Die Scandatei Services.txt enthält die über die Registry geladenen Treiber und Dienste. Die vom Scanner eindeutig als von Microsoft signiert erkannten Dateien werden nicht gelistet. Wird eine Datei über die Registry mit Parametern gestartet, kann der Scanner die Signatur unter Umständen nicht bestimmen, auch wenn die Datei signiert ist (bei SVCHOST.EXE ist das zum Beispiel der Fall). Mit Parametern gestartete Dateien können hier signiert sein, obwohl der Scanner dies nicht anzeigt!
Beispiel:
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
º PPFScanner v2.4 (long Scan) º
º Scanfile 6 º
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
@Mopao and AHT
Scanstart: 08.02.2013 18:05
Microsoft Windows (Version 6.0.6002]
Windows Vista (TM) Home Premium
Servicepack: Service Pack 2
läuft auf 32-Bit Windows
Boot: Normal boot
Processor 1: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
Processor 1 Identifier: x86 Family 15 Model 104 Stepping 2
Processor 1 Vendor: AuthenticAMD
Geschwindigkeit von Prozessor 1: 1900MHZ
Processor 2: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
Processor 2 Identifier: x86 Family 15 Model 104 Stepping 2
Processor 2 Vendor: AuthenticAMD
Geschwindigkeit von Prozessor 2: 1900MHZ
Laufwerke: C:\ = HDD, D:\ = HDD, E:\ = HDD, F:\ = HDD, G:\ = HDD, H:\ = CDROM, I:\ = CDROM
PPFScan Version: 3,4,51,4463
PPFScan MD5-Hash: 685ccbc8a92d8977ef2fc0ae127eedd1
PPFScan SHA1-Hash: 51620dc7d9f8571dc6d419a700a2e8ce94ff34ed
SeDebugPrivilege: 1
Call: 1
Threads: 1 -> 2948
Nicht geladene Module: C:\WINDOWS\system32\rsaenh.dll; C:\WINDOWS\system32\ncrypt.dll; C:\WINDOWS\system32\BCRYPT.dll; C:\WINDOWS\system32\NTMARTA.DLL; C:\WINDOWS\system32\WLDAP32.dll; C:\WINDOWS\system32\SAMLIB.dll
Admin: ja
Mandatory Policy Level: $1
PPFScanner Ordner: C:\PureBasic\PPFscanner\
User: Andreas Hötker / S-1-5-21-2909440590-226754125-777164434-1000
ProgramData: C:\ProgramData
Programfiles: C:\Program Files
CommonProgramFiles: C:\Program Files\Common Files
Systemroot: C:\WINDOWS
Systemroot aus Registry: C:\WINDOWS
UserProfile: C:\Users\Andreas Hötker
Temporary Files: C:\Users\Andreas Hötker\AppData\Local\Temp
Applicationdata: C:\Users\Andreas Hötker\AppData\Roaming
Local Applicationdata: C:\Users\Andreas Hötker\AppData\Local
Common Applicationdata: C:\ProgramData
Startup: C:\Users\Andreas Hötker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Common Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
Java Version: 1.7
Internet Explorer Version: 9.0.8112.16421
[B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
[B]Dienste in der Registry (CurrentControlSet)[/B]
[B][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services][/B]
Dateiname Beschreibung Anzeigename Typ Start Registrykey Datum Signatur ServiceDLL ServiceDLL Signatur
============================================================================================ ======================================================================================================================================================================================================================================================================================================================================================================================================== ============================================================================================================= ============================= ================== ================================ ============ ==================================================== ============================================ =====================
system32\DRIVERS\ssmdrv.sys Avira Snapshot Driver ssmdrv Kernel Driver beim Systemstart ssmdrv 08.02.2013 Avira GmbH
system32\DRIVERS\avkmgr.sys Avira Manager Driver avkmgr Kernel Driver beim Systemstart avkmgr 08.02.2013 Avira Operations GmbH & Co. KG
system32\DRIVERS\avipbb.sys Avira Security Enhancement Driver avipbb Kernel Driver beim Systemstart avipbb 08.02.2013 Avira Operations GmbH & Co. KG
system32\DRIVERS\avgntflt.sys Avira mini-filter driver avgntflt Filesystem Driver autostart avgntflt 08.02.2013 Avira Operations GmbH & Co. KG
system32\DRIVERS\VClone.sys Kernel Driver auf Anfrage VClone 08.02.2013 Elaborate Bytes AG
\??\C:\Program Files\A-FF Find and Mount\slicedisk.sys SliceDisk5 Kernel Driver auf Anfrage SliceDisk5 08.02.2013
\??\C:\Program Files\Sandboxie\SbieDrv.sys SbieDrv Kernel Driver auf Anfrage SbieDrv 08.02.2013 SANDBOXIE L.T.D
\??\C:\WINDOWS\system32\drivers\HWiNFO32.SYS HWiNFO32/64 Kernel Driver Kernel Driver beim Systemstart HWiNFO32 08.02.2013 Martin Malik - REALiX
System32\Drivers\ElbyCDIO.sys ElbyCDIO Driver Kernel Driver beim Systemstart ElbyCDIO 08.02.2013 Elaborate Bytes AG
%SystemRoot%\System32\svchost.exe -k LocalService @%systemroot%\system32\wkssvc.dll,-101 @%systemroot%\system32\wkssvc.dll,-100 geteilter Prozess autostart Test 04.02.2013 Microsoft Windows C:\Eigenes\AXT\AXT.DLL
"C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" The Mozilla Maintenance Service ensures that you have the latest and most secure version of Mozilla Firefox on your computer. Keeping Firefox up to date is very important for your online security, and Mozilla strongly recommends that you keep this service enabled. Mozilla Maintenance Service eigener Prozess auf Anfrage MozillaMaintenance 20.01.2013 Mozilla Corporation
"C:\Program Files\Avira\AntiVir Desktop\avguard.exe" Bietet permanenten Schutz vor Viren und Malware mit der Avira Suchengine. Avira Echtzeit-Scanner eigener Prozess autostart AntiVirService 18.10.2012 Avira Operations GmbH & Co. KG
"C:\Program Files\Avira\AntiVir Desktop\sched.exe" Dienst zur Steuerung von Avira Free Antivirus Prüfaufträgen und Updates. Avira Planer eigener Prozess autostart AntiVirSchedulerService 18.10.2012 Avira Operations GmbH & Co. KG
"C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc Hält Ihre Google-Software auf dem neuesten Stand. Falls dieser Service deaktiviert oder angehalten wird, wird Ihre Google-Software nicht aktualisiert. Das heißt, dass eventuell auftretende Sicherheitslücken nicht behoben und bestimmte Funktionen möglicherweise nicht ausgeführt werden können. Dieser Service deinstalliert sich selbst, wenn er nicht von einer Google-Software verwendet wird. Google Update-Dienst (gupdatem) eigener Prozess auf Anfrage gupdatem 14.08.2012
"C:\Program Files\Google\Update\GoogleUpdate.exe" /svc Hält Ihre Google-Software auf dem neuesten Stand. Falls dieser Service deaktiviert oder angehalten wird, wird Ihre Google-Software nicht aktualisiert. Das heißt, dass eventuell auftretende Sicherheitslücken nicht behoben und bestimmte Funktionen möglicherweise nicht ausgeführt werden können. Dieser Service deinstalliert sich selbst, wenn er nicht von einer Google-Software verwendet wird. Google Update Service (gupdate) eigener Prozess autostart gupdate 14.08.2012
"C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" Adobe Acrobat Updater hält Ihre Adobe-Software aktuell. Adobe Acrobat Update Service eigener Prozess autostart AdobeARMservice 14.08.2012 Adobe Systems, Incorporated
"C:\Program Files\Windows7FirewallControl\Windows7FirewallService.exe" Windows7FirewallControl (alternative WindowsFirewall/WindowsFilteringPlatform) control panel provider ([URL]http://sphinx-soft.com/Vista[/URL]) Windows7FirewallService eigener Prozess autostart Windows7FirewallService 14.08.2012
C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe Mit diesem Dienst ist Ihre Flash Player-Installation immer aktuell und verwendet die neuesten Verbesserungen und Sicherheits-Fixes. Adobe Flash Player Update Service eigener Prozess auf Anfrage AdobeFlashPlayerUpdateSvc 14.08.2012 Adobe Systems Incorporated
