@MightyMarc: Ich hab mal ein deutsches log erstellt (gekürzt, da sonst zu lang). Vllt. hilfts dir.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 16 21:29:42 2007 => Version 9.1.9
Mon Apr 16 21:54:16 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:54:38 2007 => Virus-Datenbank Datum: 4/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:30:25 2007 => System found infected with winfixer/errorsafe Adware ({06170642-fa65-4fb6-ac79-5f235cb99bc2})! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:18 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (drivecleaner 2006 free.lnk)! Action taken: Keine Aktion vorgenommen.
n Apr 16 21:31:19 2007 => System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with winfixer/errorsafe Adware (error safe.lnk)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (C:\PROGRA~1\DRIVEC~1\udc2006.xml)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 16 21:29:47 2007 => File C:\WINDOWS\system32\cbxxvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\ERRORS~1\UERScw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\GEMEIN~1\DRIVEC~1\sdrmon.exe markiert als not-a-virus:Downloader.Win32.WinFixer.l. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\DRIVEC~1\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:32:52 2007 => Datei C:\DOKUME~1\***\LOKALE~1\Temp\ErrorSafeScannerSetup.exe//Stream//data0001 markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:33:53 2007 => Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\ErrorSafeGermanNewReleaseInstall.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
on Apr 16 21:42:59 2007 => Datei C:\Programme\DriveCleaner 2006 Free\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:43:10 2007 => Datei C:\Programme\ErrorSafe Free\uers.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
Mon Apr 16 21:53:50 2007 => File C:\WINDOWS\system32\ssqpq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 16 21:31:18 2007 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\errorsafescannersetup.exe
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\drivecleaner 2006 free.lnk
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\error safe.lnk

~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Apr 16 21:31:17 2007 => Offending Folder found: C:\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:18 2007 => Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\drivecleaner 2006 free
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\flfxr15.flfixer15 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk.1 !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:54:16 2007 => Gefundene Viren: 172
Mon Apr 16 21:54:16 2007 => Anzahl Fehler: 6
Mon Apr 16 21:54:16 2007 => Dauer des Scans bisher: 00:24:08
Mon Apr 16 21:54:16 2007 => Gescannte Dateien: 36018
Mon Apr 16 21:29:42 2007 => Specherüberprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Registry Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung aller Festplatten :Aktiviert


Die find.bat lief astrein durch. :aplaus:

Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%. Gruß und Glückwunsch für die gelungene Anleitung, ordell

Nachtrag: Die Vorschau des Postings setzt ein smiley bei "not-a-virus:Downloader". Bei 8 smileys ist Schluss und der TO kann nicht posten. K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte. In letzterem Fall würde ich noch einen Hinweis in der Anleitung geben. In diesem Sinne...

Zitat:

Zitat von ordell1234

Die find.bat lief astrein durch.

Yeeha .... es handelt sich hierbei um die alte find.bat (wie ich dazugeschrieben hatte )

Zitat:

Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%.

Schau ich mir mal an. Danke für den Hinweis.

Zitat:

K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte.

Nun hab ich genauso viel Ahnung wie Du . Ich überleg mir mal was zu diesem Thema. Priorität haben jetzt aber andere Dinge.

Gruß

Marc

BTW Das Log enthält genau die Dinge, die mir gefehlt haben

Edit:

So, mir platzen gleich die Eier :mad
Ich würde mal zu gerne wissen, wer bei Trendmicro für die Lokalisierung zuständig ist. Das ganze ist Scheisse im Quadrat! Man verzeihe mir diesen Ausbruch, aber das musste jetzt mal sein.

Der deutsche Teil könnte soweit funktionieren. Neu ist der Teil "Diverses" der wie folgt aussieht:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 15:11:40 2007 => List of all Processes Sharing [i] : C:\WINNT\SYSTEM32\WINLOGON.EXE,C:\WINNT\system32\svchost.exe,C:\WINNT\Explorer.exe
Mon Apr 16 15:11:40 2007 => *** Infizierter Prozess wird beendet C:\WINNT\SYSTEM32\WINLOGON.EXE,C:\WINNT\system32\svchost.exe,C:\WINNT\Explorer.exe...
Mon Apr 16 15:11:43 2007 => *** Abbruch erfolgreich.
Mon Apr 16 15:11:40 2007 => Modul C:\WINNT\system32\imaadp32.acm akiv im Speicher...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 15:11:56 2007 => C:\WINNT\System32\jkkji.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:13:02 2007 => C:\WINNT\System32\xlibgfl254.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:13:41 2007 => C:\bsys.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:16:27 2007 => C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQB85Q3\bulk[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:17:01 2007 => C:\Dokumente und Einstellungen\Name eines Furchtlosen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RIN83ZCJ\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:08 2007 => C:\WINNT\system32\jkkji.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:51 2007 => C:\WINNT\system32\xlibgfl254.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:51 2007 => C:\WINNT\Temp\eraseme_52214.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:38:25 2007 => D:\inst\I386\JUNGLEQU.WA_ nicht gescannt. Wahrscheinlich durch Passwort geschützt...

60 Minuten sind vorbei

Den englischen Teil habe ich noch nicht einmal angeschaut. Für deutschsprachige Logs könnte es reichen:
Download der ersten Testversion

für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo

Zitat:

Zitat von ordell1234

für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo

Copyright auf so ne olle Batch?

So, den ersten Stuss habe ich behoben:

Die Erkennnung der Installationssprache konnte gar nicht funktionieren. Jetzt tut sie es. Theoretisch sollte es jetzt auch mit englischen Logs funktionieren. Der Punkt "Diverses" fehlt bei den englischen Logs aber noch, da ich nicht weiß wie die Kreativabteilung bei Trendmicro die einzelnen Punkte genannt hat.

zweite Testversion

In der Batch steckt verdammt viel Arbeit. Es treiben sich im Internet einige Schweine herum, die sich sowas dann aneignen, als ihr Werk ausgeben und die eigentlichen Schöpfer sogar noch als Lügner bezichtigen und bedrohen. Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten.

Stichwort für Google: Pcbutts

Zitat:

Zitat von KarlKarl

Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten.

Mag ja sein, aber von der Materie habe ich noch weniger Ahnung als von der Batchprogrammierung. Zudem ist die find.bat eigentlich Hauis Kind.