Perfekt!
TDSS File System steht zur Zeit auf Skip - stelle das auf Delete um. Klicke dann auf Continue.
Gib Rückmeldung, was dann passiert. Hast du irgendwelche Fragen oder Probleme, sofort melden!
Perfekt!
TDSS File System steht zur Zeit auf Skip - stelle das auf Delete um. Klicke dann auf Continue.
Gib Rückmeldung, was dann passiert. Hast du irgendwelche Fragen oder Probleme, sofort melden!
Meldung "alle trets neutralisiert"
soll ich den scan nochmal laufen lassen?
Ja. Noch einmal laufen lassen.
Wird noch was gefunden?
Meldung: no threats found
Sehr schön. Rechner einmal neu starten.
Danach das noch einmal tun:
TIME->
CREATE_FOLDER->C:\PPFS_T
CREATE_FOLDER->C:\PPF_Scan1
SET_OPTIONS->112
SET_ENV_VAR->PPF_PlaySound>1
REGISTRY_READ->HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
->Enabled
SET_ENV_VAR_FROM_REGISTRY->PPFS_ScriptingHost
IF->%PPFS_ScriptingHost%$=0
SET_ENV_VAR->PPF_PlaySound>0
END_IF->
REGISTRY_READ->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
->Enabled
SET_ENV_VAR_FROM_REGISTRY->PPFS_ScriptingHost
IF->%PPFS_ScriptingHost%$=0
SET_ENV_VAR->PPF_PlaySound>0
END_IF->
CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan wants to load files from the internet! "
WRITE_BATCH->EnglishText = EnglishText + "Pleace dont turn off internet connection! "
WRITE_BATCH->GermanText = "Information vom PPFScanner! "
WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun Dateien aus dem Internet herunterladen! "
WRITE_BATCH->GermanText = GermanText + "Bitte unterbrechen sie die Internetverbindung nicht, bis der Vorgang abgeschlossen ist! "
WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
WRITE_BATCH->VoiceName = ucase(VoiceName)
WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak GermanText
WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak GermanText
WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak EnglishText
WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak EnglishText
WRITE_BATCH->End If
IF->%PPF_PlaySound%=1
START_SHELL->%SystemRoot%\system32\cmd.exe
EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
CLOSE_SHELL->
SLEEP->5000
END_IF->
DOWNLOAD->http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.zip>C:\PPFS_T\TDSSK.ZIP
UNZIP->C:\PPFS_T\TDSSK.ZIP>C:\PPFS_T
CREATE_BATCH_FILE->C:\PPFS_T\TDSSSTART.BAT
WRITE_BATCH->C:\PPFS_T\TDSSKILLER.exe -l C:\PPF_Scan1\TDSSKILL.TXT -accepteula -tdlfs -sigcheck -qsus -silent
OPEN->C:\PPFS_T\TDSSSTART.BAT
SLEEP->5000
WAIT_FOR_TERMINATE->TDSSKILLER.exe
ON_64BIT->
DOWNLOAD->http://files.trendmicro.com/products/rootkitbuster/x64/RootkitBusterV5.0-1203x64.exe>C:\PPFS_T\RootkitBuster.exe
END_ON->
ON_32BIT->
DOWNLOAD->http://files.trendmicro.com/products/rootkitbuster/x86/RootkitBusterV5.0-1203.exe>C:\PPFS_T\RootkitBuster.exe
END_ON->
CREATE_BATCH_FILE->C:\PPFS_T\RBust.bat
WRITE_BATCH->C:\PPFS_T\RootkitBuster.exe /s /a
OPEN->C:\PPFS_T\RBust.bat
SLEEP->15000
TIME->
SET_ENV_VAR->PPF_PlaySound>1
REGISTRY_READ->HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
->Enabled
SET_ENV_VAR_FROM_REGISTRY->PPFS_ScriptingHost
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
->CurrentVersion
SET_ENV_VAR_FROM_REGISTRY->PPFS_WINVER
REM->Welcher Virenscanner läuft?
REM->Avast?
PROCESS_ID_TO_ENV_VAR->AvastSvc.exe>PPFS_AvastExists
REM->MSE?
PROCESS_ID_TO_ENV_VAR->MsMpeng.exe>PPFS_MSEExists
IF->%PPFS_MSEExists%>0
IF->%PPFS_WINVER%>=6.2
SET_ENV_VAR->PPFS_WindowsDefender>1
SET_ENV_VAR->PPFS_MSEExists>0
END_IF->
END_IF->
IF->%PPFS_ScriptingHost%$=0
SET_ENV_VAR->PPF_PlaySound>0
END_IF->
REGISTRY_READ->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
->Enabled
SET_ENV_VAR_FROM_REGISTRY->PPFS_ScriptingHost
IF->%PPFS_ScriptingHost%$=0
SET_ENV_VAR->PPF_PlaySound>0
END_IF->
CREATE_FOLDER->C:\PPFS_T
CREATE_BATCH_FILE->C:\PPFS_T\Speak.vbs
WRITE_BATCH->Dim EnglishText, GermanText, VoiceName
WRITE_BATCH->EnglishText = "Information from PPF-Scan. "
WRITE_BATCH->EnglishText = EnglishText + "PPF-Scan is executing an extended scan. This can last for over two hours!"
WRITE_BATCH->GermanText = "Information vom PPFScanner! "
WRITE_BATCH->GermanText = GermanText + "Der PPFScanner wird nun einen erweiterten Scan ausführen. "
WRITE_BATCH->GermanText = GermanText + "Der gesammte Vorgang kann unter Umständen länger als zwei Stunden dauern! "
WRITE_BATCH->Set SAPI = CreateObject("SAPI.SpVoice")
WRITE_BATCH->Set SAPI.voice = SAPI.getvoices.item(0)
WRITE_BATCH->VoiceName = SAPI.GetVoices.item(0).GetDescription
WRITE_BATCH->VoiceName = ucase(VoiceName)
WRITE_BATCH->IF instr(1, VoiceName, "GERMAN", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak GermanText
WRITE_BATCH->ElseIF instr(1, VoiceName, "DEUTSCH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak GermanText
WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak EnglishText
WRITE_BATCH->ElseIF instr(1, VoiceName, "ENGLISCH", 0) > 0 Then
WRITE_BATCH-> SAPI.Speak EnglishText
WRITE_BATCH->End If
IF->%PPF_PlaySound%=1
START_SHELL->%SystemRoot%\system32\cmd.exe
EXECUTE_IN_SHELL->WSCRIPT.EXE C:\PPFS_T\Speak.vbs //B
CLOSE_SHELL->
END_IF->
REM->Ordner für Scanfiles erzeugen!
CREATE_FOLDER->C:\PPF_Scan1
REM->Nur Warnungen listen!
SET_OPTIONS->204
REM->Scanner beenden, wenn Script beendet wird!
SET_OPTIONS->112
REM->Symbolischen Verknüpfungen nicht folgen!
SET_OPTIONS->218
REM->Kommandozeilen auslesen!
SET_OPTIONS->214
REM->Alle Dateien listen!
SET_OPTIONS->-205
REM->Registryschlüssel jeden Datums listen!
SET_OPTIONS->-206
REM->Auch nicht aktive Dienste listen!
SET_OPTIONS->-207
REM->Resourceninfos listen!
SET_OPTIONS->217
REM->Keine von Microsoft signierten Sachen listen!
SET_OPTIONS->208,209,210,212,213,215
REM->Firewall Regeln ohne Datei ausblenden!
SET_OPTIONS->211
REM->Alle Scans aktivieren!