"C:\Program Files\Sandboxie\SbieSvc.exe" Sandboxie Service eigener Prozess autostart SbieSvc 13.08.2012 SANDBOXIE L.T.D
"C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe" Com4QLBEx eigener Prozess auf Anfrage Com4QLBEx 13.08.2012 Hewlett-Packard Company
"C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe" hpqwmiex eigener Prozess auf Anfrage hpqwmiex 13.08.2012 Hewlett-Packard Company
%systemroot%\system32\msiexec /V @%SystemRoot%\system32\msimsg.dll,-32 @%SystemRoot%\system32\msimsg.dll,-27 eigener Prozess auf Anfrage msiserver 13.08.2012
system32\DRIVERS\SymIM.sys Kernel Driver auf Anfrage SymIMMP 12.08.2012
system32\DRIVERS\SymIM.sys Symantec Network Security Intermediate Filter Service Kernel Driver auf Anfrage SymIM 12.08.2012
"C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe" Provides support for the Running Object Table for InstallShield Drivers InstallDriver Table Manager eigener Prozess auf Anfrage IDriverT 12.08.2012
"C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe" GameConsole management services GameConsoleService eigener Prozess auf Anfrage GameConsoleService 25.01.2008 WildTangent Inc
\SystemRoot\system32\drivers\blbdrive.sys Kernel Driver deaktiviert blbdrive 25.01.2008
"c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe" HP Health Check Service HP Health Check Service eigener Prozess autostart HP Health Check Service 06.11.2007
"C:\Program Files\CyberLink\Shared Files\RichVideo.exe" Cyberlink RichVideo Service(CRVS) interaktiv, eigener Prozess autostart RichVideo 06.11.2007 CyberLink
system32\DRIVERS\nwlnkfwd.sys IPX Traffic Forwarder Driver IPX Traffic Forwarder Driver Kernel Driver auf Anfrage NwlnkFwd 02.11.2006
system32\DRIVERS\nwlnkflt.sys IPX Traffic Filter Driver IPX Traffic Filter Driver Kernel Driver auf Anfrage NwlnkFlt 02.11.2006
system32\DRIVERS\ipinip.sys IP in IP Tunnel Driver IP in IP Tunnel Driver Kernel Driver auf Anfrage IpInIp 02.11.2006
[B]%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%[/B]
***** Ende des Scans 08.02.2013 um 18:06 ***
Alles anzeigen
Ein Eintrag besteht aus mehreren Teilen:
Dateiname: Name der über den Eintrag gestarteten Datei mit evtuellen Startparametern.
Beschreibung: Die in die Registry eingetragene Beschreibung zur gestarteten Datei. Anzeigename: Eine in die Registry eingetragene Bezeichnung des Treibers / des Dienstes.
Typ: Starttyp der Datei (Treiber / Prozess)
Start: Wie und wann die Datei gestartet wird.
- beim Systemstart = Die Datei ist ein Treiber und wird automatisch beim Starten des Systems durch die IoInitSystem Funktion mitgestartet.
- auf Anfrage = Die Datei wird nicht generell gestartet, sondern nur, wenn sie extra durch die StartService API aufgerufen wird. Die Datei ist also nicht generell geladen.
- autostart = Die Datei wird automatisch beim Systemstart durch den Service Control Manager mitgeladen.
- deaktiviert = Die Datei wird im Augenblick nicht geladen.
- beim Booten = Die Datei ist ein Trreiber und wird sehr früh während des Bootvorgangs geladen.
Registrykey: Der Registryschlüssel unter dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services unter dem sich der Starteintrag befindet.
Datum: Das letzte Änderungsdatum des Registryschlüssels. Im Prinzip kann man hier ablesen, wann der Dienst zuletzt gestartet wurde.
Signatur: Die Signatur der Datei - insoweit der Scanner diese auslesen konnte uns sie vorhanden ist.
ServiceDLL: Bei SVCHOST Diensten steht hier der Name der DLL, die der entsprechende Dienst lädt.
ServiceDLL Signatur: Die Signatur einer eventuell geladenen ServiceDLL. Alles was hier nicht signiert ist, sollte überprüft werden.
Zu achten ist hier auf unsignierte Dateien mit ungewöhlichen Pfaden und Dateinamen.