Nützliche Scripte für das Farbar Recovery Scan Tool

  • Das Farbar Recovery Scan Tool wird wohl jeder kennen, der ab und zu mal in den Antivirenbereich unseres Forums oder in den anderer Foren blickt. Das Tool wird in vielen Ländern in Foren als Systemanalysetool genutzt.
    Auch das Farbar Recovery Scan Tool bietet die Möglichkeit, Scripte auszuführen. Eine Anleitung für das Tool findet man hier.
    Ich will hier mal einige nützliche Sachen vorstellen, die man mit dem Tool durchführen kann.
    Jedes hier vorgestelle Script wird in folgenden Teilbereichen auseinandergenommen und erklärt werden:

    • Wofür kann man das Script nutzen?

      • In dem Abschnitt wird kurz erklärt werden, für welche Probleme das Script verwendet werden kann und für welche Betriebssysteme es geeignet ist.
    • Anweisungen für einen User

      • Hier wird erklärt, was genau zu tun ist - vom Download des Scanners bis hin zur Ausführung des Scriptes.
    • Was tut das Script genau und wie tut es das?

      • In diesem Abschnitt soll genau erläutert werden, wie das Script funktioniert und was es eigentlich auf welche Art und Weise tut.
    • Hinweise zur Auswertung der erhaltenen Daten

      • Die meisten Scripte liefern Daten zur weiteren Analyse. In diesem Abschnitt wird erklärt werden, wie man diese Daten zur weiteren Fehlersuche und -korrektur nutzen kann.

    Inhaltsangabe der bislang vorhandenen Scripte:



    Fragen zu den Scripten können hier gestellt werden:

    25 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?

    Die Microsoft Antimalwareprodunkte speichern ihre LOGs von Funden an unterschiedlichen Stellen des Betriebssystems ab. Bei einer Analyse eines Rechners sind Daten über diese Funde extrem wichtig, um überhaupt sagen zu können, ob vielleicht wichtige Daten gestohlen wurden oder noch weitere Probleme vorliegen könnten, die gar nicht erkannt wurden.
    An diese Daten zu kommen, ist gerade für unversierte Nutzer nicht so ganz einfach.
    Das hier abgelegte Script holt sich diese Daten von Microsoft Security Esentials und dem WindowsDefender ab Windows 8.
    Das Script funktionier ab Windows Vista.



    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.



    Was tut das Script genau und wie tut es das?


    Farbar führt über Poershell folgende Sachen aus:

    • Es werden Fehler und Warnungen aus der Ereignisanzeige mit der Quelle Microsoft Antimalware ausgelesen. Diese Ergebnisse werden in die Datei MSE.txt übertragen. An der Stelle trägt der Duard von Microsoft Security Esentials seine Funde ein.
    • Der Inhalt der Datei MSE.txt wird dann mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Es werden über den Powershell Befehl Get-MpThreatDetection die Funde des Guards des WindowsDefenders ab Windows8 gelistet und in die Datei WDef.txt übertragen.
    • Der Inhalt der Datei WDef.txt wird dann mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Danach werden unter %SYSTEMROOT%\Microsoft Antimalware\Support die LOGs des WindowsDefender Offlinescans mit dem Befehl Type in die Datei Fixlog.txt, die Farbar erstellt, übertragen.
    • Zum Schluss werden die Dateien MSE.txt und WDef.txt gelöscht.
    • Farbar zeigt zum Schluss die erstellte Datei Fixlog.txt an, in der sich die Ergebnisse befinden.



    Hinweise zur Auswertung der erhaltenen Daten


    Die Ergebnisse findet man in der Datei Fixlog.txt. Hier ein Beispiel für so eine Datei:

    Unter Microsoft Security Essentials LOG steht hier nichts, da Microsoft Security Essentials auf dem Rechner nicht installiert ist.
    Unter WindowsDefender AV-Guard Detections findet sich zum Beispiel folgender Eintrag:


    Unter Resources findet sich hier der genaue Dateiname des Fundes. Man kann also schon mal sehen, was da erkannt wurde.
    Die ThreaTID sioeht erst einmal unscheinbar aus, unter Windows10 kann man aber über Powershell weitetre Informationen über diese Datei einholen.
    Gibt man folgenden Code in POwershell ein und drückt dann Enter,
    Get-MpThreatCatalog -ThreatId 228350
    kommt man dort zu folgendem Ergebnis:


    Unter ThreadName steht hier PUA:Win32/JooSoft. PUA steht dabei für Potential Unwanted Application - das ist ein Hinweios darauf, das in der Datei Adware gefunden wurde. Der Threatname gibt also Hinweise darauf, was genau gefunden wurde und wie viel Sorgen man sich diesbezüglich machen muss.
    Bei der Durchführung eines Offlinescans wurde ebenfalls noch etwas gefunden. Hier steht auch der Threadname im Klartext unter WindowsDefender (Offline-) Scan LOGs:


    Hier steht bei Threat Name Virus:DOS/EICAR_Test_File. Man sieht hier, dass ich mir den Eicar Testvirus zum Ausprobieren auf den Rechner geladen habe.

    16 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?


    Welcher Nutzer von Antivir kennt das nicht: Plötzlich poppt eine Meldung des Virenscanners mit einer Fundmeldung auf, bevor man sich versieht kommt ein Fenster, dass irgendetwas repariert wird und wenn man den ersten Schreck verdaut hat, ist alles wieder weg und man weiß im Prinzip gar nicht, was genau passiert ist.
    Das muss nicht so sein. Antivir legt Meldungen vom Guard standardmäßig in der Ereignisanzeige ab. Um nachzuvollziehen, was genau passiert ist, sich Hilfe zu holen und einzuschätzen, ob weitere Aktionen nötig sind, kann man sich diese Meldungen vom Gurd sehr einfach über ein Script mit dem Farbar Recovery Scan Tool holen.
    Das Script funktionier ab Windows Vista.


    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:
    • Code: Fixlist.txt
      StartPowershell:
      Get-Eventlog -log Application -source 'Avira Antivirus' -EntryType Error,Warning -newest 100 | format-list > AvguardFunde.txt
      EndPowershell:
      StartBatch:
      Type AvguardFunde.txt
      Del AvguardFunde.txt /Q
      EndBatch:
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?


    • Das Farbar Tool führt zuerst folgende Sachen in Powershell aus:

      • Mittels Powershell Befehl Get-Eventlog wird die Ereignisanzeige gefiltert und Warnungen und Fehler mit der Quelle Avira Antivirus aus den LOGs für Anwendungen herausgesucht.
      • Diese Meldungen werden dann in die Datei AvguardFunde.txt übertragen.
    • Danach führt Farbar über Batch Befehle folgendes aus:

      • Der Inhalt der Datei AvguardFunde.txt wird in die Datei Fixlog.txt übertragen.
      • Die Datei AvguardFunde.txt wird gelöscht.


    Hinweise zur Auswertung der erhaltenen Daten


    Hier ist einmal als Beispiel für so eine Fixlog-Datei die Fixlog.txt von meinem Testrechner mit Antivir:


    Das sieht vielleicht noch etwas verwirrend aus - um da Überblick zu verschaffen, gehe ich jetzt mal ein paar Einträge durch. Die wichtigen Sachen markiere ich rot.:
    1. Eintrag:


    2. Eintrag:


    3.Eintrag:


    4.Eintrag:


    5.Eintrag:


    6.Eintrag:

    9 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?


    Mit dem hier abgelegten Script kann man nach Dateien suchen lassen, die innerhalb eines festlegbaren Zeitraums geändert wurden. Am Anfang erscheint ein Dialog, in dem der Suchzeitraum und der zu durchsuchende Ordner festgelegt werden können. Die Suche erfolgt rekursiv innerhalb des angegebenen Ordner. Das Script funktioniert ab Windows Vista. Die Dateien werden nach dem Änderungsdatum absteigend sortiert. MD5, wichtige Infos aus der Resource und wichtige Signaturinfos werden mitgelistet.



    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:
    • Klicke dann den Button Entfernen
    • Es erscheint danach ein Dialog, in dem verchiedene Sachen festgelegt werden müssen:

      • Im Eingabefeld ganz oben muss das Datum angegeben werden, ab dem gesucht werden soll.
        Wichtig: Sollen zum Beispiel Dateien gelistet werden, die ab dem 25.12.2016 geändert wurden, muss dort 12/25/2016 eingegeben werden!
      • Im Eingabefeld in der Mitte muss das Datum angegeben werden, ab dem nichts mehr gelistet werden soll.
        Wichtig: Sollen zum Beispiel keine Dateien gelistet werden, die ab dem 27.12.2016 geändert wurden, muss dort 12/27/2016 eingegeben werden!
      • Im Eingabefeld ganz unten muss der Ordner angegeben werden, der durchsucht werden soll. Voreingestellt ist hier Ordner C:\.
        [Blockierte Grafik: https://i.imagebanana.com/img/027e64ey/1.jpg]
    • Danach muss im Dialog der OK Button gedrückt werden. Der Dialog verschwindet dann.
    • Jetzt abwarten, bis der Suchvorgang abgeschlossen ist.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?


    Die Dateisuche läuft hier über ein Powershell Script ab. Zur Suche verwendet das Script den Powershell Befehl Get-ChildItem. Signaturinfos werden über den Powershell Befehl Get-AuthenticodeSignature ausgelesen.



    Hinweise zur Auswertung der erhaltenen Daten


    Hier wieder die erzeuge Fixlog.txt von meinem Testrechner:


    Unter FullName ist in der Datei der Dateiname zu finden. Unter LastWriteTime steht das letzte Änderungsdatum der jeweiligen Datei. Mode gibt die Dateiattribute an. Unter CreationTime steht das Erstellungsdatum. Unter Company steht der Firmenname aus der Dateiresource (wenn eine vorhanden ist). Unter Product steht der Produktname aus der Dateiresource (wenn eine vorhanden ist). Unter Description steht die Dateibeschreibung aus der Dateiresource (wenn eine vorhanden ist). Unter MD5 ist die MD5 der Datei zu finden.
    Unter Signature (Status) sind Hinweise darauf zu finden, ob die jeweilige Datei korrekt signiert ist. Unter Signature (Companyname) steht der Firma, die die Datei signieren lassen hat.

    9 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?


    Der Guard von Avast legt im System einiges an LOGs ab, die zum Beispiel bei einer Analyse des Problems nach einem Virenbefall helfen könnten.
    Das hier abgelegte Script sammelt diese LOGs ein und stellt sie dem User zur Verfügung. Das Script funktionier ab Windows Vista.


    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?


    Das Script kopiert über Powershell die LOGs vom Guard von Avast in die Datei Avast.txt. Danach wird der Inhalt der Datei Avast.txt in die Datei Fixlog.txt übernommen.



    Hinweise zur Auswertung der erhaltenen Daten


    Es werden hier nur LOGs des Guards geholt, keine LOGs von Scans!

    9 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?


    Es kann vorkommen, dass auf Rechnern manche Systemfunktionen blockiert sind und man zum Beispiel auf folgende Meldungen stößt:


    [Blockierte Grafik: https://i.imagebanana.com/img/h3bk7fhu/1.jpg]
    [Blockierte Grafik: https://i.imagebanana.com/img/55p3nd7p/2.JPG]
    Schuld daran sind in der Regel gesetzte Gruppenrichtlinien (sogenannte Policies), die über den in den Pro-Versionen von Windows enthaltenen Gruppenrichtlinieneditor gesetzt werden können. Aber auch in den Home-Versionen von Windows können solche Einschränkungen gesetzt werden - über festgelegte Werte in der Registry. Diese Werte können sich an unterschiedlichen Stellen in der Registry befinden. Oft gibt es mehrere Möglichkeiten durch Registryeinträge die gleiche Einschränkung zu bewirken.
    Das hier abgelegte Script liest die für diese Einschränkungen zuständigen Registryschlüssel aus und listet alle Werte dort in einer Textdatei. Ahand einer Internetsuche lässt sich dann meist leicht feststellen, ob eine dort gesetzter Wert eventuell die Einschränkung regelt, die man nicht auf dem Rechner haben möchte und wie man sie am besten zurücksetzt. In der Regel sind Schlüssel und Werte auch nach der Einstellung benannt, die gesetzt werden soll.
    Aber Vorsicht! Solche Einstellungen sind nie grundlos gesetzt! Man muss sich also auch um den Grund kümmern, warum diese Einstellung besteht. Das kann zum Beispiel ein Befall durch eine unbekannte Malware sein, ein Eingriff eines anderen in den Rechner oder eine installierte Software, die dann in Konflikt mit einer weiteren Software stehen würde, wenn der Eintrag wieder zurückgesetzt wird.


    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:
    Code: Fixlist.txt
    Start
    ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    ExportKey: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    ExportKey: HKEY_CURRENT_USER\SOFTWARE\Policies
    ExportKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    End
    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.



    Was tut das Script genau und wie tut es das?


    Das Script nutzt den Befehl ExportKey: von Farbar, um rekursiv alle Registrywerte und Schlüssel unter folgenden Schlüsseln zu listen:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    • HKEY_CURRENT_USER\SOFTWARE\Policies
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

    Unter diesen Schlüsseln können sich Policies befinden, die das jeweilige Gerät einschränken.
    Das Script schreibt die Ergebnisse in die Datei Fixlog.txt.



    Hinweise zur Auswertung der erhaltenen Daten


    Hier einmal ein Beispiel für so eine Fixlog.txt:


    Die Ausgelesenen Werte und Schlüssel befinden sich jeweils unter der Überschrift ================== ExportKey: ===================.
    Ganz unten in der Beispieldatei sieht man, dass der Taskmanager deaktiviert wurde:
    [spoiler]
    [Blockierte Grafik: https://i.imagebanana.com/img/umzl44ry/1.jpg]
    [/spoiler

    8 Mal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?
    Auf in NTFS Partitionierten Datenträgern können Dateien nicht nur einen Dateiinhalt haben - sie können mehrere Dateiinhalte besitzen (sogenannte Alternate Data Streams auch ADS genannt), von denen aber nur ein Stream (der Hauptstream) für den User sichtbar ist. Da Virenscanner ADS nicht untersuchen, wurden früher diese Streams auch zum Verstecken von Malware genutzt.
    ADS sind ein wichtiges Sicherheitsfeature von Windows - sie können aber auch die Ausführung von Dateien beeinträchtigen.
    Das hier abgelegte Script sucht ADS in allen Dateien und Ordnern auf allen angeschlossenen lokalen Laufwerken und schreibt deren Infos in die Datei Fixlog.txt.


    Anweisungen für einen User

    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:


    • Klicke dann den Button Entfernen und warte ab, bis das Tool die Aufgabe erledigt hat. DAs ganze wird einige Zeit dauern.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?
    Über einen Batch Befehl wird zuerst der Ordner C:\POWScript erstellt. Danach wird, wenn der Ordner vorher schon bestanden hat, dessen Inhalt gelöscht:


    Über Powershell werden danach das Kommandozeilentool unzip.exe und das Tool ShowADS zum Listen von ADS heruntergeladen:



    Danach wird über das Tool unzip.exe die ShowADS.zip entpackt:


    Dann wird die enpackte ShowADS.exe mit parametern gestartet, um auf allen Laufwerken nach ADS zu suchen. Die Ergebnisse werden in die Datei ADS.txt geschrieben:


    Klappt alles, ist eine Kommandozeile zu sehen, die von ShowADS erzeugt wird:


    Ist die Suche abgeschlossen, wird sich die Kommandozeile wieder schließen.
    Danach wird der Ordner POWScript geleert und gelöscht und danach der Inhalt der Datei ADS.txt mittels dem Befehl Type in die Datei Fixlog.txt übernommen:


    Zum Schluss ird die Datei ADS.txt gelöscht:


    Hinweise zur Auswertung der erhaltenen Daten
    Die Daten über die ADS befinden sich dann in folgender Form in der Datei Fixlog.txt:


    Zuerst kommt der Name des ADS. Darunter steht die Größe in Bytes. Danach folgt hinter Contentstring: der Inhalt, in sofern der als Text darstellbar ist.

    Einmal editiert, zuletzt von AxT ()

  • Wofür kann man das Script nutzen?
    Das Script durchsucht einen auswählbaren Ordner nach allen Dateien u nd listet die MD5, das Erstellungsdatum, das Änderungsdatum, die Dateiattribute, den Firmennamen aus der Resurce (wenn vorhanden), die Dateibeschreibung aus der Resurce (wenn vorhanden), den Produktnamen aus der Resurce (wenn vorhanden) und Infos zur Signatur der Datei. Es Ordnet die Dateien dabei nach dem Änderungsdatum.


    Anweisungen für einen User


    • Lade die passende Version von Farbar Recovery Scan Tool herunter:

    • Speichere das Tool auf Deinem Desktop (nicht woanders hin). Wenn Du unsicher bist, ob Dein Windows unter 32-Bit oder 64-Bit läuft, kontrolliere das hier: Start => Rechtsklick auf Computer => Eigenschaften => Systemtyp
    • Kopiere das unten stehende Script in die Zwischenablage und speichere es auf dem Desktop in der Datei Fixlist.txt ab (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:
    • Klicke dann den Button Entfernen.
    • Es erscheint danach ein Dialog zur Auswahl eines Ordners. Wähle dort den Ordner aus, den du nach Dateien durchsuchen willst und klicke danach OK:
      [Blockierte Grafik: https://i.imagebanana.com/img/lszd33zi/1.jpg]
    • Danach erscheint ein Dialog zur Eingabe einer Dateisuchmaske. Gib hier ein, nach welchen Dateien gesucht werden soll. Wildcards sind erlaubt:
      [Blockierte Grafik: https://i.imagebanana.com/img/enn1090u/2.JPG]
    • Danach erneut den OK Button drücken.
    • Jetzt abwarten, bis der Suchvorgang abgeschlossen ist.
    • Zum Schluss öffnet sich die Datei Fixlog.txt, die die Ergebnisse enthält.
    • Wenn du das LOG von anderen auswerten lassen möchtest, kannst du es hier in deinem Beitrag als Anhang hochladen.


    Was tut das Script genau und wie tut es das?
    Das Script verwendet zur Suche nach den Dateien Powershell.
    Zuerst für über folgende Scriptingzeile sichergestellt, dass die später erzeugten Dialog auch wirklich sichtbar dargestellt werden:


    Dann wird die Funktion zum Listen des Firmennamen in der Signatur festgelegt. Die Funktion nutzt den Powershellbefehl Get-AuthenticodeSignature:


    Als nächstes wird die Funktion zum Ermitteln vom Status der Signatur festgelegt. Die Funktion nutzt den Powershellbefehl Get-AuthenticodeSignature:


    Danach wird die Funktion zum Ermitteln des MD5 Wertes von Dateien festgelegt:


    Danach wird der Dialog zur Auswahl des Ordners erzeugt. Der ausgewählte Ordner wird auf in der Variablen $Path abgelegt:


    Wenn ein Pfad ausgewählt wurde,...


    ...wird dann der Dialog zur Eingabe der Dateisuchmaske erzeugt:


    Nur wenn der OK button gedrückt wurde...


    ...wird dann über den Powershell Befehl get-childitem die Dateisuche gestartet und die Ergebnisse in der Datei FileSearch.txt abgelegt:


    Ist das abgeschlossen, werden die Ergebnisse aus der Datei FileSearch.txt mit dem Befehl Type in die Fixlog.txt übernommen:


    Zum Schluss wird die Datei FileSearch.txt dann gelöscht:



    Hinweise zur Auswertung der erhaltenen Daten
    In diesem Beispiel habe ich alle EXE Dateien aus dem Ordner C:\Farbar listen lassen: