eScan -> mwav.log automatisch auswerten!

Cidre · 21.04.2005, 23:03

Hallo Boardies,

der Regular Haui45 hat sich die Mühe gemacht und eine Batch Datei geschrieben, die die automatische Suche nach infected, tagged, Found, Errors, Scanned, Date und Time Elapsed aus der mwav.log übernimmt.
Die o.g. Einträge aus der Virus Log Information erleichtern uns die Analyse eines infizierten Systems.

Vorteil:
- Zeitersparnis bei TO und Helfern
- TO wird als 'Fehlerquelle' beim Übertragen der einzelnen Einträge ausgeschlossen

Nachteil:
- TO muss nicht mehr so intensiv mit seinem Problem beschäftigen.

Zitat:

Zitat von Haui45

Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Code:

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit

Damit sollten wir von meiner Version [1] wegkommen und zur komfortableren 'Haui Version' [2] übergehen.

Danke an Haui45.

[1]

Zitat:

Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

[2]

Zitat:

Zitat von Haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

21.04.2005, 23:31

Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken:

verstehts auch der ONU

SCNR

Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei

:

Cidre · 21.04.2005, 23:33

@ cronos

Sorry, kann ja mal passieren.

Chris14 · 21.04.2005, 23:37

jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren...
jedenfalls thx für die Info Cidre und big thx an Haui45

h:

21.04.2005, 23:38

@ cidre

mal ist gut *duck*

Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser.
Bekannt, ob das auf allen Systemen problemlos läuft?

21.04.2005, 23:41

Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken).

Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr").
Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten.
Hier ein kurzes Beispiel:

Code:

echo Funde für infected >c:\find2.txt
find /N /I "infected" c:\bases_x\mwav.log >>c:\find2.txt
echo ____________________________________________________ >>c:\find2.bat
echo Funde für tagged >>c:\find2.txt
find /N /I "tagged" c:\bases_x\mwav.log >>c:\find2.txt

MfG Haui

21.04.2005, 23:46

Code:

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit

Oder verwendet besser noch dieses und postet mal, wie's auf den verschiedenen Betriebssystemen (auch XP und 2000) funktioniert.

btw: vor jedem Scan mit eScan sollte die alte mwav.log gelöscht werden!

P.S.: unter XP funktioniert es (oder nicht) je nach Speicherort der .bat

21.04.2005, 23:55

@Chris14
Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen.
In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen

Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit...

Cidre · 22.04.2005, 00:00

Zitat:

Zitat von Haui45

Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker)

Momentan nicht verfügbar.

Zitat:

In eine Batch würde ich das nicht einbauen.

Full Ack.

22.04.2005, 00:30

Zitat:

Zitat von Cidre

Momentan nicht verfügbar.

Hab ich auch bemerkt, einen Downloadlink gibt's aber trotzdem ->
Dazu auch Lutz

21.04.2005, 23:31	#2
cronos Gast	AW: eScan -> mwav.log automatisch auswerten! Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken: verstehts auch der ONU SCNR Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei :

21.04.2005, 23:33	#3
Cidre Administrator, a.D.	AW: eScan -> mwav.log automatisch auswerten! @ cronos Sorry, kann ja mal passieren. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

21.04.2005, 23:38	#5
cronos Gast	AW: eScan -> mwav.log automatisch auswerten! @ cidre mal ist gut duck Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser. Bekannt, ob das auf allen Systemen problemlos läuft?

21.04.2005, 23:41	#6
Haui45 Gast	AW: eScan -> mwav.log automatisch auswerten! Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken). Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr"). Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten. Hier ein kurzes Beispiel: Code: echo Funde für infected >c:\find2.txt find /N /I "infected" c:\bases_x\mwav.log >>c:\find2.txt echo ____________________________________________________ >>c:\find2.bat echo Funde für tagged >>c:\find2.txt find /N /I "tagged" c:\bases_x\mwav.log >>c:\find2.txt MfG Haui Geändert von Haui45 (22.04.2005 um 00:43 Uhr)

21.04.2005, 23:55	#8
Haui45 Gast	AW: eScan -> mwav.log automatisch auswerten! @Chris14 Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen. In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit... Geändert von Haui45 (22.04.2005 um 01:07 Uhr)

eScan -> mwav.log automatisch auswerten!

Archiv: eScan -> mwav.log automatisch auswerten!

AW: eScan -> mwav.log automatisch auswerten!

Ähnliche Themen: eScan -> mwav.log automatisch auswerten!

21.04.2005, 23:37	#4
Chris14	AW: eScan -> mwav.log automatisch auswerten! jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren... jedenfalls thx für die Info Cidre und big thx an Haui45 h: