eScan-Anleitung und find.bat
 

Es war ja schon einmal im Gespräch, die eScan-Anleitung etwas zu kürzen. Bei der Gelegenheit, habe ich mich noch an der find.bat vergriffen.

Die eScan-Anleitung

Ich habe die Anleitung von Cidre verkürzt. Sie soll Cidres Anleitung nicht ersetzen, sondern eher bei ONUs eingesetzt werden. Ich poste sie hier mal, damit darüber diskutiert werden kann. Insbesondere der Punkt mit dem Update im abgesicherten Modus ist diskussionsverdächtig. Ich habe das deswegen so gestaltet, damit der User möglichst wenig klicken, kopieren bzw frickeln muss.

1. Das Programm herunterladen, Die Datei zum Auswerten herunterladen
2. In den abgesicherten Modus mit Netzwerkunterstüzung! wechseln.
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
.
http://www.cidres-security.de/picture/eScan.gif
.
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan anklicken
8. Eventuelle Funde mit einem Klick auf OK bestätigen.
.
.
http://www.cidres-security.de/picture/escan-lic-4.jpg
.
.
9. Nach Beendigung des Scanvorgangs das Programm beenden.
10. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
11. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.

find.bat

An der find.bat habe ich kleine Änderungen vorgenommen:

1. Die deutsche Sprache wird jetzt auch unterstützt
2. Kleiner Header eingefügt, der die Programmversion sowie das Datum der letzten Aktualisierung angibt
3. Optionen anghängt: die Scaneinstellungen werden nun auch angegeben
4. Am Ende wird die escan_neu.txt automatisch mit notepad geöffnet

Punkt 2 ist etwas kritisch, da die Angaben im Log mehrfach vorkommen und deswegen auch im Header mehrfach auftauchen. Sollte jemand eine Möglichkeit kennen, Mehrfachfunde nur ein Mal auszugeben: her damit!
Die geänderte Version könnt Ihr hier herunterladen, um sie zu testen und zu überprüfen.

Das letzte Wort bei der find.bat hat natürlich Haui.

Damit ist die Diskussion zur Anleitung sowie zur find.bat eröffnet. Kritik erwünscht.

Gruß

Marc

Edit:

Beispiele für Header und Such-Optionen:

Du kannst mit der Datei machen was du willst. :)
Mir fehlt u.a. einfach die Zeit mich weiter darum zu kümmern, wenn du sie also verbessern willst, nur zu.
Ich kann sie natürlich weiterhin auf dem Webspace liegen lassen, das ist kein Problem. Schick mir einfach eine kurze PN, wenn du eine aktualisierete Fassung hast.


BTW:

• Erwähnt werden sollte m.E. noch, dass die Prozedur so natürlich nur für WinXP/2k-Nutzer funktioniert.
• Ich hab mir kürzlich die aktuelle Version von eScan heruntergeladen und es gibt wohl wieder die Möglichkeit, infizierte Files umbenennen zu lassen.

Meine Mädels mussten eben als ONUs testweise die Anleitung ausführen.

Hat gut funktioniert, bis auf diese Meldung.

Eine reicht Dir wohl nicht... :D

Ging es danach weiter?


Ein Problem konnte ich lokalisieren:

Im abgesicherten Modus funktioniert die LAN-Verbindung, aber anscheinend kein PPPoE. Kann das jemand bestätigen?

Wie wäre das zu umschiffen?

Download und Update von eScan über den Adminaccount?
Das Problem ist ja folgendes:
eScan entpackt sich in %TEMP%. Die Updates wandern ebenso in %TEMP%. Ein Update mit einem anderen Account als mit dem, der im abgesicherten Modus verwendet wird, würde nicht viel Sinn machen.

Nö, eine reichte nicht.http://img258.imageshack.us/img258/9905/devilred4ry.gif

Ja, lief problemlos durch.

Hi,

im wesentlichen besteht die find.bat aus mit Pipes verketteten Aufrufen von findstr. 'findstr /i "aktiviert"' taucht zum Beispiel in 6 Zeilen auf, in zwei weiteren ohne "/i" (Absicht ?). Man könnte die Laufzeit verbessern wenn man einmal die Ausgabe in einer Datei auffängt und die dann in den anderen Zeilen für eine Eingabeumleitung benutzt. Laufzeitrelevant sind vor allen Dingen die Zeilen, in denen der erste findstr-Befehl über die komplette mwav.log läuft. Zur Verdeutlichung mal ein Ausschnitt:
Dies wird dadurch unterstützt, da zwei verkettete findstr-Befehle getauscht werden können:
erzeugt denselben Output wie
Falls ich richtig gezählt habe macht die neue Version 39 Durchläufe mit findstr durch die komplette mwav.log. "Zwischendateien" erzeugt für die Strings "aktiviert", "abled", "virus", "file" und ein paar mehr sollten das auf unter die Hälfte bringen können. Ok, vielleicht spielt Laufzeit hier auch nicht so die Rolle, aber dann ist es freundlich, ab und wann den Anwender mit einem echo-Befehl wissen zu lassen, das was vorangeht. Gerade in diesem Bereich liegen die Nerven oft sehr blank und würden dadurch etwas geschont.

Was die mehrfachen Versionszeilen angeht, sollte sowas gehen:
(Bei Linux würde ich "tail -n 1" nehmen, manchmal frage ich mich doch ob Windows das verkehrte Betriebssystem ist :rolleyes: )

Die bisherige Version läuft auch nicht auf älteren Betriebssystemen, habe gerade mal Windows 98 aus der Ecke gezogen. Kein findstr-Befehl, keine Variable %systemdrive%, "set /p" geht auch nicht. Da wäre es ganz sinnvoll, ganz zu Anfang die Version zu prüfen, ob in der Umgebungsvariablen OS Windows_NT steht.


Schließlich läßt sich der als Ziel des entpackens benutzte Ordner steuern:
und schon landet es in C:\bases_x (setzt natürlich voraus, daß es den auch gibt).

Die markierte Stelle hatte ich glatt überlesen. Leider.

Die find.bat soll eScan nicht starten, sondern wirklich nur das Log auswerten


Neue Version:
File-Upload.net - Ihr kostenloser File Hoster!

Gruß

Marc

Da bin ich wirklich etwas sehr zwischen den Themen gesprungen. Natürlich ist der Start der mwav.exe was anderes als die Auswertung des Logs. Ich meinte die beiden oben geschriebenen Befehle von cmd.exe aus ausführen zu lassen um das auspacken in den richtigen Ordner zu zwingen.

Die temporär angelegte version_strings.log sollte am Ende auch noch gelöscht werden.

