PPFScanner Programmbeschreibung - Paules-PC-Forum.de

**Paule** · 25.01.2012, 17:40

Autor: AHT

PPFScanner Programmbeschreibung

Wozu dieses Programm?

Virenscanner sind nützliche und wichtige Werkzeuge – manchmal reagieren sie aber erst zu spät und dann nicht komplett. So werden zwar in der Regel die problematischen Dateien entfernt, die Registryschlüssel, die vormals den Virus gestartet haben, bleiben aber oft im System. Im schlimmsten Fall können solche zurückgelassenen Einträge dazu führen, dass das System nicht mehr startet oder sich nicht mehr bedienen lässt. Es kommt auch vor, dass man eigentlich genau weiß, das man sich einen Virus eingefangen hat, weil das System merkwürdig reagiert – der Virenscanner aber nichts findet.

Für solche Sachen ist das Programm PPFScanner entwickelt worden. PPFScanner untersucht verschiedene Stellen der Registry, an denen sich Viren festsetzen können, und gibt deren Werte zurück. Des weiteren prüft der Scanner verschiedene Orte des Dateisystems und gibt unter anderem die zuletzt dort erstellten Dateien zurück. Geladene DLLs, Prozesse und Treiber werden ebenfalls gelistet. Zusätzlich verfügt der Scanner mit dem „Scripting“ über die Möglichkeit, unter anderem weitere Bereiche der Registry, des Dateisystems oder Einträge der Ereignisverfolgung auszulesen. Die erfassten Daten werden in Textdateien geschrieben, die dann im Netz gepostet und von kompetenten Leuten ausgewertet werden können.

Der Scanner ist so konzipiert, dass er auch über eine Windows Live-CD auch Systeme scannen kann, die nicht aktiv sind (wichtig, wenn sich ein Rechner nicht mehr starten lässt und auch bei manchen RootKits nützlich). Was der Scanner genau auslesen soll, lässt sich unter den Menüpunkten Dateien und Ordner und Registry und ausgeführte Dateien einstellen.

Der PPF Scanner lässt sich auch über Scripte steuern. Er bringt hierzu eine eigene – schon recht umfangreiche – „Programmiersprache“ mit, mit der sich auf allerhand Arten unter anderem Zusatzprogramme starten, Sachen im Dateisystem, der Ereignisanzeige von Windows und der Registry auslesen und ändern lassen. Das bringt den Vorteil, dass bei neuartigen Viren, die andere Hinweise an anderen Orten auf dem System hinterlassen, nicht jedes mal das Programm umgeschrieben werden muss, um Hinweise auf die Malware zu erhalten, sondern das es ausreicht, das Script zum Auslesen zu ändern, um weitere Infos über einen möglichen Virenbefall zu erhalten.

Auch das direkte Versenden von Dateien von einem befallenen Rechner an einen anderen PC (zum weiteren Testen der Dateien) ist per Script möglich. Man muss also keine vermutliche Malware zum Testen irgendwo hoch laden lassen, wo sich vielleicht andere beim Download damit infizieren könnten, sondern kann die vermutliche Malware vom befallenen Rechner direkt per Script auf einen anderen Rechner kopieren, der irgendwo anders in der Welt stehen kann.

Anwendung:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).

Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien.
Bei Unklarheiten oder Problmen lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum im Bereich Sicherheit.

Scandauer (mindestens) 40 Minuten - je nach Rechner.

**Paule** · 05.02.2012, 18:30

Erweiterte Anwendungsmöglichkeit I

Manchmal es kann nützlich sein, die Leistung des Rechners über längere Zeit zu beobachten und Prozessorauslastung der einzelnen Prozesse, Festplattenzugriffe etc. in dieser Zeit aufzuzeichnen. Folgendes wurde dazu entwickelt - hier die genaue Anweisung:

####################################################
Zuerst das hier tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Tools
CREATE_FOLDER->C:\PPF_Scan1
CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.Config
WRITE_BATCH->"\LogicalDisk(*)\*"
WRITE_BATCH->"\Memory\*"
WRITE_BATCH->"\Network Interface(*)\*"
WRITE_BATCH->"\Paging File(*)\*"
WRITE_BATCH->"\PhysicalDisk(*)\*"
WRITE_BATCH->"\Process(*)\*"
WRITE_BATCH->"\Redirector\*"
WRITE_BATCH->"\Server\*"
WRITE_BATCH->"\System\*"
CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.BAT
WRITE_BATCH->LOGMAN DELETE SL1
WRITE_BATCH->DEL C:\PPF_Scan1\SL*.* /Q
OPEN->C:\PPFS_Tools\Perf.BAT
SLEEP->20000
EXECUTE->%Systemroot%\System32\logman.exe Create Counter SL1 -cf "C:\PPFS_Tools\Perf.Config" -o "C:\PPF_Scan1\SL"
SLEEP->20000
EXECUTE->%Systemroot%\System32\logman.exe Start SL1
SLEEP->2400000
EXECUTE->%Systemroot%\System32\logman.exe Stop SL1
SLEEP->20000
LOAD_SCRIPT->%PROGDIR%Erweiterter Scan.scp
OPEN->C:\PPF_Scan1\SL_000001.blg
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Beende den Scanner nicht, auch wenn er scheinbar nichts tut - wartet ab, bis er sich selbst beendet.
Es startet sich ein Leistungstest für deinen Rechner. Dieser Test dauert 40 Minuten. Danach wird ein Systemscan gestartet, der ebenfalls mindestens 40 Minuten dauert.
Sind die Scans beendet, schließt sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Dateien. Bei Fragen dazu lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

####################################################

Info: Mit dem rot markierten Teil des Scripts kann man (mit SLEEP) einstellen, wie lange der Scan laufen soll.

