Hallo Boardies,

der Regular Haui45 hat sich die Mühe gemacht und eine Batch Datei geschrieben, die die automatische Suche nach infected, tagged, Found, Errors, Scanned, Date und Time Elapsed aus der mwav.log übernimmt.
Die o.g. Einträge aus der Virus Log Information erleichtern uns die Analyse eines infizierten Systems.

Vorteil:
- Zeitersparnis bei TO und Helfern
- TO wird als 'Fehlerquelle' beim Übertragen der einzelnen Einträge ausgeschlossen

Nachteil:
- TO muss nicht mehr so intensiv mit seinem Problem beschäftigen.

Zitat:

Zitat von Haui45

Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Code: Alles auswählenAufklappen

ATTFilter

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit
         

Damit sollten wir von meiner Version [1] wegkommen und zur komfortableren 'Haui Version' [2] übergehen.

Danke an Haui45.

[1]

Zitat:

Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

[2]

Zitat:

Zitat von Haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken:


verstehts auch der ONU
SCNR

Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei
:

@ cronos

Sorry, kann ja mal passieren.

jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren...
jedenfalls thx für die Info Cidre und big thx an Haui45 h:

@ cidre

mal ist gut *duck*
Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser.
Bekannt, ob das auf allen Systemen problemlos läuft?

Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken).

Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr").
Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten.
Hier ein kurzes Beispiel:

Code: Alles auswählenAufklappen

ATTFilter

echo Funde für infected >c:\find2.txt
find /N /I "infected" c:\bases_x\mwav.log >>c:\find2.txt
echo ____________________________________________________ >>c:\find2.bat
echo Funde für tagged >>c:\find2.txt
find /N /I "tagged" c:\bases_x\mwav.log >>c:\find2.txt
         

MfG Haui

Code: Alles auswählenAufklappen

ATTFilter

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit
         

Oder verwendet besser noch dieses und postet mal, wie's auf den verschiedenen Betriebssystemen (auch XP und 2000) funktioniert.

btw: vor jedem Scan mit eScan sollte die alte mwav.log gelöscht werden!


P.S.: unter XP funktioniert es (oder nicht) je nach Speicherort der .bat

@Chris14
Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen.
In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen

Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit...

Zitat:

Zitat von Haui45

Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker)

Momentan nicht verfügbar.

Zitat:

In eine Batch würde ich das nicht einbauen.

Full Ack.

Zitat:

Zitat von Cidre

Momentan nicht verfügbar.

Hab ich auch bemerkt, einen Downloadlink gibt's aber trotzdem ->
Dazu auch Lutz

Kleiner Verbesserungsvorschlag:

Neben folgendem:

Code: Alles auswählenAufklappen

ATTFilter

findstr /i /n "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i /n "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i /n "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
         

sollte es doch möglich sein die Anzahl der durchsuchten Dateien und das Datum der Virusdefinition auch noch zu übermitteln.
Zumindest bei "Total Objects Scanned" fallen erfahrungsgemäß immer wieder Einstellungsfehler des Scans durch User auf.
Bei "Virus Database Date" könnte man sich anderweitig sicher sein, dass User, die mehrere Male ihren Log posten, ihr Programm auch aktualisiert haben.

Oder ist das Extra weggelassen worden?

Zitat:

Zumindest bei "Total Objects Scanned" fallen erfahrungsgemäß immer wieder Einstellungsfehler des Scans durch User auf.

Hast natürlich Recht, diese Einträge sollten nicht fehlen:
findstr /i /n "Scanned:" c:\bases_x\mwav.log >> C:\find.txt
findstr /i /n "Date:" c:\bases_x\mwav.log >> C:\find.txt
findstr /i /n "Count:" c:\bases_x\mwav.log >> C:\find.txt

Zitat:

Oder ist das Extra weggelassen worden?

Nein, wurde vergessen...

Ich hab's noch mit eingebaut, der Link bleibt gleich -> http://www.media-folders.de/user/Haui/Find.bat
Den Eintrag Virus Database Count: halte ich nicht wirklich für wichtig, deshalb habe ich ihn weggelassen. Da "Date:" mehrmals in der mwav.log vorkommt, erscheint es auch mehrmals in der eScan_neu.txt
Zudem habe ich den Befehlszeilenparameter /n weggelassen, da unnötig (als Info für alle, die es interessiert )

Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Hallo und zur Ergänzung wegen dem eScanCheck-Tool.
Es ist mittlerweile in der Beta 9 unter
http://www32.brinkster.com/idontknowit/download/ zu finden.

Habe deswegen bei http://tinyurl.com/amzwe nachgefragt.

Hallo Wolfgang,

danke für die Info!
Ich habe die aktuelle Version auch auf meiner 'Ausweichseite' abgelegt.
Zu finden unter http://derbilk.de/escancheckb9.sfx.exe