So, die letzten Schweinereien in der find.bat habe ich jetzt bereinigt. Ich fasse mal zusammen:

• die deutsche Sprache wird unterstützt
• es wird geprüft, ob eine NT-Variante läuft
• einige Pipes wurden durch Umleitungen in eine temporäre Dateien ersetzt
• Scan-Optionen wurden an den Bericht angehängt
• alles landet nun in %systemdrive%\bases_x
• ein paar Sprunganweisungen eingefügt, sowie kleinere Änderungen vorgenommen
• Header mit Versionsnummer und OS-Version
• User wird informiert was gerade läuft

An der Stelle ein Dankeschön an KarlKarl für seine Mithilfe und an Cad und seinen Harem für die ersten Tests.

Die neueste und wohl vorläufig letzte Fassung der find.bat gibt es hier:
File-Upload.net - Ihr kostenloser File Hoster!


Vielleicht erklären sich ja noch ein paar Leute bereit, Tests mit englischer als auch deutscher Spracheinstellung zu machen. Verseuchte PCs sollte es ja genug geben :D

http://www.smileyarchiv.net/durchein...staunt0061.gif

Mädels bitte mit Töchtern übersetzen und statt seinem bitte Ihre.

http://www.schildersmilies.de/schilder/tot.gif

Gruß Petra

Ein klassischer Fall von knapp daneben ist auch vorbei. :o


So, ich habe jetzt die Anleitung etwas angepasst. Kommen innerhalb der nächsten 24 Monate keine Beschwerden, Anregungen oder sonstwas gehen die Anleitungen ungeändert an GUA und die find.bat an Haui.

Kurzanleitung eScan: User mit Router

Kurzanleitung eScan: User ohne Router (<= kann für alle Anwender verwendet werden)

Bei der "Ohne-Router-Anleitung" steht notepad %systemdrive\bases_x\escan_neu.txt, aber es müsste wohl %systemdrive% heißen.

Äh, nein, weil die neue find.bat gerade auf dem Weg zu Dir ist (ich dachte es sei besser alle Dateien in %systemdrive%\bases_x zu werfen).

Es fehlt das zweite "%"-Zeichen.
Das wollte ich damit ausdrücken. ;)

Geändert.

Gruß

Marc

Edit:

Die find.bat wurde von Haui inzwischen ausgetauscht.

Hi,

mir ist eben aufgefallen, dass MWAV eScan nun eine Bereinigungsfunktion hat! :eek:
Ich mein, dass ist sicherlich nicht so verkehrt, aber ärgerlich wenn es ein False-Positive ist und eine Datei ohne Rückfrage löscht, besonders schlimm wenn es in Mailboxdateien einen Virus findet und gleich den ganzen Container löscht... :schmoll:
Außerdem lassen sich im Zweifelsfall gelöschte Dateien nicht mehr bei Virustotal auswerten. :(

Das lässt sich aber auch unterdrücken, ist in manchen Fällen ja wünschenswert. Man kann nun den Haken bei "scan only" setzen oder wegnehmen.
Ich denke das ist ein Hinweis in der neuen Anleitung zu eScan wert.

Ich bin mal so frei, mich selbst zu zitieren. ;)
Siehe oben - die Dateien werden umbenannt - iirc in "alter.Dateiname.REN".

Oh sorry, das hab ich überlesen... :schmoll:

Edit: Ich hab MWAV mal über einen Ordner mit Malware vollgestopft drüberlaufen lassen. Tatsächlich ist es so, dass auch Dateien gelöscht werden.
Kann das eingestellt werden, dass der Dateien nur umbenennt? :confused:

Scheint so zu sein, ich hatte es damals nur mit dem Eicar-Testfile getestet, das wurde umbenannt...

Den Haken bei Scan Only setzen. ;)

Stimmt, hast ja recht! :D

Die ganze Aufregung ist eigentlich umsonst, siehe hier & hier.

Ach danke für den Hinweis. Hab die Seite nicht gesehen, ich zieh mir die mwav.exe immer über FileZilla von ftp.microworldsystems.com.

Ich lasse mir die mwav.exe auch immer automatisch holen & installieren (ich bin faul und der beschriebene Weg ist doch ziemlich langwierig). ;)

Ich las nur per Zufall o.g. Thread & da steht es ja auch.

Vor der Option, die gefundenen Sachen auch gleich entfernen zu lassen, kann ich beim Escan auch nur warnen, die Rate der Falscherkennungen ist entschieden zu hoch. Gerade bei den als "offending" gemeldeten Sachen sind serienweise Fehlalarme. Es sieht wohl so aus, daß er da einfach auf Namen von Objekten in Dateisystem und Registry schaut. Beispiele:

AOL-Benutzer haben oft einen Ordner "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024", der wird als "smitfraud Browser Hijacker" gemeldet. Vor längerer Zeit gab es mal eine Smitfraudvariante, die in system32 einen Ordner "1024" anlegte. Gerade dieser Tage auf einem Usersystem in einem anderen Forum passiert, da hat er auch ein paar Einträge aus der Registry gelöscht, die in einem frisch installierten garantiert sauberen WIndows bereits vorhanden sind.

Ich hatte mal auf meinem Desktop einen Ordner "Emule". Auf dem System ist nie ein Emule oder sonstiger P2P installiert gewesen, der Ordner enthielt einfach technische Dokumente, die u.a. mit Emule zu tun hatten. Auch der wurde als offending erkannt und wäre weg gewesen :headbang:

Ich schätze Escan sehr, aber nur als Analysewerkzeug. Das Log muß man sich dananch gründlich anschauen und dann entscheiden, was davon wie entfernt wird.

Karl, genau sowas meinte ich. Als Analysetool ist MWAV eScan wirklich schon gut, aber KEIN Virenscanner sollte ungefragt eine verdächtige Datei oder Registryeintrag einfach mal so löschen. Besser wäre die Einstellung auf Scanonly oder wenn nicht, dass alle Dateien grundsätzlich umbenannt werden.

So, habe in den Anleitungen die Bilder ausgetauscht:

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen, Die Auswertedatei herunterladen
2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img254.imageshack.us/img254/5...avsetupiq6.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only anklicken
8. Eventuelle Funde mit einem Klick auf OK bestätigen.
9. Nach Beendigung des Scanvorgangs das Programm beenden.
10. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
11. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt

http://img181.imageshack.us/img181/1...account1kh.jpg

2. Das Programm herunterladen, Die Auswertedatei herunterladen
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img254.imageshack.us/img254/5...avsetupiq6.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10.Scan anklicken
11.Eventuelle Funde mit einem Klick auf OK bestätigen.
12.Nach Beendigung des Scanvorgangs das Programm beenden.
13.Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
14.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.

HI
hab alles genau so gemacht wie beschrieben ...
aber das ystem kann den angegebenen pfad nicht finden ????

habe aber auf c: einen pfad bases_x ...
aber auch das eingegeben im cmd fenster nach systemdrive% bringt die selbe fehlermeldung ???

gruß Funky

Obwohl, die Aussage macht mich stutzig, genau übersetzt heisst es nämlich:
Soll das heissen, das die versionen danach, weiter viren entfernen, also alle versionen die vor dem 15Feb. releasen, entfernen Viren und werden es auch in zukunft tun?!
Verwirrend...