SET_OPTIONS->34,102
SET_OPTIONS->2,3,4,5,6,7,8,9,10
SET_OPTIONS->11,12,13,14,15,16,17,18
SET_OPTIONS->19,20,21,22,-23,24,25,26
SET_OPTIONS->27,28,29,30,31,32,33,35
SET_OPTIONS->36,37,38,39,40,41,42,43
REM->Scans in Scanlistansicht ausführen!
SCANLIST->
LOAD_SCRIPT->%ProgDir%BrowserExtensions.sca
SET_HEADLINE->* Enhanced Autostart Keys *#* Erweiterte Autostartschlüssel *
REM->Autostartschlüssel unter Policies\Explorer\Run listen!
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
REGISTRY_ENUM->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
SET_HEADLINE->* StartupApproved Key *#* StartupApproved Schlüssel *
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved
->
REGISTRY_SEARCH->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved
->
SET_HEADLINE->HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts#HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts
REGISTRY_SEARCH_STRING->HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts
->
SET_HEADLINE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts#HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts
REGISTRY_SEARCH_STRING->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts
->
SET_HEADLINE->HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts#HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
REGISTRY_SEARCH_STRING->HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
->
SET_HEADLINE->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts#HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts
REGISTRY_SEARCH_STRING->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts
->
SET_HEADLINE->* Subsystem *#* Subsystem *
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
SET_HEADLINE->* Known DLLs *#* Bekannte DLLs *
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
SET_HEADLINE->* Applications started with cmd.exe *#* Zusammen mit CMD.EXE gestartete Anwendungen *
REM->Zusammen mit CMD.EXE gestartete Anwendungen listen!
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
->Autorun
REGISTRY_READ->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor
->Autorun
ON_64BIT->
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Command Processor
->Autorun
REGISTRY_READ->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Command Processor
->Autorun
END_ON->
REM->Kommandozeileninterpreter auslesen!
SET_HEADLINE->* Commandline Interpreter *#* Kommandozeileninterpreter *
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
->ComSpec
SET_HEADLINE->* Shell in SafeBoot Mode *#* Shell im abgesicherten Modus *
REM->Shell im abgesicherten Modus!
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
->AlternateShell
SET_HEADLINE->* IE add-ons HKLM and HKCU *#* IE Add-Ons HKLM und HKCU *
REGISTRY_ENUM_DEPENDANT_KEY->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\Inprocserver32
->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%
->
ON_64BIT->
SET_HEADLINE->* Global 32bit IE add-ons *#* Globale 32Bit IE Add-Ons *
REGISTRY_ENUM_DEPENDANT_KEY->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\Inprocserver32
->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%
->
END_ON->
REGISTRY_ENUM_DEPENDANT_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\Inprocserver32
->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\Inprocserver32
->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Settings
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%
->
END_ON->
SET_HEADLINE->* IE extensions HKCU and HKLM *#* IE Erweiterungen HKCU und HKLM *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Approved Extensions
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Approved Extensions
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Classes\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Approved Extensions
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
END_ON->
REGISTRY_ENUM_DEPENDANT_VALUE_RETURN->HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Extensions
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE_RETURN->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_VALUE_RETURN->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Classes\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE_RETURN->HKEY_LOCAL_MACHINE\Microsoft\Internet Explorer\Extensions
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
END_ON->
SET_HEADLINE->* IE Explorer Bars HKCU and HKLM *#* IE Explorer Bars HKCU und HKLM *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Classes\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Explorer Bars
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
END_ON->
SET_HEADLINE->* IE Toolbars HKCU and HKLM *#* IE Toolbars HKCU und HKLM *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Classes\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
END_ON->
SET_HEADLINE->* URL-Searchhooks HKCU and HKLM *#* URL-Searchhooks HKCU und HKLM *
REM->URL-Searchhooks unter HKLM listen!
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REM->URL-Searchhooks unter HKCU listen!
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\URLSearchHooks
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\URLSearchHooks
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\%DEPENDANT%\InprocServer32
->
END_ON->
SET_HEADLINE->* HKLM IE Searchscopes *#* HKLM IE Suchanbieter *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
END_ON->
SET_HEADLINE->* HKLM IE DEfault Searchscope *#* HKLM IE Standardsuchanbieter *
REGISTRY_ENUM_DEPENDANT_KEYVALUE_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
->DefaultScope
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEYVALUE_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer
->DefaultScope
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
END_ON->
SET_HEADLINE->* HKCU IE Searchscopes *#* HKCU IE Suchanbieter *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
END_ON->
SET_HEADLINE->* HKCU IE DEfault Searchscope *#* HKCU IE Standardsuchanbieter *
REGISTRY_ENUM_DEPENDANT_KEYVALUE_S->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
->DefaultScope
->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEYVALUE_S->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer
->DefaultScope
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\%DEPENDANT%
->URL
END_ON->
SET_HEADLINE->NameServer and Networkcards#NameServer und Netzwerkkarten
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards
->
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
->NameServer
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces
->NameServer
SET_HEADLINE-> Installed ActiveX Controls # Installierte ActiveX Controls
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\%DEPENDANT%\DownloadInformation
->CODEBASE
SET_HEADLINE-> Installed 32Bit ActiveX Controls # Installierte 32Bit ActiveX Controls
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\%DEPENDANT%\DownloadInformation
->CODEBASE
SET_HEADLINE-> Used ActiveX Controls # ActiveX Controls in Nutzung
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage
->
SET_HEADLINE-> Used 32Bit ActiveX Controls # 32Bit ActiveX Controls in Nutzung
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ModuleUsage
->
REM->Proxyeinstellungen des IEs listen!
