PPFScanner: Auswertung der Scanfiles

Aufgrund von notwendigen Wartungsarbeiten am Server kann es zu kurzen Downtimes und längeren Ladezeiten kommen.

    Hier ein grober Abriss von dem, was in den Scandateien beim Ausführen des Scripres Erweiterter Scan.scp gelistet wird und wie das auszuwerten ist. Der Umfang, Ihnhalt, die Anzahl und auch die Namen der Dateien können sich ändern, denn sie sind abhängig vom Script, das ausgeführt wird.

    Inhalt:

    6 Mal editiert, zuletzt von AxT (20. Juni 2018 um 23:17)

    Die meisten Scanfiles des PPFScanners besitzen alle den selben Kopf. In etwa sieht der so aus:


    Einträge unter nicht geladene Module:
    Der PPFScanner vollzieht bei seinem Start einen Selbsttest auf in den Scanner geladene DLLs, die eine standard Keylogger Technik verwenden, und deshalb nicht vom Scanner selbst geladen werden. Alle Dateien, die hier stehen, sollten vom Pfad und Dateinamen her genauer unter die Lupe genommen werden. Stehen hier merwürdige Sachen, deutet das auf einen laufenden Keylogger hin. Im Beispiel hier steht dort eine DLL der Firewall.

    Der Eintrag Threads:
    Ein Programm kann gleichzeitig nicht nur eine Sache machen, sondern es können quasi parallel mehrere Sachen ausgeführt werden. Unter Threads wird hier angegeben, wie viele Programmschleifen im Scanner parallel nebeneinander laufen - hinter dem Pfeil stehen die Identitätsnummern (IDs) dieser Threads. Der Scanner ist zur Zeit noch in XProfan geschrieben. XProfan kann maximal mit einem Thread umgehen. Bis einschließlich Vista darf da also maximal ein Thread auftauchen. Ab Windows7 erzeugt das Betriebsystem hier einen zusätzlichen Thread - ab Windows7 dürfen hier also maximal 2 Threads stehen. Alles, was über diesem Wert ist, deutet auf im Scanner ausgeführten Code hin, der nicht vom Scanner gestartet wurde (Usermode RootKit oder Sicherheitsanwendung). Steht hier etwas ungewöhnliches, sollte das mit zusätzlichen RootKit Scans abgeklärt werden.

    Der Eintrag Call:
    Der Scanner benutzt eine von mir entwickelte spezielle Technik, um Usermode RootKits auszutricksen. Steht hier 1, konnte diese Technik erfolgreich initialisiert werden und funktioniert korrekt.

    Der Eintrag SeDebugPrivilege:
    Der Scanner benötigt ein spezielles Privileg, um korrekt scannen zu können. Konnte das Privileg aktiviert werden, steht dieser Eintrag auf 1.

    Der Eintrag Admin:
    Hier muss ja stehen. Steht hier nein, verfügt der User nicht über Adminrechte und der Scanner kann nicht korrekt scannen.

    4 Mal editiert, zuletzt von AxT (20. Juni 2018 um 14:54)


    Diese Datei listet die in den Speicher geladenen (also momentan ausgeführten) Treiber. Es werden hier nur Treiber gelistet, die keine eindeutige Microsoft Signatur haben. Was hier steht, sollte vom Dateinamen und der Signatur her überprüft werden. Wenn in MD5.TXT die Prüfsumme ausgelesen wurde, ziehe ich auch diese in der Regel mit zur Überprüfung heran.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Treiberdatei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Treiber ohne Beschreibung oder ungewöhnlichen Angaben zum Hersteller ohne Signatur.
    Die Herstellerangaben und Produktangaben können aber auch gefälscht werden - die Signatur ist da eindeutiger.


    Gelistet werden hier alle von Prozessen (laufenden Programmen) geladene DLLs und EXE Dateien, die nicht eindeutig von Microsoft signiert wurden.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Datei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Dateien ohne Beschreibung, ungewöhnlichen Angaben zum Hersteller oder ungewöhnliche Datei- und Pfadnamen ohne Signatur.

    Der Eintrag Prozessliste:
    Hier sind die gerade vom System sichtbar ausgeführten Prozesse (gestarteten Programme) zu finden.
    Wichtig sind hier erst mal auch die Einträge unter Kommandozeile. Über manche Microsoft Programme, zum Beispiel RUNDLL32.EXE, lassen sich über einen Kommandozeilenbefehl spezielle DLLs laden. Unter Kommandozeile sieht man, welche DLL zum Beispiel von einer RUNDLL32.EXE ausgeführt wird.
    Die Angaben über Firmenname, Dateibeschreibung und Produktname sind der jeweiligen Datei angehängte Informationen, die vom Hersteller stammen. In der Regel achte ich hier auf Dateien ohne Beschreibung, ungewöhnlichen Angaben zum Hersteller oder ungewöhnliche Datei- und Pfadnamen.

    Der Eintrag Versteckte Prozesse:
    Der Scanner führt hier einen kleinen RootKit Test durch und sucht dabei nach versteckten Prozessen. Der Test ist eher oberflächlich, kann aber erste Hinweise auf laufende RootKits geben.
    Status Zombie: Ein Zombie ist ein bereits beendeter Prozess, von dem noch Teile im Speicher zurückgeblieben sind. Ein Zombie deutet in der Regel nicht auf RootKits hin, sondern auf Probleme mit dem Prozesse, dessen ID unter Holder-PID angegeben wird.
    Werden beim Scan Programme gestartet oder beendet, kann es hier zu Fehlmeldungen kommen. Ein hier gemeldetes RootKit sollte durchs Scans mit weiteren RootKit Scannern abgeklärt werden.

    2 Mal editiert, zuletzt von AxT (20. Juni 2018 um 23:16)

    Die MD5.TXT enthält die MD5 Summen aller Dateien aus dem System32 und dem Drivers Ordner, sowie die MD5 der EXPLORER.EXE aus dem Windows Ordner. Konnte von einer Datei keine MD5 erstellt werden, ist der Platz hinter dem -> frei.
    Eine MD5 kann nicht erstellt werden, wenn
    a) die Datei 0 Bytes groß ist
    b) der Zugriff zum Lesen der Datei verweigert wird
    Ich schaue hier zuerst immer nach Dateien, bei denen keine MD5 erstellt werden konnte. Alle ausführbaren Dateien (EXE, SYS und DLL), von denen keine MD5 erstellt werden konnte, sind erst mal verdächtig. Stammen die (laut Dateinamen) auch noch von Microsoft, ist das ein fast hundertprozentiger Hinweis auf ein TDSS RootKit.

    In der Datei Hidden.txt kann man Informationen über DLLs finden, die in einen Microsoft Prozess geladen wurden, die aber nicht in der DLL-Liste des Prozesses auftauchen. Ich verwende hier eine von mir vor einigen Jahren selbst entwickelte und zur Zeit noch recht effektive Scantechnik. Bis einschließlich WindowsXP darf in dieser Datei eigentlich gar nichts stehen. Ab Vista gibt es da einige DLLs, die das Betriebsystem unsichtbar in einige Systemprozesse lädt. Diese DLLs sind ausnahmslos von Microsoft.
    In meinem Testbeispiel wurde eine unsichtbare RootKit-DLL in den Prozess DWM.EXE geladen. Die Sachen, auf die man achten sollte, sind rot markiert.

    In der Scandatei Warnings.txt findet man Hinweise darauf, ob Zugriffe auf ein Objekt verweigert wurden, hinter denen sich ein RootKit verbergen kann. Alles was hier mit "Zugriff verweigert" steht (besonders Registryschlüssel), sollte als Alarmmeldung wahrgenommen werden. Diese Einträge sollten (wenn auffällig) mit weiteren RootKit-Scans überprüft werden.
    Desweiteren findet man hier Dateien mit ungültigen Signatureinträgen. Alle Dateien mit dem Vermerk "...nicht vertrauenswürdig..." sollten auf Malware hin überprüft werden!



    Tauchen in dieser Datei hinweise auf IAT Hooks oder Patches in einer bestimmten DLL auf, kann das auf das Vorhandensein eines Usermode Rootkits hindeuten.

    Aus der Scandatei Scripting.txt kann man ersehen, ob beim Ausführen von Scripten alles geklappt hat und was schief gelaufen ist.
    Die Datei wird meist erst wichtig, wenn der User irgendwelche Probleme beim Scan meldet.
    An wichtigen Daten werden dort eigentlich nur Zugriffslisten abgelegt, wenn folgende Scriptingbefehle verwendet werden:

    • FILE_ACES
    • SET_FILE_ACE_IN_DACL
    • READ_FILE_IL
    • READ_FILE_IL_NO_EXPAND
    • SET_FILE_IL
    • SET_FILE_IL_NO_EXPAND
    • SET_REGKEY_ACE_IN_DACL
    • REGKEY_ACES
    • READ_REGKEY_IL
    • SET_REGKEY_IL

    2 Mal editiert, zuletzt von AxT (20. Juni 2018 um 21:56)



    Beim Dateilisting in der FILES.TXT steht vorne immer das Änderungsdatum der Datei. Es kann sein, dass hier statt der Datumsangabe ein XX.XX.XXXX steht. Die besagte Datei ist dann lesegeschützt und kann nicht zum Lesen geöffnet werden - oft eine Maßnahme von Rootkits, um sich zu schützen. Durch das XX rutschen die Dateien im Listing nach oben und fallen sofort auf - das ist absichtlich so!

    1.Rubrik = Rootverzeichnis des Laufwerks, auf dem Windows installiert ist (C:\ ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner des jeweiligen Rootverzeichnisses im Startlaufwerk von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

    2.Rubrik = Das Windows Verzeichnis (C:\Windows ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im Windows Ordner, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert. Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die EXPLORER.EXE auf, kann diese von einem SpyEye Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde.

    3.Rubrik = Das Verzeichnis System im Windows Ordner (C:\Windows\System ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

    4.Rubrik = Das Verzeichnis System32 im Windows Ordner (C:\Windows\System32 ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System32 Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die WINLOGON.EXE auf, kann diese von einem SpyEye Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde. Püfsummen der Dateien findet man in der Scandatei MD5.txt.

    5.Rubrik = Das Verzeichnis System32\Drvers im Windows Ordner
    (C:\Windows\System32\Drivers ):
    Gelistet werden hier alle sichtbaren Dateien und Ordner im System32\Drivers Verzeichnis von Windows, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Handelt es sich bei dem Eintrag um eine Datei, steht hinter den "---------" Zechen die Dateigröße. Fehlen diese Zeichen, ist es ein Ordner.
    Zu achten ist hier auf ungewöhnliche Datei und Ordnernamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.
    Desweiteren sollte man hier nach Dateien Ausschau halten, die laut Dateinamen von Microsoft stammen, aber ncht signiert sind. Taucht hier zum Beispiel die Atapi.sys auf, kann diese von einem TDSS Virus infiziert sein und sollte von der MD5 Prüfsumme her daraufhin getestet werden, ob sie gepatched wurde. Püfsummen der Dateien findet man in der Scandatei MD5.txt.

    6.Rubrik = Das Verzeichnis Tasks im Windows Ordner (C:\Windows\Tasks ):
    Windows bietet die Möglichkeit, zeigsteuert durch den Task Planer Programme ausführen zu lassen. Die Tasks, die ausgeführt werden, werden bis Windows XP als Dateien (Endung in der Regel .JOB) in diesem Ordner gespeichert. Hier ist darauf zu achten, welche Dateien sich in diesem Ordner befinden. Was dort mit diesen Dateien gestartet wird, wird an anderer Stelle noch gelistet.

    Die 7.Rubrik = Print Processors Ordner
    (C:\Windows\system32\spool\prtprocs ):
    Hier befinden sich automatisch gestartete Unterstützungsprogramme und DLLs für den Drucker. Gelistet werden hier alle sichtbaren Dateien in diesem Verzeichnis, die nicht eindeutig von Microsoft signiert wurden. Die Einträge sind vom Änderungsdatum her absteigend sortiert - man sollte dem links stehenden Datum aber nicht zu viel Bedeutung beimessen, das kann von Viren geändert werden und wird oft auch geändert.
    Zu achten ist hier auf ungewöhnliche Dateinamen ohne Signatur. Ist eine Signatur vorhanden, steht die ganz rechts ins eckigen Klammern.