OK, bevor die Anleitung jetzt an GUA rausgeht, wollte ich von Euch wissen, ob es Verbesserungsvorschläge für die Anleitung oder die Batchdatei gibt? Wie sind die Erfahrungen mit den Usern? Bekommen die das gebacken?

Gruß

Marc

Also die Anleitung ist prima!

Mir sind noch ein par Sachen aufgefallen:

-Ein User hatte Probleme die verlinkte Anleitung zum abgesicherten Modus zu verstehen, weil dort nur vom abgesicherten Modus, nicht vom abg.M. mit Nw. Unterstützung die Rede ist. Einfach ausprobieren ist einigen wohl fremd..

-Ich selbst hatte auf dem Pc meiner Mum folgendes Problem:
Habe einen scan mit MWAVE gemacht (scan only weil ich Smitfraudfix auf dem Rechner hatte und dieses ja sonst komplett aufgeduselt und zerstört wird.). Als MWAVE die Datei öffnen wollte hat AntiVir (noch aktiv da vorher scan gemacht) den Zugriff verhindert und der Rechner ist abgeschmiert.. ^^.
Fazit: Eine Fw oder Av scanner sollten unbedingt deaktiviert werden bevor ein eScan durchgeführt wird. Ich weiss, im abgesicherten Modus werden sie eigentlich nicht mit gestartet aber viele User starten sie dann manuell.Oder machen halt wie ich vorher einen scan..

-Dann scheint mir die neue Version der find.bat noch nicht in der Anleitung zu sein oder? Denn im Header eines Users erscheinen diese tollen Zusatzinformationen nicht..
Kann auch sein, dass ich da grad, was verpeile..

Liebe Grüsse und nochmaliges Lob für die Anleitung.

Undoreal

Hallo,
nach meiner Meinung scheint das sehr viel besser zu funktionieren.
Es kommen sehr viel weniger Rückfragen bezüglich EScan und meist auch korrekte Log`s.
So lassen und rüber damit in die FAQ-Sektion.....
Irrlicht

Ich schaue mal, ob ich einer bessere Anleitung dafür finde.

Werde es mit aufnehmen.

Kann eigentlich nicht sein. In beiden Anleitungen steht http://home.arcor.de/haui.45/Download/Find.zip als Downloadadresse und dort habe ich auch die richtige Datei gefunden. Manchmal schiebt es aus nicht geklärten Gründen noch eine Randomzeile in den Header, aber ich aber ehrlich gesagt keine Lust der Sache weiter auf den Grund zu gehen.


Danke für das Feedback.

Gruß

Marc

Edit:

Diese Drecksbtach braucht wohl doch ne Überarbeitung. Ich hab jetzt schon 2 Logs gesehen, bei den der Statistik und Optionsteil fehlt und jedes Mal mit der Zeile
endet.

Ein sehr unerfreulicher Nachschlag zum Escan:

Seit einiger Zeit hat er eine sehr seltsame Eigenschaft. Es reicht bereits aus, ihn zu starten und ein Update zu machen ohne danach zu scannen. Dann legt er folgende Ordner an (sind wirklich Ordner, und zwar leere):

C:\Windows\logo1_.exe
C:\Windows\rundl132.dll
C:\Windows\rundll16.exe
C:\Windows\zts2.exe

C:\Windows\system32\iifgfgf.dll
C:\Windows\system32\vcmgcd32.dll

Immerhin behauptet er wenigstens nicht, diese "Malware" dann auch noch zu finden ...

Könntet Ihr beim Auftreten dieser unerwarteten Abbrüche die User mal fragen, was für Spracheinstellungen sie gewählt hatten und ob sie beimEditieren nicht etwas weggeschnipselt haben?

Aber klaro.

http://www.trojaner-board.de/36890-l...-trojaner.html

Liebe Grüsse

Undoreal

Öhm, ja. Also in diesem Fall liegt kein Abbruch vor, sondern es fehlt lediglich die Überschrift "Scan-Optionen" (Grund ist bekannt und wird geändert). Aber trotzdem danke.

Also, das Problem mit den Abbrüchen habe ich lokalisiert:

Die betroffenen User waren wohl nicht in der Lage Deutsch oder Englisch als Sprache zu wählen. Sorry, aber dagegen bin ich machtlos (und ich werde weder hebräisch noch italienisch noch türkisch noch sonst irgendeine Sprachunterstützung einbauen).

Morgen kommen die endgültigen Fassungen der Anleitungen und der find.bat. Ich gehe davon aus, dass sie dann auch ab morgen in der FAQ-Sektion zu finden sein werden.

Da es bei Escan Änderungen im Logfile gibt bitte ich Euch, bis auf weiteres nur die englische Spracheinstellung zu verwenden!

Ich hoffe bis morgen die neue find.bat fertig zu haben.

An alle die jetzt unbrauchbare Logs in deutscher Sprache haben:
Ladet Eure mwav.log hier hoch und sendet mir den Downloadlink per PM oder postet ihn im Thread. Nur so kann ich die find.bat schnellstmöglich ändern. Danke.

Gruß

Marc

Außerdem wäre es (nach Änderung!) endlich an der Zeit die Anleitung, aus POST Nr.1 von Marc, in das Anleitungsforum zu verschieben!

Zumal sich die Überarbeitung der Anleitung hier im Board mehrfach bewehrt hat, sodass momentan jeder ONU sie ausführen bzw. abarbeiten kann! :Boogie:
Und das widerum bringt uns ein Stück nach vorne :o um so unseren ONU´s schneller zu helfen.

@Marc

Ich denke das ist auch in deinem Sinne... :party:

Gruß
Sunny

1. Die Anleitung aus Post Nr. 1 wollen wir sicherlich nicht verwenden ;)

2. Das Ding geht erst in die FAQ-Sektion wenn ich GUA bescheid gebe. Das habe ich bisher "etwas" verpennt. Nun allerdings muss ich dieses leidige Problem mit der geänderten Logsprache beheben, bevor das ganze rausgehen kann. Dafür brauche ich aber mindestens ein Log in deutscher Sprache mit Infektionen und Dateifunden habe atm keinen Testrechner hier). Ein Log in englischer Sprache wäre auch nicht schlecht (könnte ja sein, dass sich da auch etwas geändert hat).

Gruß

Marc

Jetzt kläre mich aber auf! :rolleyes:

Ich gebe ONU schon seit Wochen diesen Link -> eScan

Außerdem funktioniert doch alles? Oder?

Gut, wenn das so ist!?! ;) OK.

Sunny

Ach ja, da war doch was...
http://www.trojaner-board.de/35365-e...tml#post253248

So halbwegs.

Gruß

Marc

Nochmals der Hinweis:

Die Auswertung funktioniert atm nur mit Logdateien in englischer Sprache. Bitte sagt den Anwendern, dass sie bei eScan bei der englischen Sprache bleiben sollen
(bin an der find.bat dran; dauert aber mindestens noch bis heute Abend).

Gruß

Marc

Jawohl Sir... :D


Mach mal dein ICQ an Marc.. :zzwhip:

Der Downloadlink für die find.bat ist temporär folgender:
File-Upload.net - Ihr kostenloser File Hoster!

Ich benötige weiterhin Logs in deutscher Sprache, aber auch Logs in englischer Sprache. Ein deutsches Log habe ich, aber dort sind nicht alle notwendigen Einträge. Bei eScan hat sich einiges geändert weshalb ich auch die Teile für die englischsprachigen logs anpassen muss.
Sobald ich die notwendigen Logs habe ist alles recht schnell über die Bühne, nur momentan kann ich nichts machen.

Die aktualisierten Anleitung (Downloadlinks und Grafiken geändert) kommen gleich.

Edit:

eScan mit Router:
File-Upload.net - Ihr kostenloser File Hoster!

eScan ohne Router:
File-Upload.net - Ihr kostenloser File Hoster!

Für's Forum formatierte Versionen erstelle ich erst, wenn die find.bat steht.

Edit2:

Besteht die Möglichkeit, die find.bat hier auf dieser Domäne zu hosten?

Anmerkung: die find.bat ist atm noch nicht fertig. Die alte find.bat sollte aber soweit funktionieren. Bei Problemen bitte hier melden.

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden!
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only/ Nur Scannen anklicken
8. Nach Beendigung des Scanvorgangs das Programm beenden.
9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt
http://img181.imageshack.us/img181/1...account1kh.jpg

2. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden!
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10. Scan anklicken
11. Nach Beendigung des Scanvorgangs das Programm beenden.
12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.[/QUOTE]

@MightyMarc: Ich hab mal ein deutsches log erstellt (gekürzt, da sonst zu lang). Vllt. hilfts dir.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 16 21:29:42 2007 => Version 9.1.9
Mon Apr 16 21:54:16 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:54:38 2007 => Virus-Datenbank Datum: 4/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:30:25 2007 => System found infected with winfixer/errorsafe Adware ({06170642-fa65-4fb6-ac79-5f235cb99bc2})! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:18 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (drivecleaner 2006 free.lnk)! Action taken: Keine Aktion vorgenommen.
n Apr 16 21:31:19 2007 => System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with winfixer/errorsafe Adware (error safe.lnk)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (C:\PROGRA~1\DRIVEC~1\udc2006.xml)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 16 21:29:47 2007 => File C:\WINDOWS\system32\cbxxvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\ERRORS~1\UERScw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\GEMEIN~1\DRIVEC~1\sdrmon.exe markiert als not-a-virus:Downloader.Win32.WinFixer.l. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\DRIVEC~1\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:32:52 2007 => Datei C:\DOKUME~1\***\LOKALE~1\Temp\ErrorSafeScannerSetup.exe//Stream//data0001 markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:33:53 2007 => Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\ErrorSafeGermanNewReleaseInstall.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
on Apr 16 21:42:59 2007 => Datei C:\Programme\DriveCleaner 2006 Free\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:43:10 2007 => Datei C:\Programme\ErrorSafe Free\uers.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
Mon Apr 16 21:53:50 2007 => File C:\WINDOWS\system32\ssqpq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 16 21:31:18 2007 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\errorsafescannersetup.exe
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\drivecleaner 2006 free.lnk
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\error safe.lnk

~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Apr 16 21:31:17 2007 => Offending Folder found: C:\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:18 2007 => Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\drivecleaner 2006 free
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\flfxr15.flfixer15 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk.1 !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:54:16 2007 => Gefundene Viren: 172
Mon Apr 16 21:54:16 2007 => Anzahl Fehler: 6
Mon Apr 16 21:54:16 2007 => Dauer des Scans bisher: 00:24:08
Mon Apr 16 21:54:16 2007 => Gescannte Dateien: 36018
Mon Apr 16 21:29:42 2007 => Specherüberprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Registry Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung aller Festplatten :Aktiviert


Die find.bat lief astrein durch. :aplaus:

Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%. Gruß und Glückwunsch für die gelungene Anleitung, ordell

Nachtrag: Die Vorschau des Postings setzt ein smiley bei "not-a-virus:Downloader". Bei 8 smileys ist Schluss und der TO kann nicht posten. K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte. In letzterem Fall würde ich noch einen Hinweis in der Anleitung geben. In diesem Sinne...

:Boogie: Yeeha .... es handelt sich hierbei um die alte find.bat (wie ich dazugeschrieben hatte ;) )

Schau ich mir mal an. Danke für den Hinweis.

Nun hab ich genauso viel Ahnung wie Du :balla: . Ich überleg mir mal was zu diesem Thema. Priorität haben jetzt aber andere Dinge.

Gruß

Marc

BTW Das Log enthält genau die Dinge, die mir gefehlt haben :daumenhoc

Edit:

So, mir platzen gleich die Eier :mad
Ich würde mal zu gerne wissen, wer bei Trendmicro für die Lokalisierung zuständig ist. Das ganze ist Scheisse im Quadrat! Man verzeihe mir diesen Ausbruch, aber das musste jetzt mal sein.

Der deutsche Teil könnte soweit funktionieren. Neu ist der Teil "Diverses" der wie folgt aussieht:

60 Minuten sind vorbei :rolleyes:

Den englischen Teil habe ich noch nicht einmal angeschaut. Für deutschsprachige Logs könnte es reichen:
Download der ersten Testversion

für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo ;)

Copyright auf so ne olle Batch? :balla:

So, den ersten Stuss habe ich behoben:

Die Erkennnung der Installationssprache konnte gar nicht funktionieren. Jetzt tut sie es. Theoretisch sollte es jetzt auch mit englischen Logs funktionieren. Der Punkt "Diverses" fehlt bei den englischen Logs aber noch, da ich nicht weiß wie die Kreativabteilung bei Trendmicro die einzelnen Punkte genannt hat.

zweite Testversion

In der Batch steckt verdammt viel Arbeit. Es treiben sich im Internet einige Schweine herum, die sich sowas dann aneignen, als ihr Werk ausgeben und die eigentlichen Schöpfer sogar noch als Lügner bezichtigen und bedrohen. Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten.

Stichwort für Google: Pcbutts

Anmerkung: Die find.bat ist atm noch in Bearbeitung. Getestet wird jetzt am lebenden Objekt! Alle Links aktualisiert (find.bat zweite Testversion; Links in den PDF-Versionen ebenfalls geändert).

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only/ Nur Scannen anklicken
8. Nach Beendigung des Scanvorgangs das Programm beenden.
9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt
http://img181.imageshack.us/img181/1...account1kh.jpg

2. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10. Scan anklicken
11. Nach Beendigung des Scanvorgangs das Programm beenden.
12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.

Mag ja sein, aber von der Materie habe ich noch weniger Ahnung als von der Batchprogrammierung. Zudem ist die find.bat eigentlich Hauis Kind.

:daumenhoc das sieht richtig gut aus :aplaus:

http://img182.imageshack.us/img182/2...dbatlh9.th.png

Danke, aber anders würde ich da nicht mehr durchblicken. Und so kann dann auch vllt mal jemand anderes an der Batch rumfrickeln.

Gruß

Marc

Werde da sicher auch noch sehr gerne genauer reinschauen und mit eventuellen Ideen rüberkommen, nur leider fehlen mir so ein paar richtige Seuchenlogs. So bleibt es Theorie, ich "fürchte", meine Systeme geben da nicht viel her.

You are welcome!

Bei mir war da auch nicht viel zu holen. Aber im Bekanntenkreis gibt es dann doch ab und an Exemplare wie dieses:
:huepp:

Nächste Version (2007.04.18.01)
Diese Version ist noch nicht in den Anleitungen!

Da ich noch auf Logs von Usern warte um die aufgetretenen Probleme zu beheben, gibt es nur Kleinigkeiten:

2007.04.18.01:

* Spracherkennung geändert (ist jetzt zuverlässiger)
* alte mwav-logs in %systemdrive%\bases_x werden jetzt umbenannt

* die Reportdatei wird jetzt neu erstellt und nicht immer wieder an die alte drangehängt

* den Code ein bisschen umgeräumt und weiter auskommentiert

* Versionsnummer eingeführt (Datum umgekehrt + Tagesversion)

* Unter "Diverses" (deutscher Pfad) wird jetzt %DataBasePath% angezeigt. Zusätzlich werden von allen Hosts-Dateien die auf %systemdrive% zu finden sind, die Zeilen angezeigt, die nicht dem Standard entsprechen (geplant ist, die Hosts-Datei in %DataBasePath% zu durchforsten):

Ich benötige leider immer noch Logs (sowohl in Englisch als auch Deutsch). Die deutschprachigen Logs benötige ich zum testen, die englischsprachigen Logs jedoch um die Suchbegriffe zu bestimmen (Infizierter Prozess, Wahrscheinlich passwortgeschützt, Modul akiv, .....).

Gruß

Marc

Edit:
Nächste Version (2007.04.18.02) Diese Version ist noch nicht in den Anleitungen!

2007.04.18.02:

* Fehler in den Infektionsmeldungen behoben

Version 2007.04.18.03 Diese Version ist noch nicht in den Anleitungen!

* englischer Pfad verbessert (aber immer noch unvollständig ~50-60%)
* Executable Command Found in hinzugefügt
* Invalid Entry DllName hinzugefügt
* findstr nicht mehr case-sensitiv (Schalter /i)

Version 2007.04.18.04 Diese Version ist noch nicht in den Anleitungen!

* Es wird nun geprüft, ob zumindest die find.bat im abgesicherten Modus gestartet wurde
* Deutsch wird nun vollständig unterstützt (sofern sich bei escan nichts ändert)
* Englisch wird ebenfalls unterstützt. Der Punkt "Diverses" bleibt aber immer noch aussen vor (Logs fehlen).
* Präzision (hoffentlich) erhöht

Ich denke, mit dieser Version kann man vorerst arbeiten (Deutsch als Sprache). Die Unterstützung für Englisch werde ich so Gott will bis morgen vollständig fertig haben.
GUA wird mir hoffentlich bald die URLs für die find.bat sowie die PDF-Dokumente mitteilen, so dass das Aktualisieren der Anleitungen auch Sinn macht (das Geschubse mit file-upload.net ist nicht gerade nervenschonend).

Kommando zurück!

Bitte die Version 2007.04.18.04 nicht verwenden!

Version 2007.04.18.05

* Syntaxfehler der zum Abbruch führte behoben
* Erkennung des abgesicherten Modus gefixt
* Auslesen der Hosts-Datei gefixt

Hallo Mighty,

Der Download der Auswertedatei funktioniert noch nicht oder ist das nur bei mir so?

Gruß cad

Edit: hat sich erledigt. :)

Die obige Anleitung wird die entgültige Fassung sein. Die find.bat sowie die PDF-Dokumente werden hier auf trojaner-board.de gehostet werden.
Die Links in der Anleitung werden erst funktioneren, sobald diese Anleitung in der FAQ-Sektion zu finden ist (bzw die dortige Fassung auf diese hier aktualisiert wurde).


Version 2007.04.20.01

* Die deustche Sprachunterstützung sollte jetzt vollständig funktionieren
* Die englische Sprachunterstützung funktioniert im Wesentlichen. Der Punkt "Diverses" konnte noch nicht vollständig umgesetzt werden (Der Rest steht aber).
* Kleinigkeiten

Gruß

Marc

P.S.: Englsiche Logs total verseuchter Kisten sind immer noch Willkommen!

Version 2007.04.30.01

* Ein fehlender Schalter führte dazu, dass immer der normale Modus festgestellt wurde. Fehler behoben.

Marc

Sobald GUA die find.bat aktualisiert hat, steht Version 2007.05.01.01 zur Verfügung:

* läuft etwa 25% schneller
* Anzeige von "Virusdatenbank Datum" gefixt.
* Es wird jetzt die in DataBasePath definierte Hosts-Datei überprüft.
* Per default wird nur noch die Auswertung des letzten Scans angezeigt!
* Die Batch kann jetzt mit Parameter gestartet werden, um die Anzeige zu erweitern:

• 1 Alle Scans werden angezeigt
• 2 Datum und Zeit werden in jeder Zeile angezeigt
• 3 Alle Scans + Datum & Zeit (alte Darstellung)

Beispiele für die Parameter

find.bat liefert:
find.bat 1 liefert:
find.bat 2 liefert:
find.bat 3 liefert:
Gruß

Marc

nice :daumenhoc

danke

Aus gegebenem Anlass möchte ich nochmal darauf hinweisen, dass die Anleitung für eScan in der FAQ-Sektion () zu finden ist. Hier in diesem Thread gibt es nur Vorläufiges und Ankündigungen. Die im Thread in der FAQ-Sektion verlinkte find.bat wird ständig von GUA aktualisiert.

Also: Bitte keinen Hilfesuchenden in diesen Thread lotsen. Der arbeitet sonst mit teils steinalten Dateiversionen.

Gruß

Marc

Version 2007.05.06.01

* Fehler behoben, der die Auswertung englischsprachiger Logs ad absurdum führte
* "Possibly password protected" ist jetzt mit dabei

Gruß

Marc

Edit: Sobald GUA ...

Hi,

ich wollte nurmal einwerfen, dass es derzeit erneut zu Verwirrungen mit der find.bat kommt:

In der Anleitung steht unter Punkt 1:
Soweit so gut, in Punkt 12 soll man dann jedoch:
:)
Die "find.zip" gibt es jedoch nicht. Der Link führt direkt zur find.bat.
Ist nur ne Kleinigkeit, aber es gibt genügend Leute, die dann nicht weiterwissen, weil sie die find.zip nicht finden können.

Wäre vielleicht ganz gut, wenn man das vereinheitlichen könnte, also entweder die find.zip zum Download anbieten oder den Teil zur find.zip rausnehmen.

EDIT: Und wenn man ganz pingelig sein will, dann befindet sich am Ende der Anleitung noch ein überflüssiges "[/quote]" ;)

lg myrtille

Danke Myrtie.

Dies und noch viel mehr werde ich ändern, sobald Vatertags- und anderweitig verursachte Delirien überstanden sind.

Gruß

Marc

In letzter Zeit mehren sich die Ausfälle bei der find.bat. Für mich ein Zeichen, dass sich im escan-Log etwas geändert hat. Sollten die Logs der find.bat leer bleiben, bittet den TO die Sprache auf Englisch zu ändern und nochmals zu scannen (regedit > HKCR\eut\Language "English").
Nach dem Scan mit dieser Spargelversion der find.bat scannen:

mini_find.bat

Hoffe die Krücke funktioniert. Melde mich, sobald die eigentliche find.bat wieder halbwegs zuverlässig läuft.

Gruß

Marc

Ich habe ich ein paar kleinere Änderungen vorgenommen in der Hoffnung, dass die find.bat zumindest grob ihren Dienst tut bis ich alles an die Änderungen in eScan angespasst habe (eigentlich muss ich erstmal rausfinden, was sich geändert hat). Sobald GUA die datei aktualisiert hat, ist Version 2007.06.16.1 gültig:

* ein Bug (%linecnt%), der die Auswertung teilweise verhinderte wurde entschärft (ein Dankeschön an ordell1234 für den Hinweis)
* die Suche nach der mwav.log wurde auf das %temp%-Verzeichnis eingeschränkt um Kollisionen unterschiedlicher Logs zu verhindern
(auch hier ein Dankeschön an ordell)


Über neue mwav.log-Dateien würde ich mich freuen. Ihr könnt file-upload.net-Downloadlinks an mich per PM senden oder hier posten.

Gruß

Marc

Endlich habe ich das Problem mit der Updategebaren von eScan gefunden. Es ist das gleiche wie mit den Downloadservern ;)

Um sicher zu stellen, dass die User ein aktuelles eScan verwenden und die Einstellungen stimmen, würde ich mit der Bachdatei gerne schon etwas früher eingreifen. Mal hier ein paar Gedanken zur Diskussion freigegeben:

* %temp% auf einen vordefinierten Ordner ändern, mwav.exe starten, %temp% wieder auf Standard zurückbiegen. So hätte man das entpackt eScan im Ordner der Wahl.

* Die Update-Konfiguration ändern und dann die download.exe starten um escan zu updaten

* in der Registry den Code für die richtigen Scanoptionen eintragen (danke trendmicro für dieses bescheuerte Binärcodesystem)

* boot.ini auf safeboot:minimal ändern und Neustart veranlassen

* Im abgesicherten Modus Scannen und auswerten

* boot.ini wieder änder auf Standard (bzw vorherigen Wert)

* In den normalen Modus booten und dem User die Auswertung anzeigen

Da es einige Unbekannte gibt, wollte ich mal Eure Meinung zur Umsetzbarkeit hören und ob Ihr das ganze überhaupt für sinnvoll erachtet (ich halte es für sinnvoll, aber darum geht es nicht).

Gruß

Marc

Den Start in den abgesicherten Modus durch die boot.ini zu erzwingen ist gefährlich. Es gibt Malware (zunehmend mehr), die die Registryeinträge für den abgesicherten Modus löscht. Wenn das vorliegt, hängt man dann in einer Schleife, in der der Rechner immer wieder zu booten versucht ohne dass es klappt. Dürfte für viele Leute der GAU schlechthin sein, Basteleien mit der Reparaturkonsole sind unbeliebt, da die Maus nicht funktioniert und die Möglichkeiten sehr eingeschränkt sind, Eine BartPE-CD kann man dann auch nicht mehr anfertigen.

In diesen Fällen ist zwar eine Neuinstallation angebracht, der abgesicherte Modus sollte möglich sein, vorher sollte aber noch die Möglichkeit bestehen, ein paar Daten zu sichern.

Die Umgebungsvariable temp vor dem Start der mwav.exe zu setzen ist eine gute Idee. Bei einem Start des ganzen aus einer Batchdatei heraus muss man sie nicht mal zurücksetzen, da mit dem Ende der Batchdatei die ausführende cmd.exe beendet wird und die Umgebung damit weg ist. Das ermöglicht es im richtigen abgesicherten Modus zu scannen (dem ohne Netzwerktreiber). Netzwerktreiber werden öfter gepatcht oder ausgetauscht, so werden die dann vom Scan miterfasst.

Laden und updaten ungefähr so (ungetesteter Beispielcode, der voraussetzt, dass mwav.exe erreichbar ist):
Am einfachsten vermutlich die mwav.exe in das Hauptverzeichnis speichern zu lassen. In den extrem seltenen Fällen, in denen ein eingeschränktes Konto benutzt wird, funktioniert das aber nicht, da dort dann kein Schreibrecht gegeben ist. Ca. 99,9% aller Benutzer arbeiten aber durchgehend mit Administratorrechten. Ist an den Hijackthis Logs zu erkennen, bei eingeschränkten Rechten würden diverse Prozesse nicht angezeigt, z.B. winlogon.exe und services.exe.

Dein Einwand mit dem abgesicherten Modus leuchtet mir ein. %temp% würde ich trotzdem ganz gerne dirket nach dem Entpacken von eScan wieder zurücksetzen, damit nicht jede x-beliebige Anwedung in das Verzeichnis schreibt während das Update läuft und die Optionen gesetzt werden.

Gruß

Marc

Hallo Marc,

Den Vorschlag mit dem Temp-Ordner find ich gut, und meiner Meinung nach hat KarlKarl bereits eine schlanke Lösung angeboten. Wenn ich nicht totales Blech erzähle, gilt das "temporäre" Setzen von %temp% im Rahmen der Batch nur für mwav. Andere Anwendungen bleiben von dieser Umgebung unberührt und schreiben imho nicht in dieses Verzeichnis.

Bei der boot.ini habe ich auch Bauchschmerzen, da man nicht weiß, was auf infizierten Kisten so läuft. Die F8-Taste sollte noch jeder finden.

Möchtest du Registry-Einträge setzen, anstelle dass der TO die Häkchen setzt? :confused:

Jaja, es scheint ein Graus mit dem Update zu sein, ich habe das Programm eine Weile nicht mehr benutzt und damals z.T. die Signaturen von KAV manuell geladen. Welche konkreten Vorstellungen hast du bei einer Änderung? U.U. könnte es lizenzrechtliche Probleme geben.

Mein Senf, Gruß ordell :daumenhoc

Exakt. Damit ist sichergestellt, dass der User keinen Blödsinn baut (z.B. kein Scan only etc).

Inhalt der Datei httpsite.txt wie folgt ändern:

Der eigentlich primäre Updateserver packt es nicht und das Wechseln der Updateserver (dafür ist die httpsite.txt wohl gedacht) scheint nicht zu funktionieren. Ob die Änderung genommen wurde, kann man nach einem Updateversuch in der Datei Download.log überprüfen (bei mir hatte eScan beim ersten Versuch noch den eigentlichen Primärserver verwendet).

Das kann sein, aber es ist für eScan keine gute Werbung, wenn das Update partout nicht funktioniert. Ich werde wohl mal nachfragen, kann mir aber nicht vorstellen, dass es da Probleme gibt.

Gruß

Marc

Wegen der temp-Variablen: Wenn man eine Batchdatei startet, startet Windows dafür die cmd.exe um sie von der ausführen zu lassen. Die Umgebungsvariablen sind nur für diese cmd.exe und die unter ihr (also aus der Batchdatei) gestarteten Programme gültig. Ist die Batchdatei zu ende, endet auch die cmd.exe und die veränderte Umgebung ist weg. Andere Anwendungen die währenddessen oder danach gestartet werden, auch weitere Batchdateien, bekommen ihre eigene Umgebung, in der alle Variablen wieder so initialisiert sind, wie es das System macht. temp zeigt also wieder auf den temp-Ordner des Benutzerverzeichnisses.

Danke an euch beide. Dann hat sich das geklärt.

Marc

Meinste das klappt? Ich habe soeben mal escan jungfräulich installiert, und nach dem Entpacken
fehlen bei mir:

-download.log
-ftpsites.txt
-httpsites.txt
-update.txt

Diese Dateien werden wohl erst nach dem Update angelegt. Anschließend habe ich mehrfach versucht, die Reihenfolge in httpsites zu ändern, allerdings ohne Erfolg. mwav sucht bei mir stets zuerst auf

http*//www.microworldsystems.com/pub/update

Hattest du schon Erfolg mit der Änderung der Serverreihenfolge?

Alternativ könnte man probieren, die Updates manuell per Kommandozeile zu laden, zB mit wget für win. Gruß

Also bei mir geht es wie folgt:

Ich schreibe es gleich so, wie es u.U. in der Batch landet

Vom Sinn her, ist es wohl klar...Syntax muss ich noch testen. Die httpsite scheint zwar eine Alternativliste zu sin, aber sobald der Server ansprechbar ist, wird er auch in die EUpdate.ini geschrieben (leider). Falls noch Fragen sind, nur her damit.

BTW da die drei Dateien (EUpdate.ini, download.lck und filelist.lst) nach dem Entpacken nicht existieren kann es auch keine Kollisionen mit irgendwelchen lizenzrechtlichen Aspekten geben (mMn).

Edit:
Hier ein kurzer Überblick, wie die Codes bei den Optionen zustande kommen:
File-Upload.net - Ihr kostenloser File Hoster!

uuuuuuuuuuuuuuups, ähm, Nö, keine Fragen mehr. :eek:

Ach, vielleicht doch noch: bewirktdie Eintragung, wann zum letzten Mal ein Update erfolgte und wieviele Verbindungsversuche zum Server erfolgten?

Glücklich die, die es verstehen. :aplaus:

Gute Fragen. Die Updatedaten (wann, version etc) werden nach demersten Update in eine Datei namens IUpdate.ini geschrieben. Bsp
Diese Daten laden dann - aus Gründen die mir nicht bekannt sind - auch in der EUpdate.ini

Was HTTPNumOfTry bedeutet ... keine Ahnung... unter Umständen handelt es sich tatsächlich um die Anzahl der Verbindungsversuche. Google bleibt bei dem Thema schwarz.

regedit > HKCR\eut

Ändere mal den Wert von Option z.B auf 18 dez, starte escan und Vergleiche die Häkchen mit der Tabelle ;)
Der einzig wirklich interessante Wert dürft 63 sein.

Dickes Danke für deine bereitwillige Hilfe. Ich probiers die Nacht mal aus, aber zunächst muss ich Bruce Willis erst mal über die Schulter schauen, wie er die Welt rettet. :snyper:

Grüße, ordell

Was bisher (zumindest bei mir - Windows XP, Administratorrechte) funktioniert:

• Download der mwav.exe per FTP
• Entpacken ohne Benutzerinteraktion (per Miniscan)
• Setzen der Optionen
• Update von eScan

Wer es mal testen will, hier der Downloadlink:
File-Upload.net - Ihr kostenloser File Hoster!

Gruß

Marc

Edit:
Die Batch ist noch nicht kommentiert. Im Zweifelsfall fragt einfach nach.

Edit 2:
Die Optionenliste, diesmal mit Gitterraster ;)
File-Upload.net - Ihr kostenloser File Hoster!

Die findftp funzt auch bei mir. Dein Hinweis auf HKCR\eut brachte sogar Erleuchtung bei den Optionen (hier fehlt mir ein smiley mit Glühbirne). Fein fein.

Wenn du schon so hemmungslos in der Registry wucherst, kannste auch "Allfiles" auf 1 setzen und "Programfiles" auf 0. Wie man das Häkchen bei drive/Festplatte setzt, ist mir allerdings verborgen geblieben. :confused:

:lach:

Ich warte mal mit Spannung die weitere Entwicklung ab.

Hi,
also wenn ich es jetzt richtig verstanden hatte, dass man nur die ftpfind.bat ausführen muss um eScan zu installieren, dann funktioniert die ftpfind.bat bei mir leider nicht. :o
Ausführen läuft, er legt den x_bases ordner an, lässt mich nen server zum downloaden auswählen, behauptet alles hätte geklappt. (mwav.exe befindet sich auch unter C:, bin ja als admin unterwegs. ;))
Findet dann aber die mwav.exe nicht. (Meldet zigmal "Das System konnte den angegebenen Pfad nicht finden)
[EDIT: Das Problem löst sich in Wohlgefallen, wenn ich in der letzten Zeile des :extract die "mwav.exe /MEM /FS" mit "%systemdrive%\mwav.exe /MEM /FS" ersetze. Was das bedeutet müsst ihr jetzt wissen. ;)
Doppeledit: Die ftpfind.bat in C: auszuführen funktioniert natürlich auch. Naja, immerhin hab ich schonmal demonstriert, warum man darüber nachdenken sollte die Pfade absolut anzugeben. :D/EDIT]

Bricht allerdings auch nicht ab, sondern versucht die ftpfind.bat ohne mwav.exe weiter auszuführen.

Meldet dann zuletzt:
Es wäre daher vllt gut, wenn man bei Problemen solcher Art die ftpfind.bat abbricht. DAU wird sich freuen, dass da steht, dass alles geklappt hat und nciht darauf achten, dass gewisse Prozesse (zb eScan ;)) überhaupt nicht ausgeführt wurden. ;)

lg myrtille

Ich denke mal, du hast die Antwort schon gegeben:Die batch sucht ohne %systemdrive% in dem Verzeichnis nach mwav.exe, wo dem aus sie gestartet wurde. Ist das nicht c:\, findet sie nix. Abhilfe schafft deine Lösung: %systemdrive%\mwav.exe, alternativ könnte man auch am Anfang ein "cd\" einfügen.

Gruß

Gut, dass es hier professionelle Tester gibt. Bei durchschnittlichen Anwendern hätte die Batch vermutlich einfach funktioniert, bei Euch natürlich nicht. Ich werde mal die Pfade noch absichern. Ich frag mich nur, wieso ich die Batch von einer anderen Partition (sogar einer anderen HDD) erfolgreich laufen lassen konnte und ihr schaut die Batch nur schräg an und schon will sie nicht mehr. :confused: Naja, besser das kommt jetzt zum Vorschein, als später, wenn die Batch auf die Menschheit losgelassen wird.

Nochmals Danke für Testen (und auch für die Fehlereingrenzung). Ich hoffe Ihr freut Euch schon auf die nächste Version :D

Gruß

Marc

Edit:

Guter Einwand. Hatte ich glatt vergessen.

Das ist nur ein Art unnötiger Absicherung. Bei geöffnetem eScan bewirkt das Ändern! von drive auf 1 das Setzen des Häkchens. Ist eigentlich egal, da per default All drives gesetzt ist.

Edit 2:
Prüfungen, ob die einzelnen Schritte auch wirklich geklappt haben müssen natürlich auch noch rein. Das wird gerade im Fall des Updates etwas knifflig werden, da die download.exe nichts von Errorleveln weiss.

Ach ja, falls es jemanden interessiert, hier sind die Startparameter von escan:

Ich hoffe soweit ist alles in Ordnung.

• Durch Vergleich der Dateigröße auf dem Server und dem Rechner wird überprüft, ob der DL erfolgreich war
• Das Entpacken wird überprüft, indem einige Dateien aus dem Archiv gesucht werden
• Möglichkeit im Menü auch "Entpacken" und "Update" zu wählen
• AllFiles und ProgramFiles gemäß ordells Wunsch gesetzt
• Directory-Problem (hoffentlich) gelöst

Nur, wie geht es jetzt weiter? Any ideas?

Gruß

Marc

Download neue Version: File-Upload.net - Ihr kostenloser File Hoster!

Hi. :D
Ich mach das nicht absichtlich wirklich. :D Aaaaaaaaaaaaaaaaaaaaaaabbeeeeeeeeeeeeeeeeeer:
Beim Vergleich der Größen ist bei mir leider Ende:
Anstatt, dass er die Größen vergleicht, erhalte ich für die mwav.exe auf C: leider nur ein "ECHO ist ausgeschaltet. (OFF)" und keine Größe zurück. (Dann kommt die Fehlermeldung, aber danach wird der eScan korrekt entpackt und upgedatet.)
Da ich die Zeile in der Bat auch gar nicht versteh, habe ich keine Ahnung woran das liegt. ;)

Das Problem mit der mwav.exe gibts immernoch, wenn ich direkt "extract" wähle. ;) (Lad ich Datei erst vom Server funktioniert es aber.)
Und zu guter letzt fiel mir noch auf, dass bei noextr steht:
Die Option 3 ist dokumentiert. ;) Das "nicht dokumentiert" kann man dann vllt einfach streichen. :)

lg myrtille

:snyper: :D

Ich mach mich auf die Suche...

Auch das werde ich überprüfen ...

Ok, danke.

Gruß

Marc

Edit:

Könntest Du die Ausgabe der Batch vllt in eine Datei umleiten und mir das zukommen lassen?

findftp.bat > %systemdrive%\findftp.log

Edit2:
Hast Du Server 1 gewählt gehabt?

Hallo zusammen,

meine Vermutung: %systemdrive% am Anfang der batch (Zeile 10) allein ist zu ungenau. Hier ist nicht klar, in welchem Verzeichnis die batch arbeitet. Mal ein Bsp.:

Unterstellt %systemdrive%=C:\:

- %systemdrive% über GUI-Ausführen/bzw. Windows-Explorer eingegeben landet auf stets auf C:\

- setze ich als Benutzervariable "cmdautorunpath"=D:\DVD und starte die Eingabeaufforderung, ergibt %systemdrive% die Ausgabe von D:\DVD> auf C:\%userprofile%> - also nicht C:\>

- starte ich die cmd.exe aus C:\windows\system32 heraus, ergibt %systemdrive% keine Änderung am Prompt, bleibt also auf C:\Windows\system32>

- springe ich anschließend in der Komandozeile z.B. auf E:\Temp und gebe dann %systemdrive% ein, lande ich im letzten Verzeichnis von mir verwendeten Verzeichnis auf c:\xyz>, in diesem Beispiel auf C:\Windows\system32>

- wieder anders bei einer batch:
-> von einer anderen Partition als C:\ aus gestartet, lande ich stets auf dem root C:\>, nicht aber, wenn ich die batch von C:\Windows aus starte, dann zeigt %systemdrive% keinerlei Wirkung

Alle Klarheiten beseitigt? :balla: :balla: :balla: Liegt vermutlich am Interpreter, k.A., wollte nach langer Rede auch nur sagen, dass %systemdrive% im Rahmen der Kommandozeile keineswegs eineindeutige Pfade ausspuckt. Hat zB Folgewirkungen, dass am Ende von :extract mwav.exe nicht gefunden wird und ebenso die Variable %lfsize% nicht angelegt wird.

Abhilfe schafft imho ein simples cd\ am Anfang der batch und nach dem %systemdrive%. Dann ist klar, man arbeitet am Stamm von C:\ Vllt. funktioniert ja auch dein englisches XP etwas anders Marc.

Finde es eine sehr gute Idee, den erfolgreichen Download per filesize zu prüfen.

Edit2: Frage zurückgezogen, hab die ftpfind selbst verbogen... :D

:daumenhoc
Mit ordells Änderung läufts bei mir jetzt auch durch. :D

Kleiner Vorschlag am Rande:
Bei Optionen 3 und 4 evtl nicht direkt zu der jeweiligen Aufgabe springen, sondern testen, dass die vorherigen Schritte auch durchgeführt worden sind.
Bei 3. ist das ja sozusagen dabei, da die Größe der Dateien angegeben wird, bei 4 wäre es aber evtl besser auf testextr zu springen als auf update.
Was meint ihr?

Wahrscheinlich ist es eh egal, da diese Optionen außer uns kaum einer benutzen dürfte. ;)
So würde man nur noch die Leute einfangen, die eScan bereits runtergeladen und durchgeführt haben, aber die Scan-Optionen "falsch" gesetzt hatten. (und jetzt mit aktuellen Signaturen nochmal scannen wollen)

lg myrtille