Code:

...
EXECUTE->%Systemroot%\System32\logman.exe Start SL1
SLEEP->2400000
EXECUTE->%Systemroot%\System32\logman.exe Stop SL1
...

Diese Zeile gibt die Laufzeit des Leistungstests in Millisekunden an - hier 2400000 Millisekunden = 40 Minuten.

Die Ergebnisse der Leistungsüberwachung befinden sich am Schluss in der Datei C:\PPF_Scan1\SL_000001.blg. Diese Datei ist eine Grafik - ein Liniendiagramm (ist also leider für Markus nichts). In diesem Liniendiagramm kann man einstellen, was dort angezeigt werden soll und was man ausblenden möchte. Diese Diagramm gibt einen sehr genauen Einblick, was auf dem Rechner los ist, auch wenn dort Sachen nur Zeitweise auftreten.
Wer das nutzen möchte und Fragen zur Auswertung des Diagramms und zum Ausblenden und Anzeigen einzelner Bestandteile hat, kann sich hier melden. Ich versuche das so gut wie möglich zu beantworten.
Am Anfang sieht das Diagramm unter Umständen so aus (alles eingeblendet):

Blendet man nur die Prozessorzeit ein, sieht das so aus:

Alles mit Linien in unterschiedlichen Farben. Zeigt man mit der Maus auf eine Linie, wird der Pressname des Prozesses angezeigt, der die Auslastung verursacht. Man sieht so schon, dass bei mir in der ganzen Zeit nicht viel los war und der IE die höchste Auslastung verursacht hat.

25.01.2012, 17:40	#1 (Direktlink)
Paule Moderator Registriert seit: 27.10.2008 Beiträge: 4.376	PPFScanner Programmbeschreibung Autor: AHT PPFScanner Programmbeschreibung Wozu dieses Programm? Virenscanner sind nützliche und wichtige Werkzeuge – manchmal reagieren sie aber erst zu spät und dann nicht komplett. So werden zwar in der Regel die problematischen Dateien entfernt, die Registryschlüssel, die vormals den Virus gestartet haben, bleiben aber oft im System. Im schlimmsten Fall können solche zurückgelassenen Einträge dazu führen, dass das System nicht mehr startet oder sich nicht mehr bedienen lässt. Es kommt auch vor, dass man eigentlich genau weiß, das man sich einen Virus eingefangen hat, weil das System merkwürdig reagiert – der Virenscanner aber nichts findet. Für solche Sachen ist das Programm PPFScanner entwickelt worden. PPFScanner untersucht verschiedene Stellen der Registry, an denen sich Viren festsetzen können, und gibt deren Werte zurück. Des weiteren prüft der Scanner verschiedene Orte des Dateisystems und gibt unter anderem die zuletzt dort erstellten Dateien zurück. Geladene DLLs, Prozesse und Treiber werden ebenfalls gelistet. Zusätzlich verfügt der Scanner mit dem „Scripting“ über die Möglichkeit, unter anderem weitere Bereiche der Registry, des Dateisystems oder Einträge der Ereignisverfolgung auszulesen. Die erfassten Daten werden in Textdateien geschrieben, die dann im Netz gepostet und von kompetenten Leuten ausgewertet werden können. Der Scanner ist so konzipiert, dass er auch über eine Windows Live-CD auch Systeme scannen kann, die nicht aktiv sind (wichtig, wenn sich ein Rechner nicht mehr starten lässt und auch bei manchen RootKits nützlich). Was der Scanner genau auslesen soll, lässt sich unter den Menüpunkten Dateien und Ordner und Registry und ausgeführte Dateien einstellen. Der PPF Scanner lässt sich auch über Scripte steuern. Er bringt hierzu eine eigene – schon recht umfangreiche – „Programmiersprache“ mit, mit der sich auf allerhand Arten unter anderem Zusatzprogramme starten, Sachen im Dateisystem, der Ereignisanzeige von Windows und der Registry auslesen und ändern lassen. Das bringt den Vorteil, dass bei neuartigen Viren, die andere Hinweise an anderen Orten auf dem System hinterlassen, nicht jedes mal das Programm umgeschrieben werden muss, um Hinweise auf die Malware zu erhalten, sondern das es ausreicht, das Script zum Auslesen zu ändern, um weitere Infos über einen möglichen Virenbefall zu erhalten. Auch das direkte Versenden von Dateien von einem befallenen Rechner an einen anderen PC (zum weiteren Testen der Dateien) ist per Script möglich. Man muss also keine vermutliche Malware zum Testen irgendwo hoch laden lassen, wo sich vielleicht andere beim Download damit infizieren könnten, sondern kann die vermutliche Malware vom befallenen Rechner direkt per Script auf einen anderen Rechner kopieren, der irgendwo anders in der Welt stehen kann. Anwendung: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Bei Unklarheiten oder Problmen lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum im Bereich Sicherheit. Scandauer (mindestens) 40 Minuten - je nach Rechner. Geändert von AHT (26.01.2012 um 13:24 Uhr)

05.02.2012, 18:30	#2 (Direktlink)
Paule Moderator Registriert seit: 27.10.2008 Beiträge: 4.376	Erweiterte Anwendungsmöglichkeit I Manchmal es kann nützlich sein, die Leistung des Rechners über längere Zeit zu beobachten und Prozessorauslastung der einzelnen Prozesse, Festplattenzugriffe etc. in dieser Zeit aufzuzeichnen. Folgendes wurde dazu entwickelt - hier die genaue Anweisung: #################################################### Zuerst das hier tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_Tools CREATE_FOLDER->C:\PPF_Scan1 CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.Config WRITE_BATCH->"\LogicalDisk()\" WRITE_BATCH->"\Memory\" WRITE_BATCH->"\Network Interface()\" WRITE_BATCH->"\Paging File()\" WRITE_BATCH->"\PhysicalDisk()\" WRITE_BATCH->"\Process()\" WRITE_BATCH->"\Redirector\" WRITE_BATCH->"\Server\" WRITE_BATCH->"\System\" CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.BAT WRITE_BATCH->LOGMAN DELETE SL1 WRITE_BATCH->DEL C:\PPF_Scan1\SL. /Q OPEN->C:\PPFS_Tools\Perf.BAT SLEEP->20000 EXECUTE->%Systemroot%\System32\logman.exe Create Counter SL1 -cf "C:\PPFS_Tools\Perf.Config" -o "C:\PPF_Scan1\SL" SLEEP->20000 EXECUTE->%Systemroot%\System32\logman.exe Start SL1 SLEEP->2400000 EXECUTE->%Systemroot%\System32\logman.exe Stop SL1 SLEEP->20000 LOAD_SCRIPT->%PROGDIR%Erweiterter Scan.scp OPEN->C:\PPF_Scan1\SL_000001.blg END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Beende den Scanner nicht, auch wenn er scheinbar nichts tut - wartet ab, bis er sich selbst beendet. Es startet sich ein Leistungstest für deinen Rechner. Dieser Test dauert 40 Minuten. Danach wird ein Systemscan gestartet, der ebenfalls mindestens 40 Minuten dauert. Sind die Scans beendet, schließt sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Dateien. Bei Fragen dazu lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. #################################################### Info: Mit dem rot markierten Teil des Scripts kann man (mit SLEEP) einstellen, wie lange der Scan laufen soll. Code: ... EXECUTE->%Systemroot%\System32\logman.exe Start SL1 SLEEP->2400000 EXECUTE->%Systemroot%\System32\logman.exe Stop SL1 ... Diese Zeile gibt die Laufzeit des Leistungstests in Millisekunden an - hier 2400000 Millisekunden = 40 Minuten. Die Ergebnisse der Leistungsüberwachung befinden sich am Schluss in der Datei C:\PPF_Scan1\SL_000001.blg. Diese Datei ist eine Grafik - ein Liniendiagramm (ist also leider für Markus nichts). In diesem Liniendiagramm kann man einstellen, was dort angezeigt werden soll und was man ausblenden möchte. Diese Diagramm gibt einen sehr genauen Einblick, was auf dem Rechner los ist, auch wenn dort Sachen nur Zeitweise auftreten. Wer das nutzen möchte und Fragen zur Auswertung des Diagramms und zum Ausblenden und Anzeigen einzelner Bestandteile hat, kann sich hier melden. Ich versuche das so gut wie möglich zu beantworten. Am Anfang sieht das Diagramm unter Umständen so aus (alles eingeblendet): Blendet man nur die Prozessorzeit ein, sieht das so aus: Alles mit Linien in unterschiedlichen Farben. Zeigt man mit der Maus auf eine Linie, wird der Pressname des Prozesses angezeigt, der die Auslastung verursacht. Man sieht so schon, dass bei mir in der ganzen Zeit nicht viel los war und der IE die höchste Auslastung verursacht hat.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Canon Scanner + Keine Rückmeldung vom Scanner	raser155	Hardware - Problemlösungen	5	17.04.2012 22:10
scanner	nora	Software - Allgemein	2	03.06.2006 13:13
Scanner Treiber für HP Scanner 4100c unter Win XP,WO????	Audioslave36	Treiber-Forum	8	07.12.2005 13:22
Scanner	herr-vierzig	Hardware - Problemlösungen	2	29.08.2004 20:35