entfernt und anschließend der BCD repariert werden.
Vorsicht: Der BCD ist sehr anfällig gegenüber Veränderungen und eine falsche Handlung kann den PC leicht unbootbar machen.

Wenn FRST Hinweise auf Veränderungen findet, dann werden diese wie folgt aufgeführt:
Zitat:
testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <===== ACHTUNG
Wenn die Malware noch aktiv ist, wird es auch einen unsignierten (versteckten) Treiber geben, der wie folgt aussehen kann:
Zitat:
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
Es kann auch sein, dass der User selber die Veränderungen bemerkt:
"Ich habe eben bemerkt, dass in der Ecke unten rechts jetzt Testmodus, Windows 7, Build 7601 steht. Das war früher nicht da."

Das komplette Skript sollte dann wie folgt aussehen:
Zitat:
S0 442564429e863a90; C:\Windows\System32\Drivers\442564429e863a90.sys [75208 2012-06-26] ()
C:\Windows\System32\Drivers\442564429e863a90.sys
testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <===== ACHTUNG
FRST löscht dann den Treiber und entfernt auch den Eintrag aus dem BCD. Keine weiteren Schritte sind notwendig.

Gelegentlich wird man Fälle haben, in denen andere Programme bereits die Malware entfernt, aber nicht den BCD repariert haben. In solchen Fällen sieht man dann nur diese Zeile im Log:
Zitat:
testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <===== ACHTUNG
In dem Fall, dass man testsigning wieder deaktiviert hat und der Rechner dann plötzlich nicht mehr bootet, kann man testsigning auch wieder aktivieren, um das Problem zu lokalisieren und reparieren. Dafür benutzt man dann den Befehl:
Zitat:
testsigning on:


Unlock:
Wird der Befehl auf eine Datei oder einen Ordner angewendet, so wird der Besitzer auf "Everyone" gesetzt und Zugriffsrechte für alle gewährt. Wenn der Befehl auf einen Ordner angewandt wird, dann werden alle Unterordner und Dateien rekursiv durchlaufen und ebenfalls zurückgesetzt. Dieser Befehl sollte nur für bösartige Ordner/Dateien benutzt werden. Um Systemdateien zu entsperren soll man den Befehl SetDefaultFilePermissions: verwenden.

Im Falle eines Registryschlüssels, wird der Besitzer ebenfalls auf "Administrator" zurückgesetzt und verschiedenen Gruppen wird Zugriff auf den Schlüssel gewährt. Der Befehl ist in diesem Fall nicht rekursiv und kann sowohl für gutartige als auch bösartige Einträge genutzt werden.

Der Fix sollte wie folgt aussehen:
Zitat:
Unlock: Pfad
Gelegentlich wird das Löschen einer Datei / eines Registryschlüssels aufgrund fehlender Berechtigungen fehlschlagen. Man sieht dann im Fixlog.txt folgenden Eintrag: "Konnte nicht verschoben werden". In solchen Fällen kann man dann Unlock: benutzen, um die Datei freizugeben.

Beispiel:
Zitat:
Unlock: C:\Windows\System32\böse.exe
Um den die Datei zu entfernen, muss man danach den Pfad in einer eigenen Zeile hinzufügen:
Zitat:
Unlock: C:\Windows\System32\böse.exe
C:\Windows\System32\böse.exe
Mit dem Befehl Unlock: kann man Registryschlüssel, von denen man mittels ACL ausgeschlossen wurde, wieder zugänglich machen. Wenn man zum Beispiel in der Recovery Environment ist und ControlSet001 das aktive Controlset ist, dann würde der Fix wie folgt aussehen:
Zitat:
Unlock: hklm\system\controlset001\bösartigerDienst\NameUnterschlüssel
Um dann den Eintrag mit dem Reg: Befehl manuell zu entfernen, würde man wie folgt vorgehen:
Zitat:
Unlock: hklm\system\controlset001\bösartigerDienst\NameUnterschlüssel
Reg: reg delete hklm\system\controlset001\bösartigerDienst /f
Wichtiger Hinweis: Der Befehl DeleteKey: kann anstatt der Kombination aus Unlock: und Reg: verwendet werden.



VerifySignature:
Der Befehl überprüft die digitale Signatur einer Datei.
Syntax:
Zitat:
VerifySignature: Pfad
Beispiel:
Zitat:
VerifySignature: C:\Windows\notepad.exe


VirusTotal:
Damit können Dateien mit Hilfe von VirusTotal überprüft werden. FRST wird nach früheren Analysen in der VirusTotal Datenbank suchen. Eine Datei, die noch nie bei VirusTotal hochgeladen wurde, wird zur Analyse hochgeladen.
Es können mehrere Dateien überprüft werden. Diese werden durch einen Strichpunkt voneinander getrennt.
Zitat:
VirusTotal: Pfad;Pfad
Beispiel:
Zitat:
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe;C:\Windows\system32\Drivers\vsotavco.sys
Zitat:
VirusTotal: C:\Windows\TEMP\gAEB5.tmp.exe => https://www.virustotal.com/file/b529...is/1500276443/
VirusTotal: C:\Windows\system32\Drivers\vsotavco.sys => D41D8CD98F00B204E9800998ECF8427EC (0-byte MD5)
"0-byte MD5" weist darauf hin, dass die Datei entweder in Verwendung ist, gesperrt ist, leer ist oder der Pfad auf eine symbolische Verknüpfung zeigt.



