Bitte um Test: Signaturenscript zur Analyse bei Malwarebefall

  • Es geht um den PPFScanner, den ich hier seit einiger Zeit zur Analyse bei Rechnerproblemen und Malwarebefall nehme. Es geht mir dabei darum, ob man ein spezielles Verfahren um evtl. bestimmte Malware zu finden in grundlegende Analysescripte einbauen kann, oder ob das generell zu viel Datenmüll liefert und nur Zeit kostet. Dafür brauche ich Scanberichte von möglichst vielen unterschiedlichen Rechnern.
    Bitte also einmal folgendes tun:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern):


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan1 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Downloadlinks hier im Forum.

    3 Mal editiert, zuletzt von AxT ()

  • (...) [*]Es befinden sich im Ordner C:\PPF_Scan1 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://speedyshare.com/ hoch und poste die Downloadlinks hier im Forum.


    Hallo, AHT!


    Aus Neugierde habe ich mal meinen PC (Windows 7 Home Premium, 64-bit) von deinem/eurem PPF-Scan-Programm scannen lassen. Ergebnis sind drei Dateien in einem PPF-SCAN2-Ordner.
    Schon beim Reinschauen in die erste Datei (ppFiles.txt) fiel mir auf, dass dort Inhalte des C:\Users-Ordners aufgelistet sind. Es handelt sich dabei also um private Daten.


    Da du darum bittest, die Download-Links hier in den Thread reinzusetzen, habe ich mal eine Frage:
    Können meine privaten PPF-Scan-Dateien von jedem mitlesenden Forummitglied und Gast mittels den hier reingesetzten Download-Links heruntergeladen und eingesehen werden?


    Gruß vom skeptischen HaJo51

  • Ja, können sie. Was verstehst du aber genau unter "private Daten"?
    Was gelistet wird sind Ordnernamen, Dateinamen und MD5 Prüfsummen von Dateien, die ein bestimmtes "Raster" fallen.
    Hier sind zum Beispiel meine "privaten Daten":
    http://speedy.sh/srzDR/ppFiles.txt
    http://speedy.sh/evyNY/Scripting.txt
    http://speedy.sh/qtD6J/Warnings.txt


    Jetzt erzähle mir mal anhand dieser "außerst privaten Daten" irgendetwas über meine Person.
    Beim Besuch jeder Internetseiten gibst du in der Regel Infos weiter, die ich viel eher als "privat" bezeichnen würde: Nämlich unter anderem Infos über deinen Wohnort - bei mir trifft das sogar ziemlich genau zu. Auch das, was du hier ganz frei und offen über dich in deinem Profil schreibst, sind private Infos über dich: http://www.paules-pc-forum.de/ppf/user/27479-hajo51/
    Die Sachen, die über den Test gesammelt werden und über die du dir gedanken machst, sind Sachen, mit denen dir meiner Meinung nach niemand schaden kann. Alle anderen Sachen, die du gedankenlos jeden Tag von dir aus an alle weitergibst, können dir sehr wohl schaden - das nur mal als Anregung, um über etwas nachzudenken.

  • Ja, können sie.


    Hallo, AHT!


    Danke für diese Info!


    Zitat

    Was verstehst du aber genau unter "private Daten"?


    Als "Private Daten" in den drei PPF-Scan-Dateien definiere ich die teilweise Auflistung der auf meine Person bezogenen C-Partition-Inhalte.


    Ich finde, die Inhalte der PPF-Scan-Dateien haben nur dich (als Tester) und mich (als Testteilnehmer) etwas anzugehen, aber nicht weitere Personen.
    Deshalb werde ich die drei PPF-Scan-Dateien erst noch etwas bearbeiten (auf meine Person hinweisende Textelemente löschen) und dir die entsprechenden Download-Links nicht hier öffentlich im Thread präsentieren, sondern in einer PN!


    Gruß von HaJo51

  • Es bleibt jedem selbst überlassen, was er im Netz postet. Deine Frage war aber komplett unnötig, denn du kannst von jedem anderen Tester die Daten ja ebenfalls einsehen - warum soll das bei dir anders sein? Wenn du die nicht öffentlich posten möchtest, möchte ich die auch nicht per PN sehen. Was du nicht zeigen willst, ist für mich sernsibel - sensibele Daten interessieren mich für einen Test nicht und mit denen möchte ich auch nicht für einen solchen Test umgehen. Was für dich sensibel ist und warum, kann ich nicht beurteilen.


    Wenn dur dir mein LOG einmal ansiehst, wirst du auch sehen, was da gelistet wird:

    Zitat

    24.11.2009 13:47 C:\Eigenes\IsTrustedFile_PCU\regedit.exe --------- 628184 (A) --- MD5: 5f0914eed69d3c55deda57c057635911
    04.05.2009 12:13 C:\Eigenes\VirtualStore_Sicherheitsloch\explorer.exe --------- 620625 (A) --- MD5: 863e1d3510f768801a813c21210265d2
    22.02.2009 17:28 C:\Eigenes\Falscher Prozesspfad\Explorer.EXE --------- 608240 (A) --- MD5: 29211263734bb6b5d4424fd5acdcf4f9
    27.01.2007 15:22 C:\Eigenes\ProcHunter\Explorer.exe --------- 752024 (A) --- MD5: a040399303de49626d721795d071ab58
    05.06.2003 18:15 C:\Eigenes\Explorer.exe --------- 254576 (A) --- MD5: 9ebbbcee34c06a5b269004bba7f6b58a


    Regedit.exe und Explorer.exe sind Dateien, die normalerweise in jedem Betriebssystem zu finden sind und zwar in der Regel im Ordner C:\Windows. Dort existieren sie in einer bestimmten, vertrauenwürdigen Form. Bei mir existieren diese Dateinamen noch an einem anderen Ort - dort aber in einer Form, die wohl kaum vertrauenswürdig ist. Darum geht es in dem Test eigentlich.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!