SET_HEADLINE->* Proxysetting *#* Proxyeinstellungen *
REGISTRY_SEARCH->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
->Proxy
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
->Proxy
ON_64BIT->
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings
->Proxy
END_ON->
REGISTRY_READ->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
->AutoConfigURL
REGISTRY_READ->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
->AutoConfigURL
ON_64BIT->
REGISTRY_READ->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings
->AutoConfigURL
END_ON->
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies
IF->%PPFS_WINVER%>=6.3
SET_HEADLINE->* Edge Settings *#* Einstellungen von Eddge *
REGISTRY_READ->HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Main
->HomeButtonPage
SET_HEADLINE->Edge Extensions#Edge Erweiterungen
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Extensions
->HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\usage\dscm_baction\%DEPENDANT%\default_title
->value
SET_REGISTRY_FOLDER_SEARCH_STRING->*
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Extensions
->HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ExtensionsStore\datastore\Config\%DEPENDANT%
->Path
SET_HEADLINE->Edge Extension Files#Eweiterungsdateien von Edge
SET_OPTIONS->-205
REGISTRY_TO_FILELIST->DIVIDED
SET_OPTIONS->205
SET_REGISTRY_FOLDER_SEARCH_STRING->
END_IF->
REM->Browser Policies
SET_HEADLINE->Browser Policies#Browser Policies
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google
->
SET_HEADLINE->Browser Policies#Browser Policies
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer
->
SET_HEADLINE->Browser Policies#Browser Policies
REGISTRY_SEARCH->HKEY_CURRENT_USER\SOFTWARE\Policies\Google
->
SET_HEADLINE->Browser Policies#Browser Policies
REGISTRY_SEARCH->HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer
->
REM->FireFox Erweiterungen und Plugins in der Registry listen
SET_HEADLINE->HKCU FireFox Extensions in Registry#HKCU FireFox Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
->
SET_HEADLINE->HKLM FireFox Extensions in Registry#HKLM FireFox Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions
->
ON_64BIT->
SET_HEADLINE->32Bit HKLM FireFox Extensions in Registry#32Bit HKLM FireFox Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
->
END_ON->
SET_HEADLINE->HKCU Mozilla Plugins in Registry#HKCU Mozilla Plugins in der Registry
REGISTRY_SEARCH->HKEY_CURRENT_USER\Software\MozillaPlugins
->
SET_HEADLINE->HKCU Mozilla Plugins in Registry#HKCU Mozilla Plugins in der Registry
REGISTRY_TO_FILELIST->
SET_HEADLINE->HKLM Mozilla Plugins in Registry#HKLM Mozilla Plugins in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\Software\MozillaPlugins
->
SET_HEADLINE->HKLM Mozilla Plugins in Registry#HKLM Mozilla Plugins in der Registry
REGISTRY_TO_FILELIST->
ON_64BIT->
SET_HEADLINE->32Bit HKLM Mozilla Plugins in Registry#32Bit HKLM Mozilla Plugins in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins
->
SET_HEADLINE->32Bit HKLM Mozilla Plugins in Registry#32Bit HKLM Mozilla Plugins in der Registry
REGISTRY_TO_FILELIST->
END_ON->
REM->CHROME Erweiterungen in der Registry listen
SET_HEADLINE->HKCU CHROME Extensions in Registry#HKCU CHROME Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\Extensions
->
SET_HEADLINE->HKLM CHROME Extensions in Registry#HKLM CHROME Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
->
ON_64BIT->
SET_HEADLINE->32Bit HKLM CHROME Extensions in Registry#32Bit HKLM CHROME Erweiterungen in der Registry
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
->
END_ON->
REM->FireFox Einstellungsdateien listen
SET_HEADLINE->FireFox USER.JS Files#FireFox USER.JS Dateien
LIST_CONTENT_OF_FILES->user.js
->%SYSTEMDRIVE%\
REM->Telephony Providers listen
SET_HEADLINE->* Telephony Providers *#* DSL-Telephonie*
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
ON_64BIT->
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Telephony\Providers
END_ON->
REM->Durch SharedTaskScheduler geladene Module listen!
SET_HEADLINE->* Modules loaded through SharedTaskScheduler *#* Durch SharedTaskScheduler geladene Module *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REM->MD5 Test der Systemverzeichnisse
SET_HEADLINE->* MD5-Test of Systemfolder *#* MD5-Test der Systemordner *
MD5->%SYSTEMROOT%\System32\*.*
MD5->%SYSTEMROOT%\System32\Drivers\*.*
ON_64BIT->
MD5->%SYSTEMROOT%\SysWOW64\*.*
MD5->%SYSTEMROOT%\SysWOW64\Drivers\*.*
END_ON->
MD5->%SYSTEMROOT%\Explorer.exe
REM->Eventlog von System, Anwendungen, Virenscannern und WindowsDefender auslesen
SET_HEADLINE->System events#Wichtige Systemereignisse
READ_EVENTS->System,,100,3,1,1
SET_HEADLINE->Application events#Wichtige Meldungen von Anwendungen
READ_EVENTS->Application,,100,3,1,
IF->%PPFS_MSEExists%>0
SET_HEADLINE->Events of Microsoft Security Esentials#Wichtige Meldungen von Microsoft Security Esentials
READ_EVENTS->System,Microsoft Antimalware,50,3,1,1
END_IF->
SET_HEADLINE->Events of the WindowsDefender#Wichtige Meldungen des WindowsDefenders
READ_EVENTS->System,WinDefend,50,3,1,1
SET_HEADLINE->AntiVir Messages#Meldungen von AntiVir
READ_EVENTS->Application,Avira AntiVir,500,3,1,1
READ_EVENTS->Application,Avira Antivirus,500,3,1,1
SET_HEADLINE->Avast Messages#Meldungen von Avast
READ_EVENTS->Antivirus,avast!,500,3,1,1
REM->ADS Listen
EXCLUDE_SEARCH_ADS->
EXCLUDE_SEARCH_ADS->:Zone.Identifier>26
EXCLUDE_SEARCH_ADS->:Zone.Identifier>29
EXCLUDE_SEARCH_ADS->*>0
SET_HEADLINE->* Alternate Data Streams *#* Alternate Data Streams *
SEARCH_ADS->%SYSTEMDRIVE%\
REM->Pfade zu bekannten Anwendungen auslesen!
SET_HEADLINE->* Known Applications *#* Bekannte Anwendungen *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\%DEPENDANT%\shell\open\command
->
REM->Dateiverknüpfungen auslesen!
SET_HEADLINE->* File Extensions *#* Dateiverknüpfungen *
REM->.bat
REGISTRY_READ->HKEY_CLASSES_ROOT\batfile\shell\open\command
->
REM->.cmd
REGISTRY_READ->HKEY_CLASSES_ROOT\cmdfile\shell\open\command
->
REM->.com
REGISTRY_READ->HKEY_CLASSES_ROOT\comfile\shell\open\command
->
REM->.exe
REGISTRY_READ->HKEY_CLASSES_ROOT\exefile\shell\open\command
->
REM->.pif
REGISTRY_READ->HKEY_CLASSES_ROOT\piffile\shell\open\command
->
REM->.reg
REGISTRY_READ->HKEY_CLASSES_ROOT\regfile\shell\open\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\regfile\shell\Merge\command
->
REM->.scr
REGISTRY_READ->HKEY_CLASSES_ROOT\scrfile\shell\open\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\scrfile\shell\config\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\scrfile\shell\install\command
->
REM->.txt
REGISTRY_READ->HKEY_CLASSES_ROOT\txtfile\shell\edit\command
->
REM->unbekannt
REGISTRY_READ->HKEY_CLASSES_ROOT\Unknown\shell\openas\command
->
REM->Directory
REGISTRY_READ->HKEY_CLASSES_ROOT\Directory\shell\find\command
->
REM->Ordner
REGISTRY_READ->HKEY_CLASSES_ROOT\Folder\shell\find\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\Folder\shell\explore\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\Folder\shell\open\command
->
REM->Laufwerk
REGISTRY_READ->HKEY_CLASSES_ROOT\Drive\shell\find\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\Drive\shell\explore\command
->
REGISTRY_READ->HKEY_CLASSES_ROOT\Drive\shell\open\command
->
REM->EXE
REGISTRY_SEARCH->HKEY_CLASSES_ROOT\.exe
->
REGISTRY_SEARCH->HKEY_CLASSES_ROOT\exefile
->
REM->PPFScanner Threads auslesen!
SET_HEADLINE->* Threads of PPFScanner *#* Threads des PPFScanners *
THREADS_BY_FILENAME->%PROGNAME%
REM->Browser Threads auslesen!
SET_HEADLINE->* Threads of internetbrowsers *#* Threads der Internetbrowsers *
THREADS_BY_NAME->chrome.exe
THREADS_BY_NAME->firefox.exe
THREADS_BY_NAME->opera.exe
THREADS_BY_NAME->iexplore.exe
REM->Versteckte Module in Internetbrowsern suchen
SET_HEADLINE->* Hidden modules in internetbrowsers *#* Versteckte Module in Internetbrowsern *
HIDDEN_MODULES->chrome.exe
HIDDEN_MODULES->firefox.exe
HIDDEN_MODULES->opera.exe
REM->Ordner mit eventueller Umgebungsvariablenumwandlung suchen!
SET_HEADLINE->* Suspicious Folders *#* Verdächtige Ordner *
SEARCH_FOLDERS->%*%
->
SET_HEADLINE->* Desktop Walpaper *#* Desktop Walpaper *
REGISTRY_READ->HKEY_CURRENT_USER\Control Panel\Desktop
->WallPaper
SET_HEADLINE->* SVCHOST Extensions *#* SVCHOST Erweiterungen *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%DEPENDANT%\Parameters
->extension
SET_HEADLINE->* SVCHOST Extensions *#* SVCHOST Erweiterungen *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* NetworkProvider *#* NetworkProvider *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%DEPENDANT%\NetworkProvider
->ProviderPath
SET_HEADLINE->* NetworkProvider *#* NetworkProvider *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* Printer Monitors *#* Drucker Monitore *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\%DEPENDANT%
->Driver
SET_HEADLINE->* Printer Monitors *#* Drucker Monitore *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* BootExecute Value *#* BootExecute Wert *
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
->BootExecuteSCRNSAVE.EXE
SET_HEADLINE->* Terminal Server Startups *#* Terminal Server Autostarts *
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd
->StartupPrograms
SET_HEADLINE->* Screensaver *#* Screensaver *
REGISTRY_READ->HKEY_CURRENT_USER\Control Panel\Desktop
->SCRNSAVE.EXE
SET_CURRENT_DIRECTORY->%SystemRoot%\System32
SET_HEADLINE->VmApplet Registryvalue#VmApplet Registrywert
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
->VmApplet
ON_64BIT->
SET_HEADLINE->32Bit VmApplet Registryvalue#32Bit VmApplet Registrywert
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
->VmApplet
END_ON->
SET_HEADLINE->SetupExecute Registryvalue#SetupExecute Registrywert
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
->SetupExecute
SET_HEADLINE->Windows NT Access Provider#Windows NT Access Provider
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider
->ProviderPath
SET_HEADLINE->RDP-Tcp#RDP-Tcp
REGISTRY_READ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
->InitialProgram
SET_HEADLINE->IconServiceLib Registryvalue#IconServiceLib Registrywert
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
->IconServiceLib
ON_64BIT->
SET_HEADLINE->32Bit IconServiceLib Registryvalue#32Bit IconServiceLib Registrywert
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
->IconServiceLib
END_ON->
SET_HEADLINE->GP-Extensions#GP-Erweiterungen
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\%DEPENDANT%
->DllName
SET_HEADLINE->GP-Extensions#GP-Erweiterungen
REGISTRY_TO_FILELIST->
ON_64BIT->
SET_HEADLINE->32Bit GP-Extensions#32Bit GP-Erweiterungen
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\%DEPENDANT%
->DllName
SET_HEADLINE->32Bit GP-Extensions#32Bit GP-Erweiterungen
REGISTRY_TO_FILELIST->
END_ON->
SET_HEADLINE->ShellServiceObjects AutoStarts#ShellServiceObjects AutoStarteinträge
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\%DEPENDANT%
->AutoStart
SET_HEADLINE->ShellServiceObjects AutoStarts#ShellServiceObjects AutoStarteinträge
REGISTRY_TO_FILELIST->
ON_64BIT->
SET_HEADLINE->32Bit ShellServiceObjects AutoStarts#32Bit ShellServiceObjects AutoStarteinträge
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\%DEPENDANT%
->AutoStart
SET_HEADLINE->32Bit ShellServiceObjects AutoStarts#32Bit ShellServiceObjects AutoStarteinträge
REGISTRY_TO_FILELIST->
END_ON->
SET_HEADLINE->Debugger#Debugger
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
->Debugger
ON_64BIT->
SET_HEADLINE->32Bit Debugger#32Bit Debugger
REGISTRY_READ->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\AeDebug
->Debugger
END_ON->
SET_HEADLINE->* ShellExecuteHooks *#* ShellExecuteHooks *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
SET_HEADLINE->* ShellExecuteHooks *#* ShellExecuteHooks *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* Global Shell Extensions *#* Globale Shellerweiterungen *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
SET_HEADLINE->* Global Shell Extensions *#*Globale Shellerweiterungen *
REGISTRY_TO_FILELIST->
SET_HEADLINE->*Local Shell Extensions *#*Lokale Shellerweiterungen *
REGISTRY_ENUM_DEPENDANT_VALUE->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
SET_HEADLINE->*Local Shell Extensions *#*Lokale Shellerweiterungen *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* Overlay Handlers *#* Overlay Handler *
REGISTRY_ENUM_DEPENDANT_KEYVALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
->
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
SET_HEADLINE->* Overlay Handlers *#* Overlay Handler *
REGISTRY_TO_FILELIST->
SET_HEADLINE->* Uninstall List *#* Uninstall Liste *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
->HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%DEPENDANT%
->DisplayName
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\%DEPENDANT%
->DisplayName
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
->HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\%DEPENDANT%
->DisplayName
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\%DEPENDANT%
->DisplayName
END_ON->
SET_HEADLINE->DoubleAgent Scan#DoubleAgent Scan
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%DEPENDANT%
->VerifierDlls
SET_HEADLINE->DoubleAgent Scan#DoubleAgent Scan#DoubleAgent Scan
REGISTRY_TO_FILELIST->
ON_64BIT->
SET_HEADLINE->32Bit DoubleAgent Scan#32Bit DoubleAgent Scan
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\%DEPENDANT%
->VerifierDlls
SET_HEADLINE->DoubleAgent Scan#DoubleAgent Scan#DoubleAgent Scan
REGISTRY_TO_FILELIST->
END_ON->
SET_HEADLINE->* Safe Boot *#* Im abgesicherten Modus zu ladende Treiber *
REGISTRY_SEARCH->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
->
SET_OPTIONS->-221
SET_HEADLINE->* LocalServer32 *#* LocalServer32 *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\CLSID
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\LocalServer32
->
SET_HEADLINE->*Unsigned Localserver32 Objects*#* Unsignierte Localserver32 Objekte *
REGISTRY_TO_FILELIST->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\CLSID
->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\CLSID\%DEPENDANT%\LocalServer32
->
REGISTRY_TO_FILELIST->
END_ON->
CHECK_PRIVILEGE->SeDebugPrivilege
CHECK_PRIVILEGE->SeBackupPrivilege
CHECK_PRIVILEGE->SeRestorePrivilege
SET_OPTIONS->-221
SET_HEADLINE->* COM Objects *#* COM Objekte *
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\CLSID
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
SET_HEADLINE->*Unsigned COM Objects *#* Unsignierte COM Objekte *
REGISTRY_TO_FILELIST->
ON_64BIT->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\CLSID
->HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_TO_FILELIST->
REGISTRY_ENUM_DEPENDANT_KEY_S->HKEY_CLASSES_ROOT\CLSID
->HKEY_CURRENT_USER\Software\Wow6432Node\Classes\CLSID\%DEPENDANT%\InprocServer32
->
REGISTRY_TO_FILELIST->
END_ON->
SET_OPTIONS->221
SET_HEADLINE->* Executables in Userfolders *#* Ausführbare Dateien in Userordnern *
CREATE_BATCH_FILE->%PROGDIR%1.Sca
WRITE_BATCH->LIST_DEPENDANT_FILES->*.exe
WRITE_BATCH->->%Reg_AllUserProfiles%
WRITE_BATCH->->
WRITE_BATCH->LIST_DEPENDANT_FILES->*.com
WRITE_BATCH->->%Reg_AllUserProfiles%
WRITE_BATCH->->
WRITE_BATCH->LIST_DEPENDANT_FILES->*.bat
WRITE_BATCH->->%Reg_AllUserProfiles%
WRITE_BATCH->->
WRITE_BATCH->LIST_DEPENDANT_FILES->*.vbs
WRITE_BATCH->->%Reg_AllUserProfiles%
WRITE_BATCH->->
WRITE_BATCH->LIST_DEPENDANT_FILES->*.vba
WRITE_BATCH->->%Reg_AllUserProfiles%
WRITE_BATCH->->
LOAD_SCRIPT->%PROGDIR%1.Sca
FILE_EXISTS_TO_ENV_VAR->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe>PPFS_PSEXISTS
IF->%PPFS_PSEXISTS%=1
CREATE_FOLDER->C:\PPFS_T
CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
WRITE_BATCH->"********************************************" > C:\PPF_Scan1\CodeIntegrity.txt
WRITE_BATCH->"** Codeintegrity **" >> C:\PPF_Scan1\CodeIntegrity.txt
WRITE_BATCH->"********************************************" >> C:\PPF_Scan1\CodeIntegrity.txt
WRITE_BATCH->Get-WinEvent -logname "Microsoft-Windows-CodeIntegrity/Operational" -MaxEvents 100 | ?{$_.Level -eq 2 -or $_.Level -eq 3} | format-list >> C:\PPF_Scan1\CodeIntegrity.txt
IF->%PPFS_WindowsDefender%>0
IF->%PPFS_WindowsDefender%>0
WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '* Windows Defender Detections *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Get-MpThreatDetection | Out-File -FilePath 'C:\PPF_Scan1\WDEf.txt' -Encoding "ASCII" -Append
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value ''
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '___________________________'
WRITE_BATCH->Get-MpThreat | ForEach { Get-MpThreatCatalog -ThreatID $_.ThreatID } | Out-File -FilePath 'C:\PPF_Scan1\WDEf.txt' -Encoding "ASCII" -Append
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value ''
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '************************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '* Windows Defender Offlinscan Detections *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\WDEf.txt' -Value '************************************************'
WRITE_BATCH->$Path = $env:SystemRoot + '\Microsoft Antimalware\Support' + '\MPLOG*.log'
WRITE_BATCH->Get-Content -Path $Path | Out-File -FilePath 'C:\PPF_Scan1\WDEf.txt' -Encoding "ASCII" -Append
END_IF->
END_IF->
END_IF->
IF->%PPFS_PSEXISTS%=1
IF->%PPFS_WINVER%>=6.2
WRITE_BATCH->Set-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '**********************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '* Global Apps *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '**********************************************'
WRITE_BATCH->GET-AppXPackage -AllUsers | format-list | Out-File -FilePath 'C:\PPF_Scan1\Apps.txt' -Encoding "ASCII" -Append
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '**********************************************'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '* Apps Current User *'
WRITE_BATCH->Add-Content -Path 'C:\PPF_Scan1\Apps.txt' -Value '**********************************************'
WRITE_BATCH->GET-AppXPackage | format-list | Out-File -FilePath 'C:\PPF_Scan1\Apps.txt' -Encoding "ASCII" -Append
SET_HEADLINE->Installed Apps#Installierte Apps
REGISTRY_ENUM_SPECIAL_KEY->HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\PackageRepository\Packages
->
->Path
SET_HEADLINE->Files of installed Apps#Dateien von installierten Apps
SET_REGISTRY_FOLDER_SEARCH_STRING->*
SET_OPTIONS->-205,-213
REGISTRY_TO_FILELIST->DIVIDED
SET_OPTIONS->205,213
SET_REGISTRY_FOLDER_SEARCH_STRING->
END_IF->
END_IF->
IF->%PPFS_PSEXISTS%=1
START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file C:\PPFS_T\T1.ps1
END_IF->
SET_OPTIONS->-221
SET_HEADLINE->* ZAccess Search *#* ZAccess Suche *
SEARCH_FILES->*.@
->%SYSTEMROOT%
SEARCH_FILES->@*
->%SYSTEMROOT%
SEARCH_FOLDERS->U
->%SYSTEMROOT%
SEARCH_FILES->*.@
->%USERPROFILE%
SEARCH_FILES->@*
->%USERPROFILE%
SEARCH_FOLDERS->U
->%USERPROFILE%
SEARCH_FILES->n
->%SystemDrive%\
SET_OPTIONS->221
SET_HEADLINE->LNK and URL files#Verknüpfungen
EXCLUDE_SEARCH_FOLDER->Recent
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%
SEARCH_LNK_FILES->*.lnk
->%SYSTEMDRIVE%\
SEARCH_LNK_FILES->*.url
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\winsxs
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\assembly
SET_HEADLINE->Unsigned known executables#Unsignierte bekannte EXE-Dateien
SEARCH_UNSIGNED_DOUBLES->*.exe
->%SYSTEMROOT%
->%SYSTEMDRIVE%\
SEARCH_UNSIGNED_DOUBLES->*.exe
->%SYSTEMROOT%\System32
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%
SET_HEADLINE->Unsigned known modules#Unsignierte bekannte DLLs
SEARCH_UNSIGNED_DOUBLES->*.dll
->%SYSTEMROOT%
->%SYSTEMDRIVE%\
SEARCH_UNSIGNED_DOUBLES->*.dll
->%SYSTEMROOT%\System32
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->
COPY_FILES_IN_SUBFOLDERS->%APPDATA%\Mozilla\Firefox\Profiles\%DEPENDANT%\prefs.js>C:\PPF_Scan1\Firefox_prefs_%DEPENDANT%.txt
COPY_FILES_IN_SUBFOLDERS->%APPDATA%\Opera\%DEPENDANT%\operaprefs.ini>C:\PPF_Scan1\%DEPENDANT%_prefs.txt
COPY_FILES_IN_SUBFOLDERS->%APPDATA%\Opera Software\%DEPENDANT%\Preferences>C:\PPF_Scan1\%DEPENDANT%_prefs.txt
CREATE_BATCH_FILE->%PROGDIR%OPERA.Sca
WRITE_BATCH->COPY_FILES_IN_SUBFOLDERS->%Reg_Local_AppData%\Google\Chrome\User Data\%DEPENDANT%\Preferences>C:\PPF_Scan1\Google_Preferences_%DEPENDANT%.txt
WRITE_BATCH->COPY_FILES_IN_SUBFOLDERS->%Reg_Local_AppData%\Google\Chrome\User Data\%DEPENDANT%\Secure Preferences>C:\PPF_Scan1\Google_Secure_Preferences_%DEPENDANT%.txt
LOAD_SCRIPT->%PROGDIR%OPERA.Sca
CREATE_FOLDER->C:\PPFS_T
CREATE_BATCH_FILE->C:\PPFS_T\diskp.dat
WRITE_BATCH->lis dis
WRITE_BATCH->lis vol
WRITE_BATCH->select disk 0
WRITE_BATCH->list partition
CREATE_BATCH_FILE->C:\PPFS_T\diskp.bat
WRITE_BATCH->diskpart /S C:\PPFS_T\diskp.dat > C:\PPF_SCAN1\Disks.txt
WRITE_BATCH->schtasks /Query /V /fo list >> C:\PPF_SCAN1\Tasks.txt
CREATE_BATCH_FILE->C:\PPF_SCAN1\Tasks.txt
WRITE_BATCH->**************************************************************
WRITE_BATCH->* Tasks *
WRITE_BATCH->**************************************************************
OPEN->C:\PPFS_T\diskp.bat
SET_OPTIONS->205
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\WINSXS
SET_HEADLINE->Gadget Settings#Gadget Einstellungen
LIST_INI_CONTENT_OF_FILES->settings.ini
->%USERPROFILE%\AppData\Local\Microsoft\Windows Sidebar
SET_HEADLINE->autoexec.bat files#Autoexec.bat Dateien
LIST_CONTENT_OF_FILES->autoexec.bat
->%SYSTEMDRIVE%\
SET_HEADLINE->autoexec.nt files#Autoexec.nt Dateien
LIST_CONTENT_OF_FILES->autoexec.nt
->%SYSTEMDRIVE%\
SET_HEADLINE->config.sys files#Config.sys Dateien
LIST_CONTENT_OF_FILES->config.sys
->%SYSTEMDRIVE%\
SET_HEADLINE->config.nt files#Config.nt Dateien
LIST_CONTENT_OF_FILES->config.nt
->%SYSTEMDRIVE%\
SET_HEADLINE->Winstart.bat files#Winstart.bat Dateien
LIST_CONTENT_OF_FILES->Winstart.bat
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->
FILE_EXISTS_TO_ENV_VAR->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe>PPFS_PSEXISTS
IF->%PPFS_PSEXISTS%=1
SLEEP->5000
CLOSE_SHELL->
END_IF->
FILE_EXISTS_TO_ENV_VAR->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe>PPFS_EXISTS
IF->%PPFS_EXISTS%=1
IF->%PPFS_WINVER%>=6.0
CREATE_BATCH_FILE->C:\PPFS_T\T1.ps1
WRITE_BATCH-># by chentiangemalc
WRITE_BATCH-># http://chentiangemalc.wordpress.com
WRITE_BATCH-># Define our C# functions to extract info from Windows Security Center (WSC) via Windows API so we can call from PowerShell
WRITE_BATCH->$wscDefinition = @"
WRITE_BATCH-> // WSC_SECURITY_PROVIDER as defined in Wscapi.h or http://msdn.microsoft.com/en-us/library/bb432509(v=vs.85).aspx
WRITE_BATCH->[Flags]
WRITE_BATCH-> public enum WSC_SECURITY_PROVIDER : int
WRITE_BATCH-> {
WRITE_BATCH-> WSC_SECURITY_PROVIDER_FIREWALL = 1,// The aggregation of all firewalls for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_AUTOUPDATE_SETTINGS = 2, // The automatic update settings for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_ANTIVIRUS = 4,// The aggregation of all antivirus products for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_ANTISPYWARE = 8,// The aggregation of all anti-spyware products for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_INTERNET_SETTINGS = 16, // The settings that restrict the access of web sites in each of the Internet zones for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_USER_ACCOUNT_CONTROL = 32, // The User Account Control (UAC) settings for this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_SERVICE = 64,// The running state of the WSC service on this computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_NONE = 0,// None of the items that WSC monitors.
WRITE_BATCH->
WRITE_BATCH->// All of the items that the WSC monitors.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_ALL = WSC_SECURITY_PROVIDER_FIREWALL | WSC_SECURITY_PROVIDER_AUTOUPDATE_SETTINGS | WSC_SECURITY_PROVIDER_ANTIVIRUS |
WRITE_BATCH-> WSC_SECURITY_PROVIDER_ANTISPYWARE | WSC_SECURITY_PROVIDER_INTERNET_SETTINGS | WSC_SECURITY_PROVIDER_USER_ACCOUNT_CONTROL |
WRITE_BATCH-> WSC_SECURITY_PROVIDER_SERVICE | WSC_SECURITY_PROVIDER_NONE
WRITE_BATCH-> }
WRITE_BATCH->
WRITE_BATCH-> [Flags]
WRITE_BATCH-> public enum WSC_SECURITY_PROVIDER_HEALTH : int
WRITE_BATCH-> {
WRITE_BATCH-> WSC_SECURITY_PROVIDER_HEALTH_GOOD, // The status of the security provider category is good and does not need user attention.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_HEALTH_NOTMONITORED, // The status of the security provider category is not monitored by WSC.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_HEALTH_POOR, // The status of the security provider category is poor and the computer may be at risk.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_HEALTH_SNOOZE, // The security provider category is in snooze state. Snooze indicates that WSC is not actively protecting the computer.
WRITE_BATCH-> WSC_SECURITY_PROVIDER_HEALTH_UNKNOWN
WRITE_BATCH-> }
WRITE_BATCH->
WRITE_BATCH->// as defined in http://msdn.microsoft.com/en-us/library/bb432506(v=vs.85).aspx
WRITE_BATCH-> [DllImport("wscapi.dll")]
WRITE_BATCH-> private static extern int WscGetSecurityProviderHealth(int inValue, ref int outValue);
WRITE_BATCH->
WRITE_BATCH->// code to call our interop function and return the relevant result based on what input value we provide
WRITE_BATCH-> public static WSC_SECURITY_PROVIDER_HEALTH GetSecurityProviderHealth(WSC_SECURITY_PROVIDER inputValue)
WRITE_BATCH-> {
WRITE_BATCH-> int inValue = (int)inputValue;
WRITE_BATCH-> int outValue = -1;
WRITE_BATCH->
WRITE_BATCH-> int result = WscGetSecurityProviderHealth(inValue, ref outValue);
WRITE_BATCH->
WRITE_BATCH-> foreach (WSC_SECURITY_PROVIDER_HEALTH wsph in Enum.GetValues(typeof(WSC_SECURITY_PROVIDER_HEALTH)))
WRITE_BATCH-> if ((int)wsph == outValue) return wsph;
WRITE_BATCH->
WRITE_BATCH-> return WSC_SECURITY_PROVIDER_HEALTH.WSC_SECURITY_PROVIDER_HEALTH_UNKNOWN;
WRITE_BATCH-> }
WRITE_BATCH->"@
WRITE_BATCH->
WRITE_BATCH->$wscType=Add-Type -memberDefinition $wscDefinition -name "wscType" -UsingNamespace "System.Reflection","System.Diagnostics" -PassThru
WRITE_BATCH->"" > C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"##############################################################################################" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"## Security Center ##" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"##############################################################################################" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"Firewall: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_FIREWALL) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"Auto-Update: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_AUTOUPDATE_SETTINGS) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"Anti-Virus: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_ANTIVIRUS) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"Anti-Spyware: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_ANTISPYWARE) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"Internet Settings: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_INTERNET_SETTINGS) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"User Account Control: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_USER_ACCOUNT_CONTROL) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"WSC Service: " + $wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_SERVICE) >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH-># some examples of checking the "health" status...
WRITE_BATCH->if ($wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_FIREWALL) -eq $wscType[2]::WSC_SECURITY_PROVIDER_HEALTH_POOR)
WRITE_BATCH->{
WRITE_BATCH-> "Your firewall settings are lame." >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->}
WRITE_BATCH->
WRITE_BATCH->if ($wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_USER_ACCOUNT_CONTROL) -eq $wscType[2]::WSC_SECURITY_PROVIDER_HEALTH_POOR)
WRITE_BATCH->{
WRITE_BATCH-> "Don't tell me you switched off UAC. oh dear." >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->}
WRITE_BATCH->
WRITE_BATCH->if ($wscType[0]::GetSecurityProviderHealth($wscType[1]::WSC_SECURITY_PROVIDER_ANTIVIRUS) -eq $wscType[2]::WSC_SECURITY_PROVIDER_HEALTH_GOOD)
WRITE_BATCH->{
WRITE_BATCH-> "At least you have anti-virus running and up-to-date." >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->}
WRITE_BATCH->"____________________________________" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"* AntiVirus *" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->Get-WmiObject -Namespace ROOT\Securitycenter2 -Class "AntiVirusProduct" | select displayName,instanceGuid,pathToSignedProductExe,pathToSignedReportingExe,productState >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"____________________________________" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"* Firewall *" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->Get-WmiObject -Namespace ROOT\Securitycenter2 -Class "FirewallProduct" | select displayName,instanceGuid,pathToSignedProductExe,pathToSignedReportingExe,productState >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"____________________________________" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"* AntiSpyware *" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"**********************" >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->Get-WmiObject -Namespace ROOT\Securitycenter2 -Class "AntiSpywareProduct" | select displayName,instanceGuid,pathToSignedProductExe,pathToSignedReportingExe,productState >> C:\PPF_Scan1\SecCenter.txt
WRITE_BATCH->"____________________________________" >> C:\PPF_Scan1\SecCenter.txt
START_SHELL->%Systemroot%\System32\WindowsPowerShell\v1.0\powershell.exe,-noprofile -executionpolicy bypass -file "C:\PPFS_T\T1.ps1"
SLEEP->40000
CLOSE_SHELL->
END_IF->
END_IF->
IF->%PPFS_AvastExists%>0
REM->AVAST gefunden!
START_SHELL->%SystemRoot%\system32\cmd.exe
EXECUTE_IN_SHELL->XCOPY "%Reg_CommonAPPDATA%\AVAST Software\Avast\report\*.*" C:\PPF_Scan1\*.* /Y
EXECUTE_IN_SHELL->XCOPY "%Reg_CommonAPPDATA%\AVAST Software\Avast\log\Avast-Browser-Cleanup.log" C:\PPF_Scan1\*.* /Y
CLOSE_SHELL->
END_IF->
SET_OPTIONS->-205
TIME->
WAIT_FOR_TERMINATE->RootkitBuster.exe
COPY_FILES->C:\PPFS_T\log\*.txt>C:\PPF_Scan1
COPY_FILES->C:\PPFS_T\log\*.log>C:\PPF_Scan1
COPY_FILES->C:\PPFS_T\TMRBLog\*.txt>C:\PPF_Scan1
COPY_FILES->C:\PPFS_T\TMRBLog\*.log>C:\PPF_Scan1
TIME->
COPY_SCANFILES->C:\PPF_Scan1
OPEN->C:\PPF_Scan1
END->
Alles anzeigen
[Blockierte Grafik: https://abload.de/img/14ly28.jpg]
ist mein rechner jetzt nicht nur sauber sondern auch rein?! Kann ich nun zum Alltagsgeschäft übergehen?
Nein, noch nicht. Wir müssen auf jeden Fall noch Nachsorge betreiben - das ist bei dem Befall sehr wichtig. Vorher muss ich mir möglichst sicher sein, dass alles weg ist.
Du hast gute Karten, dass das RootKit gelöscht wurde. Wie gesagt - ich will da sicher gehen, dann kommt die Nachsorge, dann das Alltagsgeschäft.
es gibt Probleme mit dem PPF Scanner. Habe alles wie immer gemacht aber der Scan läuft nicht! Script starten und nicht geht?!
Das ist meine Schuld. Habe beim Copy und Paste was falsch gemach.
Ich habe das Script oben geändert. Versuche es jetzt noch einmal.
man, man man das hat aber echt lange gedauert. Die Virenjagt bringt meinen Tagesablauf ganz schön durcheinander ich hoffe ich habe bald ein bischen Ruhe. Jetzt erst mal schlafen und morgen weiter http://workupload.com/archive/3JuHS7p
Das tun:
CREATE_FOLDER->C:\PPF_SCAN2
SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7cc90037-43b0-48c7-acd1-c07a7fb200fb}
->NameServer
->
SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{94c53d2e-6afc-4d72-8795-5eafdb3d2fb4}
->NameServer
->
SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{dda5229d-f455-4838-adf5-ed4a167fee71}
->NameServer
->
SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{dda5229d-f455-4838-adf5-ed4a167fee71}
->NameServer
->
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
->LoadAppInit_DLLs
->0
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
->LoadAppInit_DLLs
->0
COPY_SCANFILES->C:\PPF_Scan2
Open->C:\PPF_Scan2
END->
Alles anzeigen
Dann das tun:
Du erhälst morgen noch Hinweise zu deinem Befall und wie du das in Zukunft vermeiden kannst.
Guten Morgen mein Helfer Na das ging ja schnell:https://workupload.com/file/agzsFhV
Habe alles gemacht wie gewünscht, und noch zusätzlich meine seperate Festplatte formatiert und mit "Langmayer Backup" in neues Backup aufgespielt.
Gibt es eigentlich ein gutes Programm, dass Datenmüll von der Festplatte putzt aber so, das es auch ein Anfänger versteht ich meine selber alle nicht mehr benötigten Reste von der Platte entfernt ?
Zur Art der Malware:
Ein RootKit unterwandert das komplette Betriebssystem. Es leitet dabei meist Funktionen des Systems so um, dass es für Ativirensoftware komplett unsichtbar wird.
Das TDSS RotKit, das du auf dem Rechner hattest, legt seine Daten in einem Bereich der Festplatte ab, die offiziell ungenutzt sind. Gestartet wird es über den MBR. Das RootKit kann, aufgrund seiner speziellen Technik, sogar manche Formatierungsaktionen überleben.
Ziel ist es dabei, deinen Rechner unter fremde Kontrolle zu setzen. Er macht dann nicht mehr das, was du willst - sondern genau dass, was der Programmierer des RootKits (der nach meinen Informationen in Russland lebt) möchte. Der Rechner ist quasi dann ferngesteuert.
Dein Rechner wird dann im Paket an andere kriminelle vermietet. Diese nutzen ihn dann für Aktionen, um wiederum damit Geld zu verdienen. Das kann zum Versenden von Spammails sein, zum Leerräumen deines eigenen Kontos, zum Stehlen deiner Daten (um mit deiner Identität wiederum Straftaten zu verüben), für "Terroranschläge" gegen Firmen, Regierungen, die Presse,...
Woher kommt das RootKit?
Das TDSS RootKit steht in Verbindung mit einigen Porno- und Sexseiten und wird vermutlich darüber unter anderem verteilt.
Im Internet ist das wie im richtigen Leben. Es gibt da sehr dunkle Stellen, an denen es den Leuten ganz egal ist, womit sie Geld verdienen und an denen ein Menschenleben nicht viel wert ist. Den Leuten, die dort das sagen haben ist egal, mit wem sie Geschäfte machen - Hauptsache das Geld kommt rein.
Gehst du in Brasilien als Tourist durch eine Favela, in der sich noch nicht einmal die Polizei blicken lässt, musst du damit rechnen, dass an jeder Ecke ein Taschendieb steht oder du sogar kurzerhand unter die Erde gebracht wirst. In solchen "Favelas" im Internet ist das genau so.
Wie im richtigen Leben gibt es da Favelas, die extrem gefährlich sind (Pornoseiten, Seiten im Darknet und illegale Videoseiten) und andere Favelas, die nicht ganz so gefährlich sind (kleine Downloadportale, manche legale Videoseiten, manche legale Up- und Downloadportale).
Du denkst vielleicht, dass du bei deinem Gang durch die Favela durch deinen Virenscanner geschützt bist - wie du siehst, bist du das aber gar nicht.
In einer Favela muss man selbst (also du als Mensch) gewaltig aufpassen - denn es wird laufend versucht, dich auszutricksen. Des Weiteren sollte man niemanden zu nahe an sich heranlassen und ständig für Abstand sorgen.
Wie sollte man sich in einer Favela verhalten - was sollte man tun?
Das beste wäre natürlich, um Favelas im Internet einen großen Bogen zu machen. Geht das nicht, bleibt nur folgendes:
Will ich Programme testen, starte ich die in der Regel erst mal über Sandboxie. Browse ich im Internet, erfolgt das auch über Sandboxie (Sandboxie Web Browser - Icon).Sandboxie führt Anwendungen in einer Art "Käfig" aus. Für die Anwendung ist es so, als würde sie im Betriebssystem laufen und sich dort installieren - in Wirklichkeit läuft sie aber in diesem "Käfig" und kann nichts am Betriebssystem ändern. Damit du keinen Bösewicht in der Sandbox mitnimmst, würde ich die Sandbox vor jeder wichtigen Aktion (Einkauf, Banking) einmal löschen.
Zur Art der Malware:
Adware ist Werbesoftware, die bei der Installation von Freeware auf den Rechner kommt - damit verdienen die Programmierer von Freeware und die Betreiber mancher Downloadportale Geld.
Manchmal wird noch nicht einmal Software großartig installiert, sondern nur Einstellungen im Betriebssystem gesetzt, um dich bei jedem Internetaufruf über bestimmte Seiten zu leiten und damit zu bestimmen, was dir auf deinem Rechner beim Surfen angezeigt wird. Das war unter anderem auch bei dir der Fall
Woher kommt Adware?
Adware kann man sich überall einfangen. Manche Downloadportale sind da sicherer (das Downloadportal von Heise zum Beispiel), bei manchen Portalen wird schon vom Portal selbst Adware mitgeliefert.
Wie erreicht man, das möglichst keine Adware auf dem Rechner landet?
Achte demnächst darauf, von wo du Programme herunterlädst. Nutze nur bekannte und große Portale - meide alle Downloadportale, bei denen vor dem Herunterladenen der eigentlichen Software ein Downloadmanager ausgeführt werden soll.
Wähle bei der Installation von Freeware immer die benutzerdefinitierte Installation. Entferne bei der Installation alle Häkchen für Addons und Toolbars für den Internetbrowser.
Wenn du ein Programm von der Seite von Chip installieren willst, lies die sehr genau durch, was auf der Downloadseite steht. Klicke nie sofot den großen Downloadbutton. Schau immer nach, ob dort ein kleiner Schriftzug Manuelle Installation steht. Findest du den, klicke zum Download immer da drauf. Chip startet ansonsten einen Downloadmanager und installiert in der Regel weitere Software bei dir.
[Blockierte Grafik: https://abload.de/img/1aysm5.jpg]
Im Augenblick poppen desöfteren auch mal auf Video- und Downloadseiten Popups auf, die auf eine veraltete Version von Java, dem Internetbrowser oder Flashplayer hinweisen. Auch da dann nirgendwo zur Installation draufklicken - auch das installiert Adware. Hier mal ein Beispiel:
[Blockierte Grafik: http://s9.postimg.org/emi6kq0uz/image.jpg]
Auch hier ist wieder deine Person gefragt:
Siehe auch hier:
FAQs zu Adware
Frage:
Kann man davon ausgehen, dass ein Download direkt von der Herstellerseite einer Software keine ungewollte Zusatzsoftware enthält?
Antwort:
Nein, natürlich nicht! Jede Firma, die Software herstellt, will eines - nämlich Geld verdienen. Geld lässt sich mit Freeware am besten verdienen, indem man zusätzlich von Firmen, mit denen man Verträge hat, Werbesoftware installiert. Für Softwarehersteller gibt es extra Installer für ihre Software (oft selbst von Werbefirmen erstellt) mit denen sie einfach Fremdsoftware in ihr Packet einbinden können.
Frage:
Kann man die Installation von Werbesoftware immer bei der Installation eines Programms abwählen?
Antwort:
Nein - nicht immer. Es gibt da auch Softwarehersteller, die ihre Adware ungefragt installieren - das ist aber eher selten. Einige Downloadportale (zum Beispiel Heise) prüfen ihre Downloads vor dem Einstellen von Software. Die Gefahr, solche komplett versteckte Adware zu laden, ist da etwas geringer.
Die meisten Softwarehersteller verstecken ihre Adware hinter Optionen wie "Benutzerdefinierte Installation". Nimmt man bei solchen Installern die "empfohlene Schnellinstallation", fehlt dann bei der Installation nachher die Option zum Abwählen der Adware. Einige wenige Softwarehersteller binden ihre Adware ganz offensichtlich und unversteckt in den Installer ein. Aber auch das ist eher selten. Ich kann also nur raten, sich bei der Softwareinstallation durchzulesen, was auf dem Bildschirm steht und genau nachzudenken, bevorman irgendetwas anklickt.
Frage:
Ich habe mir scheinbar Adware eingefangen. E installieren sich immer ungefragt Programme - und wenn ich die lösche, sind die sofort wieder da. Gibt es eine Möglichkeit zur "Selbsttherapie"?
Antwort:
Damit sieht es aus, wie mit der "Selbsttherapie" bei körperlichen Erkrankungen. Hat man für etwas zu wenig Ahnung und macht etwas falsch, kann das tötlich sein. Manche Adware verwendet RootKittechniken und installiert zusätzlich DLLs in den Bereich der Layerd Service Providers. Macht man da etwas falsch, endet das im Verlust der Internetkontakts und man kann sich noch nicht einmal weitere Hilfe aus dem Netz holen.
Frage:
Auf einem Downloadporttal wird mit "sicherer Download" geworben. Desweiteren wird damit geworben, dass die Software von Virenscannern geprüft ist. Kann ich solchen Downloads vertrauen?
Antwort:
Auf keinen Fall! Gerade mit solchen Worten wird sehr oft für einen Downloadmanager des Softwareportals geworben, Dieser Downloadmanager führt sich vor dem eigentlichen Download der Software aus und soll zusätzliche Werbesoftware für Werbepartner des Downloadportals ablegen.
Frage:
Wie erkenne ich dann, dass ich einen Downloadmanager eines Softwareportals ausführe?
Antwort:
Auch da hilft nur das Einschalten aller Sinne und des Gehirns. Deuten Schriftzüge oder Bilder im Aufpoppenden Installationsprogramm auf das Downloadportal hin, von dem die Software gelad
en wurde, sollten alle Alarmglocken angehen. Hier Beispiele dafür, wie ein solcher Downloadmanager aussehen kann...
[Blockierte Grafik: http://abload.de/img/dm4vdxv4.jpg]
[Blockierte Grafik: http://abload.de/img/dm2h5b67.jpg]
[Blockierte Grafik: http://abload.de/img/dm1tbb50.jpg]
Frage:
Eine Software wurde vor einiger Zeit komplett ohne Adware zum Download angeboten. Kann ich davon ausgehen, dass diese Software auch in Zukunft keine Zusatzsoftware enthält?
Antwort:
Nein, natürlich nicht. Manche Softwarehersteller warten nur auf geeignete Verträge - die kommen aber erst zustande, wenn man eine ausreichend große Anzahl an Downloads bereits erreicht hat.
Wir waren dann fertig - die Hinweise für dich bitte in deinem eigenen Interesse aufmerksam lesen!
Was auch noch erwähnenswert wäre, und ich selbst schon ein paar mal gesehen habe:
Wenn du dir irgendwo was herunter laden möchtest, seis Treiber, Software, Video, ... achte auf die Downloadgröße.
Nehmen wir als Beispiel den Treiber von nVidia Grafikkarten. Dieser hat immer über 300MB, meist so zwischen 350 - 375MB. Sehe ich im Download aber, dass der Download "nur" wenige Megabyte, oder nur Kilobyte hat, breche ich den Download ab. Denn da kann was nicht stimmen.
Bei MP3s dasselbe, je nach Komprimierung ist ein Titel zwischen 3 - 4MB groß. Sind es im Download nun (als Beispiel) 400KB, kann da auch was nicht Koscher sein.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!