    Die 8.Rubrik = Tasks:
    Hier ist ersichtlich, welche Dateien über die .JOB Dateien im Tasks Ordner gestartet werden. Desweiteren werden hier auch Tasks ab Vista gelistet. Zu achten ist hier nicht nur auf die Dateien, die der Task direkt ausführt, sondern auch auf die Parameter. Es ist möglich (zum Beispile mit rundll32.exe) eine Microsoft Datei zu starten und über die Parameter weitere Malware auszuführen. Die gestartete Datei steht hinter dem Pfeil unter dem Namen der Datei, die den Task startet. In eckgen Klammern steht eine evtl. vorhandene Signatur.
    Beispiel:

    11.Rubrik = ausführbare Dateien im Temp Ordner des Windows Verzeichnisses (C:\Windows\TEMP ):
    Hier werden alle Dateien im Temp Ordner des Windowsverzeichnisses gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    12.Rubrik = ausführbare Dateien im temporären Verzeichnis (C:\Users\Andreas Hötker\AppData\Local\Temp => %TEMP% ):
    Hier werden alle Dateien im temporären Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    13.Rubrik = ausführbare Dateien im CommonProgramFiles Verzeichnis von Windows (C:\Program Files\Common Files):
    Hier werden alle Dateien im CommonProgramFiles Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    14.Rubrik = ausführbare Dateien im Common Applicationdata Verzeichnis von Windows (C:\ProgramData ):
    Hier werden alle Dateien im Common Applicationdata Windowsverzeichnis gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    15.Rubrik = direkte Unterordner im Windowsordner für installierte Programme (C:\Program Files ):
    Hier werden die direkten Unterordner im Ordner der installierten Programme gelistet. Das ganze lässt einen Rückschluss darauf zu, welche Programme der User betreibt und wann die installiert wurden.

    16.Rubrik = ausführbare Dateien im Windowsordner für installierte Programme (C:\Program Files ):
    Hier werden alle Dateien im Windowsordner für installierte Programme gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    17.Rubrik = ausführbare Dateien im Applicationdata Windowsordner (C:\Users\Andreas Hötker\AppData\Roaming ):
    Hier werden alle Dateien im Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    18.Rubrik = ausführbare Dateien im Local Applicationdata Windowsordner (C:\Users\Andreas Hötker\AppData\Local ):
    Hier werden alle Dateien im Local Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    19.Rubrik = ausführbare Dateien im Locallow Applicationdata Windowsordner (C:\Users\Andreas Hötker\Appdata\LocalLow ):
    Hier werden alle Dateien im Locallow Applicationdata Windowsordner gelistet, die nicht eindeutig von Microsoft signiert wurden und normalerweise die Dateiendungen EXE, SYS oder DLL haben - also Programme, Treiber oder DLLs sind. Die Unterordner des Ordners werden ebenfalls untersucht. Die Scanmethode hier ist sehr speziell, denn der Scanner erkennt nicht an der Dateiendung, ob es eine ausführbare Datei ist, sondern öffnet die Datei zum Lesen und erkennt dies an der Datei selbst - egal, welche Dateiendung die Datei besitzt. Der Scanner zieht dazu Infos im Dateiheader heran.
    Zu achten ist hier auf unsignierte Dateien, die durch ihre Dateiendungen verschleiern, dass es sich bei ihnen in Wirklichkeit um Programme, Treiber oder DLLs handelt.

    20.Rubrik = die im System vorhandenen Benutzer (Unterordner von C:\Users ):
    Hier werden die direkten Unterordner des Ordners für installierte Benutzer gelistet. Im Prinzip entspricht das den dem System bekannten Benutzern.

    21.Rubrik = die HOSTS Datei (C:\Windows\System32\drivers\etc\hosts ):
    Hier werden die Einträge in der Windows Hosts Datei gelistet. Die Einträge von einigen Anti-Spyware Programmen werden dabei standardmäßig ausgeblendet. Die Dateieinträge bewirken eine Umleitung eines bestimmten Domainnamens auf eine IP. Ein solcher Eintrag sieht wie folgt aus:

    Code
    127.0.0.1 032439.com


    Die 127.0.0.1 ist hier die IP, auf die umgeleitet wird. Die 032439.com die Domain, die umgeleitet wird. In diesem Fall wird die Internetadresse 032439.com auf die lokale IP 127.0.0.1 umgeleitet und damit die Seite geblockt - es wird gar keine Verbindung hergestellt.
    Ganz unten in dieser Rubrik steht unter dem Strich, wie viele Einträge die HOSTS Datei in Wirklichkeit enthält. Man kann also sehen, ob irgendetwas automatisch ausgeblendet wurde.
    Hier sollte darauf geachtet werden, ob evtl. Seiten von Virenscannern auf den Localhost 127.0.0.1 umgeleitet werden (Updates werden geblockt), oder ob irgendwelche Domains auf andere IP's im Netz umgeleitet werden.

    Der nächste größere Abschnitt der Datei Files.txt beschäftigt sich mit der Registry.

    Rubrik 22 und 23 = Start- und Suchseiten des InternetExplorers (HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main und HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main):
    Es werden die Werte Sarch Page und Start Page der oben angegebenen Registryschlüssel ausgelesen. Hier sollte man darauf achten, ob ungewöhnliche Internetseiten dort verzeichnet sind.

    Rubrik 24 und 25 = Unterschlüssel im Schlüsel für installierte Programme
    (HKEY_LOCAL_MACHINE\SOFTWARE und HKEY_CURRENT_USER\SOFTWARE):
    Einträge in diesen zwei Rubriken haben folgendes Format:


    Fettgedruck findet man oben ein Datum - das ist das Datum der letzten Änderung des Schlüssels und ist quasi als Installationsdatum zu werten. Darunter befinden sich die Schlüssel, die an diesem Tag erstellt wurden.
    Man erhält dadurch einen weiteren Überblick über die auf dem Rechner installierten Programme.

    Rubrik 26 bis 31 = über die Run Registryschlüssel gestartete Programme
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run):
    Die Einträge haben hier folgendes Format...

    Code
    swg = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"


    Rechts vom = Zeichen steht das gestartete Programm, links steht der Name des Registrywerts, unter dem der Eintrag verzeichnet ist.
    Zu achten ist hier auf ungewöhliche Pfad- und Programmnamen.

    3 Mal editiert, zuletzt von AxT (18. Dezember 2013 um 06:37)

    Rubrik 32 bis 36 = Load und Run Werte in den CurrentVersion\Windows Registryschlüsseln
    (HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\.default\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows
    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows):
    Es werden die Werte Load und Run der oben angegebenen Registryschlüssel ausgelesen.
    Rechts vom = Zeichen steht das gestartete Programm, links steht der Name des Registrywerts, unter dem der Eintrag verzeichnet ist.
    Zu achten ist hier auf ungewöhliche Pfad- und Programmnamen.

    37.Rubrik = Werte Authentication Packages und Notification Packages im LSA Registryschlüssel (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa):
    Der Wert Notification Packages gibt einen Satz von DLLs an, der geladen wird, wenn Passwörter in Windows erstellt oder geändert werden. Der Standardwert ist hier scecli. Tauchen hier weitere DLL-Namen auf, ist jeder Eintrag hier als "verdächtig" abzuklären.
    Der Wert Authentication Packages gibt einen Satz von DLLs an, der geladen wird, wenn ein User sich in Windows einloggt. Der Standardwert ist hier msv1_0. Tauchen hier weitere DLL-Namen auf, ist jeder Eintrag als "verdächtig" abzuklären.

    38.Rubrik = Userinit, Shell und Taskman Werte im Registryschlüssel Winlogon
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon):
    Der Wert Userinit gibt einen Satz von Programmen an, die beim Einloggen in Windows gestartet werden (durch Kommas getrennt). Der Standardwert ist hier userinit.exe aus dem System32 Verzeichnis von Windows. Tauchen hier weitere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.
    Der Wert Shell gibt das Programm an, das Windows als Shellumgebung dienen soll. Der Sandardwert ist hier der WindowsExplorer - explorer.exe aus dem Windowsverzeichnis. Tauchen hier andere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.
    Der Wert Taskman gibt das Programm an, das Windows als Taskmanager verwenden soll. Standardmäßig ist dieser Eintrag nicht vorhanden oder steht auf Taskmgr.exe. Tauchen hier andere EXE-Dateien auf, ist jeder Eintrag als "verdächtig" abzuklären.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:38)

    39.Rubrik = APPInit_DLLs Wert im Registryschlüssel CurrentVersion\Windows
    (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows):
    Es wird der Wert APPInit_DLLs im oben angegebenen Registryschlüssel ausgelesen. Dieser Wert gibt einen Satz von DLLs an, der von jeder Wndowsanwendung beim Starten geladen wird. Dieser Wert enthält normalerweise keine Einträge. Jede hier angegebene Datei ist abzuklären.

    40.Rubrik = AppCertDlls Registrykey (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls):
    Über die Werte in diesem Registryschlüssel lassen sich speziell darauf zugeschnittene DLLs in bestimmte Prozesse injizieren. Normalerweise ist der Schlüssel leer. Jeder hier auftauchende Dateiname ist abzuklären.
    Die hier angegebenen DLLs laden sich, wenn die User32.dll (zuständig für GUID) in einen Prozess geladen wird. Beim Laden der DLL wird in der DLL die Funktion CreateProcessNotify aufgerufen und unter anderem der Name der Anwendung übergeben, die die DLL lädt.

    41.Rubrik = DHCP-Nameserver
    (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces):
    Dieser Schlüssel enthält eine Liste mit IPs, die bei der Umwandlung von Domainnamen in IP Adressen aufgerufen werden. Die dort enthaltenen IPs (unter DhcpNameServer) sind zu überprüfen. Unter CLSID steht der Unterschlüssel, unter dem die IP gespeichert ist.

    42.Rubrik = über Winlogon\Notify geladene DLLs
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify):
    Die hier aufgelisteten DLLs werden in Winlogon.exe geladen, wenn bestimmte definierte Ereignisse auftreten (z.B. einloggen, ausloggen, hochfahren, herunterfahren). Links neben dem = Zeichen steht der Unterschlüssel, unter dem der DLL-Eintrag zu finde ist - rechts der Name der DLL. Jeder hier auftauchende Dateiname ist abzuklären.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:39)

    43.Rubrik = Browser Helper Objekte
    (HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects):
    Diese Rubrik enthält eine Liste von DLLs, die in den InternetExplorer geladen werden. Jede hier angegebene Datei ist abzuklären.

    44.Rubrik = über den ShellServiceObjectDelayLoad Registryschlüssel geladene DLLs
    (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad):
    Die hier aufgeführten DLLs werden automatisch beim Systemstart in den WindowsExplorer geladen. Jede hier angegebene Datei ist abzuklären.

    45.Rubrik = über den Print Processors Registryschlüssel geladene DLLs
    (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad):
    Die hier aufgeführten DLLs werden automatisch beim Systemstart in den Druckerprozess spoolsv.exe geladen. Jede hier angegebene Datei ist abzuklären. Signaturen werden hier mit ausgelesen.

    46.Rubrik = Autostartpunkte im MountPoints2 Registryschlüssel
    (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2):
    Listet die über erfolgreich ausgeführte autorun.inf Dateien erstellten Einträge im MountPoints2 Schlüssel. Hier läst sich auch erkennen, ob auf gerade nicht angeschlosenen Geräten eine AUTORUN.INF Datei abgelegt wurde, die Malware startet. Hier kann man auch unter Umständen sehen, auf welchen Geräten diese liegen. Hier sind zwei USB-Sticks betroffen:

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:40)

    47.Rubrik = Geladene Codecs im Drivers32 Schlüssel
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32):
    Hier werden die beim Ausführen von Video und Audio Dateien benötigten Codecs gelistet. Jede Datei ist abzuklären.

    48.Rubrik und 49.Rubrik = Layered Service Provider
    (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_EntriesHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries):
    Hier werden die Layered Service Provider - DLLs, die sich in den TCP IP Stack laden. Alle DLLs, die der Scanner als von Microsoft signiert erkennt, werden ausgeblendet. Zu überprüfen sind vor allem unsignierte DLLs mit ungewöhlichen Namen und Pfaden.

    50.Rubrik = Debugging Registrykey
    (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options):
    Windows bietet die Möglichkeit, den Aufruf einer Anwendung (EXE-Datei) so umzuleiten, dass anstatt dessen eine ganz andere Anwendung aufgerufen wird. Innerhalb dieses Schlüssels darf nichts an Umleitungen verzeichnet sein! Alle Umleitungen, die hier aufgeführt sind, gehören mit großer Sicherheit zu Malware.

    Einmal editiert, zuletzt von AxT (18. Dezember 2013 um 06:41)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden