Angepinnt Nützliche Scripte für den PPFScanner

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

  • Nützliche Scripte für den PPFScanner

    Seit einigen Jahren entwickele ich das Tool PPFScanner, mit dem ich hier im Forum unter anderem Analysen von virenbefallenen Rechnern durchführe und den ich auch für andere Problemanalysen nutze (zum Beispiel im Hardwarebereich).
    Der Scanner bringt quasi eine eigene kleine "Scripting Programmiersprache" mit, mit der alle möglichen Sachen am Rechner über Scripte gesteuert, ausgelesen und geändert werden können. Die einzelnen Befehle sind in der Hilfedatei Scripting.chm erklärt, die im Downloadpaket des Scanners enthalten ist. Diese Hilfedatei kann auch über das Menü des Scanner unter Hilfe durch einen Klick auf Die Scriptingbefehle geöffnet werden.
    An dieser Stelle möchte ich einmal einige vorgefertigte Scripte für den Scanner vorstellen, die auch für User hier im Forum interessant sein könnten.
    Jedes hier vorgestelle Script wird in folgenden Teilbereichen auseinandergenommen und erklärt werden:
    • Wofür kann man das Script nutzen?
      • In dem Abschnitt wird kurz erklärt werden, für welche Probleme das Script verwendet werden kann und für welche Betriebssysteme es geeignet ist.
    • Anweisungen für einen User
      • Hier wird erklärt, was genau zu tun ist - vom Download des Scanners bis hin zur Ausführung des Scriptes.
    • Was tut das Script genau und wie tut es das?
      • In diesem Abschnitt soll genau erläutert werden, wie das Script funktioniert und was es eigentlich auf welche Art und Weise tut.
    • Hinweise zur Auswertung der erhaltenen Daten
      • Die meisten Scripte liefern Daten zur weiteren Analyse. In diesem Abschnitt wird erklärt werden, wie man diese Daten zur weiteren Fehlersuche und -korrektur nutzen kann.
    Die hier vorgestellten Scripte können auch als Datei mit der Endung .SCP im Ordner abgelegt werden, in dem sich der PPFScanner befindet. Das jeweilige Script kann dann über das Menü des PPFScanner unter Programm und Script laden und ausführen gestartet werden.

    Inhaltsangabe der bislang vorhandenen Scripte:


    Fragen zu den Scripten können hier gestellt werden:
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 36 mal editiert, zuletzt von AHT ()

  • Systemdateien auf Integrität testen und reparieren - die bessere Art SFC auszuführen

    Wofür kann man das Script nutzen?

    Funktioniert das Betriebssystem nicht richtig, könnten fehlerhafte oder veränderte Systemdateien dahinter stecken. Oft wird dann zur Ausführung des Befehls SFC mit dem Parameter Scannow geraten. Leider kann Windows dabei nicht immer alle Systemdateien reparieren und der User erhält auch nicht ohne weiteres einen Hinweis darauf, ob wirklich etwas defekt war und was genau nicht repariert werden konnte. Abhilfe schafft dieses kleine Script.
    Systemvoraussetzungen: Das Script funktioniert ab Windows Vista


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_Tools
    3. CREATE_BATCH_FILE->C:\PPFS_Tools\SFC_BATCH.BAT
    4. WRITE_BATCH->SFC /SCANNOW
    5. WRITE_BATCH->findstr /c:"[SR]" %windir%\logs\cbs\cbs.log > C:\PPF_Scan2\sfcdetails.txt
    6. WRITE_BATCH->notepad C:\PPF_Scan2\sfcdetails.txt
    7. OPEN->C:\PPFS_Tools\SFC_BATCH.BAT
    8. SLEEP->2000
    9. WAIT_FOR_TERMINATE->sfc.exe
    10. COPY_SCANFILES->C:\PPF_Scan2
    11. OPEN->C:\PPF_Scan2
    12. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?
    • Der Scanner legt zuerst die beiden Ordner C:\PPF_Scan2 und C:\PPFS_Tools an.
    • Im Ordner C:\PPFS_Tools wird dann eine Batch Datei erzeugt, die folgendes tut:
      • Der Befehl SFC /SCANNOW wird ausgeführt.
      • Ist SFC beendet, werden über einen weiteren Batch Befehl die wichtigsten Abschnitte aus dem LOG von SFC herauskopiert und in die Datei C:\PPF_Scan2\sfcdetails.txt geschrieben.
      • Die Datei C:\PPF_Scan2\sfcdetails.txt wird dann im Windows Editor geöffnet.
    • Der Scanner wartet dann, bis SFC auf jeden Fall beendet wurde und öffnet dann den Ordner C:\PPF_Scan2 im Explorer.
    • Im Ordner C:\PPF_Scan2 wird auch eine Datei Scripting.txt abgelegt, die den Ablauf des Scvripts und eventuelle Fehlermeldungen enthält.
    • Zum Schluss wird der Scanner über das Script beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    Wichtig ist hier der Inhalt der Datei SFC Details.txt. Werden defekte Dateien gefunden, werden die dort gelistet. Konnte eine Datei nicht repariert werden, ist das ebenfalls aus dem LOG ersichtlich. Des Weiteren erhält man Infos darüber, aus welchem Packet die defekte Datei stammt - so kann man zum Beispiel versuchen, wenn etwas nicht repariert werden konnte, das KB zu deinstallieren und neu zu installieren, aus dem die Datei stammt.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 12 mal editiert, zuletzt von AHT ()

  • Prozessorzeit über längere Zeit aufzeichnen

    Wofür kann man das Script nutzen?

    Hat der Rechner an Performance verloren und hakt zeitweise, kann ein Aufzeichnen der Prozessorauslastung der Prozesse über eine längere Zeit manchmal helfen. Das hier abgelegte Script zeichnet die Prozessorauslastung aller Prozesse grafisch über etwa eine Stunde auf und liefert zuzüglich LOGs, die bei der Auswertung von Malwareproblemen helfen können.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPFS_Tools
    2. CREATE_FOLDER->C:\PPF_Scan1
    3. CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.Config
    4. WRITE_BATCH->\Process(*)\% Processor Time
    5. CREATE_BATCH_FILE->C:\PPFS_Tools\Perf.BAT
    6. WRITE_BATCH->LOGMAN DELETE SL1
    7. WRITE_BATCH->DEL C:\PPF_Scan1\SL*.* /Q
    8. OPEN->C:\PPFS_Tools\Perf.BAT
    9. SLEEP->20000
    10. EXECUTE->%Systemroot%\System32\logman.exe Create Counter SL1 -cf "C:\PPFS_Tools\Perf.Config" -o "C:\PPF_Scan1\SL" -ow
    11. SLEEP->20000
    12. EXECUTE->%Systemroot%\System32\logman.exe Start SL1
    13. LOAD_SCRIPT->%ProgDir%Erweiterter Scan.scp
    14. EXECUTE->%Systemroot%\System32\logman.exe Stop SL1
    15. SLEEP->20000
    16. COPY_SCANFILES->C:\PPF_Scan1
    17. OPEN->C:\PPF_Scan1\SL_000001.blg
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan1 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.



    Was tut das Script genau und wie tut es das?
    • Der Scanner erzeugt Im Ordner C:\PPFS_Tools eine Batch Datei.
    • Über die erzeugte Batch Datei wird der Performance Monitor von Windows gestartet, um die Prozessorauslastung aufzuzeichnen. Die Aufzeichnung der Prozessorauslastung befindet sich in der Datei C:\PPF_Scan1\SL_000001.blg.
    • Danach startet der Scanner das Script Erweiterter Scan.scp, das im Packet des PPFScanners mitgeliefert wird. Dieses Script zeichnet unter anderem verschiedene Autostarts, wichtige Inhalte der Registry, laufende Prozesse, laufende Treiber und über die Registry gestartete Dienste und Treiber auf.
    • Ist die Ausführung des Scripts Erweiterter Scan.scp abgeschlossen, wird die Aufzeichnung der Prozessorleistung beendet.
    • Ist der Scan beendet, wird die Datei C:\PPF_Scan1\SL_000001.blg geöffnet.
    Zur Info: Im Packet des Scanners ist das Script Leistungstest.scp vorhanden. Das Script Leistungstest.scp listet neben der Prozessorzeit noch andere Komponenten in der Grafik.


    Hinweise zur Auswertung der erhaltenen Daten

    Hier einmal die erzeugten LOGs von meinem Testrechner:
    Schaut man sich die Datei SL_000001.blg an, enthält sie zuerst nur die gesamte Prozessorauslastung innerhalb der Testzeit:
    Klickt man ganz unten doppelt auf den Eintrag mit dem Häkchen, kann man weitere Sachen im erzeugten LOG anzeigen lassen:

    Danach sollte man die Häkchen bei den Prozessen unten in der Liste bei Idle und PPFScan bzw. PPFScan64 entfernen, um die Sache noch übersichtlicher zu machen:

    In der Grafik wird jeder Prozess mit einer Linie in einer speziellen Farbe gekennzeichnet. Zeigt man mit der Maus auf eine Linie, wird angezeigt, welcher Prozess sich dahinter verbirgt. Im Beispiellog fällt ein Prozess auf, der besonders viel Prozessorlast zieht:

    Der Prozessname lautet hier xyffghgjhsghv - das sieht nach einem zufälligen Dateinamen aus und riecht nach Malware.
    In der Datei Prozesses.txt findet man eine Tabelle mit einer Liste aller Prozesse - dort sehen wir auch den Pfad zur Datei (C:\Users\MisterX\AppData\Local\Temp\xyffghgjhsghv.exe):
    Spoiler anzeigen

    Quellcode: Processes.txt

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    2. º º
    3. º PPFScanner v4,6,95,5100 º
    4. º Scanfile 4 º
    5. º º
    6. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    7. @Mopao and AHT
    8. Scanstart: 11.02.2017 02:19
    9. Microsoft Windows (Version 6.3.14393)
    10. Windows 10 Home (64Bit)
    11. Servicepack:
    12. läuft auf 64-Bit Windows
    13. Boot: Normal boot
    14. Processor 1: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    15. Processor 1 Identifier: Intel64 Family 6 Model 23 Stepping 10
    16. Processor 1 Vendor: GenuineIntel
    17. Geschwindigkeit von Prozessor 1: 2267MHZ
    18. Processor 2: Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
    19. Processor 2 Identifier: Intel64 Family 6 Model 23 Stepping 10
    20. Processor 2 Vendor: GenuineIntel
    21. Geschwindigkeit von Prozessor 2: 2267MHZ
    22. Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD, G:\ = HDD, H:\ = HDD, I:\ = CDROM
    23. Disk0 MBR MD5: a36c5e4f47e84449ff07ed3517b43a31 (Windows7 MBR)
    24. PPFScan Version: 4,6,95,5100
    25. PPFScan MD5-Hash: c73c26991d925b8ed10beb803c2b1dc1
    26. PPFScan SHA1-Hash: 633138875d3a6e8a60cff7bc34806df4ee48affc
    27. SeDebugPrivilege: 1
    28. SeBackupPrivilege: 1
    29. SeRestorePrivilege: 1
    30. Call: 1
    31. Threads: 3 -> 5072 2888 4816
    32. Nicht geladene Module: C:\Windows\System32\MSCTF.dll; C:\Windows\system32\dwmapi.dll; C:\Windows\SYSTEM32\CRYPTSP.dll; C:\Windows\system32\rsaenh.dll; C:\Windows\SYSTEM32\bcrypt.dll; C:\Windows\SYSTEM32\CRYPTBASE.dll; C:\Windows\SYSTEM32\gpapi.dll; C:\Windows\System32\imagehlp.dll
    33. Admin: ja
    34. Mandatory Policy Level: $1
    35. PPFScanner Ordner: D:\PureBasic\PPFscanner\
    36. User: MisterX / S-1-5-21-2291243898-948412162-3487009162-1001
    37. ProgramData: C:\ProgramData
    38. Programfiles: C:\Program Files
    39. 32Bit-Programfiles: C:\Program Files (x86)
    40. CommonProgramFiles: C:\Program Files\Common Files
    41. 32Bit-CommonProgramFiles: C:\Program Files (x86)\Common Files
    42. Systemroot: C:\Windows
    43. Systemroot aus Registry: C:\Windows
    44. UserProfile: C:\Users\MisterX
    45. Temporary Files: C:\Users\MisterX\AppData\Local\Temp
    46. Applicationdata: C:\Users\MisterX\AppData\Roaming
    47. Local Applicationdata: C:\Users\MisterX\AppData\Local
    48. Common Applicationdata: C:\ProgramData
    49. Startup: C:\Users\MisterX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    50. Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
    51. Java Version (32Bit): nicht installiert
    52. Java Version (64Bit): nicht installiert
    53. Internet Explorer Version: 9.11.14393.0
    54. ______________________________________________________________________________________________________________________________
    55. **************
    56. *Prozessliste*
    57. **************
    58. PID Prozessname Session User Parent-PID Dateiname Dateibeschreibung Firmenname Kommandozeile
    59. ====== ========================== ========= ===================== ============ ========================================================================================================= =================================================== =========================================== ====================================================================================================================================================================
    60. 0 (Nicht ermittelbar!) 0 0
    61. 4 System 0 0
    62. 296 smss.exe 0 SYSTEM 4 C:\Windows\System32\smss.exe Windows-Sitzungs-Manager Microsoft Corporation
    63. 460 csrss.exe 0 SYSTEM 452 C:\Windows\System32\csrss.exe Client-Server-Laufzeitprozess Microsoft Corporation
    64. 528 wininit.exe 0 SYSTEM 452 C:\Windows\System32\wininit.exe Windows-Startanwendung Microsoft Corporation
    65. 592 services.exe 0 SYSTEM 528 C:\Windows\System32\services.exe Anwendung für Dienste und Controller Microsoft Corporation
    66. 600 lsass.exe 0 SYSTEM 528 C:\Windows\System32\lsass.exe Local Security Authority Process Microsoft Corporation C:\Windows\system32\lsass.exe
    67. 676 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k DcomLaunch
    68. 724 svchost.exe 0 Netzwerkdienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k RPCSS
    69. 984 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k netsvcs
    70. 1004 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
    71. 280 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
    72. 388 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalService
    73. 464 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    74. 1200 svchost.exe 0 Netzwerkdienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\System32\svchost.exe -k NetworkService
    75. 1364 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    76. 1392 hpservice.exe 0 SYSTEM 592 C:\Windows\System32\hpservice.exe HpService Hewlett-Packard Company C:\Windows\system32\Hpservice.exe
    77. 1400 SbieSvc.exe 0 SYSTEM 592 C:\Program Files\Sandboxie\SbieSvc.exe Sandboxie Service Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SbieSvc.exe"
    78. 1580 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
    79. 1688 SearchIndexer.exe 0 SYSTEM 592 C:\Windows\System32\SearchIndexer.exe Microsoft Windows Search-Indexerstellung Microsoft Corporation C:\Windows\system32\SearchIndexer.exe /Embedding
    80. 1720 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
    81. 1852 spoolsv.exe 0 SYSTEM 592 C:\Windows\System32\spoolsv.exe Spoolersubsystem-Anwendung Microsoft Corporation C:\Windows\System32\spoolsv.exe
    82. 2088 AEADISRV.EXE 0 SYSTEM 592 C:\Windows\System32\AEADISRV.EXE Andrea filters APO access service (64-bit) Andrea Electronics Corporation C:\Windows\system32\AEADISRV.EXE
    83. 2104 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\System32\svchost.exe -k utcsvc
    84. 2176 MsMpEng.exe 0 SYSTEM 592 C:\Program Files\Windows Defender\MsMpEng.exe Antimalware Service Executable Microsoft Corporation
    85. 2236 Memory Compression 0 SYSTEM 4
    86. 2336 svchost.exe 0 SYSTEM 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k appmodel
    87. 3632 NisSrv.exe 0 Lokaler Dienst 592 C:\Program Files\Windows Defender\NisSrv.exe Microsoft Network Realtime Inspection Service Microsoft Corporation
    88. 5056 hpqWmiEx.exe 0 SYSTEM 592 C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe hpqwmiex Module Hewlett-Packard Development Company, L.P. "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe"
    89. 5096 WmiPrvSE.exe 0 SYSTEM 676 C:\Windows\System32\wbem\WmiPrvSE.exe WMI Provider Host Microsoft Corporation C:\Windows\system32\wbem\wmiprvse.exe
    90. 1612 Com4QLBEx.exe 0 SYSTEM 592 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe Com for QLB application Hewlett-Packard Development Company, L.P. "C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe"
    91. 3344 MpCmdRun.exe 0 Netzwerkdienst 5800 C:\Program Files\Windows Defender\MpCmdRun.exe Microsoft Malware Protection Command Line Utility Microsoft Corporation "C:\Program Files\Windows Defender\\MpCmdRun.exe" SpyNetServiceDss -RestrictPrivileges -AccessKey 018C9A5E-6562-65B9-5A4C-D53FDF5DB82F -Reinvoke
    92. 1948 csrss.exe 2 SYSTEM 2908 C:\Windows\System32\csrss.exe Client-Server-Laufzeitprozess Microsoft Corporation
    93. 4672 winlogon.exe 2 SYSTEM 2908 C:\Windows\System32\winlogon.exe Windows-Anmeldeanwendung Microsoft Corporation winlogon.exe
    94. 5656 dwm.exe 2 DWM-2 4672 C:\Windows\System32\dwm.exe Desktopfenster-Manager Microsoft Corporation "dwm.exe"
    95. 4932 sihost.exe 2 MisterX 984 C:\Windows\System32\sihost.exe Shell Infrastructure Host Microsoft Corporation sihost.exe
    96. 4908 svchost.exe 2 MisterX 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k UnistackSvcGroup
    97. 5232 taskhostw.exe 2 MisterX 984 C:\Windows\System32\taskhostw.exe Hostprozess für Windows-Aufgaben Microsoft Corporation taskhostw.exe {222A245B-E637-4AE9-A93F-A59CA119A75E}
    98. 4524 explorer.exe 2 MisterX 5416 C:\Windows\explorer.exe Windows-Explorer Microsoft Corporation C:\Windows\Explorer.EXE
    99. 1076 RuntimeBroker.exe 2 MisterX 676 C:\Windows\System32\RuntimeBroker.exe Runtime Broker Microsoft Corporation C:\Windows\System32\RuntimeBroker.exe -Embedding
    100. 4924 ShellExperienceHost.exe 2 MisterX 676 C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Windows Shell Experience Host Microsoft Corporation "C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca
    101. 6020 SynTPEnh.exe 2 MisterX 4524 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe Synaptics TouchPad Enhancements Synaptics Incorporated "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe"
    102. 4220 SynTPHelper.exe 2 MisterX 6020 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe Synaptics Pointing Device Helper Synaptics Incorporated "C:\Program Files\Synaptics\SynTP\SynTPHelper.exe"
    103. 4256 MSASCuiL.exe 2 MisterX 4524 C:\Program Files\Windows Defender\MSASCuiL.exe Windows Defender notification icon Microsoft Corporation "C:\Program Files\Windows Defender\MSASCuiL.exe"
    104. 5008 OneDrive.exe 2 MisterX 4524 C:\Users\MisterX\AppData\Local\Microsoft\OneDrive\OneDrive.exe Microsoft OneDrive Microsoft Corporation "C:\Users\MisterX\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
    105. 1208 xyffghgjhsghv.exe 2 MisterX 4524 C:\Users\MisterX\AppData\Local\Temp\xyffghgjhsghv.exe Windows Updater Microsoft "C:\Users\MisterX\AppData\Local\Temp\xyffghgjhsghv.exe"
    106. 5240 smax4pnp.exe 2 MisterX 5168 C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe SMax4PNP Analog Devices, Inc. "C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe"
    107. 5308 QLBCTRL.exe 2 MisterX 5168 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe Quick Launch Buttons Hewlett-Packard Development Company, L.P. "C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe" /Start
    108. 5412 VolCtrl.exe 2 MisterX 5308 C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe Volume related element Hewlett-Packard Development Company, L.P. "C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe"
    109. 996 SbieSvc.exe 2 SYSTEM 1400 C:\Program Files\Sandboxie\SbieSvc.exe Sandboxie Service Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SbieSvc.exe" Sandboxie_GuiProxy_00000002,1400
    110. 4684 SbieCtrl.exe 2 MisterX 1400 C:\Program Files\Sandboxie\SbieCtrl.exe Sandboxie Control Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SbieCtrl.exe"
    111. 3088 ApplicationFrameHost.exe 2 MisterX 676 C:\Windows\System32\ApplicationFrameHost.exe Application Frame Host Microsoft Corporation C:\Windows\system32\ApplicationFrameHost.exe -Embedding
    112. 6136 SystemSettings.exe 2 MisterX 676 C:\Windows\ImmersiveControlPanel\SystemSettings.exe Einstellungen Microsoft Corporation "C:\Windows\ImmersiveControlPanel\SystemSettings.exe" -ServerName:microsoft.windows.immersivecontrolpanel
    113. 3424 SystemSettingsBroker.exe 2 MisterX 676 C:\Windows\System32\SystemSettingsBroker.exe System Settings Broker Microsoft Corporation C:\Windows\System32\SystemSettingsBroker.exe -Embedding
    114. 5188 WinStore.App.exe 2 MisterX 676 C:\Program Files\WindowsApps\Microsoft.WindowsStore_11610.1001.25.0_x64__8wekyb3d8bbwe\WinStore.App.exe Store Microsoft Corporation "C:\Program Files\WindowsApps\Microsoft.WindowsStore_11610.1001.25.0_x64__8wekyb3d8bbwe\WinStore.App.exe" -ServerName:App.AppXc75wvwned5vhz4xyxxecvgdjhdkgsdza.mca
    115. 1736 vds.exe 0 SYSTEM 592 C:\Windows\System32\vds.exe Virtueller Datenträgerdienst Microsoft Corporation C:\Windows\System32\vds.exe
    116. 3244 SettingSyncHost.exe 2 MisterX 676 C:\Windows\System32\SettingSyncHost.exe Host Process for Setting Synchronization Microsoft Corporation C:\Windows\system32\SettingSyncHost.exe -Embedding
    117. 816 dllhost.exe 2 MisterX 676 C:\Windows\System32\dllhost.exe COM Surrogate Microsoft Corporation C:\Windows\system32\DllHost.exe /Processid:{49F6E667-6658-4BD1-9DE9-6AF87F9FAF85}
    118. 3948 SandboxieRpcSs.exe 2 ANONYMOUS-ANMELDUNG 1400 C:\Program Files\Sandboxie\SandboxieRpcSs.exe Sandboxie COM Services (RPC) Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SandboxieRpcSs.exe"
    119. 3660 SandboxieDcomLaunch.exe 2 ANONYMOUS-ANMELDUNG 3948 C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe Sandboxie COM Services (DCOM) Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SandboxieDcomLaunch.exe"
    120. 1312 iexplore.exe 2 ANONYMOUS-ANMELDUNG 5992 C:\Program Files\Internet Explorer\iexplore.exe Internet Explorer Microsoft Corporation "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
    121. 6108 dllhost.exe 2 ANONYMOUS-ANMELDUNG 3660 C:\Windows\System32\dllhost.exe COM Surrogate Microsoft Corporation C:\Windows\system32\DllHost.exe /Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}
    122. 5820 iexplore.exe 2 ANONYMOUS-ANMELDUNG 1312 C:\Program Files (x86)\Internet Explorer\iexplore.exe Internet Explorer Microsoft Corporation "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:82945 /prefetch:2
    123. 2120 SandboxieCrypto.exe 2 ANONYMOUS-ANMELDUNG 5820 C:\Program Files\Sandboxie\SandboxieCrypto.exe Sandboxie COM Services (CryptSvc) Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SandboxieCrypto.exe"
    124. 4288 rundll32.exe 2 ANONYMOUS-ANMELDUNG 3660 C:\Windows\System32\rundll32.exe Windows-Hostprozess (Rundll32) Microsoft Corporation C:\Windows\System32\rundll32.exe shell32.dll,SHCreateLocalServerRunDll {9BA05972-F6A8-11CF-A442-00A0C90A8F39} -Embedding
    125. 3700 fontdrvhost.exe 2 4672 C:\Windows\System32\fontdrvhost.exe Usermode Font Driver Host Microsoft Corporation "fontdrvhost.exe"
    126. 2852 svchost.exe 0 Lokaler Dienst 592 C:\Windows\System32\svchost.exe Hostprozess für Windows-Dienste Microsoft Corporation C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
    127. 5272 smartscreen.exe 2 MisterX 676 C:\Windows\System32\smartscreen.exe SmartScreen Microsoft Corporation C:\Windows\System32\smartscreen.exe -Embedding
    128. 4940 WWAHost.exe 2 MisterX 676 C:\Windows\System32\WWAHost.exe Microsoft WWA-Host Microsoft Corporation "C:\WINDOWS\system32\wwahost.exe" -ServerName:App.wwa
    129. 4676 SbieSvc.exe 2 MisterX 1400 C:\Program Files\Sandboxie\32\SbieSvc.exe Sandboxie Service Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\32\SbieSvc.exe" Sandboxie_ComProxy_S-1-5-21-2291243898-948412162-3487009162-1001_DefaultBox_2_1_:
    130. 5764 iexplore.exe 2 ANONYMOUS-ANMELDUNG 1312 C:\Program Files (x86)\Internet Explorer\iexplore.exe Internet Explorer Microsoft Corporation "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1312 CREDAT:279585 /prefetch:2
    131. 856 SearchUI.exe 2 MisterX 676 C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe Search and Cortana application Microsoft Corporation "C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca
    132. 1100 notepad.exe 2 MisterX 4524 C:\Windows\System32\notepad.exe Editor Microsoft Corporation "C:\Windows\system32\NOTEPAD.EXE" C:\PPF_Scan1\WDEf.txt
    133. 3604 PPFScan64.exe 2 MisterX 2984 D:\PureBasic\PPFscanner\PPFScan64.exe 64Bit Systemscanner von Mopao und AHT ah-shareware (privat) "D:\PureBasic\PPFscanner\PPFScan64.exe"
    134. 4620 rundll32.exe 0 SYSTEM 984 C:\Windows\System32\rundll32.exe Windows-Hostprozess (Rundll32) Microsoft Corporation C:\Windows\system32\rundll32.exe C:\Windows\system32\pla.dll,PlaHost "SL1" "0x2f0_0x944_0xaa373ebdf"
    135. 2668 SbieSvc.exe 2 MisterX 1400 C:\Program Files\Sandboxie\SbieSvc.exe Sandboxie Service Sandboxie Holdings, LLC "C:\Program Files\Sandboxie\SbieSvc.exe" Sandboxie_ComProxy_S-1-5-21-2291243898-948412162-3487009162-1001_DefaultBox_2_0_:
    136. *********************
    137. *Versteckte Prozesse*
    138. *********************
    139. PID:1944
    140. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    141. Status: Zombie
    142. Holder-PID: (PID Test)
    143. PID:2956
    144. Dateiname: D:\PureBasic\PPFscanner\PPFScan64.exe
    145. Status: Zombie
    146. Holder-PID: (PID Test)
    147. PID:4604
    148. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    149. Status: Zombie
    150. Holder-PID: (PID Test)
    151. PID:5416
    152. Dateiname: C:\Windows\System32\userinit.exe
    153. Status: Zombie
    154. Holder-PID: (PID Test)
    155. PID:5992
    156. Dateiname: C:\Program Files\Sandboxie\Start.exe
    157. Status: Zombie
    158. Holder-PID: (PID Test)
    159. PID:5416
    160. Dateiname: C:\Windows\System32\userinit.exe
    161. Status: Zombie
    162. Holder-PID: 984 (Handle 8364)
    163. PID:5992
    164. Dateiname: C:\Program Files\Sandboxie\Start.exe
    165. Status: Zombie
    166. Holder-PID: 3948 (Handle 436)
    167. PID:1944
    168. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    169. Status: Zombie
    170. Holder-PID: 3948 (Handle 984)
    171. PID:4604
    172. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    173. Status: Zombie
    174. Holder-PID: 3948 (Handle 1064)
    175. PID:4604
    176. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    177. Status: Zombie
    178. Holder-PID: 1312 (Handle 800)
    179. PID:1944
    180. Dateiname: C:\Program Files (x86)\Internet Explorer\iexplore.exe
    181. Status: Zombie
    182. Holder-PID: 1312 (Handle 2140)
    183. ______________________________________________________________________________________________________________________________
    184. ***** Ende des Scans 11.02.2017 um 02:34 ***
    Alles anzeigen





    Die Datei befindet sich in einem temoprären Pfad - auch das deutet auf Malware hin.
    Wir wir suchen nun in den anderen Dateien nach dem Dateinamen. In der Datei Files.txt werden wir fündig:
    Spoiler anzeigen


    Brainfuck-Quellcode: Files.txt

    1. ***********************************************************
    2. *C:\Users\MisterX\AppData\Local\Temp (ausführbare Dateien)*
    3. ***********************************************************
    4. 10.02.2017 20:16 C:\Users\MisterX\AppData\Local\Temp\xyffghgjhsghv.exe --------- 620714 (A) Beschreibung: Windows Updater Firmenname: Microsoft Produktname: Microsoft Windows
    5. 27.12.2016 22:03 C:\Users\MisterX\AppData\Local\Temp\SandboxieInstall.exe --------- 8974992 (A) Beschreibung: Sandboxie Installer Firmenname: Sandboxie Holdings, LLC Produktname: Sandboxie ----- [Invincea, Inc.]


    Firmenname, Produktname und Dateibeschreibung werden aus der Dateiresource entnommen. Diese angaben können leicht "gefälscht" werden. Signaturen stehen in eckigen Klammern und sind schwer oder gar nicht zu fälschen.
    Die verdächtige Datei xyffghgjhsghv.exe scheint keine gültige Signatur zu haben. Die Dateiresource weist sie als Datei von Windows aus - auch da passt was nicht. Ein weiterer Hinweis auf Malware also.
    Aber in der Datei Files.txt finden wir noch einen weiteren Verweis auf diese Datei:
    Spoiler anzeigen

    Quellcode: Files.txt

    1. *******************************************************************
    2. *[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]*
    3. *******************************************************************
    4. OneDrive = "C:\Users\MisterX\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
    5. Updater = "C:\Users\MisterX\AppData\Local\Temp\xyffghgjhsghv.exe"


    Wir sehen da einen Autostarteintrag unter HKEY_CURRENT_USER in der Registry.
    Aber auch das Dateidatum vor der Datei - hier 10.02.2017 20:16. Das ist das Änderungsdatum der Datei!
    Sehr oft gibt das Hinweise auf den Zeitpunkt der Infektion. Man könnte jetzt also (wiederum mit dem PPFScanner) über ein weiteres Script nach Dateien suchen lassen, die an diesem Tag ebenfalls geändert wurden. Man hätte dann nicht nur den abgelegten Virus, sondern könnte vielleicht sogar dem Infektionsweg auf die Spur kommen...
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 18 mal editiert, zuletzt von AHT ()

  • Die letzte Aufwachursache aus einem Stromsparmodus herausfinden

    Wofür kann man das Script nutzen?

    Manchmal wacht der Rechne unvermittelt aus einem Stromsparmodus auf und man kann dann nicht genau sagen, warum das überhaupt passiert ist. Das hier abgelegte Script kann bei der Ermittlung der Ursache eventuell helfen.

    Anweisungen für einen User

    Tue das unten stehende sofort nach dem unvermittelten Aufwachen:
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode: LastWake.scp

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. START_SHELL->%SystemRoot%\system32\cmd.exe
    3. EXECUTE_IN_SHELL->@Echo ******************************** > C:\PPF_Scan2\LastWake.txt
    4. EXECUTE_IN_SHELL->@Echo Letzte Aufwachursache >> C:\PPF_Scan2\LastWake.txt
    5. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    6. EXECUTE_IN_SHELL->powercfg lastwake >> C:\PPF_Scan2\LastWake.txt
    7. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    8. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    9. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    10. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    11. EXECUTE_IN_SHELL->@Echo S1 Supported Devices >> C:\PPF_Scan2\LastWake.txt
    12. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    13. EXECUTE_IN_SHELL-> powercfg /devicequery wake_from_S1_supported >> C:\PPF_Scan2\LastWake.txt
    14. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    15. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    16. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    17. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    18. EXECUTE_IN_SHELL->@Echo S2 Supported Devices >> C:\PPF_Scan2\LastWake.txt
    19. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    20. EXECUTE_IN_SHELL-> powercfg /devicequery wake_from_S2_supported >> C:\PPF_Scan2\LastWake.txt
    21. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    22. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    23. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    24. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    25. EXECUTE_IN_SHELL->@Echo S3 Supported Devices >> C:\PPF_Scan2\LastWake.txt
    26. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    27. EXECUTE_IN_SHELL-> powercfg /devicequery wake_from_S3_supported >> C:\PPF_Scan2\LastWake.txt
    28. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    29. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    30. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    31. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    32. EXECUTE_IN_SHELL->@Echo Konfigurierbare Devices >> C:\PPF_Scan2\LastWake.txt
    33. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    34. EXECUTE_IN_SHELL-> powercfg /devicequery wake_programmable >> C:\PPF_Scan2\LastWake.txt
    35. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    36. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    37. EXECUTE_IN_SHELL->@Echo . >> C:\PPF_Scan2\LastWake.txt
    38. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    39. EXECUTE_IN_SHELL->@Echo Zum Aufwachen konfigurierte Devices >> C:\PPF_Scan2\LastWake.txt
    40. EXECUTE_IN_SHELL->@Echo ******************************** >> C:\PPF_Scan2\LastWake.txt
    41. EXECUTE_IN_SHELL-> powercfg /devicequery wake_armed >> C:\PPF_Scan2\LastWake.txt
    42. CLOSE_SHELL->
    43. OPEN->C:\PPF_Scan2
    44. OPEN->C:\PPF_Scan2\LastWake.txt
    45. END->
    Alles anzeigen
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?

    Das Script startet die Kommandozeile CMD von Windows und führt dort mit verschiedenen Parametern die Windows Datei powercfg.exe aus. Die Ergebnisse werden dann in die Datei C:\PPF_Scan2\LastWake.txt übertragen.

    Hinweise zur Auswertung der erhaltenen Daten

    Wenn Windows diesbezüglich etwas abgespeichert hat, wird die letzte Aufwachursache (das Gerät, das dazu führte) unter diesem Punkt gelistet: Letzte Aufwachursache

    Windows besitzt verschiedene Arten von Energiesparstadien. Welche es gibt, ist hier aufgelistet:
    Unter S1 Supported Devices werden die Geräte gelistet, die den S1 Stromsparstatus unterstützen.
    Unter S2 Supported Devices werden die Geräte gelistet, die den S2 Stromsparstatus unterstützen.
    Unter S3 Supported Devices werden die Geräte gelistet, die den S3 Stromsparstatus unterstützen.

    Unter Konfigurierbare Devices werden die Geräte gelistet, die vom Benutzer konfiguriert werden können, um das System aus einem Standbyzustand zu reaktivieren.
    Unter Zum Aufwachen konfigurierte Devices werden die Geräte gelistet, die derzeit zum Reaktivieren des Systems aus einem beliebigen Standbyzustand konfiguriert sind.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

  • Herausfinden, welche Dateien an bestimmten Tagen geändert wurden

    Wofür kann man das Script nutzen?

    Manchmal kann es nützlich sein, möglichst zuverlässig nach Dateien suchen zu können, die an bestimmten Tagen geändert wurden. Das hier abgelegt Script sucht nach solchen Dateien und gibt Infos über sie in einer Texdatei aus. Die zu suchenden Datumsangaben können über einen Dialog eingegeben werden.
    Nötig für diese Script ist mindestens die Version 3.6.96.5102 (für 32Bit) bzw. 4.6.96.5102 (für 64Bit) des PPFScanners.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_ENV_VAR->PPFS_DateSearch>
    3. INPUTDIALOG->Text
    4. ->Hier bitte die gesuchten Änderungstage von Dateien (durch Kommas getrennt) im Format JJJJMMTT eingeben (für 25.12.2016 zum Beispiel 20161225):
    5. ->
    6. ->PPFS_DateSearch
    7. IF->%PPFS_DateSearch%$<>
    8. SET_SCANLIST->1
    9. SET_OPTIONS->-205,217,-213
    10. SET_HEADLINE->Files with special modifying dates#Dateien mit speziellem Änderungsdatum
    11. SEARCH_FILES_WITH_DATES->*
    12. ->
    13. ->%PPFS_DateSearch%
    14. COPY_SCANFILES->C:\PPF_Scan2
    15. OPEN->C:\PPF_Scan2
    16. END_IF->
    17. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Es erscheint dann ein Dialog zur Eingabe des zu suchenden Änderungsdatums. Das Datum muss im Format JJJJMMTT eingegeben werden. Für den 25.12.2016 zum Beispiel 20161225. Mehrere Datumsangaben können durch Kommas voneinander getrennt eingegeben werden.
    • Das Script durchsucht alle Laufwerke des Rechners und wird einige Zeit laufen. Warte, bis der Scanner sich selbst beendet.
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?
    • Der PPFScanner erstellt zu Anfang den Ordner PPF_Scan2, in den die Scandateien später kopiert werden.
    • Danach wird eine Umgebungsvariable %PPFS_DateSearch% und deren Inhalt auf ein Leerzeichen gesetzt, um später eine Abbruchbedingung für das Script zu erhalten, wenn im Dialog auf abbrechen geklickt wurde.
    • Über den Scripting Befehl INPUTDIALOG des Scanners wird dann ein Dialog zur Datumseingabe erzeugt.
    • Wird im Dialog auf OK geklickt, erhält die Umgebungsvariable %PPFS_DateSearch% den Wert, der im Dialog eingegeben wurde.
    • IF: Ist auf der Umgebungsvariablen %PPFS_DateSearch% nicht nur ein Leerzeichen abgelegt, werden nachfolgende Sachen ausgeführt:
      • SET_OPTIONS: In den Optinen des Scanner wird gesetzt
        • , dass nicht nur die (100) zuletzt geänderten Dateien gelistet werden, sondern alle gefundenen (-205)
        • , dass Infos aus der Dateiresource ins LOG übernommen werden (217)
        • und dass auch alle signierte Dateien ins LOG übernommen werden (-213)
      • SET_SCANLIST: Stellt hier ein, dass Dateien in einem ausführlichen Tabellenformat gelistet werden.
      • SET_HEADLINE: Setzt Abschnittsüberschrift in dem zu erzeugenden LOG.
      • SEARCH_FILES_WITH_DATES: Dieser Befehl startet die Dateisuche.
      • COPY_SCANFILES: Hier wird veranlasst, dass die erzeugten LOGs unter vom Scanner festgelegten Namen in den Ordner C:\PPF_Scan2 kopiert werden. Vorher haben sie sich unter zufälligen Namen in %TEMP% befunden.
      • OPEN: Öffnet hier den Ordner C:\PPF_Scan2 im Explorer.
    • Der Scanner wird dann am Schluss beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    In meinem Beispiel habe ich Dateien vom 27.12.2016 suchen lassen:
    [Blockierte Grafik: https://i.imagebanana.com/img/fksna8xj/1.jpg]Folgendes gab es als Ergebnis (nur ein Auszug daraus):
    Spoiler anzeigen

    Brainfuck-Quellcode

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    2. º º
    3. º PPFScanner v3,6,96,5106 º
    4. º Scanfile 11 º
    5. º º
    6. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    7. @Mopao and AHT
    8. ______________________________________________________________________________________________________________________________
    9. ______________________________________________
    10. #######################################
    11. #Dateien mit speziellem Änderungsdatum#
    12. #######################################
    13. 27.12.2016 22:11 D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Avg\log\av16\avgrdl.2016-12-27.log --------- 429 (AC) --- MD5: a6eac9507b9678d5425c12cab1f0c4c0
    14. 27.12.2016 22:11 D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Avg\av16\update\download\ocm.etag --------- 2 (A) --- MD5: 9d4568c009d203ab10e33ea9953a0264
    15. 27.12.2016 22:11 D:\WINDOWS\Prefetch\SANDBOXIEINSTALL.EXE-1BCCFF5F.pf --------- 24174 (AI) --- MD5: d8ab25144d3ee36e66a0567ae6d30679
    16. 27.12.2016 22:11 D:\Programme\Sandboxie\QuickLaunch.lnk --------- 766 (A) --- MD5: 3ce008d54ba21c11f2837f8738233da9
    17. 27.12.2016 22:11 D:\Dokumente und Einstellungen\MisterX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITEHYLCJ\sbietrayfullup[1].png --------- 540 (A) --- MD5:
    18. 27.12.2016 22:11 D:\Dokumente und Einstellungen\MisterX\Lokale Einstellungen\Temp\sbietrayfullup.png --------- 540 (A) --- MD5: 2f498f094ae5d290896cf9fc04f463bb
    19. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Windows Explorer mit Sandboxie starten.lnk --------- 814 (A) --- MD5: bab466b9b01156b2c1b59fae5af090b1
    20. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Webbrowser mit Sandboxie starten.lnk --------- 832 (A) --- MD5: 818bdb15498b2ca236a21e38232fe16b
    21. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Startmenü.lnk --------- 886 (A) --- MD5: 09dc451685c5afee03ea6db1359816bd
    22. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Deinstallieren.lnk --------- 779 (A) --- MD5: 0f115bd80a04c5a7129187e4b3f9a0a5
    23. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Control.lnk --------- 745 (A) --- MD5: 2d31415d0afa310269a7c969df507d14
    24. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Programm mit Sandboxie starten.lnk --------- 872 (A) --- MD5: e81f0d5c3a8fda029dbfdc8d32d6fbcd
    25. ....
    Alles anzeigen


    • Ganz vorne ist immer das Änderungsdatum der Datei zu finden.
    • Danach folgen Pfad und Dateiname der Datei.
    • Dahinter folgt nach einigen Minuszeichen die Dateigröße.
    • In Klammern stehen dahinter Buchstaben, die die Dateiattribute angeben
    • Danach folgen Beschreibung, Firmenname und Produktname aus der Dateiresource, wenn die Datei eine Resource hat.
    • Wieder nach einen Minuszeichen folgt dann in eckigen Klammern die Signatur - wenn die Datei gültig signiert war.
    • Wieder nach einen Minuszeichen folgt dann die MD5 der Datei, wenn eine ermittelt werden konnte.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von AHT ()

  • Herausfinden, welche Dateien an bestimmten Tagen erstellt wurden

    Wofür kann man das Script nutzen?

    Manchmal kann es nützlich sein, möglichst zuverlässig nach Dateien suchen zu können, die an bestimmten Tagen erstellt wurden. Das hier abgelegt Script sucht nach solchen Dateien und gibt Infos über sie in einer Texdatei aus. Die zu suchenden Datumsangaben können über einen Dialog eingegeben werden.
    Nötig für diese Script ist mindestens die Version 3.6.96.5102 (für 32Bit) bzw. 4.6.96.5102 (für 64Bit) des PPFScanners.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_FILE_TIME->CREATED
    3. SET_ENV_VAR->PPFS_DateSearch>
    4. INPUTDIALOG->Text
    5. ->Hier bitte die gesuchten Erstellungstage von Dateien (durch Kommas getrennt) im Format JJJJMMTT eingeben (für 25.12.2016 zum Beispiel 20161225):
    6. ->
    7. ->PPFS_DateSearch
    8. IF->%PPFS_DateSearch%$<>
    9. SET_SCANLIST->1
    10. SET_OPTIONS->-205,217,-213
    11. SET_HEADLINE->Files with special Creating dates#Dateien mit speziellem Erstellungsdatum
    12. SEARCH_FILES_WITH_DATES->*
    13. ->
    14. ->%PPFS_DateSearch%
    15. COPY_SCANFILES->C:\PPF_Scan2
    16. OPEN->C:\PPF_Scan2
    17. END_IF->
    18. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Es erscheint dann ein Dialog zur Eingabe des zu suchenden Erstellungsdatums. Das Datum muss im Format JJJJMMTT eingegeben werden. Für den 25.12.2016 zum Beispiel 20161225. Mehrere Datumsangaben können durch Kommas voneinander getrennt eingegeben werden.
    • Das Script durchsucht alle Laufwerke des Rechners und wird einige Zeit laufen. Warte, bis der Scanner sich selbst beendet.
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?
    • Der PPFScanner erstellt zu Anfang den Ordner PPF_Scan2, in den die Scandateien später kopiert werden.
    • SET_FILE_TIME: Hier wird festgelegt, dass sich die Datumsangaben auf das Erstellungsdatum beziehen.
    • Danach wird eine Umgebungsvariable %PPFS_DateSearch% und deren Inhalt auf ein Leerzeichen gesetzt, um später eine Abbruchbedingung für das Script zu erhalten, wenn im Dialog auf abbrechen geklickt wurde.
    • Über den Scripting Befehl INPUTDIALOG des Scanners wird dann ein Dialog zur Datumseingabe erzeugt.
    • Wird im Dialog auf OK geklickt, erhält die Umgebungsvariable %PPFS_DateSearch% den Wert, der im Dialog eingegeben wurde.
    • IF: Ist auf der Umgebungsvariablen %PPFS_DateSearch% nicht nur ein Leerzeichen abgelegt, werden nachfolgende Sachen ausgeführt:
      • SET_OPTIONS: In den Optinen des Scanner wird gesetzt
        • , dass nicht nur die (100) zuletzt erstellten Dateien gelistet werden, sondern alle gefundenen (-205)
        • , dass Infos aus der Dateiresource ins LOG übernommen werden (217)
        • und dass auch alle signierte Dateien ins LOG übernommen werden (-213)
      • SET_SCANLIST: Stellt hier ein, dass Dateien in einem ausführlichen Tabellenformat gelistet werden.
      • SET_HEADLINE: Setzt Abschnittsüberschrift in dem zu erzeugenden LOG.
      • SEARCH_FILES_WITH_DATES: Dieser Befehl startet die Dateisuche.
      • COPY_SCANFILES: Hier wird veranlasst, dass die erzeugten LOGs unter vom Scanner festgelegten Namen in den Ordner C:\PPF_Scan2 kopiert werden. Vorher haben sie sich unter zufälligen Namen in %TEMP% befunden.
      • OPEN: Öffnet hier den Ordner C:\PPF_Scan2 im Explorer.
    • Der Scanner wird dann am Schluss beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    In meinem Beispiel habe ich Dateien vom 27.12.2016 suchen lassen:
    [Blockierte Grafik: https://i.imagebanana.com/img/ryakabgu/1.jpg]
    Folgendes gab es als Ergebnis (nur ein Auszug daraus):
    Spoiler anzeigen

    Brainfuck-Quellcode

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    2. º º
    3. º PPFScanner v3,6,96,5106 º
    4. º Scanfile 11 º
    5. º º
    6. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    7. @Mopao and AHT
    8. ______________________________________________________________________________________________________________________________
    9. ______________________________________________
    10. #########################################
    11. #Dateien mit speziellem Erstellungsdatum#
    12. #########################################
    13. 27.12.2016 22:11 D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Avg\log\av16\avgrdl.2016-12-27.log --------- 429 (AC) --- MD5: a6eac9507b9678d5425c12cab1f0c4c0
    14. 27.12.2016 22:11 D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Avg\log\av16\avgidpdrv.log --------- 46023 (A) --- MD5: c4750a21bbc6321f8d16dd0981870580
    15. 27.12.2016 22:11 D:\Dokumente und Einstellungen\MisterX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ITEHYLCJ\sbietrayfullup[1].png --------- 540 (A) --- MD5:
    16. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Windows Explorer mit Sandboxie starten.lnk --------- 814 (A) --- MD5: bab466b9b01156b2c1b59fae5af090b1
    17. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Webbrowser mit Sandboxie starten.lnk --------- 832 (A) --- MD5: 818bdb15498b2ca236a21e38232fe16b
    18. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Startmenü.lnk --------- 886 (A) --- MD5: 09dc451685c5afee03ea6db1359816bd
    19. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Deinstallieren.lnk --------- 779 (A) --- MD5: 0f115bd80a04c5a7129187e4b3f9a0a5
    20. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Sandboxie Control.lnk --------- 745 (A) --- MD5: 2d31415d0afa310269a7c969df507d14
    21. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sandboxie\Programm mit Sandboxie starten.lnk --------- 872 (A) --- MD5: e81f0d5c3a8fda029dbfdc8d32d6fbcd
    22. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg\AV\chjw\522c389b2c387c53\avgcchmf.dat --------- 786 (A) --- MD5: e3075df53d8e86fbe0d4f5f3fe08154f
    23. 27.12.2016 22:11 D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg\AV\chjw\522c389b2c387c53\avgcchff.dat --------- 344 (A) --- MD5: c296fa45ad17a72d05d0215f8ed66267
    24. 27.12.2016 22:09 D:\Sandbox\MisterX\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\agr6wm4o.default\cache2\entries\8CE09759F87F867929C8E741E967BFB1B5ADACF5 --------- 192855 (A) --- MD5: 0f69c6c18efaa6dae9f05d2a9698c7b0
    25. 27.12.2016 22:09 D:\Sandbox\MisterX\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\agr6wm4o.default\cache2\entries\89B7F27CC4198779C8DD93D96EA579CB7E6C5061 --------- 900 (A) --- MD5: 09cc6ff84c202f265162c4b06a72630b
    26. 27.12.2016 22:09 D:\Sandbox\MisterX\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\agr6wm4o.default\cache2\entries\67D950C90E6776A8ACA529A991359BBAA1CA6B8F --------- 900 (A) --- MD5: 23257ec49ad8c5cd6a2ddb244197c8e3
    27. 27.12.2016 22:09 D:\Sandbox\MisterX\DefaultBox\user\current\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\agr6wm4o.default\cache2\entries\629C76B5EE9E810AE523D518126EDC41A7A8E3C6 --------- 864 (A) --- MD5: 9c9c393099fabf366b494737df3cfc51
    28. 27.12.2016 22:09 D:\Dokumente und Einstellungen\MisterX\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\6E5336CDD9652A36A93E734B280625C5 --------- 82 (AS) --- MD5:
    29. 27.12.2016 22:09 D:\Dokumente und Einstellungen\MisterX\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\5024A99DB487E61F859A7848B9CAE2C4 --------- 104 (AS) --- MD5:
    30. 27.12.2016 22:09 D:\Dokumente und Einstellungen\MisterX\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\6E5336CDD9652A36A93E734B280625C5 --------- 327813 (AS) --- MD5:
    31. 27.12.2016 22:09 D:\Dokumente und Einstellungen\MisterX\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\5024A99DB487E61F859A7848B9CAE2C4 --------- 665 (AS) --- MD5:
    32. 27.12.2016 22:08 D:\Programme\Google\Update\Download\{430FD4D0-B729-4F61-AA34-91526481799D}\1.3.32.7\GoogleUpdateSetup.exe --------- 1129376 (A) Beschreibung: Google Update Setup Firmenname: Google Inc. Produktname: Google Update ----- [Google Inc] --- MD5: fcaedffaa41ea74ba53fdadabbb8b21a
    33. 27.12.2016 22:08 D:\Programme\Google\Update\1.3.32.7\psuser_64.dll --------- 248984 (A | $100) Beschreibung: Google Update Firmenname: Google Inc. Produktname: Google Update ----- [Google Inc] --- MD5: 88e3b29bd820395fcd47607d924c1df5
    34. 27.12.2016 22:08 D:\Programme\Google\Update\1.3.32.7\psuser.dll --------- 207000 (A | $100) Beschreibung: Google Update Firmenname: Google Inc. Produktname: Google Update ----- [Google Inc] --- MD5: 8cc32b1b14b131e650cc9df4307d2dda
    35. 27.12.2016 22:08 D:\Programme\Google\Update\1.3.32.7\psmachine_64.dll --------- 248984 (A | $100) Beschreibung: Google Update Firmenname: Google Inc. Produktname: Google Update ----- [Google Inc] --- MD5: cc82894a9aca4349d660337f02af4f7a
    36. 27.12.2016 22:08 D:\Programme\Google\Update\1.3.32.7\psmachine.dll --------- 207000 (A | $100) Beschreibung: Google Update Firmenname: Google Inc. Produktname: Google Update ----- [Google Inc] --- MD5: ae40c2387fb66c85b73d69dd5cfb886e
    37. ...
    Alles anzeigen


    • Ganz vorne ist immer das Erstellungsdatum der Datei zu finden.
    • Danach folgen Pfad und Dateiname der Datei.
    • Dahinter folgt nach einigen Minuszeichen die Dateigröße.
    • In Klammern stehen dahinter Buchstaben, die die Dateiattribute angeben
    • Danach folgen Beschreibung, Firmenname und Produktname aus der Dateiresource, wenn die Datei eine Resource hat.
    • Wieder nach einen Minuszeichen folgt dann in eckigen Klammern die Signatur - wenn die Datei gültig signiert war.
    • Wieder nach einen Minuszeichen folgt dann die MD5 der Datei, wenn eine ermittelt werden konnte.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

  • Nach ausführbaren Dateien mit bestimmten Firmennamen suchen lassen

    Wofür kann man das Script nutzen?

    Gerade auch bei Adwareproblemen könnte es hilfreich sein, auf dem Rechner nach ausführbaren Dateien zu suchen, die von bestimmten Firmen stammen. Mit dem hier abgelegten Script kann man auf dem Rechner nach Dateien suchen, die einen bestimmten Firmennamen in der Dateiresource oder in der Signatur aufweisen.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_ENV_VAR->PPFS_CompanyName>
    3. INPUTDIALOG->Text
    4. ->Hier bitte die gesuchten Firmennamen oder Teile davon (durch Kommas getrennt) eingeben!
    5. ->
    6. ->PPFS_CompanyName
    7. IF->%PPFS_CompanyName%$<>
    8. SET_SCANLIST->1
    9. SET_OPTIONS->-205,217,-213
    10. SET_HEADLINE->Files with special Companynames#Dateien mit speziellen Firmennamen
    11. SEARCH_FILES_WITH_INFOS->*.EXE
    12. ->
    13. ->%PPFS_CompanyName%
    14. ->CompanyName
    15. SEARCH_FILES_WITH_INFOS->*.DLL
    16. ->
    17. ->%PPFS_CompanyName%
    18. ->CompanyName
    19. SEARCH_FILES_WITH_INFOS->*.SYS
    20. ->
    21. ->%PPFS_CompanyName%
    22. ->CompanyName
    23. SEARCH_FILES_WITH_SIGNATURES->*.VBS
    24. ->
    25. ->%PPFS_CompanyName%
    26. SEARCH_FILES_WITH_SIGNATURES->*.VBA
    27. ->
    28. ->%PPFS_CompanyName%
    29. SEARCH_FILES_WITH_SIGNATURES->*.VBE
    30. ->
    31. ->%PPFS_CompanyName%
    32. SEARCH_FILES_WITH_SIGNATURES->*.PS1
    33. ->
    34. ->%PPFS_CompanyName%
    35. SEARCH_FILES_WITH_SIGNATURES->*.EXE
    36. ->
    37. ->%PPFS_CompanyName%
    38. SEARCH_FILES_WITH_SIGNATURES->*.DLL
    39. ->
    40. ->%PPFS_CompanyName%
    41. SEARCH_FILES_WITH_SIGNATURES->*.SYS
    42. ->
    43. ->%PPFS_CompanyName%
    44. COPY_SCANFILES->C:\PPF_Scan2
    45. OPEN->C:\PPF_Scan2
    46. END_IF->
    47. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Es erscheint dann ein Dialog zur Eingabe der zu suchenden Firmennamen. Sollen mehere Firmennamen gesucht werden, müssen diese durch Kommas voneinander getrennt werden.
    • Das Script durchsucht alle Laufwerke des Rechners und wird einige Zeit laufen. Warte, bis der Scanner sich selbst beendet.
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?
    • Der PPFScanner erstellt zu Anfang den Ordner PPF_Scan2, in den die Scandateien später kopiert werden.
    • Danach wird eine Umgebungsvariable %PPFS_CompanyName% erstellt und deren Inhalt auf ein Leerzeichen gesetzt, um später eine Abbruchbedingung für das Script zu erhalten, wenn im Dialog auf abbrechen geklickt wurde.
    • Über den Scripting Befehl INPUTDIALOG des Scanners wird dann ein Dialog zur Eingabe von Firmennamen erzeugt.
    • Wird im Dialog auf OK geklickt, erhält die Umgebungsvariable %PPFS_CompanyName% den Wert, der im Dialog eingegeben wurde.
    • IF: Ist auf der Umgebungsvariablen %PPFS_DateSearch% nicht nur ein Leerzeichen abgelegt, werden nachfolgende Sachen ausgeführt:
      • SET_OPTIONS: In den Optinen des Scanner wird gesetzt
        • , dass nicht nur die (100) zuletzt geänderten Dateien gelistet werden, sondern alle gefundenen (-205)
        • , dass Infos aus der Dateiresource ins LOG übernommen werden (217)
        • und dass auch alle signierte Dateien ins LOG übernommen werden (-213)
      • SET_SCANLIST: Stellt hier ein, dass Dateien in einem ausführlichen Tabellenformat gelistet werden.
      • SET_HEADLINE: Setzt Abschnittsüberschrift in dem zu erzeugenden LOG.
      • SEARCH_FILES_WITH_INFOS: Dieser Befehl startet die Dateisuche nach Firmennamen in der Resource. Er wir 3x gestarte - für DLLs, für EXE Dateien und für SYS Dateien (Treiber).
      • SEARCH_FILES_WITH_SIGNATURES: Dieser Befehl startet die Dateisuche nach Firmennamen in Signaturen. Er wir 7x gestarte - für DLLs, für EXE Dateien, für SYS Dateien (Treiber), für PS1 Dateien (Powershell Scripte) und für VBE, VBA und VBS Dateien (Visual Basic Scripte).
      • COPY_SCANFILES: Hier wird veranlasst, dass die erzeugten LOGs unter vom Scanner festgelegten Namen in den Ordner C:\PPF_Scan2 kopiert werden. Vorher haben sie sich unter zufälligen Namen in %TEMP% befunden.
      • OPEN: Öffnet hier den Ordner C:\PPF_Scan2 im Explorer.
    • Der Scanner wird dann am Schluss beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    In meinem Beispiel habe ich Dateien mit den Firmennamen Dailytools, Chip und Joosoft suchen lassen:
    [Blockierte Grafik: https://i.imagebanana.com/img/b702swkc/2.JPG]
    Folgendes gab es als Ergebnis:
    Spoiler anzeigen

    Brainfuck-Quellcode

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$º ºº PPFScanner v3,6,96,5103 ºº Scanfile 11 ºº º$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@Mopao and AHT____________________________________________________________________________________________________________________________________________________________________________#####################################Dateien mit speziellen Firmennamen#####################################13.02.2017 00:14 C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\jwplayer.exe --------- 747512 (A) Beschreibung: Installation-Wizard Firmenname: Dailytools GmbH Produktname: Installation-Wizard ----- [dailytools GmbH] --- MD5: 7951295146fe8060b6835b071fd8c10816.07.2016 12:41 G:\Windows\WinSxS\amd64_net9500-x64-n650f.inf_31bf3856ad364e35_10.0.14393.0_none_230081ab833b1b2e\lan9500-x64-n650f.sys --------- 90624 (A) Beschreibung: Microchip Technology Inc. LAN9500 USB 2.0 to Ethernet 10/100 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN9500 USB 2.0 to Ethernet 10/100 --- MD5: fed8a01c45e368f22d627312e4e7b82a16.07.2016 12:41 G:\Windows\WinSxS\amd64_net7800-x64-n650f.inf_31bf3856ad364e35_10.0.14393.0_none_5886af548c203943\lan7800-x64-n650f.sys --------- 122880 (A) Beschreibung: Microchip Technology Inc. LAN7800 USB 3.0 to Ethernet 10/100/1000 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN7800 USB 3.0 to Ethernet 10/100/1000 --- MD5: 18658f89a15d70256270b74f80d11bc416.07.2016 12:41 G:\Windows\WinSxS\amd64_net7500-x64-n650f.inf_31bf3856ad364e35_10.0.14393.0_none_205728d4ec065680\lan7500-x64-n650f.sys --------- 101376 (A) Beschreibung: Microchip Technology Inc. LAN7500 USB 2.0 to Ethernet 10/100/1000 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN7500 USB 2.0 to Ethernet 10/100/1000 --- MD5: 2cc3c281f7cf2a6499891df8c74e101f16.07.2016 12:41 G:\Windows\System32\DriverStore\FileRepository\net9500-x64-n650f.inf_amd64_7c5a95b971462fcf\lan9500-x64-n650f.sys --------- 90624 (A) Beschreibung: Microchip Technology Inc. LAN9500 USB 2.0 to Ethernet 10/100 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN9500 USB 2.0 to Ethernet 10/100 --- MD5: fed8a01c45e368f22d627312e4e7b82a16.07.2016 12:41 G:\Windows\System32\DriverStore\FileRepository\net7800-x64-n650f.inf_amd64_87fa40b28958232b\lan7800-x64-n650f.sys --------- 122880 (A) Beschreibung: Microchip Technology Inc. LAN7800 USB 3.0 to Ethernet 10/100/1000 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN7800 USB 3.0 to Ethernet 10/100/1000 --- MD5: 18658f89a15d70256270b74f80d11bc416.07.2016 12:41 G:\Windows\System32\DriverStore\FileRepository\net7500-x64-n650f.inf_amd64_c13e9fcc8385b1fe\lan7500-x64-n650f.sys --------- 101376 (A) Beschreibung: Microchip Technology Inc. LAN7500 USB 2.0 to Ethernet 10/100/1000 Driver Firmenname: Microchip Technology Inc. Produktname: Microchip Technology Inc. LAN7500 USB 2.0 to Ethernet 10/100/1000 --- MD5: 2cc3c281f7cf2a6499891df8c74e101f13.02.2017 00:14 C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\jwplayer.exe --------- 747512 (A) Beschreibung: Installation-Wizard Firmenname: Dailytools GmbH Produktname: Installation-Wizard ----- [dailytools GmbH] --- MD5: 7951295146fe8060b6835b071fd8c10813.02.2017 00:14 C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\PeaZip Portable 64 Bit - CHIP-Installer.exe --------- 1496584 (A) Beschreibung: CHIP Secured Installer ----- [CHIP Digital GmbH] --- MD5: 7a7aaff2e96f7e1aea7f37ad6a5f5752


    • Ganz vorne ist immer das Erstellungsdatum der Datei zu finden.
    • Danach folgen Pfad und Dateiname der Datei.
    • Dahinter folgt nach einigen Minuszeichen die Dateigröße.
    • In Klammern stehen dahinter Buchstaben, die die Dateiattribute angeben
    • Danach folgen Beschreibung, Firmenname und Produktname aus der Dateiresource, wenn die Datei eine Resource hat.
    • Wieder nach einen Minuszeichen folgt dann in eckigen Klammern die Signatur - wenn die Datei gültig signiert war.
    • Wieder nach einen Minuszeichen folgt dann die MD5 der Datei, wenn eine ermittelt werden konnte.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Kleines Programm zum Suchen nach einem Dateiinhalt

    Wofür kann man das Script nutzen?

    Manchmal möchte man Dateien nach Texten durchsuchen, die eigentlich nicht nur aus Text bestehen. Dieses hier abgelegte Script such in allen Dateien in einem Ordner und dessen Unterordnern nach einen angebbaren Text.
    Dieses Script funktioniert ab Windows Vista.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. INPUTDIALOG->EXISTINGFOLDER
    3. ->Bitte hier einen Ordner auswählen, der nach Dateiinhalten durchsucht werden soll!
    4. ->
    5. ->PPFS_Foldername
    6. INPUTDIALOG->Text
    7. ->Bitte hier eingeben, nach welchem Text gesucht werden soll!\nDie Ergebnisse befinden sich am Ende in C:\PPF_Scan2\FileContentSearch.txt
    8. ->Dateiinhalt
    9. ->PPFS_FileContent
    10. CREATE_FOLDER->C:\PPFS_T
    11. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    12. START_SHELL->%SystemRoot%\system32\cmd.exe
    13. EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt
    14. CLOSE_SHELL->
    15. WRITE_BATCH->$PPFSFoldername = $env:PPFS_Foldername
    16. WRITE_BATCH->$PPFSFileContent = $env:PPFS_FileContent
    17. WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value '************************************************'
    18. WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value '* Suche nach Dateiinhalten *'
    19. WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value '************************************************'
    20. WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value ("Suche in: " + $PPFSFoldername)
    21. WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value ("Suche nach: " + $PPFSFileContent)
    22. WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\FileContentSearch.txt' -Value "______________________________________________________________"
    23. WRITE_BATCH->Get-ChildItem $PPFSFoldername -recurse | where {$_.length -lt 10000000} | select-string $PPFSFileContent | select PATH,LineNumber | Format-List | Out-File -FilePath C:\PPF_Scan2\FileContentSearch.txt -Encoding "ASCII" -Append
    24. WRITE_BATCH->Set-Content -Path C:\PPFS_T\Ready.txt -Value 'ready'
    25. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
    26. SLEEP->20000
    27. LOOP->65535
    28. FILE_EXISTS_TO_ENV_VAR->C:\PPFS_T\Ready.txt>PPFS_EXISTS
    29. SLEEP->120000
    30. EXECUTE_IN_SHELL->
    31. IF->%PPFS_EXISTS%=1
    32. CLOSE_SHELL->
    33. START_SHELL->%SystemRoot%\system32\cmd.exe
    34. EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt
    35. CLOSE_SHELL->
    36. COPY_SCANFILES->C:\PPF_Scan2
    37. OPEN->C:\PPF_Scan2
    38. END->
    39. END_IF->
    40. END_LOOP->
    41. COPY_SCANFILES->C:\PPF_Scan2
    42. OPEN->C:\PPF_Scan2
    43. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Es erscheint dann ein Dialog zur Auswahl des zu durchsuchenden Ordnerns. Wähle hier den Ordner aus, dn du nach dem Dateiinhalt durchsuchen willst und klicke OK.
      [Blockierte Grafik: https://i.imagebanana.com/img/791hcwjl/1.jpg]
    • Danach erscheint ein Dialog, in den der zu suchende Text eingegeben werden muss. Nach der Eingabe des Textes OK klicken.
      [Blockierte Grafik: https://i.imagebanana.com/img/cowm3mll/2.JPG]
    • Das Script durchsucht dann alle Dateien, die kleiner als 10000000Bytes sind nach dem eingegebenen Text. Das Script wird einige Zeit laufen. Ist der Vorgang abgeschlossen, wird sich der Scanner beenden.
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.
    Was tut das Script genau und wie tut es das?
    • Der PPFScanner erstellt zu Anfang den Ordner PPF_Scan2, in den die Scandateien später kopiert werden.
    • Danach werden über den Befehl INPUTDIALOG die Dialoge zur Auswahl des Ordners und zur Eingabe des zu suchenden Textes erstellt. Der Ordnername wird in der Umgebungsvariablen %PPFS_Foldername% und der zu suchende Text in der Umgebungsvariablen %PPFS_FileContent% abgerlegt.
    • Dann erstellt der Scanner den Ordner C:\PPFS_T, um dort danach ein Powershell Script (T1.ps1) zu erstellen.
    • Als nächstes wird über den Kommandozeilenbefehl DEL die Datei C:\PPFS_T\Ready.txt gelöscht. Diese Datei benutzt der Scanner später dazu um festzustellen, ob das Script durchgelaufen ist.
    • Die Ergebnisse werden Später in die Datei C:\PPF_Scan2\FileContentSearch.txt geschrieben. Der Scanner erstellt dann den Kopf dieser Datei mit Powershell über das Script T1.ps1.
    • Die Dateisuche erfolgt ebenfalls über Powershell mit dem Befehl Get-ChildItem.
    • Ist die Dateisuche abgeschlossen, wird die Datei C:\PPFS_T\Ready.txt erstellt, um dem Scanner zu signalisieren, dass Powershell die Suche abgeschlossen hat. Nach dem Starten des Powershell Scriptes wartet der Scanner so lange, bis die Datei Ready.txt wieder existiert.
    • Danach wird die Datei Scripting.txt über den Befehl COPY_SCANFILES in den Ordner C:\PPF_Scan2 kopiert. Diese Datei enthält Informationen über den Ablauf des Scriptes und eventuell entstandene Fehler.
    • Zum Schluss wird der Ordner C:\PPF_Scan2 geöffnet und der Scanner beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    Die Ergebnisse der Suche befinden sich in der Datei C:\PPF_Scan2\FileContentSearch.txt.
    Diese Datei hat folgendes Aussehen:
    Spoiler anzeigen


    Quellcode

    1. ************************************************
    2. * Suche nach Dateiinhalten *
    3. ************************************************
    4. Suche in: C:\Sandbox
    5. Suche nach: listview
    6. ______________________________________________________________
    7. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\AutoIt Scripte\EventReader1_
    8. .au3
    9. LineNumber : 163
    10. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\AutoIt Scripte\EventReader1_
    11. .au3
    12. LineNumber : 1421
    13. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    14. nti-Malware\Qt5Quick.dll
    15. LineNumber : 5328
    16. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    17. nti-Malware\Qt5Quick.dll
    18. LineNumber : 7303
    19. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    20. nti-Malware\Qt5Quick.dll
    21. LineNumber : 7309
    22. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    23. nti-Malware\Qt5Quick.dll
    24. LineNumber : 8786
    25. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    26. nti-Malware\Qt5Widgets.dll
    27. LineNumber : 8521
    28. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    29. nti-Malware\Qt5Widgets.dll
    30. LineNumber : 8716
    31. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    32. nti-Malware\Qt5Widgets.dll
    33. LineNumber : 8722
    34. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    35. nti-Malware\Qt5Widgets.dll
    36. LineNumber : 8727
    37. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    38. nti-Malware\Qt5Widgets.dll
    39. LineNumber : 8984
    40. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    41. nti-Malware\Qt5Widgets.dll
    42. LineNumber : 9912
    43. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    44. nti-Malware\Qt5Widgets.dll
    45. LineNumber : 9972
    46. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    47. nti-Malware\Qt5Widgets.dll
    48. LineNumber : 9974
    49. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    50. nti-Malware\Qt5Widgets.dll
    51. LineNumber : 10106
    52. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    53. nti-Malware\Qt5Widgets.dll
    54. LineNumber : 10182
    55. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    56. nti-Malware\Qt5Widgets.dll
    57. LineNumber : 14698
    58. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    59. nti-Malware\Qt5Widgets.dll
    60. LineNumber : 15007
    61. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    62. nti-Malware\QtQuick\Controls\plugins.qmltypes
    63. LineNumber : 1778
    64. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    65. nti-Malware\QtQuick\Controls\plugins.qmltypes
    66. LineNumber : 2534
    67. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    68. nti-Malware\QtQuick\Controls\plugins.qmltypes
    69. LineNumber : 2668
    70. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    71. nti-Malware\QtQuick\Controls\qtquickcontrolsplugin.dll
    72. LineNumber : 2351
    73. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    74. nti-Malware\QtQuick\Dialogs\plugins.qmltypes
    75. LineNumber : 1545
    76. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    77. nti-Malware\QtQuick\Dialogs\plugins.qmltypes
    78. LineNumber : 2301
    79. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    80. nti-Malware\QtQuick\Dialogs\plugins.qmltypes
    81. LineNumber : 2435
    82. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    83. nti-Malware\QtQuick.2\plugins.qmltypes
    84. LineNumber : 2546
    85. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    86. nti-Malware\QtQuick.2\plugins.qmltypes
    87. LineNumber : 2550
    88. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    89. nti-Malware\QtQuick.2\plugins.qmltypes
    90. LineNumber : 2551
    91. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    92. nti-Malware\QtQuick.2\plugins.qmltypes
    93. LineNumber : 2552
    94. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    95. nti-Malware\QtQuick.2\plugins.qmltypes
    96. LineNumber : 2555
    97. Path : C:\Sandbox\MisterX\DefaultBox\drive\C\Program Files\Malwarebytes\A
    98. nti-Malware\QtQuick.2\plugins.qmltypes
    99. LineNumber : 2602
    100. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    101. rome\User Data\Default\Favicons
    102. LineNumber : 233
    103. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    104. rome\User Data\Default\Favicons
    105. LineNumber : 453
    106. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    107. rome\User Data\Default\Favicons
    108. LineNumber : 530
    109. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    110. rome\User Data\Default\Favicons
    111. LineNumber : 2033
    112. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    113. rome\User Data\Default\Favicons
    114. LineNumber : 2837
    115. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    116. rome\User Data\Default\Favicons
    117. LineNumber : 3292
    118. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    119. rome\User Data\Default\Favicons
    120. LineNumber : 3871
    121. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    122. rome\User Data\Default\History Provider Cache
    123. LineNumber : 102
    124. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    125. rome\User Data\Default\History Provider Cache
    126. LineNumber : 2130
    127. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    128. rome\User Data\Default\History Provider Cache
    129. LineNumber : 6313
    130. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    131. rome\User Data\Default\History Provider Cache
    132. LineNumber : 6314
    133. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    134. rome\User Data\Default\Last Tabs
    135. LineNumber : 1
    136. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    137. rome\User Data\Default\Last Tabs
    138. LineNumber : 104
    139. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    140. rome\User Data\Default\Last Tabs
    141. LineNumber : 105
    142. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    143. rome\User Data\Default\Last Tabs
    144. LineNumber : 110
    145. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    146. rome\User Data\Default\Last Tabs
    147. LineNumber : 115
    148. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    149. rome\User Data\Default\Last Tabs
    150. LineNumber : 120
    151. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    152. rome\User Data\Default\Last Tabs
    153. LineNumber : 125
    154. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    155. rome\User Data\Default\Last Tabs
    156. LineNumber : 130
    157. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    158. rome\User Data\Default\Last Tabs
    159. LineNumber : 135
    160. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    161. rome\User Data\Default\Last Tabs
    162. LineNumber : 140
    163. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    164. rome\User Data\Default\Last Tabs
    165. LineNumber : 144
    166. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    167. rome\User Data\Default\Cache\f_00040c
    168. LineNumber : 3980
    169. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    170. rome\User Data\Default\Cache\f_00040c
    171. LineNumber : 4063
    172. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    173. rome\User Data\Default\Cache\f_00040c
    174. LineNumber : 4071
    175. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    176. rome\User Data\Default\Cache\f_00040c
    177. LineNumber : 4088
    178. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    179. rome\User Data\Default\Cache\f_00040c
    180. LineNumber : 4132
    181. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    182. rome\User Data\Default\Cache\f_00040c
    183. LineNumber : 4530
    184. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    185. rome\User Data\Default\Session Storage\000313.log
    186. LineNumber : 6
    187. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    188. rome\User Data\Default\Session Storage\000314.ldb
    189. LineNumber : 15520
    190. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    191. rome\User Data\Default\Session Storage\000314.ldb
    192. LineNumber : 15537
    193. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Google\Ch
    194. rome\User Data\Default\Session Storage\000314.ldb
    195. LineNumber : 17188
    196. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\swtl
    197. ib-32\swt-win32-3550.dll
    198. LineNumber : 1015
    199. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    200. -android-tool\lib\org-eclipse-jface-3.6.2.jar
    201. LineNumber : 4644
    202. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    203. -android-tool\lib\org-eclipse-jface-3.6.2.jar
    204. LineNumber : 4651
    205. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    206. -android-tool\lib\org-eclipse-jface-3.6.2.jar
    207. LineNumber : 5703
    208. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    209. -android-tool\lib\org-eclipse-jface-3.6.2.jar
    210. LineNumber : 7262
    211. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    212. -android-tool\lib\org-eclipse-jface-3.6.2.jar
    213. LineNumber : 7315
    214. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    215. -android-tool\lib\x86\swt.jar
    216. LineNumber : 8146
    217. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Temp\temp
    218. -android-tool\lib\x86\swt.jar
    219. LineNumber : 13176
    220. Path : C:\Sandbox\MisterX\DefaultBox\user\current\AppData\Roaming\OpenOff
    221. ice\4\user\registrymodifications.xcu
    222. LineNumber : 1
    223. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\Files (1).txt
    224. LineNumber : 4045
    225. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\PeaZip Portab
    226. le 64 Bit - CHIP-Installer.exe
    227. LineNumber : 17398
    228. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\PeaZip Portab
    229. le 64 Bit - CHIP-Installer.exe
    230. LineNumber : 31266
    231. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    232. xe
    233. LineNumber : 1445
    234. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    235. xe
    236. LineNumber : 1446
    237. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    238. xe
    239. LineNumber : 2238
    240. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    241. xe
    242. LineNumber : 2626
    243. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    244. xe
    245. LineNumber : 2903
    246. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    247. xe
    248. LineNumber : 2964
    249. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    250. xe
    251. LineNumber : 3096
    252. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    253. xe
    254. LineNumber : 3097
    255. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    256. xe
    257. LineNumber : 3099
    258. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    259. xe
    260. LineNumber : 3100
    261. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    262. xe
    263. LineNumber : 3101
    264. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    265. xe
    266. LineNumber : 3103
    267. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    268. xe
    269. LineNumber : 3107
    270. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    271. xe
    272. LineNumber : 3108
    273. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    274. xe
    275. LineNumber : 3111
    276. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    277. xe
    278. LineNumber : 3114
    279. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    280. xe
    281. LineNumber : 3117
    282. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest (1).e
    283. xe
    284. LineNumber : 3178
    285. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    286. LineNumber : 1445
    287. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    288. LineNumber : 1446
    289. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    290. LineNumber : 2238
    291. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    292. LineNumber : 2626
    293. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    294. LineNumber : 2903
    295. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    296. LineNumber : 2964
    297. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    298. LineNumber : 3096
    299. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    300. LineNumber : 3097
    301. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    302. LineNumber : 3099
    303. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    304. LineNumber : 3100
    305. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    306. LineNumber : 3101
    307. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    308. LineNumber : 3103
    309. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    310. LineNumber : 3107
    311. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    312. LineNumber : 3108
    313. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    314. LineNumber : 3111
    315. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    316. LineNumber : 3114
    317. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    318. LineNumber : 3117
    319. Path : C:\Sandbox\MisterX\DefaultBox\user\current\Downloads\RegTest.exe
    320. LineNumber : 3178
    321. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    322. irKit\ATPopupsHelper.dll
    323. LineNumber : 623
    324. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    325. irKit\ATUpdatersHelper.dll
    326. LineNumber : 1676
    327. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    328. irKit\AxComponentsRTL.bpl
    329. LineNumber : 7940
    330. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    331. irKit\AxComponentsVCL.bpl
    332. LineNumber : 194
    333. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    334. irKit\AxComponentsVCL.bpl
    335. LineNumber : 810
    336. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    337. irKit\AxComponentsVCL.bpl
    338. LineNumber : 4373
    339. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    340. irKit\AxComponentsVCL.bpl
    341. LineNumber : 4375
    342. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    343. irKit\AxComponentsVCL.bpl
    344. LineNumber : 4377
    345. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    346. irKit\AxComponentsVCL.bpl
    347. LineNumber : 4380
    348. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    349. irKit\AxComponentsVCL.bpl
    350. LineNumber : 4382
    351. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    352. irKit\AxComponentsVCL.bpl
    353. LineNumber : 4384
    354. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    355. irKit\AxComponentsVCL.bpl
    356. LineNumber : 4389
    357. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    358. irKit\AxComponentsVCL.bpl
    359. LineNumber : 4391
    360. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    361. irKit\AxComponentsVCL.bpl
    362. LineNumber : 4394
    363. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    364. irKit\AxComponentsVCL.bpl
    365. LineNumber : 4398
    366. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    367. irKit\AxComponentsVCL.bpl
    368. LineNumber : 4402
    369. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    370. irKit\AxComponentsVCL.bpl
    371. LineNumber : 4404
    372. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    373. irKit\AxComponentsVCL.bpl
    374. LineNumber : 4405
    375. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    376. irKit\AxComponentsVCL.bpl
    377. LineNumber : 4413
    378. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    379. irKit\AxComponentsVCL.bpl
    380. LineNumber : 4415
    381. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    382. irKit\AxComponentsVCL.bpl
    383. LineNumber : 4419
    384. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    385. irKit\AxComponentsVCL.bpl
    386. LineNumber : 4427
    387. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    388. irKit\AxComponentsVCL.bpl
    389. LineNumber : 4432
    390. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    391. irKit\AxComponentsVCL.bpl
    392. LineNumber : 4433
    393. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    394. irKit\AxComponentsVCL.bpl
    395. LineNumber : 4511
    396. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    397. irKit\AxComponentsVCL.bpl
    398. LineNumber : 4534
    399. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    400. irKit\AxComponentsVCL.bpl
    401. LineNumber : 4592
    402. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    403. irKit\AxComponentsVCL.bpl
    404. LineNumber : 4632
    405. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    406. irKit\AxComponentsVCL.bpl
    407. LineNumber : 4671
    408. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    409. irKit\AxComponentsVCL.bpl
    410. LineNumber : 4678
    411. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    412. irKit\AxComponentsVCL.bpl
    413. LineNumber : 4881
    414. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    415. irKit\AxComponentsVCL.bpl
    416. LineNumber : 4997
    417. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    418. irKit\AxComponentsVCL.bpl
    419. LineNumber : 7033
    420. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    421. irKit\AxComponentsVCL.bpl
    422. LineNumber : 7037
    423. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    424. irKit\AxComponentsVCL.bpl
    425. LineNumber : 7044
    426. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    427. irKit\AxComponentsVCL.bpl
    428. LineNumber : 7096
    429. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    430. irKit\AxComponentsVCL.bpl
    431. LineNumber : 7099
    432. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    433. irKit\AxComponentsVCL.bpl
    434. LineNumber : 7150
    435. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    436. irKit\AxComponentsVCL.bpl
    437. LineNumber : 7188
    438. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    439. irKit\AxComponentsVCL.bpl
    440. LineNumber : 7189
    441. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    442. irKit\AxComponentsVCL.bpl
    443. LineNumber : 7243
    444. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    445. irKit\AxComponentsVCL.bpl
    446. LineNumber : 7256
    447. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    448. irKit\AxComponentsVCL.bpl
    449. LineNumber : 7258
    450. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    451. irKit\AxComponentsVCL.bpl
    452. LineNumber : 7259
    453. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    454. irKit\AxComponentsVCL.bpl
    455. LineNumber : 8449
    456. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    457. irKit\AxComponentsVCL.bpl
    458. LineNumber : 8450
    459. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    460. irKit\AxComponentsVCL.bpl
    461. LineNumber : 8524
    462. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    463. irKit\AxComponentsVCL.bpl
    464. LineNumber : 9967
    465. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    466. irKit\AxComponentsVCL.bpl
    467. LineNumber : 39254
    468. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    469. irKit\AxComponentsVCL.bpl
    470. LineNumber : 39256
    471. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    472. irKit\BrowserCareHelper.dll
    473. LineNumber : 3830
    474. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    475. irKit\CommonForms.dll
    476. LineNumber : 462
    477. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    478. irKit\CommonForms.dll
    479. LineNumber : 1249
    480. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    481. irKit\CommonForms.Routine.dll
    482. LineNumber : 965
    483. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    484. irKit\CommonForms.Routine.dll
    485. LineNumber : 2438
    486. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    487. irKit\CommonForms.Routine.dll
    488. LineNumber : 2447
    489. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    490. irKit\CommonForms.Site.dll
    491. LineNumber : 3077
    492. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    493. irKit\DebugHelper.dll
    494. LineNumber : 5133
    495. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    496. irKit\DebugHelper.dll
    497. LineNumber : 5886
    498. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    499. irKit\DiskCleanerHelper.dll
    500. LineNumber : 1460
    501. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    502. irKit\DuplicateFileFinder.exe
    503. LineNumber : 1139
    504. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    505. irKit\DuplicateFileFinder.exe
    506. LineNumber : 1146
    507. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    508. irKit\DuplicateFileFinder.exe
    509. LineNumber : 5238
    510. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    511. irKit\DuplicateFileFinder.exe
    512. LineNumber : 5791
    513. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    514. irKit\Localizer.dll
    515. LineNumber : 344
    516. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    517. irKit\MalwareDetectionHelper.dll
    518. LineNumber : 4571
    519. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    520. irKit\PCRepairKit.exe
    521. LineNumber : 1086
    522. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    523. irKit\PCRepairKit.exe
    524. LineNumber : 1093
    525. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    526. irKit\PCRepairKit.exe
    527. LineNumber : 2757
    528. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    529. irKit\PCRepairKit.exe
    530. LineNumber : 5822
    531. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    532. irKit\PCRepairKit.exe
    533. LineNumber : 5823
    534. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    535. irKit\PCRepairKit.exe
    536. LineNumber : 5862
    537. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    538. irKit\PCRepairKit.exe
    539. LineNumber : 5863
    540. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    541. irKit\PCRepairKit.exe
    542. LineNumber : 5890
    543. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    544. irKit\PCRepairKit.exe
    545. LineNumber : 5954
    546. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    547. irKit\PCRepairKit.exe
    548. LineNumber : 6644
    549. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    550. irKit\PCRepairKit.exe
    551. LineNumber : 7128
    552. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    553. irKit\PCRepairKit.exe
    554. LineNumber : 8729
    555. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    556. irKit\PCRepairKit.exe
    557. LineNumber : 14078
    558. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    559. irKit\PCRepairKit.exe
    560. LineNumber : 14113
    561. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    562. irKit\PCRepairKit.exe
    563. LineNumber : 14162
    564. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    565. irKit\PCRepairKit.exe
    566. LineNumber : 14177
    567. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    568. irKit\PCRepairKit.exe
    569. LineNumber : 14736
    570. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    571. irKit\RegistryDefrag.exe
    572. LineNumber : 1090
    573. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    574. irKit\RegistryDefrag.exe
    575. LineNumber : 1097
    576. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    577. irKit\RegistryDefrag.exe
    578. LineNumber : 3654
    579. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    580. irKit\RescueCenter.exe
    581. LineNumber : 1053
    582. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    583. irKit\RescueCenter.exe
    584. LineNumber : 1060
    585. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    586. irKit\RescueCenter.exe
    587. LineNumber : 1511
    588. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    589. irKit\RescueCenter.exe
    590. LineNumber : 1512
    591. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    592. irKit\RescueCenter.exe
    593. LineNumber : 1513
    594. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    595. irKit\RescueCenter.exe
    596. LineNumber : 1515
    597. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    598. irKit\RescueCenter.exe
    599. LineNumber : 1543
    600. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    601. irKit\RescueCenter.exe
    602. LineNumber : 1571
    603. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    604. irKit\RescueCenter.exe
    605. LineNumber : 1575
    606. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    607. irKit\RescueCenter.exe
    608. LineNumber : 1576
    609. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    610. irKit\RescueCenter.exe
    611. LineNumber : 1580
    612. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    613. irKit\RescueCenter.exe
    614. LineNumber : 1945
    615. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    616. irKit\RescueCenter.exe
    617. LineNumber : 2500
    618. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    619. irKit\RescueCenter.exe
    620. LineNumber : 2546
    621. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    622. irKit\RescueCenterForm.dll
    623. LineNumber : 118
    624. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    625. irKit\RescueCenterForm.dll
    626. LineNumber : 119
    627. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    628. irKit\RescueCenterForm.dll
    629. LineNumber : 221
    630. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    631. irKit\RescueCenterForm.dll
    632. LineNumber : 250
    633. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    634. irKit\RescueCenterForm.dll
    635. LineNumber : 298
    636. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    637. irKit\RescueCenterForm.dll
    638. LineNumber : 299
    639. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    640. irKit\RescueCenterForm.dll
    641. LineNumber : 301
    642. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    643. irKit\RescueCenterForm.dll
    644. LineNumber : 324
    645. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    646. irKit\RescueCenterForm.dll
    647. LineNumber : 340
    648. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    649. irKit\RescueCenterForm.dll
    650. LineNumber : 344
    651. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    652. irKit\RescueCenterForm.dll
    653. LineNumber : 347
    654. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    655. irKit\RescueCenterForm.dll
    656. LineNumber : 382
    657. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    658. irKit\RescueCenterForm.dll
    659. LineNumber : 704
    660. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    661. irKit\RescueCenterForm.dll
    662. LineNumber : 724
    663. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    664. irKit\RescueCenterForm.dll
    665. LineNumber : 747
    666. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    667. irKit\RescueCenterHelper.dll
    668. LineNumber : 1576
    669. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    670. irKit\SendDebugLog.exe
    671. LineNumber : 1063
    672. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    673. irKit\SendDebugLog.exe
    674. LineNumber : 1070
    675. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    676. irKit\SendDebugLog.exe
    677. LineNumber : 1530
    678. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    679. irKit\SpywareCheckerHelper.dll
    680. LineNumber : 736
    681. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    682. irKit\SystemInformationHelper.dll
    683. LineNumber : 1496
    684. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    685. irKit\TweakManager.exe
    686. LineNumber : 1099
    687. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    688. irKit\TweakManager.exe
    689. LineNumber : 1106
    690. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    691. irKit\TweakManager.exe
    692. LineNumber : 1443
    693. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    694. irKit\TweakManager.exe
    695. LineNumber : 2217
    696. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    697. irKit\TweakManager.exe
    698. LineNumber : 5370
    699. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    700. irKit\TweakManager.exe
    701. LineNumber : 6714
    702. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    703. irKit\TweakManager.exe
    704. LineNumber : 7128
    705. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    706. irKit\TweakManager.exe
    707. LineNumber : 7546
    708. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    709. irKit\TweakManager.exe
    710. LineNumber : 7588
    711. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    712. irKit\TweakManager.exe
    713. LineNumber : 7589
    714. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    715. irKit\TweakManager.exe
    716. LineNumber : 7590
    717. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    718. irKit\TweakManagerHelper.dll
    719. LineNumber : 75
    720. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    721. irKit\TweakManagerHelper.dll
    722. LineNumber : 1013
    723. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    724. irKit\TweakManagerHelper.dll
    725. LineNumber : 1014
    726. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    727. irKit\TweakManagerHelper.dll
    728. LineNumber : 1026
    729. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    730. irKit\TweakManagerHelper.dll
    731. LineNumber : 1027
    732. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    733. irKit\TweakManagerHelper.dll
    734. LineNumber : 1262
    735. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    736. irKit\vcl160.bpl
    737. LineNumber : 2085
    738. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    739. irKit\vcl160.bpl
    740. LineNumber : 2098
    741. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    742. irKit\vcl160.bpl
    743. LineNumber : 2108
    744. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    745. irKit\vcl160.bpl
    746. LineNumber : 2118
    747. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    748. irKit\vcl160.bpl
    749. LineNumber : 2143
    750. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    751. irKit\vcl160.bpl
    752. LineNumber : 2149
    753. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    754. irKit\vcl160.bpl
    755. LineNumber : 2152
    756. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    757. irKit\vcl160.bpl
    758. LineNumber : 2173
    759. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    760. irKit\vcl160.bpl
    761. LineNumber : 2353
    762. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    763. irKit\vcl160.bpl
    764. LineNumber : 2693
    765. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    766. irKit\vcl160.bpl
    767. LineNumber : 2968
    768. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    769. irKit\vcl160.bpl
    770. LineNumber : 3753
    771. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    772. irKit\vcl160.bpl
    773. LineNumber : 3788
    774. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    775. irKit\vcl160.bpl
    776. LineNumber : 3883
    777. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    778. irKit\vcl160.bpl
    779. LineNumber : 7163
    780. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    781. irKit\vcl160.bpl
    782. LineNumber : 7243
    783. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    784. irKit\vcl160.bpl
    785. LineNumber : 9894
    786. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    787. irKit\vclimg160.bpl
    788. LineNumber : 790
    789. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    790. irKit\VolumesHelper.dll
    791. LineNumber : 595
    792. Path : C:\Sandbox\MisterX\Virentest\drive\C\Program Files\TweakBit\PCRepa
    793. irKit\WizardHelper.dll
    794. LineNumber : 3732
    795. Path : C:\Sandbox\MisterX\Virentest\user\current\AppData\Local\Temp\_Del_
    796. 2AC02BED-480E-4564-9122-78206DF1326C_pcrepairkit_setup\AxComponent
    797. sRTL.bpl
    798. LineNumber : 7940
    Alles anzeigen

    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

  • Unter Windows10 Infos zu fehlgeschlagem Update erhalten

    Wofür kann man das Script nutzen?

    Unter älteren Windowssystemen gab es die Datei WindowsUpdate.log, aus der man Infos darüber erhalten konnte, warum es bei Windowsupdates zu Problemen kam, wenn der Rechner keine Upates ziehen konnte.
    Unter Windows10 wird diese Datei nur noch optional erstellt. Das hier abgelegte Script erstellt diese Datei.
    Diese Script ist nur für Windows10 geeignet!


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_T
    3. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    4. WRITE_BATCH->Get-WindowsUpdateLog
    5. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
    6. SLEEP->60000
    7. LOOP->5
    8. EXECUTE_IN_SHELL->
    9. SLEEP->60000
    10. END_LOOP->
    11. CLOSE_SHELL->
    12. MOVE_FILE->%USERPROFILE%\Desktop\Windowsupdate.log>C:\PPF_Scan2\Windowsupdate.log
    13. COPY_SCANFILES->C:\PPF_Scan2
    14. OPEN->C:\PPF_Scan2
    15. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.


    Was tut das Script genau und wie tut es das?
    • Der PPFScanner erstellt zu Anfang den Ordner PPF_Scan2, in den die Scandateien später kopiert werden.
    • Dann erstellt der Scanner den Ordner C:\PPFS_T, um dort danach ein Powershell Script (T1.ps1) zu erstellen.
    • Dieses Powershell Script erzeugt die Datei WindowsUpdate.log mit Hilfe des Powershell Befehls Get-WindowsUpdateLog.
    • Ist das Script gestartet und der Befehl abgeschlossen, wird die Datei WindowsUpdate.log durch den Befehl MOVE_FILE in den Ordner C:\PPF_Scan2 verschoben.
    • Danach wird die Datei Scripting.txt über den Befehl COPY_SCANFILES in den Ordner C:\PPF_Scan2 kopiert. Diese Datei enthält Informationen über den Ablauf des Scriptes und eventuell entstandene Fehler.
    • Zum Schluss wird der Ordner C:\PPF_Scan2 geöffnet und der Scanner beendet.



    Hinweise zur Auswertung der erhaltenen Daten

    Die erzeugte Datei WindowsUpdate.log hat folgendes Format:
    Spoiler anzeigen


    Quellcode: Windowsupdate.log

    1. ...
    2. 2017.07.17 18:04:59.5067951 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.506 [agent]Download job EF69D5C5-B3B4-4C0E-B112-C601F891D007 resumed.
    3. 2017.07.17 18:04:59.5120723 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.512 [agent]GetCustomReportingDataFromHandler failed with 0x80240008 (ignoring).
    4. 2017.07.17 18:04:59.5418425 444 5828 Misc [0]01BC.16C4::07/17/2017-18:04:59.541 [agent]Set CDN prefix to 7
    5. 2017.07.17 18:04:59.5424123 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.542 [agent]Download job 192E5D8E-F576-448A-8710-B42822549F92 resumed.
    6. 2017.07.17 18:04:59.5472556 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.547 [agent]GetCustomReportingDataFromHandler failed with 0x80240008 (ignoring).
    7. 2017.07.17 18:04:59.5480490 444 5828 Agent [0]01BC.16C4::07/17/2017-18:04:59.548 [agent]Effective power state: AC; IsOnAC: Yes.
    8. 2017.07.17 18:04:59.5480531 444 5828 IdleTimer [0]01BC.16C4::07/17/2017-18:04:59.548 [agent]WU operation (DL.Update;taskhostw, operation # 184) stopped; does<NULL> use network; is<NULL> at background priority<NULL>
    9. 2017.07.17 18:04:59.5480576 444 5828 Agent [0]01BC.16C4::07/17/2017-18:04:59.548 [agent]Released network PDC reference for callId {02B824CA-EC9B-499C-B4CD-65AEC65642D3}; ActivationID: 184
    10. 2017.07.17 18:04:59.5480644 444 5828 IdleTimer [0]01BC.16C4::07/17/2017-18:04:59.548 [agent]WU operation (DL.Update;taskhostw) started; operation # 185; does<NULL> use network; is<NULL> at background priority<NULL>
    11. 2017.07.17 18:04:59.5480667 444 5828 Agent [0]01BC.16C4::07/17/2017-18:04:59.548 [agent]Obtained a network PDC reference for callID {02B824CA-EC9B-499C-B4CD-65AEC65642D3} with No-Progress-Timeout set to 4294967295; ActivationID: 185.
    12. 2017.07.17 18:04:59.5483665 444 5148 Agent [0]01BC.141C::07/17/2017-18:04:59.548 [agent]WU client calls back to download call {02B824CA-EC9B-499C-B4CD-65AEC65642D3} with code Call progress and error 0
    13. 2017.07.17 18:04:59.5488665 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.548 [agent]Generating download request for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF.1.
    14. 2017.07.17 18:04:59.5500785 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.550 [agent]Calling into handler 0x9 to generate download request for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF.1.
    15. 2017.07.17 18:04:59.5549507 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.554 [tobemoved]Creating new StreamingDataSource for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF
    16. 2017.07.17 18:04:59.5689543 444 2760 DownloadManager [0]01BC.0AC8::07/17/2017-18:04:59.568 [agent]DO job {192E5D8E-F576-448A-8710-B42822549F92} completed successfully
    17. 2017.07.17 18:04:59.5717034 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.571 [tobemoved]AppX GDR: New Deployment Operation
    18. 2017.07.17 18:04:59.5718275 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.571 [tobemoved]Staging package for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF [Required content only: True]
    19. 2017.07.17 18:04:59.5719085 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.571 [tobemoved]AppX GDR: Begin Wait 100
    20. 2017.07.17 18:04:59.5730267 444 6424 Handler [0]01BC.1918::07/17/2017-18:04:59.573 [tobemoved]Calling StagePackageWithOptionsAsync: update: {30873C6F-DF8B-4440-A0EF-5376174AC9FF}, volume id: \\?\Volume{e5afefac-0000-0000-0000-d00987000000}\, options: 04000100, priority: BackgroundService
    21. 2017.07.17 18:04:59.6167653 444 3032 DownloadManager [0]01BC.0BD8::07/17/2017-18:04:59.616 [tobemoved]CreateDataSource Request: x-windowsupdate://30873C6F-DF8B-4440-A0EF-5376174AC9FF/E48F04C6-D9A4-43BD-B61A-FEF71A262BD6/41081842bb6ae9c56c2113f0001fd9172b459049
    22. 2017.07.17 18:04:59.6167997 444 3032 DownloadManager [0]01BC.0BD8::07/17/2017-18:04:59.616 [tobemoved]Valid DataSourceFactoryRequest: UpdateId=30873C6F-DF8B-4440-A0EF-5376174AC9FF
    23. 2017.07.17 18:04:59.6168074 444 3032 DownloadManager [0]01BC.0BD8::07/17/2017-18:04:59.616 [tobemoved]Found existing StreamingDataSource for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF
    24. 2017.07.17 18:04:59.6260270 444 3032 Handler [0]01BC.0BD8::07/17/2017-18:04:59.626 [tobemoved]Job Run: {30873C6F-DF8B-4440-A0EF-5376174AC9FF}: Signalling Execution Event
    25. 2017.07.17 18:04:59.6260343 444 3032 Handler [0]01BC.0BD8::07/17/2017-18:04:59.626 [tobemoved]Job Run: {30873C6F-DF8B-4440-A0EF-5376174AC9FF}: Begin Wait
    26. 2017.07.17 18:04:59.6260492 444 3032 Handler [0]01BC.0BD8::07/17/2017-18:04:59.626 [tobemoved]Job Run: {30873C6F-DF8B-4440-A0EF-5376174AC9FF}: Signalling Execution Event
    27. 2017.07.17 18:04:59.6260510 444 3032 Handler [0]01BC.0BD8::07/17/2017-18:04:59.626 [tobemoved]Job Run: {30873C6F-DF8B-4440-A0EF-5376174AC9FF}: Begin Wait
    28. 2017.07.17 18:04:59.6260931 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.626 [agent]Subscribing to GDR Retry due to async handler trigger.
    29. 2017.07.17 18:04:59.6333128 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.633 [tobemoved]AppX GDR: Successfully generated a download request. Update Id: 30873C6F-DF8B-4440-A0EF-5376174AC9FF
    30. 2017.07.17 18:04:59.7157681 444 2760 Handler [0]01BC.0AC8::07/17/2017-18:04:59.715 [tobemoved]Received temp cleanup event for update 836EDB06-4374-4513-9E12-9213DCE36224
    31. 2017.07.17 18:04:59.7161789 444 2760 Handler [0]01BC.0AC8::07/17/2017-18:04:59.716 [tobemoved]Received completion event for update 836EDB06-4374-4513-9E12-9213DCE36224 with 2 files
    32. 2017.07.17 18:04:59.8142224 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.814 [agent]The update's sandbox is in use. Will download when it is no longer busy.
    33. 2017.07.17 18:04:59.8421259 444 5828 Misc [0]01BC.16C4::07/17/2017-18:04:59.842 [agent]Set CDN prefix to 7
    34. 2017.07.17 18:04:59.8426770 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.842 [agent]Download job EF69D5C5-B3B4-4C0E-B112-C601F891D007 resumed.
    35. 2017.07.17 18:04:59.8470425 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.847 [agent]GetCustomReportingDataFromHandler failed with 0x80240008 (ignoring).
    36. 2017.07.17 18:04:59.8638386 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:04:59.863 [agent]Queueing update 836EDB06-4374-4513-9E12-9213DCE36224.1 for download handler request generation.
    37. 2017.07.17 18:04:59.9593487 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.959 [agent]Handler (9) for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF selected volume id: \\?\Volume{e5afefac-0000-0000-0000-d00987000000}\""
    38. 2017.07.17 18:04:59.9598994 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.959 [agent]Generating download request for update 836EDB06-4374-4513-9E12-9213DCE36224.1.
    39. 2017.07.17 18:04:59.9607685 444 6916 DownloadManager [0]01BC.1B04::07/17/2017-18:04:59.960 [agent]Calling into handler 0x9 to generate download request for update 836EDB06-4374-4513-9E12-9213DCE36224.1.
    40. 2017.07.17 18:04:59.9648804 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.964 [tobemoved]Creating new StreamingDataSource for update 836EDB06-4374-4513-9E12-9213DCE36224
    41. 2017.07.17 18:04:59.9750212 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.975 [tobemoved]AppX GDR: New Deployment Operation
    42. 2017.07.17 18:04:59.9752028 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.975 [tobemoved]Staging package for update 836EDB06-4374-4513-9E12-9213DCE36224 [Required content only: True]
    43. 2017.07.17 18:04:59.9752911 444 6916 Handler [0]01BC.1B04::07/17/2017-18:04:59.975 [tobemoved]AppX GDR: Begin Wait 100
    44. 2017.07.17 18:04:59.9822513 444 6176 Handler [0]01BC.1820::07/17/2017-18:04:59.982 [tobemoved]Calling StagePackageWithOptionsAsync: update: {836EDB06-4374-4513-9E12-9213DCE36224}, volume id: \\?\Volume{e5afefac-0000-0000-0000-d00987000000}\, options: 04000100, priority: BackgroundService
    45. 2017.07.17 18:04:59.9991144 444 2716 DownloadManager [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]CreateDataSource Request: x-windowsupdate://836EDB06-4374-4513-9E12-9213DCE36224/9DB724C9-966D-4AEB-9D3B-D6B2C77F3DE3/2f6c79c7d97398c6df792942f2085da304e83997
    46. 2017.07.17 18:04:59.9991602 444 2716 DownloadManager [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Valid DataSourceFactoryRequest: UpdateId=836EDB06-4374-4513-9E12-9213DCE36224
    47. 2017.07.17 18:04:59.9991683 444 2716 DownloadManager [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Found existing StreamingDataSource for update 836EDB06-4374-4513-9E12-9213DCE36224
    48. 2017.07.17 18:04:59.9996561 444 2716 Handler [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Job Run: {836EDB06-4374-4513-9E12-9213DCE36224}: Signalling Execution Event
    49. 2017.07.17 18:04:59.9998712 444 2716 Handler [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Job Run: {836EDB06-4374-4513-9E12-9213DCE36224}: Begin Wait
    50. 2017.07.17 18:04:59.9998884 444 2716 Handler [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Job Run: {836EDB06-4374-4513-9E12-9213DCE36224}: Signalling Execution Event
    51. 2017.07.17 18:04:59.9999115 444 2716 DownloadManager [0]01BC.0A9C::07/17/2017-18:04:59.999 [agent]Subscribing to GDR Retry due to async handler trigger.
    52. 2017.07.17 18:04:59.9999133 444 2716 Handler [0]01BC.0A9C::07/17/2017-18:04:59.999 [tobemoved]Job Run: {836EDB06-4374-4513-9E12-9213DCE36224}: Begin Wait
    53. 2017.07.17 18:05:00.0186067 444 6916 Handler [0]01BC.1B04::07/17/2017-18:05:00.018 [tobemoved]AppX GDR: Successfully generated a download request. Update Id: 836EDB06-4374-4513-9E12-9213DCE36224
    54. 2017.07.17 18:05:00.0412062 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.041 [agent]DO job initialized, JobId = {2EFDE9DA-86B3-4984-9951-E5BDC5251A1D}
    55. 2017.07.17 18:05:00.0415848 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.041 [agent]Failed to create a memory stream DO job for update 30873C6F-DF8B-4440-A0EF-5376174AC9FF.1 with error 80d0200b; Trying file I/O job...
    56. 2017.07.17 18:05:00.0452750 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.045 [agent]DO job initialized, JobId = {CC8947F2-8F98-4D45-B4F1-42D8E0AE4175}
    57. 2017.07.17 18:05:00.0459734 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.045 [agent]Downloading from http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/947f9b5f-1916-4d97-a224-e306a3ea26ea?P1=1500308136&P2=301&P3=2&P4=GxqVBil8uaHG4mqa5ir6GJPgU1Dra91dbmM4RmYfct0%3d to C:\Windows\SoftwareDistribution\Download\c901792e0a0babab3e09a45511d5fe99\41081842bb6ae9c56c2113f0001fd9172b459049_1 (1 subranges).
    58. 2017.07.17 18:05:00.0468194 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.046 [agent]Created download job CC8947F2-8F98-4D45-B4F1-42D8E0AE4175; memory stream: No.
    59. 2017.07.17 18:05:00.0478520 444 5828 DownloadManager [0]01BC.16C4::07/17/2017-18:05:00.047 [agent]New download job {CC8947F2-8F98-4D45-B4F1-42D8E0AE4175} for UpdateId 30873C6F-DF8B-4440-A0EF-5376174AC9FF.1
    Alles anzeigen

    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 8 mal editiert, zuletzt von AHT ()

  • Rechnereinschränkungen auslesen

    Wofür kann man das Script nutzen?

    Es kann vorkommen, dass auf Rechnern manche Systemfunktionen blockiert sind und man zum Beispiel auf folgende Meldungen stößt:

    [Blockierte Grafik: https://i.imagebanana.com/img/h3bk7fhu/1.jpg]
    [Blockierte Grafik: https://i.imagebanana.com/img/55p3nd7p/2.JPG]
    Schuld daran sind in der Regel gesetzte Gruppenrichtlinien (sogenannte Policies), die über den in den Pro-Versionen von Windows enthaltenen Gruppenrichtlinieneditor gesetzt werden können. Aber auch in den Home-Versionen von Windows können solche Einschränkungen gesetzt werden - über festgelegte Werte in der Registry. Diese Werte können sich an unterschiedlichen Stellen in der Registry befinden. Oft gibt es mehrere Möglichkeiten durch Registryeinträge die gleiche Einschränkung zu bewirken.
    Das hier abgelegte Script liest die für diese Einschränkungen zuständigen Registryschlüssel aus und listet alle Werte dort in einer Textdatei. Ahand einer Internetsuche lässt sich dann meist leicht feststellen, ob eine dort gesetzter Wert eventuell die Einschränkung regelt, die man nicht auf dem Rechner haben möchte und wie man sie am besten zurücksetzt. In der Regel sind Schlüssel und Werte auch nach der Einstellung benannt, die gesetzt werden soll.
    Aber Vorsicht! Solche Einstellungen sind nie grundlos gesetzt! Man muss sich also auch um den Grund kümmern, warum diese Einstellung besteht. Das kann zum Beispiel ein Befall durch eine unbekannte Malware sein, ein Eingriff eines anderen in den Rechner oder eine installierte Software, die dann in Konflikt mit einer weiteren Software stehen würde, wenn der Eintrag wieder zurückgesetzt wird.


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_SCANLIST->1
    3. SET_HEADLINE-> Polucies at HKEY_LOCAL_MACHINE\SOFTWARE\Policies # Policies unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    4. REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Policies
    5. ->
    6. SET_HEADLINE-> Polucies at HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies # Policies unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    7. REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
    8. ->
    9. SET_HEADLINE-> Polucies at HKEY_CURRENT_USER\SOFTWARE\Policies # Policies unter HKEY_CURRENT_USER\SOFTWARE\Policies
    10. REGISTRY_SEARCH->HKEY_CURRENT_USER\SOFTWARE\Policies
    11. ->
    12. SET_HEADLINE-> Polucies at HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies # Policies unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    13. REGISTRY_SEARCH->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    14. ->
    15. COPY_SCANFILES->C:\PPF_Scan2
    16. OPEN->C:\PPF_Scan2
    17. END->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen!
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.



    Was tut das Script genau und wie tut es das?
    • Der Scanner legt zuerst über den Scriptingbefehl CREATE_FOLDER einen Ordner C:\PPF_Scan2 an, in dem später die Scandateien untergegracht werden.
    • Mit Hilfe des Befehls SET_SCANLIST wird festgelegt, dass der Scanner die erweiterte Listenansicht bei der Erstellung der Scandateien verwenden soll.
    • Über den Befehl SET_HEADLINE schreibt der Scanner immer eine passende Sektionsüberschrift in die erzeugte Scandatei ppRegistry.txt.
    • Über den Scriptingbefehl REGISTRY_SEARCH werden alle Werte und Schlüssel in die Datei ppRegistry.txt geschrieben, die sich unter folgenden Registryschlüsseln befinden:
      • HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
      • HKEY_CURRENT_USER\SOFTWARE\Policies
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
    • Über den Befehl COPY_SCANFILES werden die erzeugten Scandateien in den Ordner C:\PPF_Scan2 kopiert.
    • Dann wird der Ordner C:\PPF_Scan2 geöffnet.
    • Zum Schluss beendet sich der Scanner.



    Hinweise zur Auswertung der erhaltenen Daten

    Die Ausgelesenen Werte und Schlüssel befinden sich dann zum Schluss in der Datei ppRegistry.txt im Ordner C:\PPF_Scan2.
    Hier mal ein Beispiel für so eine Datei:
    Spoiler anzeigen



    Quellcode: ppRegistry.txt

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    2. º º
    3. º PPFScanner v3,6,97,5130 º
    4. º Scanfile 12 º
    5. º º
    6. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    7. @Mopao and AHT
    8. ______________________________________________________________________________________________________________________________
    9. ______________________________________________
    10. #######################################################
    11. # Policies unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies #
    12. #######################################################
    13. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe]
    14. [Acrobat Reader] (31.05.2014)
    15. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard]
    16. [HP Common Access Service Library Plugins] (11.07.2014)
    17. [hpDrvMntSvc] (02.06.2014)
    18. [HP Software Framework] (02.06.2014)
    19. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft]
    20. [Windows Defender] (25.02.2017)
    21. [Windows] (17.01.2016)
    22. [Microsoft Antimalware] (14.12.2015)
    23. [SystemCertificates] (30.05.2014)
    24. [Windows NT] (02.11.2006)
    25. [Cryptography] (02.11.2006)
    26. [Peernet] (02.11.2006)
    27. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader]
    28. [10.0] (31.05.2014)
    29. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0]
    30. [FeatureLockDown] (31.05.2014)
    31. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown]
    32. [cDefaultLaunchURLPerms] (17.07.2014)
    33. [cDefaultLaunchAttachmentPerms] (31.05.2014)
    34. [cDefaultExecMenuItems] (31.05.2014)
    35. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultExecMenuItems]
    36. tWhiteList = Close|GeneralInfo|Quit|FirstPage|PrevPage|NextPage|LastPage|ActualSize|FitPage|FitWidth|FitHeight|SinglePage|OneColumn|TwoPages|TwoColumns|ZoomViewIn|ZoomViewOut|ShowHideBookmarks|ShowHideThumbnails|Print|GoToPage|ZoomTo|GeneralPrefs|SaveAs|FullScreenMode|OpenOrganizer|Scan|Web2PDF:OpnURL|AcroSendMail:SendMail|Spelling:Check Spelling|PageSetup|Find|FindSearch|GoBack|GoForward|FitVisible|ShowHideArticles|ShowHideFileAttachment|ShowHideAnnotManager|ShowHideFields|ShowHideOptCont|ShowHideModelTree|ShowHideSignatures|InsertPages|ExtractPages|ReplacePages|DeletePages|CropPages|RotatePages|AddFileAttachment|FindCurrentBookmark|BookmarkShowLocation|GoBackDoc|GoForwardDoc|DocHelpUserGuide|HelpReader|rolReadPage|HandMenuItem|ZoomDragMenuItem|CollectionPreview|CollectionHome|CollectionDetails|CollectionShowRoot|&Pages|Co&ntent|&Forms|Action &Wizard|Recognize &Text|P&rotection|&Sign && Certify|Doc&ument Processing|Print Pro&duction|Ja&vaScript|&Accessibility|Analy&ze|&Annotations|D&rawing Markups|Revie&w ($1)
    37. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultLaunchAttachmentPerms]
    38. tBuiltInPermList = version:1|.ade:3|.adp:3|.app:3|.arc:3|.arj:3|.asp:3|.bas:3|.bat:3|.bz:3|.bz2:3|.cab:3|.chm:3|.class:3|.cmd:3|.com:3|.command:3|.cpl:3|.crt:3|.csh:3|.desktop:3|.dll:3|.exe:3|.fxp:3|.gz:3|.hex:3|.hlp:3|.hqx:3|.hta:3|.inf:3|.ini:3|.ins:3|.isp:3|.its:3|.job:3|.js:3|.jse:3|.ksh:3|.lnk:3|.lzh:3|.mad:3|.maf:3|.mag:3|.mam:3|.maq:3|.mar:3|.mas:3|.mat:3|.mau:3|.mav:3|.maw:3|.mda:3|.mdb:3|.mde:3|.mdt:3|.mdw:3|.mdz:3|.msc:3|.msi:3|.msp:3|.mst:3|.ocx:3|.ops:3|.pcd:3|.pi:3|.pif:3|.prf:3|.prg:3|.pst:3|.rar:3|.reg:3|.scf:3|.scr:3|.sct:3|.sea:3|.shb:3|.shs:3|.sit:3|.tar:3|.taz:3|.tgz:3|.tmp:3|.url:3|.vb:3|.vbe:3|.vbs:3|.vsmacros:3|.vss:3|.vst:3|.vsw:3|.webloc:3|.ws:3|.wsc:3|.wsf:3|.wsh:3|.z:3|.zip:3|.zlo:3|.zoo:3|.pdf:2|.fdf:2|.jar:3|.pkg:3|.tool:3|.term:3 ($1)
    39. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\10.0\FeatureLockDown\cDefaultLaunchURLPerms]
    40. tFlashContentSchemeWhiteList = http|https|ftp|rtmp|rtmpe|rtmpt|rtmpte|rtmps|mailto ($1)
    41. tSponsoredContentSchemeWhiteList = http|https ($1)
    42. tSchemePerms = version:2|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:2|file:1|rlogin:3|javascript:4|data:3|jar:3|vbscript:3 ($1)
    43. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins]
    44. [{8F61AFD3-1B2E-4c96-8F9E-8E58F992BD56}] (11.07.2014)
    45. [{4788DB03-CFA1-4eb2-9C53-81361E6BDBD3}] (11.07.2014)
    46. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\HP Software Framework]
    47. [{41290DB4-0C21-46ad-9A12-C40FD90E1B0B}] (12.12.2016)
    48. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\hpDrvMntSvc]
    49. HpToolsVolumeName = ($1)
    50. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins\{4788DB03-CFA1-4eb2-9C53-81361E6BDBD3}]
    51. Path = C:\Program Files\Hewlett-Packard\Shared\CaslWmi.dll ($1)
    52. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\HP Common Access Service Library Plugins\{8F61AFD3-1B2E-4c96-8F9E-8E58F992BD56}]
    53. Path = C:\Program Files\Hewlett-Packard\Shared\CaslSmBios.dll ($1)
    54. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Hewlett-Packard\HP Software Framework\{41290DB4-0C21-46ad-9A12-C40FD90E1B0B}]
    55. NetworkDeviceCount = 3 ($4)
    56. Wireless.GlobalChanged = ($1)
    57. Wireless.GlobalChanged.2.0 = ($1)
    58. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography]
    59. [Configuration] (02.11.2006)
    60. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware]
    61. [MpEngine] (30.01.2017)
    62. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Peernet]
    63. Disabled = 0 ($4)
    64. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates]
    65. [TrustedPublisher] (30.05.2014)
    66. [TrustedPeople] (02.11.2006)
    67. [trust] (02.11.2006)
    68. [Root] (02.11.2006)
    69. [Disallowed] (02.11.2006)
    70. [CA] (02.11.2006)
    71. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows]
    72. [WindowsUpdate] (17.01.2016)
    73. [GWX] (17.01.2016)
    74. [DriverSearching] (30.05.2014)
    75. [System] (02.11.2006)
    76. [safer] (02.11.2006)
    77. [Network Connections] (02.11.2006)
    78. [IPSec] (02.11.2006)
    79. [CurrentVersion] (02.11.2006)
    80. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
    81. [MpEngine] (30.01.2017)
    82. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT]
    83. [CurrentVersion] (30.05.2014)
    84. [Terminal Services] (02.11.2006)
    85. [Windows File Protection] (02.11.2006)
    86. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration]
    87. [SSL] (02.11.2006)
    88. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL]
    89. [00010002] (02.11.2006)
    90. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002]
    91. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\MpEngine]
    92. MpEnablePus = 1 ($4)
    93. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\CA]
    94. [CTLs] (02.11.2006)
    95. [CRLs] (02.11.2006)
    96. [Certificates] (02.11.2006)
    97. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed]
    98. [CTLs] (02.11.2006)
    99. [CRLs] (02.11.2006)
    100. [Certificates] (02.11.2006)
    101. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root]
    102. [CTLs] (02.11.2006)
    103. [CRLs] (02.11.2006)
    104. [Certificates] (02.11.2006)
    105. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\trust]
    106. [CTLs] (02.11.2006)
    107. [CRLs] (02.11.2006)
    108. [Certificates] (02.11.2006)
    109. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople]
    110. [CTLs] (02.11.2006)
    111. [CRLs] (02.11.2006)
    112. [Certificates] (02.11.2006)
    113. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher]
    114. [CTLs] (30.05.2014)
    115. [CRLs] (30.05.2014)
    116. [Certificates] (30.05.2014)
    117. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\Certificates]
    118. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CRLs]
    119. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CTLs]
    120. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates]
    121. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CRLs]
    122. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CTLs]
    123. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates]
    124. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\CRLs]
    125. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\CTLs]
    126. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\Certificates]
    127. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CRLs]
    128. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CTLs]
    129. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\Certificates]
    130. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CRLs]
    131. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CTLs]
    132. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates]
    133. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs]
    134. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs]
    135. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
    136. [Internet Settings] (02.11.2006)
    137. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DriverSearching]
    138. DontPromptForWindowsUpdate = 1 ($4)
    139. DontSearchWindowsUpdate = 0 ($4)
    140. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
    141. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec]
    142. [Policy] (02.11.2006)
    143. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Network Connections]
    144. NC_PersonalFirewallConfig = 0 ($4)
    145. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer]
    146. [codeidentifiers] (02.11.2006)
    147. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
    148. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
    149. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    150. [Cache] (02.11.2006)
    151. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    152. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy]
    153. [Local] (02.11.2006)
    154. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local]
    155. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
    156. authenticodeenabled = 0 ($4)
    157. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine]
    158. MpEnablePus = 1 ($4)
    159. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion]
    160. [NetworkList] (30.05.2014)
    161. [EFS] (02.11.2006)
    162. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
    163. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection]
    164. KnownDllList = nlhtml.dll ($1)
    165. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\EFS]
    166. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList]
    167. [Signatures] (30.05.2014)
    168. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures]
    169. [FirstNetwork] (30.05.2014)
    170. [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\FirstNetwork]
    171. Category = 0 ($4)
    172. ______________________________________________
    173. ########################################################################################
    174. # Policies unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies #
    175. ########################################################################################
    176. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
    177. ScanWithAntiVirus = 3 ($4)
    178. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    179. BindDirectlyToPropertySetStorage = 0 ($4)
    180. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
    181. {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = 1 ($4)
    182. {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = 1073741857 ($4)
    183. {0DF44EAA-FF21-4412-828E-260A8728E7F1} = 32 ($4)
    184. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings]
    185. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    186. [UIPI] (02.11.2006)
    187. ConsentPromptBehaviorAdmin = 2 ($4)
    188. ConsentPromptBehaviorUser = 1 ($4)
    189. EnableInstallerDetection = 1 ($4)
    190. EnableLUA = 1 ($4)
    191. EnableSecureUIAPaths = 1 ($4)
    192. EnableVirtualization = 1 ($4)
    193. PromptOnSecureDesktop = 1 ($4)
    194. ValidateAdminCodeSignatures = 0 ($4)
    195. dontdisplaylastusername = 0 ($4)
    196. legalnoticecaption = ($1)
    197. legalnoticetext = ($1)
    198. scforceoption = 0 ($4)
    199. shutdownwithoutlogon = 1 ($4)
    200. undockwithoutlogon = 1 ($4)
    201. FilterAdministratorToken = 0 ($4)
    202. EnableUIADesktopToggle = 0 ($4)
    203. MaxGPOScriptWait = 600 ($4)
    204. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]
    205. [Clipboard] (02.11.2006)
    206. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]
    207. [ExceptionFormats] (02.11.2006)
    208. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
    209. CF_TEXT = 1 ($4)
    210. CF_BITMAP = 2 ($4)
    211. CF_OEMTEXT = 7 ($4)
    212. CF_DIB = 8 ($4)
    213. CF_PALETTE = 9 ($4)
    214. CF_UNICODETEXT = 13 ($4)
    215. CF_DIBV5 = 17 ($4)
    216. ______________________________________________
    217. ######################################################
    218. # Policies unter HKEY_CURRENT_USER\SOFTWARE\Policies #
    219. ######################################################
    220. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft]
    221. [Windows] (06.03.2017)
    222. [SystemCertificates] (30.05.2014)
    223. [HKEY_CURRENT_USER\SOFTWARE\Policies\Power]
    224. [PowerSettings] (30.05.2014)
    225. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates]
    226. [TrustedPublisher] (30.05.2014)
    227. [TrustedPeople] (30.05.2014)
    228. [trust] (30.05.2014)
    229. [Disallowed] (30.05.2014)
    230. [CA] (30.05.2014)
    231. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows]
    232. [CurrentVersion] (30.05.2014)
    233. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\CA]
    234. [CTLs] (30.05.2014)
    235. [CRLs] (30.05.2014)
    236. [Certificates] (30.05.2014)
    237. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed]
    238. [CTLs] (30.05.2014)
    239. [CRLs] (30.05.2014)
    240. [Certificates] (30.05.2014)
    241. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\trust]
    242. [CTLs] (30.05.2014)
    243. [CRLs] (30.05.2014)
    244. [Certificates] (30.05.2014)
    245. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople]
    246. [CTLs] (30.05.2014)
    247. [CRLs] (30.05.2014)
    248. [Certificates] (30.05.2014)
    249. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher]
    250. [CTLs] (30.05.2014)
    251. [CRLs] (30.05.2014)
    252. [Certificates] (30.05.2014)
    253. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\Certificates]
    254. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CRLs]
    255. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\CA\CTLs]
    256. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates]
    257. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CRLs]
    258. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\CTLs]
    259. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\Certificates]
    260. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CRLs]
    261. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\trust\CTLs]
    262. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\Certificates]
    263. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CRLs]
    264. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPeople\CTLs]
    265. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates]
    266. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs]
    267. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs]
    268. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion]
    269. [Internet Settings] (30.05.2014)
    270. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
    271. [Cache] (30.05.2014)
    272. [5.0] (30.05.2014)
    273. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\5.0]
    274. [Cache] (30.05.2014)
    275. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    276. [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache]
    277. [HKEY_CURRENT_USER\SOFTWARE\Policies\Power\PowerSettings]
    278. ______________________________________________
    279. #######################################################################################
    280. # Policies unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies #
    281. #######################################################################################
    282. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    283. DisableTaskmgr = 1 ($4)
    Alles anzeigen

    Registryschlüssel stehen in der Datei immer in eckigen Klammern. Dahinter ist bei Unterschlüsseln in runden Klammer immer das Änderungsdatum des Schlüssels angegeben - man kann also auch ablesen, wann die Änderung dort genau erfolgt ist.

    Registrywerte stehen ohne Klammern in der Datei. Vorne steht der Name des Werte, gefolgt von einem Gleichzeichen.

    Stehen Werte unter einem bestimmten Unterschlüssel, sind diese in Bezug auf diesen Schlüssel immer etwas eingerückt.


    Hinter dem Wert steht als hexadezimale Zahl in Klammer der Typ des Wertes.
    Hier die wichtigsten Typen:
    • REG_SZ = $1 (Textausdruck)
    • REG_EXPAND_SZ = $2 (Textausdruck mit enthaltenen Umgebungsvariablen)
    • REG_BINARY = $3 (binäre Daten)
    • REG_DWORD = $4 (32Bit große Zahl)
    • REG_MULTI_SZ = $7 (mehrere Textausdruck zuammengefasst)
    • REG_QWORD = $B (64Bit große Zahl)

    Schaut man ganz unten in die Beispieldatei, sieht man, dass der Taskmanager deaktiviert wurde:
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

  • Der Download von Windowsupdates hängt bei einer gewissen Prozentzahl und läuft nicht weiter

    Wofür kann man das Script nutzen?

    Gerade unter Windows10 kann es dazu kommen, dass der Download von Updates bei irgendeiner Prozentzahl hängen bleibt und sich gar keine Updates mehr installieren lassen. Das hier abgelegte Script kann bei solchen Problemen helfen (wenn wirklich sonst nichts anderes funktioniert).


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_Sicherung
    3. START_SHELL->%SystemRoot%\system32\cmd.exe
    4. EXECUTE_IN_SHELL->@echo Reset / Clear Windows Update
    5. EXECUTE_IN_SHELL->net stop appidsvc
    6. SLEEP->10000
    7. EXECUTE_IN_SHELL->net stop UsoSvc
    8. SLEEP->10000
    9. EXECUTE_IN_SHELL->
    10. EXECUTE_IN_SHELL->net stop appidsvc
    11. SLEEP->10000
    12. EXECUTE_IN_SHELL->
    13. EXECUTE_IN_SHELL->net stop wuauserv
    14. SLEEP->10000
    15. EXECUTE_IN_SHELL->
    16. EXECUTE_IN_SHELL->net stop CryptSvc
    17. SLEEP->10000
    18. EXECUTE_IN_SHELL->
    19. EXECUTE_IN_SHELL->net stop bits
    20. SLEEP->10000
    21. EXECUTE_IN_SHELL->
    22. SET_FILE_ATTRIBUTES->%windir%\System32\Catroot2>128
    23. SET_FILE_ATTRIBUTES->%windir%\SoftwareDistribution>128
    24. EXECUTE_IN_SHELL->Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat"
    25. SLEEP->10000
    26. EXECUTE_IN_SHELL->
    27. EXECUTE_IN_SHELL->REN %windir%\SoftwareDistribution SoftwareDistribution_old
    28. SLEEP->10000
    29. EXECUTE_IN_SHELL->
    30. EXECUTE_IN_SHELL->REN %windir%\System32\Catroot2 Catroot2_old
    31. SLEEP->10000
    32. EXECUTE_IN_SHELL->
    33. FOLDER_EXISTS_TO_ENV_VAR->%windir%\SoftwareDistribution_old>SoftwareDistribution_EXISTS
    34. IF->%SoftwareDistribution_EXISTS%=1
    35. MOVE_FILE->%windir%\SoftwareDistribution_old>C:\PPFS_Sicherung\SoftwareDistribution_old
    36. END_IF->
    37. FOLDER_EXISTS_TO_ENV_VAR->%windir%\System32\Catroot2>Catroot2_EXISTS
    38. IF->%Catroot2_EXISTS%=1
    39. MOVE_FILE->%windir%\System32\Catroot2_old>C:\PPFS_Sicherung\Catroot2_old
    40. END_IF->
    41. CLOSE_SHELL->
    42. COPY_SCANFILES->C:\PPF_Scan2
    43. OPEN->C:\PPF_Scan2
    44. REBOOT->
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Warte, bis der Scanner sich selbst beendet.
    • Lasse das Script bei einer Meldung nicht abbrechen! Der Rechner wird sich zum Schluss neu starten.
    • Es befinden sich im Ordner C:\PPF_Scan2 dann einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei http://workupload.com/ hoch und poste die Downloadlinks hier im Forum, um sie von anderen auswerten zu lassen.
    • Danach noch einmal nach Updates suchen lassen und testen, ob sich die Updates nun herunterladen lassen.
    Achtung! Unter Windows10 muss der Vorgang im abgesicherten Modus durchgeführt werden!


    Was tut das Script genau und wie tut es das?
    • Der Scanner legt zuerst die beiden Ordner C:\PPF_Scan2 und C:\PPFS_Sicherung an.
    • Über den Scriptingbefehl START_SHELL wird dann die Windows Kommandozeilenumgebung gestartet, um in ihr Befehle ausführen zu können.
    • Über den Batch Befehl net stop werden dann durch die Kommandozeilenumgebung mehrere Dienste angehalten, damit diese nicht den Zugriff auf die Ordner und Dateien verhindern, die später bearbeitet werden müssen.
    • Der Scriptingbefehl SET_FILE_ATTRIBUTES setzt dann die Dateiattrribute von zwei Ordner auf normalwerte zurück, damit diese auf jeden Fall sichtbar und zu bearbeiten sind.
    • Über den Batch Befehl DEL werden dann durch die Kommandozeilenumgebung einige .dat Dateien gelöscht, die zum Dienst Bits gehören.
    • Über den Batch Befehl REN werden danach durch die Kommandozeilenumgebung die Ordner SoftwareDistribution und Catroot2, um deren Inhalt an der Stelle zu löschen und eine Sicherungskopie der Daten zu besitzen.
    • Konnten die Ordner umbenannt werden, werden sie danach über den Scriptingbefehl MOVE_FILE in den Ordner C:\PPFS_Sicherung verschoben.
    • CLOSE_SHELL schließt danach die Kommandozeilenumgebung.
    • COPY_SCANFILES kopiert dann die Scandatei Scripting.txt in den Ordner C:\PPF_Scan2.
    • Über REBOOT wird zum Schluss der Rechner neu gestartet.



    Hinweise zur Auswertung der erhaltenen Daten

    Wichtig für die Auswertung ist am Ende die Datei Scripting.txt. Taucht hier am Ende ein Hinweis auf, dass nach REN einer der Ordner aufgrund von fehlendem Zugriff nicht umbenannt werden konnte, hat die Sache nicht korrekt funktioniert. Dann sollte das Script im abgesicherten Modus nochmals ausgeführt werden.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Programm mit mehr Rechten starten, als sie der Admin hat?

    Wofür kann man das Script nutzen?
    Ein Programm, das nur mit normalen Benutzerrechten gestartet wird, hat weniger Rechte als ein Programm, das mit Adminrechten gestartet wird - ist ja logisch! Aber gibt es die Möglichkeit, ein Programm bedienbar auf dem Desktop mit noch mehr Rechten zu starten, als sie ein Programm hat, was mit Adminrechten läuft? Geht das überhaupt???
    Ja, das geht! Es gibt da auf Windowssytemen den lokalen Betriebssystemaccount System, der mit seinen Rechten in der Regel noch über denen eines Administrators liegt. Startet man Programme in diesem Account, hat man plötzlich Einblick in manche Sachen, bei denen man in einem mit Adminrechten gestarteten Programm noch nicht einmal eine Ahnung davon bekommt, dass sie existieren. Der PPFScanner kann Programme per Script sichtbar und bedienbar im Account System auf dem Desktop starten. Das hier abgelegte Script startet ein auswählbares Programm auf diese Weise im "Power-Account" System.

    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. INPUTDIALOG->EXISTINGFILE
    2. ->Hier ein Programm auswählen, das mit Systemrechten gestartet werden soll
    3. ->*.exe
    4. ->PPFSServiceProgramm
    5. IF->%PPFSServiceProgramm%$<>""
    6. CREATE_FOLDER->C:\PPFS_T
    7. CREATE_BATCH_FILE->C:\PPFS_T\Servicestart.sca
    8. WRITE_BATCH->SERVICESTART->%ProgDir%\StartPa.exe>%PPFSServiceProgramm%
    9. LOAD_SCRIPT->C:\PPFS_T\Servicestart.sca
    10. END_IF->

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende
      Messagebox mit Ja.
    • Es wird ein Dialog erscheinen, mit dem man eine beliebige EXE auswählen kann. Wähle aus einem beliebigen Ordner eine EXE aus und klicke dann auf Öffnen.
      [Blockierte Grafik: https://i.imagebanana.com/img/hsyx9s3m/1.jpg]
    • Das ausgewählte Programm wird sich dann im Account System mit den erweiterten Rechten starten.

    Was tut das Script genau und wie tut es das?
    • Über den Befehl INPUTDIALOG erstellt das Script den Dialog zur Auswahl der EXE.
    • Wurde im Dialog eine EXE ausgewählt, wird diese EXE über das Programm StartPa.exe, das dem Scanner beigelegt ist, über den Befehl SERVICESTART mit Systemrechten gestartet.
      • Der Befehl SERVICESTART wird dabei innerhalb eines eigenen Scriptes ausgeführt, was über CREATE_BATCH_FILE und WRITE_BATCH erstellt wird, damit das Script korrekt funktioniert.
    • Dateien erzeugt das Script nicht.



    Hinweise zur Auswertung der erhaltenen Daten
    Hier ist einmal der Registry Editor Regedit.exe mit Adminrechten gestartet worden:
    [Blockierte Grafik: https://i.imagebanana.com/img/j9712j9o/2.JPG]Man sieht hier die Schlüssel HKEY_LOCAL_MACHINE\SAM\SAM und HKEY_LOCAL_MACHINE\SECURITY. Beide Schlüssel scheinen leer zu sein und beeinhalten keine weiteren Werte und Schlüssel.
    Schließt man den Registryeditor wieder und startet dann regedit.exe im Account System, sieht man was wirklich Sache ist:
    [Blockierte Grafik: https://i.imagebanana.com/img/xfd4vlsq/3.jpg]Hier ist einiges an Werten und Schlüsseln vorhanden, die der Admin gar nicht sieht. Unter anderem Passwörter zum Login werden dort abgelegt.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

  • Lange Dateipfade suchen

    Wofür kann man das Script nutzen?

    Die Windows ANSI API kann in der Regel nur eine maximale Pfadlänge von 260 Zeichen verarbeiten. Möchte man zum Beispiel ganze Ordnerstrukturen auf eine externe Festplatte sichern, kann es vorkommen, dass die resultierende Pfade diese Länge überschreiten und ein Kopieren deshalb nicht möglich ist.
    Mit diesem Script kann man überprüfen, ob die Pfadlänge von Dateien in einem auswählbaren Ordner oder Laufwerk eine festlegbare Länge überschreiten (und feststellen, welche Dateien das sind).
    Das Script nutzt speziellen Powershell Code, der auf der Seite von Microsoft zum Download bereitgestellt wurde. Das Script lädt sich den Code von der Microsoft Seite herunter und baut ihn in das PPFScanner Script ein.

    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_T
    3. DOWNLOAD->https://gallery.technet.microsoft.com/scriptcenter/Get-Deeply-Nested-Files-a2148fd7/file/107404/1/Get-FolderItem.ps1>C:\PPFS_T\GFI.ps1
    4. CREATE_BATCH_FILE->C:\PPFS_T\GetLongPaths.scp
    5. WRITE_BATCH->START_SHELL->%SystemRoot%\system32\cmd.exe
    6. WRITE_BATCH->EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt
    7. WRITE_BATCH->CLOSE_SHELL->
    8. WRITE_BATCH->CREATE_BATCH_FILE->C:\PPFS_T\T2.ps1
    9. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    10. WRITE_BATCH->$lines= gc 'C:\PPFS_T\GFI.ps1'
    11. WRITE_BATCH->$lines | %{
    12. WRITE_BATCH-> $cols = $_.Split(';')
    13. WRITE_BATCH-> $cols | %{
    14. WRITE_BATCH-> $NewCol = "WRITE_BATCH->" + $_
    15. WRITE_BATCH-> Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value $NewCol
    16. WRITE_BATCH-> }
    17. WRITE_BATCH->}
    18. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
    19. INPUTDIALOG->EXISTINGFOLDER
    20. ->Bitte hier einen Ordner auswählen, der nach zu langen Dateinamen durchsucht werden soll!
    21. ->
    22. ->PPFS_Foldername
    23. INPUTDIALOG->Number
    24. ->Bitte hier eingeben, wie lang der Dateiname maximal sein darf
    25. ->260
    26. ->PPFS_PathSize
    27. CLOSE_SHELL->
    28. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    29. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '************************************************'"
    30. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '* Zu lange Dateinamen *'"
    31. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '************************************************'"
    32. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->$PPFSFoldername = $env:PPFS_Foldername'
    33. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->[int]$PPFSPathSize = [convert]::ToInt32($env:PPFS_PathSize, 10)'
    34. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->get-folderitem -Path $PPFSFoldername | where {$_.fullname.length -gt $PPFSPathSize} | select fullname,@{Name="Namelength";Expression={$_.fullName.length}} | Format-List | Out-File -FilePath C:\PPF_Scan2\LongPathnames.txt -Encoding "ASCII" -Append'
    35. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Set-Content -Path C:\PPFS_T\Ready.txt -Value 'ready'"
    36. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T2.ps1"
    37. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "SLEEP->20000"
    38. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "LOOP->65535"
    39. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "FILE_EXISTS_TO_ENV_VAR->C:\PPFS_T\Ready.txt>PPFS_EXISTS"
    40. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "SLEEP->120000"
    41. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "EXECUTE_IN_SHELL->"
    42. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "IF->%PPFS_EXISTS%=1"
    43. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "CLOSE_SHELL->"
    44. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "START_SHELL->%SystemRoot%\system32\cmd.exe"
    45. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt"
    46. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "CLOSE_SHELL->"
    47. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "BREAK_LOOP->"
    48. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END_IF->"
    49. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END_LOOP->"
    50. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "COPY_SCANFILES->C:\PPF_Scan2"
    51. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "OPEN->C:\PPF_Scan2"
    52. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END->"
    53. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
    54. SLEEP->10000
    55. CLOSE_SHELL->
    56. LOAD_SCRIPT->C:\PPFS_T\GetLongPaths.scp
    Alles anzeigen

    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Der Scanner benötigt Internetzugang. Er wird sich automatisch ein Powershell Script aus dem Netz herunterladen, dass er für die Aktion benötigt. Meckert die Firewall, lasse den Download zu.
    • Es wird ein Dialog erscheinen, mit dem man eine beliebigen Ordner auswählen kann. Wähle den Ordner oder das Laufwerk aus, dass du auf zu lange Pfade hin überprüfen möchtest:
      [Blockierte Grafik: https://i.imagebanana.com/img/8nz60wff/1.jpg]
    • Bestätige den Dialog nach der Auswahl mit OK.
    • Es wird danach ein zweiter Dialog erscheinen, in den du Anzahl an Zeichen eingeben musst, die ein Pfad maximal haben darf. Im Beispiel hier habe ich 245 Zeichen gewählt:
      [Blockierte Grafik: https://i.imagebanana.com/img/ed5cx76e/2.JPG]
    • Auch dieser Dialog muss dann wieder mit OK bestätigt werden.
    • Klappt alles, wird das Script einige Minuten lang laufen. Zum Schluss wird sich der Scanner schließen und es wird sich der Ordner C:\PPF_Scan2 öffnen.
    • Im Ordner C:\PPF_Scan2 befinden sich dann einige Textdateien. In der Datei C: \PPF_Scan2\LongPathnames.txt findest du dann die Dateien, die die von dir ausgewählte Pfadlänge überschreiten (mit Angabe der Länge des Pfades).
    Was tut das Script genau und wie tut es das?
    1. Schritt
    Spoiler anzeigen

    Zuerst erstellt das Script zwei Ordner. In C:\PPF_Scan2 werden später die Scandateien mit den Ergebnissen abgelegt, in C:\PPFS_T werden Daten abgelegt, die der Scanner zum Ausführen des Script zwischenspeichert

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_T

    2. Schritt
    Spoiler anzeigen

    Hier wird das Powershell Script aus dem Netz heruntergeladen und abgespeichert, das der Scanner zum untersuchen der Ordnerstrukturen verwendet:

    Quellcode

    1. DOWNLOAD->https://gallery.technet.microsoft.com/scriptcenter/Get-Deeply-Nested-Files-a2148fd7/file/107404/1/Get-FolderItem.ps1>C:\PPFS_T\GFI.ps1

    3. Schritt
    Spoiler anzeigen

    Hier bereitet der Scanner ein Script mit dem Namen GetLongPaths.scp vor. In dieses Script wird später die heruntergeladene Powershell Datei eingebaut. Dieses Script wird später automatisch ausgeführt und übernimmt die Suchoperation:

    Quellcode

    1. CREATE_BATCH_FILE->C:\PPFS_T\GetLongPaths.scp
    2. WRITE_BATCH->START_SHELL->%SystemRoot%\system32\cmd.exe
    3. WRITE_BATCH->EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt
    4. WRITE_BATCH->CLOSE_SHELL->
    5. WRITE_BATCH->CREATE_BATCH_FILE->C:\PPFS_T\T2.ps1

    4. Schritt
    Spoiler anzeigen

    Dieser Scriptteil baut das heruntergeladene Powershell Script in das Script GetLongPaths.scp ein. Dafür wird ebenfalls Powershell genutzt:

    Quellcode

    1. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    2. WRITE_BATCH->$lines= gc 'C:\PPFS_T\GFI.ps1'
    3. WRITE_BATCH->$lines | %{
    4. WRITE_BATCH-> $cols = $_.Split(';')
    5. WRITE_BATCH-> $cols | %{
    6. WRITE_BATCH-> $NewCol = "WRITE_BATCH->" + $_
    7. WRITE_BATCH-> Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value $NewCol
    8. WRITE_BATCH-> }
    9. WRITE_BATCH->}
    10. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1

    5. Schritt
    Spoiler anzeigen

    Hier werden die zwei Dialoge erzeugt. Ist das erledigt, wird die vorher unsichtbar geöffnete Powershell Konsole wieder geschlossen:

    Quellcode

    1. INPUTDIALOG->EXISTINGFOLDER
    2. ->Bitte hier einen Ordner auswählen, der nach zu langen Dateinamen durchsucht werden soll!
    3. ->
    4. ->PPFS_Foldername
    5. INPUTDIALOG->Number
    6. ->Bitte hier eingeben, wie lang der Dateiname maximal sein darf
    7. ->260
    8. ->PPFS_PathSize
    9. CLOSE_SHELL->

    6. Schritt
    Spoiler anzeigen

    Hier wird das Ende des Scripts GetLongPaths.scp (wiederum mit Powershell) erzeugt:

    Quellcode

    1. CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
    2. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '************************************************'"
    3. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '* Zu lange Dateinamen *'"
    4. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan2\LongPathnames.txt' -Value '************************************************'"
    5. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->$PPFSFoldername = $env:PPFS_Foldername'
    6. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->[int]$PPFSPathSize = [convert]::ToInt32($env:PPFS_PathSize, 10)'
    7. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value 'WRITE_BATCH->get-folderitem -Path $PPFSFoldername | where {$_.fullname.length -gt $PPFSPathSize} | select fullname,@{Name="Namelength";Expression={$_.fullName.length}} | Format-List | Out-File -FilePath C:\PPF_Scan2\LongPathnames.txt -Encoding "ASCII" -Append'
    8. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "WRITE_BATCH->Set-Content -Path C:\PPFS_T\Ready.txt -Value 'ready'"
    9. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T2.ps1"
    10. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "SLEEP->20000"
    11. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "LOOP->65535"
    12. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "FILE_EXISTS_TO_ENV_VAR->C:\PPFS_T\Ready.txt>PPFS_EXISTS"
    13. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "SLEEP->120000"
    14. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "EXECUTE_IN_SHELL->"
    15. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "IF->%PPFS_EXISTS%=1"
    16. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "CLOSE_SHELL->"
    17. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "START_SHELL->%SystemRoot%\system32\cmd.exe"
    18. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "EXECUTE_IN_SHELL->DEL /Q C:\PPFS_T\Ready.txt"
    19. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "CLOSE_SHELL->"
    20. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "BREAK_LOOP->"
    21. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END_IF->"
    22. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END_LOOP->"
    23. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "COPY_SCANFILES->C:\PPF_Scan2"
    24. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "OPEN->C:\PPF_Scan2"
    25. WRITE_BATCH->Add-Content -Path 'C:\PPFS_T\GetLongPaths.scp' -Value "END->"
    26. START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
    27. SLEEP->10000
    28. CLOSE_SHELL->
    Alles anzeigen

    7. Schritt
    Spoiler anzeigen

    Zum Schluss wird das erstellte Script ausgeführt, um den Suchvorgang zu starten:

    Quellcode

    1. LOAD_SCRIPT->C:\PPFS_T\GetLongPaths.scp


    Hinweise zur Auswertung der erhaltenen Daten

    Die "zu langen" Dateipfade findet man zum Schluss in der Datei C:\PPF_Scan2\LongPathnames.txt. Die Datei hat folgendes Format:
    Spoiler anzeigen


    LongPathnames.txt schrieb:

    ************************************************
    * Zu lange Dateinamen *
    ************************************************


    FullName : G:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Microsoft
    \Windows\INetCache\IE\2HBBJK40\01JFM6wegIL._RC_71vcYDgeRzL.js,51tL
    zKxJ8XL.js,01A18a0oAWL.js,411XaTJoN2L.js,010XVa0zfKL.js,01wBjiz9Ov
    L.js,21QhSEq5BwL.js,31GGfm3oEPL.js,51p6hnDqAKL.js_[1].js
    Namelength : 254

    FullName : G:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Microsoft
    \Windows\INetCache\IE\M72S5KQE\612Lp7av4CL._RC_11IYhapguOL.js,61Z-
    hR1QEiL.js,31pYyxAZJRL.js,31Qll8kfk9L.js,21fjBDiaGBL.js,516fQ5+zVm
    L.js,01rpauTep4L.js,31SglYVoUAL.js,61e4DaO2oBL.js,01BBu+b9t0L.js_[
    1].js
    Namelength : 269

    FullName : G:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Microsoft
    \Windows\INetCache\IE\M72S5KQE\61Lmx94rswL._RC_21XMet83K1L.css,01u
    wSfX2vxL.css,11zFhuTDFqL.css,118GPlC1u8L.css,21CPLeUvH0L.css,01FXA
    Ip4yuL.css,01hvfEvfPgL.css,017UBw6fTGL.css,31DJFjtqQ7L.css,01GT2VH
    57dL.css,21Qq[1].css
    Namelength : 284

    FullName : G:\Sandbox\MisterX\DefaultBox\user\current\AppData\Local\Microsoft
    \Windows\INetCache\IE\UZAVADHJ\61tHvuwljLL._RC_11IYhapguOL.js,61Z-
    hR1QEiL.js,31pYyxAZJRL.js,31Qll8kfk9L.js,21fjBDiaGBL.js,516fQ5+zVm
    L.js,01rpauTep4L.js,31SglYVoUAL.js,61e4DaO2oBL.js,01BBu+b9t0L.js_[
    1].js
    Namelength : 269

    FullName : G:\Users\MisterX\AppData\Roaming\Microsoft\Windows\Recent\https--w
    ww.bing.com-searchq=einstellungen&form=WNSGPH&qs=AS&cvid=437eafb02
    4b949debd8f01dc7f2e486b&pq=einste&nclid=k4F3msAVqRTr4kMAIKH%2B9A%3
    D%3D&ts=1440645656167&nclidts=1440645656&tsms=167.lnk
    Namelength : 251

    Hinter FullName ist der Dateiname der "zu langen" Datei zu finden. Hinter Namelenth steht die Anzahl an Zeichen, die der Pfad hat.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Netzwerklaufwerke auch für Programme freigeben, die mit Adminrechten laufen

    Wofür kann man das Script nutzen?

    Wie man an meinem Screenshot sieht, ist bei mir zur Zeit ein Netzwerklaufwerk mit dem Buchstaben Z: ins System eingebunden.
    [Blockierte Grafik: https://abload.de/img/1zyse2.jpg]
    Auch in der Kommandozeile kann ich problemlos auf Laufwerk Z: wechsel und mir den In halt anzeigen lassen:
    [Blockierte Grafik: https://abload.de/img/1g3s6j.jpg]
    Starte ich aber die Eingabeaufforderung als Administrator, kann ich nicht auf das Laufwerk zugreifen:
    [Blockierte Grafik: https://abload.de/img/1misc2.jpg]
    Grund dafür ist, dass solche Netzwerkmappings standardmäßig nur für einen Token gelten (also für einen Ausweis, mit dem sich ein User anmeldet). Programme, die mit Adminrechten laufen, besitzen aber einen anderen Token, als Programme, die mit Userrechten gestartet werden - auch wenn sie im selben Account laufen.
    Das hier abgelegte Script ändert die Einstellungen von Windows so, dass auch Programme, die mit Adminrechten laufen, auf so ein Laufwerk zugreifen können.

    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird

    Quellcode: Show_Networkdrives_to_all_Tokens.scp

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. SET_HEADLINE->Mapp Networkdrives for all Users of a Session (before Change)# Netzwerklaufwerke für alle User einer Session (vor der Änderung)
    3. REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    4. ->EnableLinkedConnections
    5. SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    6. ->EnableLinkedConnections
    7. ->1
    8. SET_HEADLINE->Mapp Networkdrives for all Users of a Session (after Change)# Netzwerklaufwerke für alle User einer Session (nach der Änderung)
    9. REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    10. ->EnableLinkedConnections
    11. COPY_SCANFILES->C:\PPF_Scan2
    12. REBOOT->
    Alles anzeigen
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Der Rechner wird sich danach neu starten, wenn alles klappt.
    • Daten über den Vorgang befinden sich danach im Ordner C:\PPF_Scan2
    Um die Sache wieder Rückgängig zu machen, muss folgendes Script ausgeführt werden:

    Quellcode

    1. REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System->EnableLinkedConnectionsREBOOT->


    Was tut das Script genau und wie tut es das?

    In Zeile 1 wird der Ordner erstellt, in dem die Daten über den Vorgang abgespeichert werden:
    Spoiler anzeigen

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2


    Danach wird der jetzige Wert eines Registryeinträges, der später geändert werden soll, ausgelesen:
    Spoiler anzeigen

    Quellcode

    1. SET_HEADLINE->Mapp Networkdrives for all Users of a Session (before Change)# Netzwerklaufwerke für alle User einer Session (vor der Änderung)REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System->EnableLinkedConnections


    Die nächsten Zeilen setzen einen DWORD Registrywert EnableLinkedConnections unter dem Registryschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System auf den Wert 1.
    Spoiler anzeigen

    Quellcode

    1. SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System->EnableLinkedConnections->1


    Danach wird der Wert erneut ausgelesen, um nachvollziehen zu können, ob die Änderung erfolgreich war:
    Spoiler anzeigen

    Quellcode

    1. SET_HEADLINE->Mapp Networkdrives for all Users of a Session (after Change)# Netzwerklaufwerke für alle User einer Session (nach der Änderung)REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System->EnableLinkedConnections


    Zum Schluss werden die Daten über den Vorgang in den Ordner C:\PPF_Scan2 kopiert und ein Neustart des Rechners wird durchgeführt, damit die Änderungen wirksam werden:
    Spoiler anzeigen

    Quellcode

    1. COPY_SCANFILES->C:\PPF_Scan2REBOOT->



    Hinweise zur Auswertung der erhaltenen Daten

    Die Daten des Wertes befinden sich danach in der Datei ppRegistry.txt im Ordner C:\PPF_Scan2.
    War der Wert vor der Änderung nicht vorhanden, fehlt hier der Eintrag vor der Änderung:
    Spoiler anzeigen

    Quellcode

    1. $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$º ºº PPFScanner v3,6,99,5175 ºº Scanfile 12 ºº º$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$@Mopao and AHT____________________________________________________________________________________________________________________________________________________________________________##################################################################### Netzwerklaufwerke für alle User einer Session (nach der Änderung)#####################################################################[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]EnableLinkedConnections = 1 ($4)


    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 7 mal editiert, zuletzt von AHT ()

  • OneDrive Setup hakt unter Windows10

    Wofür kann man das Script nutzen?

    Beim Update von OneDrive kann es unter Windows10 dazu kommen, dass der Prozess OneDriveSetup.exe hakt, nicht weiter läuft und große Prozesssorlast zieht. Dieses Script löscht vier Datenbankdateien, die ursächlich für diesen Fehler sein können und startet das Setup danach neu. Vom Script werden hier folgende Anweisungen aus dem Microsoft Forum umgesetzt:


    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_Sicherung
    3. CREATE_FOLDER->C:\PPFS_Sicherung\Common
    4. CREATE_FOLDER->C:\PPFS_Sicherung\Personal
    5. SET_HEADLINE->Before Deleating#Vor Löschung
    6. SEARCH_FILES->UserTelemetryCache*
    7. ->%LOCALAPPDATA%
    8. KILL_PROCESS->OneDriveSetup.exe
    9. START_SHELL->%SystemRoot%\system32\cmd.exe
    10. SLEEP->10000
    11. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc /B C:\PPFS_Sicherung\UserTelemetryCache.otc /B
    12. SLEEP->2
    13. EXECUTE_IN_SHELL->
    14. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\UserTelemetryCache.otc /B
    15. SLEEP->2
    16. EXECUTE_IN_SHELL->
    17. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc
    18. SLEEP->2
    19. EXECUTE_IN_SHELL->
    20. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc.session
    21. SLEEP->2
    22. EXECUTE_IN_SHELL->
    23. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc /B C:\PPFS_Sicherung\Personal\UserTelemetryCache.otc /B
    24. SLEEP->2
    25. EXECUTE_IN_SHELL->
    26. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\Personal\UserTelemetryCache.otc /B
    27. SLEEP->2
    28. EXECUTE_IN_SHELL->
    29. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc
    30. SLEEP->2
    31. EXECUTE_IN_SHELL->
    32. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc.session
    33. SLEEP->2
    34. EXECUTE_IN_SHELL->
    35. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc /B C:\PPFS_Sicherung\Common\UserTelemetryCache.otc /B
    36. SLEEP->2
    37. EXECUTE_IN_SHELL->
    38. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\Common\UserTelemetryCache.otc /B
    39. SLEEP->2
    40. EXECUTE_IN_SHELL->
    41. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc
    42. SLEEP->2
    43. EXECUTE_IN_SHELL->
    44. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc.session
    45. SLEEP->30000
    46. EXECUTE_IN_SHELL->
    47. CLOSE_SHELL->
    48. SET_HEADLINE->After Deleating#Nach Löschung
    49. SEARCH_FILES->UserTelemetryCache*
    50. ->%LOCALAPPDATA%
    51. OPEN->%LOCALAPPDATA%\Microsoft\OneDrive\Update\OneDriveSetup.exe
    52. COPY_SCANFILES->C:\PPF_Scan2
    53. OPEN->C:\PPF_Scan2
    54. END->
    Alles anzeigen
    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Daten über den Vorgang befinden sich danach im Ordner C:\PPF_Scan2. Eine Sicherung der gelöschten Datenbankdateien sind im Ordner C:\PPFS_Sicherung zu finden.

    Was tut das Script genau und wie tut es das?

    Zuerst erstellt das Script die Ordner für die Sicherung der Datenbankdateien und zum Ablegen der Daten für den Scan:
    Spoiler anzeigen


    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. CREATE_FOLDER->C:\PPFS_Sicherung
    3. CREATE_FOLDER->C:\PPFS_Sicherung\Common
    4. CREATE_FOLDER->C:\PPFS_Sicherung\Personal


    Danach werden die im Ordner %LOCALAPPDATA% (und in dessen Unterordnern) vorhandenen Dateien mit der Maske UserTelemetryCache*
    gelistet:
    Spoiler anzeigen


    Quellcode

    1. SET_HEADLINE->Before Deleating#Vor Löschung
    2. SEARCH_FILES->UserTelemetryCache*
    3. ->%LOCALAPPDATA%


    Dann wird der Prozess OneDriveSetup.exe beendet, wenn er noch läuft:
    Spoiler anzeigen

    Quellcode

    1. KILL_PROCESS->OneDriveSetup.ex



    Danach wird die Kommandozeile von Windows versteckt gestartet, um Befehle an sie übergeben zu können. Es wird 10 Sekunden gewartet, bis die Kommandozeile wirklich zur Verfügung steht und korrekt gestartet wurde:
    Spoiler anzeigen


    Quellcode

    1. START_SHELL->%SystemRoot%\system32\cmd.exe
    2. SLEEP->10000


    Über die Kommandozeilenbefehle XCOPY und DEL werden dann die Dateien UserTelemetryCache.otc und UserTelemetryCache.otc.session in den Sicherungsordner kopiert und danach die Originaldateien gelöscht. Nach dem Ausführen jedes Befehls wird kurz gewartet und durch den Befehl EXECUTE_IN_SHELL noch ausstehende Rückmeldungen der Befehle eingeholt:
    Spoiler anzeigen


    Quellcode

    1. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc /B C:\PPFS_Sicherung\UserTelemetryCache.otc /B
    2. SLEEP->2
    3. EXECUTE_IN_SHELL->
    4. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\UserTelemetryCache.otc /B
    5. SLEEP->2
    6. EXECUTE_IN_SHELL->
    7. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc
    8. SLEEP->2
    9. EXECUTE_IN_SHELL->
    10. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\UserTelemetryCache.otc.session
    11. SLEEP->2
    12. EXECUTE_IN_SHELL->
    13. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc /B C:\PPFS_Sicherung\Personal\UserTelemetryCache.otc /B
    14. SLEEP->2
    15. EXECUTE_IN_SHELL->
    16. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\Personal\UserTelemetryCache.otc /B
    17. SLEEP->2
    18. EXECUTE_IN_SHELL->
    19. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc
    20. SLEEP->2
    21. EXECUTE_IN_SHELL->
    22. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Personal\UserTelemetryCache.otc.session
    23. SLEEP->2
    24. EXECUTE_IN_SHELL->
    25. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc /B C:\PPFS_Sicherung\Common\UserTelemetryCache.otc /B
    26. SLEEP->2
    27. EXECUTE_IN_SHELL->
    28. EXECUTE_IN_SHELL->COPY /Y %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc.session /B C:\PPFS_Sicherung\Common\UserTelemetryCache.otc /B
    29. SLEEP->2
    30. EXECUTE_IN_SHELL->
    31. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc
    32. SLEEP->2
    33. EXECUTE_IN_SHELL->
    34. EXECUTE_IN_SHELL->DEL /Q /F %LOCALAPPDATA%\Microsoft\OneDrive\setup\logs\Common\UserTelemetryCache.otc.session
    35. SLEEP->30000
    36. EXECUTE_IN_SHELL->
    Alles anzeigen


    Ist der Vorgang abgeschlossen, wird die Kommandozeile wieder geschlossen:
    Spoiler anzeigen


    Quellcode

    1. CLOSE_SHELL->


    Dann werden noch einmal die im Ordner %LOCALAPPDATA% (und in dessen Unterordnern) vorhandenen Dateien mit der Maske UserTelemetryCache* gelistet, um überprüfen zu können, ob alles korrekt gelöscht wurde:
    Spoiler anzeigen


    Quellcode

    1. SET_HEADLINE->After Deleating#Nach Löschung
    2. SEARCH_FILES->UserTelemetryCache*
    3. ->%LOCALAPPDATA%


    Dann wird das OneDrive Setup erneut gestartet:
    Spoiler anzeigen


    Quellcode

    1. OPEN->%LOCALAPPDATA%\Microsoft\OneDrive\Update\OneDriveSetup.exe


    Zum Schluss werden die Daten über den Vorgang in den Ordner C:\PPF_Scan2 kopiert, der Ordner dann geöffnet und der Scanner geschlossen:
    Spoiler anzeigen


    Quellcode

    1. COPY_SCANFILES->C:\PPF_Scan2
    2. OPEN->C:\PPF_Scan2
    3. END->


    Hinweise zur Auswertung der erhaltenen Daten

    In der Datei ppFiles.txt findet man HInweise zu den vor und nach der Löschung vorhandenen Datenbankdateien, die vom Script bearbeitet werden.
    Die Datei Scripting.txt enthält unter anderem Hinweise über die korrekte Durchführung der angewendeten DOS Befehle.
    ________________________________________________________

    PPFScanner PPFS Android MisterXMail@web.de
    Mfg AHT

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

  • Infos über fehlende "Plug and Play" Treiber per WMI und VBS listen

    Wofür kann man das Script nutzen?

    Wer kennt das nicht - das Betriebssystem wurde neu installiert, aber es werden nicht alle Treiber gefunden und im Gerätemanager tauchen gelbe Warndreiecke auf. Die meisten Tools erkennen dann die fehlende Hardware ebenfalls nicht. Nach was soll man dann im Netz suchen? Wie kommt man an die Treiber? Das hier abgelegte Script bietet eine Auswegmöglichkeit in dieser Situation.

    Anweisungen für einen User
    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken - zum Beispiel nach C:\PPFS.
    • Die PPFScan.exe starten.
    • Lass auf Nachfrage des Programms die 64Bit Version des Scanners starten (der Scanner wird die 64Bit Version starten wollen, wenn du ein 64Bit Betriebssystem hast).
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (das was in der Box steht - ohne das Wort Quellcode und die Zeilennummern). Achte darauf, dass dir der gesamte Inhalt der Box angezeigt wird. Klicke dazu das kleine Icon mit den zwei Blättern rechts neben dem Wort Quelltext:

    Quellcode

    1. CREATE_FOLDER->C:\PPF_Scan2
    2. NO_FILE_GUI->1
    3. DELETE_FILE->C:\PPF_Scan2
    4. CREATE_FOLDER->C:\PPF_Scan2
    5. CREATE_FOLDER->C:\PPFS_T
    6. SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10,-34,-22
    7. SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
    8. SET_OPTIONS->-19,-20,-21,,-23,-24,-25,-26
    9. SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-35
    10. SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42
    11. REM->Scan in Scanlist-Ansicht starten!
    12. SCANLIST->
    13. CREATE_BATCH_FILE->C:\PPF_Scan2\WMIppDriversNF.txt
    14. CREATE_BATCH_FILE->C:\PPFS_T\DRIVERS.vbs
    15. WRITE_BATCH->On Error Resume Next
    16. WRITE_BATCH->Const ForAppending = 8
    17. WRITE_BATCH->outputFileName = "C:\PPF_Scan2\WMIppDriversNF.txt"
    18. WRITE_BATCH->Set fso = CreateObject("Scripting.FileSystemObject")
    19. WRITE_BATCH->Set outputFile = fso.OpenTextFile( outputFileName, ForAppending, True )
    20. WRITE_BATCH->strComputer = "."
    21. WRITE_BATCH->Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    22. WRITE_BATCH->LineBuffer = "****************************************"
    23. WRITE_BATCH->outputFile.WriteLine lineBuffer
    24. WRITE_BATCH->
    25. WRITE_BATCH->LineBuffer = "* Fehlende Treiber *"
    26. WRITE_BATCH->outputFile.WriteLine lineBuffer
    27. WRITE_BATCH->
    28. WRITE_BATCH->LineBuffer = "****************************************"
    29. WRITE_BATCH->outputFile.WriteLine lineBuffer
    30. WRITE_BATCH->
    31. WRITE_BATCH->
    32. WRITE_BATCH->
    33. WRITE_BATCH->
    34. WRITE_BATCH->Set colItems = objWMIService.ExecQuery("Select * from Win32_PnPEntity",,48)
    35. WRITE_BATCH->For Each objItem in colItems
    36. WRITE_BATCH-> If objItem.ConfigManagerErrorCode = 28 Then
    37. WRITE_BATCH-> lineBuffer = "Availability: " & objItem.Availability
    38. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    39. WRITE_BATCH-> lineBuffer = "Caption: " & objItem.Caption
    40. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    41. WRITE_BATCH-> lineBuffer = "ClassGuid: " & objItem.ClassGuid
    42. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    43. WRITE_BATCH-> lineBuffer = "ConfigManagerErrorCode: " & objItem.ConfigManagerErrorCode
    44. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    45. WRITE_BATCH-> lineBuffer = "ConfigManagerUserConfig: " & objItem.ConfigManagerUserConfig
    46. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    47. WRITE_BATCH-> lineBuffer = "CreationClassName: " & objItem.CreationClassName
    48. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    49. WRITE_BATCH-> lineBuffer = "Description: " & objItem.Description
    50. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    51. WRITE_BATCH-> lineBuffer = "DeviceID: " & objItem.DeviceID
    52. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    53. WRITE_BATCH-> lineBuffer = "ErrorCleared: " & objItem.ErrorCleared
    54. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    55. WRITE_BATCH-> lineBuffer = "ErrorDescription: " & objItem.ErrorDescription
    56. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    57. WRITE_BATCH-> lineBuffer = "InstallDate: " & objItem.InstallDate
    58. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    59. WRITE_BATCH-> lineBuffer = "LastErrorCode: " & objItem.LastErrorCode
    60. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    61. WRITE_BATCH-> lineBuffer = "Manufacturer: " & objItem.Manufacturer
    62. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    63. WRITE_BATCH-> lineBuffer = "Name: " & objItem.Name
    64. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    65. WRITE_BATCH-> lineBuffer = "PNPDeviceID: " & objItem.PNPDeviceID
    66. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    67. WRITE_BATCH-> lineBuffer = "PowerManagementCapabilities: " & objItem.PowerManagementCapabilities
    68. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    69. WRITE_BATCH-> lineBuffer = "PowerManagementSupported: " & objItem.PowerManagementSupported
    70. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    71. WRITE_BATCH-> lineBuffer = "Service: " & objItem.Service
    72. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    73. WRITE_BATCH-> lineBuffer = "Status: " & objItem.Status
    74. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    75. WRITE_BATCH-> lineBuffer = "StatusInfo: " & objItem.StatusInfo
    76. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    77. WRITE_BATCH-> lineBuffer = "SystemCreationClassName: " & objItem.SystemCreationClassName
    78. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    79. WRITE_BATCH-> lineBuffer = "SystemName: " & objItem.SystemName
    80. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    81. WRITE_BATCH->
    82. WRITE_BATCH-> Linename = "HardwareID: "
    83. WRITE_BATCH-> For Each StrHardwareID In objItem.HardwareID
    84. WRITE_BATCH-> lineBuffer = Linename & StrHardwareID
    85. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    86. WRITE_BATCH-> Linename = " "
    87. WRITE_BATCH-> Next
    88. WRITE_BATCH-> LineBuffer = ""
    89. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    90. WRITE_BATCH-> outputFile.WriteLine lineBuffer
    91. WRITE_BATCH-> End If