Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Festplattenplatz schwindet unerklärlich - Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.03.2008, 00:55   #1
comtom
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Hallo,
ich benutze mein Notebook intensiv, vor allem auch zum Aufzeichnen und Bearbeiten von TV-Filmen (über SAT-TV bzw. manchmal auch über DVB-T). In der letzten Zeit mache ich die unangenehme Feststellung, dass der Speicherplatz wesentlich stärker abnimmt, als die aufgezeichneten mpg-Files beanspruchen. Auch die Startzeit des Notebooks ist sehr langsam.
Benutztes Notebook: Dell Inspiron 1720, Vista 32 Bit Home Premium, Intel Core 2 Duo CPU T7300, 2GHz, 2GB RAM, 2*500GB HDD
Ich habe einen Scan mit eScan durchgeführt, der über 7 Stunden dauerte. Bei der Ausführung der find.bat traten Fehler auf. Die ersten konnte ich noch lösen, aber bei der Statistikerstellung kam ich nicht weiter. Es kommt die Meldung im Bereich "Scanning Stats": ' "&" kann syntaktisch an dieser Stelle nicht verarbeitet werden.' Dies passiert bei Ausführen von 'for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)'
IceSword verabschiedete sich mit Initialisation error, was mich auch nicht gerade beruhigte.
Könnt ihr mir helfen, wie ich die find.bat zum Laufen kriege? Ich glaube, mich an die Anleitung von Myrtille vom 12. 3.2008 gehalten zu haben. (beim Ermitteln der Installationssprache hatte ich die beiden &nbsp entfernt, woraufhin diese Klippe überwunden wurde)
Die find.txt (die von mir verwendete find.bat) und die HiJackThis.txt sende ich als Anhang mit. Die escan-neu.txt war zum Hochladen zu groß. Wäre toll, wenn ihr mir helfen könnt,
comtom
-----------------------
Angehängte Dateien
Dateityp: txt find.txt (13,0 KB, 319x aufgerufen)
Dateityp: txt hijackthis.txt (11,2 KB, 333x aufgerufen)

Alt 27.03.2008, 08:13   #2
Vista_User
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Lade das bei www.virustotal.com hoch und poste das Ergebnis:

C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
__________________


Alt 27.03.2008, 09:38   #3
comtom
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Danke für die schnelle Antwort. (Ich arbeite normalerweise mit firefox)
Hier das Ergebnis der search.html Analyse:

Datei search.html empfangen 2008.03.24 20:26:05 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.25.0 2008.03.24 -
AntiVir 7.6.0.75 2008.03.24 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.24 -
AVG 7.5.0.516 2008.03.24 -
BitDefender 7.2 2008.03.24 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.24 -
DrWeb 4.44.0.09170 2008.03.24 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.24 -
FileAdvisor 1 2008.03.24 -
Fortinet 3.14.0.0 2008.03.24 -
F-Prot 4.4.2.54 2008.03.23 -
F-Secure 6.70.13260.0 2008.03.24 -
Ikarus T3.1.1.20 2008.03.24 -
Kaspersky 7.0.0.125 2008.03.24 -
McAfee 5258 2008.03.24 -
Microsoft 1.3301 2008.03.24 -
NOD32v2 2968 2008.03.24 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.24 -
Prevx1 V2 2008.03.24 -
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.24 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.24 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.24 -
Webwasher-Gateway 6.6.2 2008.03.24 -
weitere Informationen
File size: 747 bytes
MD5: 9e46af9ec78ce778ecc46cbac1d258d8
SHA1: 21cfde82a2156ee114d17e6b6c2940ed56610d11
PEiD: -
__________________

Alt 27.03.2008, 10:34   #4
myrtille
/// TB-Ausbilder
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Ich seh das Problem nicht.

Ersetz die Zeile:
Zitat:
for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)
Mal durch:
Zitat:
for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul| echo %%i%LOG%)
Ich bin derzeit windowslos, und kanns daher nicht testen... würd mich über feedback freuen.

lg myrtille

Alt 27.03.2008, 12:04   #5
comtom
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Hi Myrtille,
Ich habe die geänderte Anweisung eingebaut. Das Ergebnis ist im Prinzip dasselbe, nur kommt die Meldung "& kann syntaktisch an dieser Stelle nicht verarbeitet werden" jetzt mehrfach, und am Schluss erreicht das Script noch den Part "Writing Options", wo die Meldung ein weiteres Mal kommt.
Dieselbe Meldung hatte ich ja auch schon bei der Section "Determing Language", wo ich dann die beiden Variablen &nbsp entfernt habe, in denen das & ja vorkommt. Wenn ich das an der Stelle richtig verstehe, erwartet er vor einem else keine bloße Variable oder kann unter Vista damit nichts anfangen. Allerdings kenne ich diese Scriptsprache auch gar nicht. Könnte es sein, dass solche Variablen dann auch in den eingebundenen Dateien auftauchen und falsch interpretiert werden?
LG Thomas


Alt 27.03.2008, 12:53   #6
myrtille
/// TB-Ausbilder
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Hätte mich auch gewundert.

"&nbsp" ist vereinfacht gesagt ein Leerzeichen. Das sollte im Text gar nicht so dargestellt auftauchen.
Ich vermute mal es handelt sich dabei um ne Formatfrage...


Passiert das auch wenn du den Text abkopierst und in ne Textdatei einführst: (dann als irgendwas.bat abspeichern und ausführen. )
Code:
ATTFilter
@echo off

REM Version 2008.03.12

REM

REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.

REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.

REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,

REM freiwilligen sowie unfreiwilligen Tester.



REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.

REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.

REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind

REM nicht gestattet.

REM 

REM Marc Manske, April 2007





REM *********************************************************************************

REM 0. Macht die Arbeit etwas einfacher

REM *********************************************************************************

REM

REM Die Startzeit wird übergeben

REM %LOG% erleichtert das Tippen und verbessert den Überblick

REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:

REM 1: Anzeige aller Scans

REM 2: Anzeige mit Datum und Zeit in jeder Zeile

REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile

REM Der Paramter wird an %MODUS& übergeben.

:INITIAL

set TIMESTART=%TIME%

set wd=%systemdrive%\escan

set LOG=^>^> "%wd%\bases_x\eScan_neu.txt"

set MODUS=%1

set linecnt=1





REM *********************************************************************************

REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.

REM *********************************************************************************

REM

REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.



REM Die Umgebungsvariable %OS% abgefragt.

:OS



cls

echo.

echo.

echo [XX______________________]

echo.

echo Checking OS ...



    IF "%OS%"=="Windows_NT" goto srchwd

    IF "%OS%"=="" goto wrngos



REM *********************************************************************************

REM 2. Verarbeitung des Scanreports

REM *********************************************************************************



REM 2.0.1 Log-Datei (mwav.log) wird gesucht    

REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.

REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 

REM wird diese umbenannt.



:srchwd

    %systemdrive%

    cd\

    dir /A %systemdrive% | findstr /i "escan"

    if %errorlevel% equ 0 goto srchlog 

    mkdir %wd%\bases_x

    goto cp2wd

    :srchlog

    dir %wd%\bases_x | findstr /i "mwav.log"

    if %errorlevel% equ 1 goto cp2wd

    ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"



REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.

:cp2wd



cls

echo.

echo.

echo [XXXX____________________]

echo.

echo Copying mwav.log ...



    dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log

    set /P FILE=<%wd%\bases_x\tmp.log

    copy "%FILE%" %wd%\bases_x\



REM 2.0.2 Installationssprache wird ermittelt

REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 

REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 

REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.



:getlang



    cls

echo.

echo.

echo [XXXXXX__________________]

echo.

echo Determing language ...



reg query HKCR\eut /v "Language" > nul

for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i

    if "%eLang%"=="German" (

    goto germpath 

   &nbsp else (

    goto wrnglang

   &nbsp



REM *********************************************************************************

REM *********************************************************************************

REM 2.1 Deutschsprachiger Pfad

REM *********************************************************************************

REM *********************************************************************************

    :germpath



cls

echo.

echo.

echo [XXXXXXXX________________]

echo.

echo Cleaning log ...



REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 

REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.



if "%MODUS%"=="1" goto gmode1

if "%MODUS%"=="2" goto gmode2

if "%MODUS%"=="3" goto gmode3



for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log ^|findstr ^[0-3]') do (echo%%j >> %wd%\bases_x\mwav_clean.log)

for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %wd%\bases_x\mwav_clean.log') do set linecnt=%%i

more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log



goto gstart



:gmode1

for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log') do (echo %%i >> %wd%\bases_x\mwav_cut.log)

goto gstart



:gmode2

findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_clean.log

for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %wd%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i

more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log

goto gstart



:gmode3

findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_cut.log



REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.

REM Versionsnummer der find.bat

REM OS-Version: per ver 

REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)

REM Im normalen Modus ist SBO nicht gesetzt.

REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.

REM Programmversion: wird aus HKCR\eut gelesen

REM Sprache: wurde bereits bestimmt (:getlang)

REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log

REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste

REM Eintrag) wird ins Log geschrieben. 



:gstart



    cls

echo.

echo.

echo [XXXXXXXXXX______________]

echo.

echo Writing header ...



    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt

    echo Header %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo find.bat Version 2008.03.07 %LOG%

    ver %LOG%

    findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG%

    if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%

    echo. %LOG% 

    for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i

    if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j)

    echo eScan Version: %eVersion% %LOG%

    echo Sprache: %eLang% %LOG%

    for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log)

    more %wd%\bases_x\tmp.log %LOG%

    echo. %LOG%





REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.

REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.

REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 

cls

echo.

echo.

echo [XXXXXXXXXXXX____________]

echo.

echo Reported infections ...



REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.



    cls

echo.

echo.

echo [XXXXXXXXXXXXXX__________]

echo.

echo Reported files ...



echo. %LOG%

echo. %LOG%

echo ~~~~~~~~~~~ %LOG%

echo Dateien %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Infected files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Tagged files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Offending files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG%



REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXX________]

echo.

echo Reported folders and entries ...



    echo ~~~~~~~~~~~ %LOG%

    echo Ordner %LOG%

    echo ~~~~~~~~~~~ %LOG%

    findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%

    echo ~~~~~~~~~~~ %LOG%

    echo Registry %LOG%

    echo ~~~~~~~~~~~ %LOG%

    findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG%



REM 2.1.5 Deutsch: Diverses

REM Meldungen über laufende Prozesse und Scanfehler

REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen

REM 2. Schritt: Einfuegen der Liste in das log



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXX______]

echo.

echo Misc entries ...



echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs

echo Dim strComputer, strList>>%wd%\prclst.vbs

echo strComputer ^= ".">>%wd%\prclst.vbs

echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs

echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs

echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs

echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs

echo Next>>%wd%\prclst.vbs



echo. %LOG%

echo. %LOG%



    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo Diverses %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo laufende Prozesse - commandline %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    cscript %wd%\prclst.vbs //nologo %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo Scanfehler %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo Hosts-Datei %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i

    echo DataBasePath: %hostloc% %LOG%

    echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log

    echo Zeilen die nicht dem Standard entsprechen: %LOG%

    findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG% 



REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXX____]

echo.

echo Scanning stats ...



    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo Statistiken: >>%wd%\bases_x\eScan_neu.txt

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)    



REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.



cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXX__]

echo.

echo Writing Options ...



    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    echo Scan-Optionen %LOG%

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

    findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log

    for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)





REM *********************************************************************************

REM *********************************************************************************

REM 3. Abschluss 

REM *********************************************************************************

REM *********************************************************************************



REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.

:end

    cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXXXX]

echo.

echo Cleaning up ...





del %wd%\bases_x\tmp.log

del %wd%\bases_x\mwav_clean.log

del %wd%\bases_x\mwav_cut.log

del %wd%\prclst*

echo. %LOG%

echo Batchstart: %TIMESTART% %LOG%

echo Batchende: %TIME% %LOG%





REM 3.2 Abschluss: Status wird angezeigt

cls

    echo.

    echo.

    echo Auswertung beendet.

    echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.



REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet

    start notepad %wd%\bases_x\eScan_neu.txt 

    exit



REM 4.1 Abbruch: Falsches Betriebssystem

:wrngos

cls

    color 04

    echo.

    echo Ihre Windowsversion wird nicht unterstützt.

    echo Die Stapelverarbeitung wird abgegbrochen.

    echo.

    pause

    exit



REM 4.2 Abbruch: falsche Installationssprache

:wrnglang

cls

color 04

    echo.

    echo Fehler bei der Ermittlung der Installationssprache!

    echo. 

    echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 

    echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 

    echo.

    echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um

    echo die Sprache bei eScan zu ändern.

    echo.

    echo Die Stapelverarbeitung wird abgebrochen.

    echo.

pause

exit
         
Ansonsten meld ich mich deswegen heute abend nochmal.

lg myrtille

Alt 27.03.2008, 13:18   #7
comtom
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



na, ich vermute mal, dass es dich auch nicht wundert, dass das Ergebnis exakt dasselbe ist wie vorher. Ich kenne &nbsp aus HTML. Allerdings weiß ich auch nicht , wie der Batchprozessor die Sequenz
if "%eLang%"=="German" (

goto germpath

&nbsp else (

goto wrnglang

&nbsp
interpretieren soll, die in der Section determing Language drin steht. Ok, das Problem hatte ich ja durch Löschen der beiden &nbsp Einträge "behoben".

Was genau macht dann eigentlich
for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)
?

Alt 27.03.2008, 13:30   #8
myrtille
/// TB-Ausbilder
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Die Zeile soll eigentlich die Statistiken raussuchen, also folgende Zeilen:
Zitat:
Zahl der gescannten Objekte: 75810
Zahl der kritischen Objekte: 4
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 26
Zeit verstrichen: 01:10:38
rausfiltern.

Wenn die find.bat ohne die Zeile durchläuft kannst du ja vorerst mal das Log so posten und dann die Statistiken hinzufügen (stehen am Ende des Scans).
Ich werd daheim dann mal testen.

lg myrtille

Alt 27.03.2008, 17:51   #9
comtom
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Sorry myrtille,
du hast so schnell geantwortet, damit hatte ich nicht gerechnet. Dasselbe Problem mit derselben Fehlermeldung taucht jetzt beim Statement " for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)
" auf. Das andere Statement hatte ich auskommentiert.
LG, Thomas

Alt 27.03.2008, 19:12   #10
myrtille
/// TB-Ausbilder
 
Festplattenplatz schwindet unerklärlich - Trojaner? - Standard

Festplattenplatz schwindet unerklärlich - Trojaner?



Ok.
Ich hab die &nbsp jetzt auch gefunden. Peinlich das.

Die &nbsp müssen durch eine schließende Klammer ersetzt werden, das hast du sicher schon gemerkt.

Allerdings kann ich den Fehler danach nicht reproduzieren. Zumindest nicht mit der runtergeladenen Version.
Ich editier gleich noch was rein, sollte ich mit deiner angehängten Version weiterkommen.

EDIT: Ich kann die Meldung nicht reproduzieren. Ich habe leider kein Vista und die find.bat wird daher auch nur bedingt unterstützt... Eigentlich gibt es jedoch keinen wirklichen Grund, dass dies nicht funktioniert. Wenn mir noch was einfällt, meld ich mich nochmal.

lg myrtille

Antwort

Themen zu Festplattenplatz schwindet unerklärlich - Trojaner?
32 bit, 500gb, anhang, anleitung, aufzeichnen, ausführung, bereich, cpu, dell inspiron 1720, ellung, entfernt, error, escan, fehler, festplatte, finds, hijack, home, home premium, intel, meldung, notebook, platte, ram, scan, scanning, speicherplatz, trojaner, trojaner?, vista, vista 32, vista 32 bit



Ähnliche Themen: Festplattenplatz schwindet unerklärlich - Trojaner?


  1. PC Leistung schwindet kontinuierlich. (Möglicher Virus)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2014 (4)
  2. PC Leistung schwindet kontinuierlich. (Möglicher Virus)
    Mülltonne - 01.03.2014 (0)
  3. Iminent auf Windows 7 unerklärlich installiert. Deinstallation nicht möglich...
    Log-Analyse und Auswertung - 28.10.2013 (13)
  4. [IMINENT] Browser befallen, Programm unerklärlich auf Computer installiert
    Plagegeister aller Art und deren Bekämpfung - 14.10.2013 (5)
  5. BSOD bei winXP, unerklärlich
    Alles rund um Windows - 24.07.2012 (3)
  6. svchost.exe und unerklärlich hohe RAM-Auslastung (99%)
    Log-Analyse und Auswertung - 05.04.2012 (7)
  7. Datentransfer unerklärlich????
    Mülltonne - 14.11.2008 (0)
  8. Pc unerklärlich langsam im Internet
    Log-Analyse und Auswertung - 13.12.2007 (0)

Zum Thema Festplattenplatz schwindet unerklärlich - Trojaner? - Hallo, ich benutze mein Notebook intensiv, vor allem auch zum Aufzeichnen und Bearbeiten von TV-Filmen (über SAT-TV bzw. manchmal auch über DVB-T). In der letzten Zeit mache ich die unangenehme - Festplattenplatz schwindet unerklärlich - Trojaner?...
Archiv
Du betrachtest: Festplattenplatz schwindet unerklärlich - Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.