RunScanner - Anleitung

[Ruby]

Version 1.6.1.0

von
Geert Moernaut

• lade das runscanner.zip herunter von hier: www.runscanner.net/download.aspx
  (Download version 1.0 (final) )
• entpacke es mit einem Zip-Tool
• in einen eigenen Ordner (Windows Tutorial)
• unter Programme.
• mach einen Doppelklick auf die RunScanner.exe, um das Programm zu installieren.

English: RunScanner - Instructions

Willkommen beim RunScanner

Um das beste Ergebnis zu erzielen, ist es notwendig, dass du Zugriff auf das Internet hast, wenn du den RunScanner laufen lässt.

Online Lookup

Wenn du dich dafür entscheidest, online einen gescannten Eintrag zu prüfen, wird der RunScanner die Information (MD5, Beschreibung) über diesen Eintrag in der Online datenbank speichern. Diese Information kann von Sicherheitsexperten ausgewertet werden, um zu bestimmen, ob ein Eintrag 'gut' oder 'schlecht' ist.

Mehr Information:
Besuche das Forum.

I Agree (Ich stimme zu) - Quit (Ich geh wieder)

Voreingestellt sind folgende Funktionen:

• Full scan
• Confirm fixes

Lass diese Einstellungen bitte so und klicke auf 'Start scan'.



Es wird ein bisschen dauern, bis der Full System Scan abgeschlossen ist.
Du kannst den Stand des Scan-Vorgangs am unteren Rand deines Windows Explorer-Fensters mitverfolgen.

Und plötzlich liegt es vor dir, das riesige Logfile des RunScanners
mit den Autorun and Hijack Items

• - Item: 000 General Info
• - Item: 001 Running processes
• - Item: 002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+ subkeys)
• - Item: 005
• - Item: 010 usw.

am linken äusseren Rand 2 bzw. 3 Zeichen.
Wenn man auf einen Eintrag klickt, sieht man im Menu oben, links:

Help about Item 010

Wenn man auf diese Hilfe klickt, kommt man zu einer Website,
010: Running Services:



Erklärung:
Ein Windows Service ist eine Anwendung, die im Systemstart von Windows
mitaufgestartet wird und im Hintergrund mitläuft, solange Windows läuft.
Services laufen auch dann, wenn kein User auf dem System eingeloggt ist.

Und dann kommt eine Erklärung, was die einzelnen Zeichen bedeuten.

Lookup entry online

Man klickt auf einen Eintrag und schaut online nach, mithilfe der Funktion
'Lookup entry online', um was es sich bei diesem Eintrag handelt:



Man kommt wieder zu einer Website der Online Datenbank und wird genau informiert.

Delete registry key

Mit der Funktion 'Delete registry key' kann man Registrierungsschlüssel löschen.
Das sollte man aber nur tun, wenn man ganz genau weiss, was man tut.
Sonst kann es sein, dass entweder ein Programm oder aber Windows nicht mehr funktioniert.

Process killer

Man kann die Prozessliste erneuern (Refresh process list).
Mit dem 'Process killer' kann man ungewünschte Prozesse killen (Kill selected processes).
Man kann die Explorer Exe starten (Start "explorer.exe").

Es gibt auch einen 'Host file Editor'



Man kann damit die Hosts Datei auf die Standarteinträge zurücksetzen
und die Hosts Datei speichern.

Funktionen zur Erkennung und Auswertung



Mit der Funktion 'Save .run file' kann dieses lange .run file,
bestehend aus Autorun und HijackThis Items, auf dem Rechner gespeichert werden.
Am besten speichert man das .run file im Ordner des RunScanner.
Geben wir diesem Logfile den Namen 1.run.
Wir beenden den RunScanner, gehen in den Ordner des Runscanner,
machen einen Doppelklick auf 1.run.
Nun haben wir unser 1.run Logfile vor uns, das erste Logfile vom RunScanner auf unserem System.

Einträge können mit Linksklick gekennzeichnet werden.
Ein Rechtsklick eröffnet weitere Möglichkeiten:

• 'Look up at RunScanner.net': gezielte Information aus der Online-Datenbank von 'RunScanner.net' zu der fraglichen Datei.
• 'Look up at Google.com': Information zu der fraglichen Datei über Google.
• 'Copy to Clipboard': erstmal zwischenspeichern
• 'Open location': den Ordner dieser Datei öffnen.
• 'Show file properties': sich die Eigenschaften der fraglichen Datei anzeigen lassen.
• 'Kill process from the "process killer tab": einen Prozess killen/löschen
• 'mark item': den Eintrag markieren
• 'Expand tree': den 'Baum' der Einträge insgesamt anzeigen
• 'Collapse tree': den 'Baum' der Einträge zusammenklappen

Mit der Funktion 'mark item': den Eintrag markieren
färben wir die Zeile, die wir kennzeichnen wollen, orange:

• Nun klicken wir auf 'save .run file',
• speichern dieses *.run file als test.run
• und schliessen das 1.run
• Im Ordner des RunScanners befindet sich nun das test.run Log.
• Doppelklick auf das test.run Log:
• der/die orange markierten Einträge sind noch vorhanden.
• Nun kann man entscheiden, was man damit tun will:
  sie genauer untersuchen oder löschen.

• Das *.run file kann von den Usern in den Foren hochgeladen werden.
• Der bearbeitende Experte/Helfer lädt dieses *.run file herunter,
• öffnet es mit Doppelklick auf seinem Rechner.
• Nun hat der Helfer die Möglichkeit, ganz genau zu sehen, was sich auf dem betroffenen Rechner abspielt.
• Alle Daten, alle Angaben liegen ihm vor.
• Der bearbeitende Experte/Helfer markiert jene Einträge,
• die gelöscht werden sollen im *.run file des Users
• mit der Funktion 'mark item': den Eintrag markieren.
• Diese Einträge werden damit orange eingegefärbt.
• Dann speichert der Helfer/Experte das *.run Logfile des Users
• beispielsweise unter dem Namen helper.run Logfile.
• Nun kann das helper.run Logfile vom Helper/Experten an den betreffenden User zurückgegeben, also hochgeladen werden.
• Der User liest es auf seinem Rechner ein.
• Er sieht die orange markierten Zeilen
• und kann sie mit der Delete-Funktion auf seinem System löschen.

Man kann das Logfile speichern: 'Save log file'
Nun poppt ein Texteditor-Fensterchen auf und
wir bekommen das Runscanner (Text) Logfile zu sehen, das man online einreichen kann,
um es von Experten analysieren und auswerten zu lassen.

Online Analysis



Mit der Funktion 'Online Analysis' (1) im obersten Menu Balken,
kann man sein Logfile hochladen und online analysieren:

Online lookup (1)
Der RunScanner speichert die Information über Dateien (MD5, Beschreibung,..)
Diese Information kann von Experten ausgewertet werden,
um zu wissen, ob ein Einttrag 'gut' oder 'böse' ist.
Man bekommt einen vollständigen Bericht aller bekannten und unbekannten Einträge aus der Online Datenbank und ihre Auswertung.

Dein Bericht ist auf der Website zu sehen,
aber alle privaten Informationen (Computername, ect) werden nicht angezeigt.

(2) 'Show report' (Zeige den Bericht) - 'Cancel' (Streiche es)

'RunScanner malware and spyware report' (RunScanner Malware und Spyware Bericht)



Dein Logfile, online analysiert.

Erklärung der farblichen Kennzeichnung bei der Online Analyse

• 'File is safe to use' - (Datei ist in Ordnung)
• 'File is a certified Microsoft file' - (Zertifizierte Microsoft Datei)
• 'File is not yet rated' - (Datei ist noch nicht ausgewertet)
• 'File contains spyware or malware' - (Datei enthält Spy- oder Malware)
• 'Findings are inconclusive' - (Funde sind ergebnislos)

VORSICHT: die Online Analyse erkennt noch nicht alle Programme !
Bitte nicht löschen, was rot ist, sondern zuerst nachfragen oder nachschlagen.

Filter Results

Die Funktion 'Filter Results' filtert die Einträge nach den einzustellenden Filtern
und vereinfacht das Auffinden bestimmter Einträge.

Quick Scan

Man kann einen 'Quick Scan' laufen lassen, um einen ersten, schnellen Eindruck zu bekommen.

Hier noch einige weitere Features und Screenshots vom Author dieses Programmes:
bitte klicken 1 und bitte klicken 2.

Das Programm liegt in der Version 1.6.1.0 vor.

Der Author dieses vielseitigen Programmes
RunScanner
lässt bitten, sein Forum zu besuchen,
für Fragen, Anregungen, Hinweise, Bugmeldungen ect.

forum.runscanner.net
(http://forum.runscanner.net/default.aspx?g=forum)

***

Many Thanks to
Geert Moernaut

Deutsche Original-Anleitung zum RunScanner
geschrieben und bebildert von Ruby für die User von HijackThis.eu