Zip:
Um Dateien/Ordner zu zippen (wenn man sie, zum Beispiel, anschließend hochladen lassen will). Die Zip-Datei wird auf dem Desktop erstellt und heißt Datum_Zeit.zip, man muss sie manuell zur Website seiner Wahl hochladen lassen. Für Dateien/Ordner mit doppelten Namen wird mehr als ein Archiv erzeugt.

Zitat:
Zip: Pfad;Pfad
Es können beliebig viele Dateien/Ordner gezipt werden, solange sie mit einem Strichpunkt getrennt werden.

Beispiel:
Zitat:
Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (19.08.2017 um 15:59 Uhr)

Alt 25.01.2014, 13:50   #8
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Bausteine



Die folgenden Bausteine sind Beispielbausteine für die Verwendung von FRST:

FRST-Scan im normalen Modus:
Zitat:
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Bitte lade dir die passende Version von [B]Farbar's Recovery Scan Tool[/B] auf deinen [COLOR="Green"][B]Desktop[/B][/COLOR]: [URL= http://208.43.87.2/download/farbar-recovery-scan-tool/]FRST 32bit oder FRST 64bit[/URL]
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)[list][*] Starte jetzt [B]FRST[/B].[*] Ändere ungefragt keine der Checkboxen und klicke auf [B]Scan[/B].[*] Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.[*] Poste mir die [color=darkorchid][B]FRST.txt[/B][/color] und nach dem ersten Scan auch die [B][color=darkorchid]Addition.txt[/color][/B] in deinem Thread ([B]#[/B]-Symbol im Eingabefenster der Webseite anklicken)[/LIST]
         
Im Trojaner-Board kann man auch direkt die dafür vorgesehenen BB-Code Tags verwenden: [frst][/frst]



FRST Scan für Vista, Windows 7 and Windows 8 in dem Recovery Environment (RE):
Zitat:
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
[indent]Hinweise für Windows 8-Nutzer: [URL= http://www.trojaner-board.de/135287-anleitung-bootvarianten-seit-windows-8-a.html#post1066280][B]Anleitung 1[/B] (FRST-Variante)[/URL] und [URL= http://www.trojaner-board.de/130086-windows-8-abgesicherten-modus-f8-taste-aktivieren.html#post998760][B]Anleitung 2[/B] (zweiter Teil)[/URL]

Alle anderen Windowsversionen ab hier:[List][*] Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/][b]FRST 32-Bit[/b][/url] [B]|[/B] [url=http://208.43.87.2/download/farbar-recovery-scan-tool/dl/82/][b]FRST 64-Bit[/b][/url][*] Schließe den USB Stick an das infizierte System an und boote das System in die [b]System Reparatur Option[/b].[*] Scanne jetzt nach der [URL=http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026550]bebilderten Anleitung[/URL] oder verwende die folgende [B]Kurzanleitung[/B]:[/LIST][color=green][b]Über den Boot Manager:[/color][/b][list][*] Starte den Rechner neu.[*] Während dem Hochfahren drücke mehrmals die [B]F8[/B] Taste[*] Wähle nun [b]Computer reparieren[/b].[*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
[color=green][B]Mit Windows CD/DVD (auch bei Windows 8 möglich):[/color][/B][list][*] Lege die Windows CD in dein Laufwerk.[*] Starte den Rechner neu und [url=http://www.trojaner-board.de/81857-computer-cd-booten.html]starte von der CD[/url].[*] Wähle die Spracheinstellungen und klicke "Weiter".[*] Klicke auf [B]Computerreparaturoptionen[/B] ![*] Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".[/list]
Wähle in den Reparaturoptionen: [b]Eingabeaufforderung[/b][list][*] Gib nun bitte [B]notepad[/B] ein und drücke Enter.[*] Im öffnenden Textdokument: [B]Datei > Speichern unter...[/B] und wähle [B]Computer[/B].
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.[*] Schließe Notepad wieder[*] Gib nun bitte folgenden Befehl ein.
[B][color=purple]e[/color]:\frst.exe[/b] bzw. [B][color=purple]e[/color]:\frst64.exe[/b]
[B]Hinweis: [color=purple]e[/color][/b] steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.[*] Akzeptiere den Disclaimer mit [B]Yes[/B] und klicke [color=darkblue][B]Scan[/B][/color][/list]Das Tool erstellt eine [color=darkorchid][B]FRST.txt[/B][/color] auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags ([URL= http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html#post1026555]Anleitung[/URL]).
[/indent]
         
Auf TB gibt es die Tags: [frstre][/frstre]




Fixes


Beispiel für einen Fix im normalen oder abgesicherten Modus:
Zitat:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe "[b]notepad[/b]" in das [b]Ausführen[/b] Fenster.

[b]Kopiere[/b] nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] ebenfalls auf deinen [b]Desktop[/b] neben FRST.[list][*] Starte nun [B]FRST[/B] und klicke den [color=darkblue][B]Fix[/B][/color] Button.[*] Das Tool erstellt eine [color=darkorchid][B]Fixlog.txt[/B][/color]. Poste mir deren Inhalt.[/list]
         
Oder auf TB den FRSTFix-Tag: [frstfix][/frstfix]



Beispiel für einen Fix im Recovery Environment:
Zitat:
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
ATTFilter
Hier Fixskript einfügen
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
Baustein im BB-Code Format zum Kopieren:
Code:
ATTFilter
Drücke  bitte die [img]http://larusso.trojaner-board.de/Images/windows.jpg[/img] + R Taste und schreibe [b]notepad[/b] in das [b]Ausführen[/b] Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
[code][/code]

Speichere dieses dann bitte unter dem Dateinamen [B]Fixlist.txt[/B] auf deinen USB Stick neben FRST.[list][*]Schliesse den USB Stick an den infizierten Rechner an.[*] Starte deinen Rechner in die Reparaturoptionen.[*] Starte nun wiederum  [B]FRST[/B], aber klicke dieses Mal auf den [color=darkblue][b]Fix[/b][/color] Button.[/list]Das Tool erstellt eine Datei [color=darkorchid][b]Fixlog.txt[/b][/color] auf deinem USB Stick. Poste deren Inhalt bitte hier.
         
oder den FRSTREFix-Tag: [frstrefix][/frstrefix]
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (01.07.2017 um 14:51 Uhr)

Alt 20.12.2014, 15:59   #9
myrtille
/// TB-Ausbilder
 
Anleitung: Farbar Recovery Scan Tool (FRST) - Standard

Anleitung: Farbar Recovery Scan Tool (FRST)



Aktualisierungen des Tutorials:



04/07/2017
+ FRST-Anleitung komplett von M-K-D-B überarbeitet
+ die deutsche Version wird wieder in der offiziellen Liste der Tutorials geführt


08/07/2017
+ CHR Erweiterungen werden nicht mehr bearbeitet

19/08/2017
+ Tutorial Informationen aktualisiert
+ Neuer Befehl VirusTotal: hinzugefügt
+ Beschreibung der Befehle File: und Folder verbessert
+ Beschreibung der Accounts (Konten) verbessert
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von M-K-D-B (19.08.2017 um 09:49 Uhr)

Antwort

Themen zu Anleitung: Farbar Recovery Scan Tool (FRST)
abgesicherten, blue, center, erstellt, files, fix, foren, funktioniert, helper, link, log, malware, modus, nicht mehr, pcs, recovery, scan, scripte, security, standard, tool, tools, tutorial, unlock, verschiedene, windows



Ähnliche Themen: Anleitung: Farbar Recovery Scan Tool (FRST)


  1. Farbar Recovery Scan Tool wird von Windows SmartScreen blockiert
    Antiviren-, Firewall- und andere Schutzprogramme - 23.05.2016 (3)
  2. Farbar's Recovery Scan Tool Link von Filepony verseucht ?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2015 (3)
  3. Proxy Zugriff auf PC verhindern - Farbar Recovery Scan Tool (FRST.txt)
    Plagegeister aller Art und deren Bekämpfung - 02.05.2015 (5)
  4. GVU Trojaner, Farbar Recovery Scan Tool erfolgt, LogFile auf USB Stick gesichert
    Log-Analyse und Auswertung - 06.04.2015 (1)
  5. GVU-Virus Win7, Farbar Recovery Scan Tool
    Log-Analyse und Auswertung - 04.01.2015 (15)
  6. hier der log von Farbar Recovery Scan Tool
    Mülltonne - 08.05.2014 (1)
  7. Mal eine Frage zum Download von Farbar-Scan-Tool (FRST)
    Diskussionsforum - 17.01.2014 (3)
  8. GVU TROJANER, Farbar Recovery Scan Tool
    Log-Analyse und Auswertung - 06.10.2013 (10)
  9. Farbar Recovery Scan Tool findet mir unbekannte Programme
    Plagegeister aller Art und deren Bekämpfung - 11.08.2013 (23)
  10. Win7: Interpol Trojaner - Logfile Farbar Recovery Scan Tool
    Log-Analyse und Auswertung - 11.08.2013 (7)
  11. Logfile Farbar's Recovery Scan Tool - Beseitigung von SpyHunter 4
    Log-Analyse und Auswertung - 27.07.2013 (15)
  12. Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-07-2013 Ran by Verena (administrator) on 24-07-2013 20:57:45 Running f
    Mülltonne - 24.07.2013 (1)

Zum Thema Anleitung: Farbar Recovery Scan Tool (FRST) - Farbar's Recovery Scan Tool Download Links für die neuesten Version: Link 1 | Link 2 Farbar's Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten - Anleitung: Farbar Recovery Scan Tool (FRST)...
Archiv
Du betrachtest: Anleitung: Farbar Recovery Scan Tool (FRST) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.