*kurz einwerf*
im moment gibt es ein problem mit dem provider
melde mich hier sobald die datei wie gewohnt zur verfügung steht

GUA

Version 2007.06.16.1 verfügbar

GUA

Endlich habe ich das Problem mit der Updategebaren von eScan gefunden. Es ist das gleiche wie mit den Downloadservern

Um sicher zu stellen, dass die User ein aktuelles eScan verwenden und die Einstellungen stimmen, würde ich mit der Bachdatei gerne schon etwas früher eingreifen. Mal hier ein paar Gedanken zur Diskussion freigegeben:

* %temp% auf einen vordefinierten Ordner ändern, mwav.exe starten, %temp% wieder auf Standard zurückbiegen. So hätte man das entpackt eScan im Ordner der Wahl.

* Die Update-Konfiguration ändern und dann die download.exe starten um escan zu updaten

* in der Registry den Code für die richtigen Scanoptionen eintragen (danke trendmicro für dieses bescheuerte Binärcodesystem)

* boot.ini auf safeboot:minimal ändern und Neustart veranlassen

* Im abgesicherten Modus Scannen und auswerten

* boot.ini wieder änder auf Standard (bzw vorherigen Wert)

* In den normalen Modus booten und dem User die Auswertung anzeigen

Da es einige Unbekannte gibt, wollte ich mal Eure Meinung zur Umsetzbarkeit hören und ob Ihr das ganze überhaupt für sinnvoll erachtet (ich halte es für sinnvoll, aber darum geht es nicht).

Gruß

Marc

Den Start in den abgesicherten Modus durch die boot.ini zu erzwingen ist gefährlich. Es gibt Malware (zunehmend mehr), die die Registryeinträge für den abgesicherten Modus löscht. Wenn das vorliegt, hängt man dann in einer Schleife, in der der Rechner immer wieder zu booten versucht ohne dass es klappt. Dürfte für viele Leute der GAU schlechthin sein, Basteleien mit der Reparaturkonsole sind unbeliebt, da die Maus nicht funktioniert und die Möglichkeiten sehr eingeschränkt sind, Eine BartPE-CD kann man dann auch nicht mehr anfertigen.

In diesen Fällen ist zwar eine Neuinstallation angebracht, der abgesicherte Modus sollte möglich sein, vorher sollte aber noch die Möglichkeit bestehen, ein paar Daten zu sichern.

Die Umgebungsvariable temp vor dem Start der mwav.exe zu setzen ist eine gute Idee. Bei einem Start des ganzen aus einer Batchdatei heraus muss man sie nicht mal zurücksetzen, da mit dem Ende der Batchdatei die ausführende cmd.exe beendet wird und die Umgebung damit weg ist. Das ermöglicht es im richtigen abgesicherten Modus zu scannen (dem ohne Netzwerktreiber). Netzwerktreiber werden öfter gepatcht oder ausgetauscht, so werden die dann vom Scan miterfasst.

Laden und updaten ungefähr so (ungetesteter Beispielcode, der voraussetzt, dass mwav.exe erreichbar ist):

Code: Alles auswählenAufklappen

ATTFilter

%systemdrive%
cd \
if not exist c:\bases mkdir bases
set temp=c:\bases
mwav.exe
         

Am einfachsten vermutlich die mwav.exe in das Hauptverzeichnis speichern zu lassen. In den extrem seltenen Fällen, in denen ein eingeschränktes Konto benutzt wird, funktioniert das aber nicht, da dort dann kein Schreibrecht gegeben ist. Ca. 99,9% aller Benutzer arbeiten aber durchgehend mit Administratorrechten. Ist an den HijackThis Logs zu erkennen, bei eingeschränkten Rechten würden diverse Prozesse nicht angezeigt, z.B. winlogon.exe und services.exe.

Dein Einwand mit dem abgesicherten Modus leuchtet mir ein. %temp% würde ich trotzdem ganz gerne dirket nach dem Entpacken von eScan wieder zurücksetzen, damit nicht jede x-beliebige Anwedung in das Verzeichnis schreibt während das Update läuft und die Optionen gesetzt werden.

Gruß

Marc

Hallo Marc,

Den Vorschlag mit dem Temp-Ordner find ich gut, und meiner Meinung nach hat KarlKarl bereits eine schlanke Lösung angeboten. Wenn ich nicht totales Blech erzähle, gilt das "temporäre" Setzen von %temp% im Rahmen der Batch nur für mwav. Andere Anwendungen bleiben von dieser Umgebung unberührt und schreiben imho nicht in dieses Verzeichnis.

Bei der boot.ini habe ich auch Bauchschmerzen, da man nicht weiß, was auf infizierten Kisten so läuft. Die F8-Taste sollte noch jeder finden.

Zitat:

in der Registry den Code für die richtigen Scanoptionen eintragen (danke trendmicro für dieses bescheuerte Binärcodesystem)

Möchtest du Registry-Einträge setzen, anstelle dass der TO die Häkchen setzt?

Zitat:

* Die Update-Konfiguration ändern und dann die download.exe starten um escan zu updaten

Jaja, es scheint ein Graus mit dem Update zu sein, ich habe das Programm eine Weile nicht mehr benutzt und damals z.T. die Signaturen von KAV manuell geladen. Welche konkreten Vorstellungen hast du bei einer Änderung? U.U. könnte es lizenzrechtliche Probleme geben.

Mein Senf, Gruß ordell

Zitat:

Zitat von ordell1234

Möchtest du Registry-Einträge setzen, anstelle dass der TO die Häkchen setzt?

Exakt. Damit ist sichergestellt, dass der User keinen Blödsinn baut (z.B. kein Scan only etc).

Zitat:

Welche konkreten Vorstellungen hast du bei einer Änderung?

Inhalt der Datei httpsite.txt wie folgt ändern:

Zitat:

http://update6.mwti.net/pub/update
http://update5.mwti.net/pub/update
http://update4.mwti.net/pub/update
http://update3.mwti.net/pub/update
http://download1.mwti.net/pub/update

Der eigentlich primäre Updateserver packt es nicht und das Wechseln der Updateserver (dafür ist die httpsite.txt wohl gedacht) scheint nicht zu funktionieren. Ob die Änderung genommen wurde, kann man nach einem Updateversuch in der Datei Download.log überprüfen (bei mir hatte eScan beim ersten Versuch noch den eigentlichen Primärserver verwendet).

Zitat:

U.U. könnte es lizenzrechtliche Probleme geben.

Das kann sein, aber es ist für eScan keine gute Werbung, wenn das Update partout nicht funktioniert. Ich werde wohl mal nachfragen, kann mir aber nicht vorstellen, dass es da Probleme gibt.

Gruß

Marc