Hallo Boardies,

der Regular Haui45 hat sich die Mühe gemacht und eine Batch Datei geschrieben, die die automatische Suche nach infected, tagged, Found, Errors, Scanned, Date und Time Elapsed aus der mwav.log übernimmt.
Die o.g. Einträge aus der Virus Log Information erleichtern uns die Analyse eines infizierten Systems.

Vorteil:
- Zeitersparnis bei TO und Helfern
- TO wird als 'Fehlerquelle' beim Übertragen der einzelnen Einträge ausgeschlossen

Nachteil:
- TO muss nicht mehr so intensiv mit seinem Problem beschäftigen.

Zitat:

Zitat von Haui45

Wichtig: Je nach eScan-Version heißt die ausgegebene Datei "eScan_neu.txt" bzw. "eScan_alt.txt". Die alte mwav.log sollte vor jedem Scan gelöscht werden!

Code: Alles auswählenAufklappen

ATTFilter

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit
         

Damit sollten wir von meiner Version [1] wegkommen und zur komfortableren 'Haui Version' [2] übergehen.

Danke an Haui45.

[1]

Zitat:

Öffne die mwav.log im Ordner C:\bases_x -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

[2]

Zitat:

Zitat von Haui45

Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

Und wenn wir dann "diese Datei" dann nach folgendem Schema verlinken:


verstehts auch der ONU
SCNR

Dank an Cidre für den Hinweis und noch grösseren Dank an Haui für die Batch-Datei
:

@ cronos

Sorry, kann ja mal passieren.

@ cidre

mal ist gut *duck*
Im Ernst.Die vorgehensweise erscheint mir doch sehr viel besser.
Bekannt, ob das auf allen Systemen problemlos läuft?

jep, jetzt könnte man ja noch eine allroundbehebung aller bekannten downloadtrojaner dadurch iniziieren. da die trojaner extrahierbar aus der log sind, wäre es doch ohne weiteres möglich, im autoexec.bat die infizierten dateien als "del infizierte dateiurl" einzufügen. danach wäre nach einem boot die trojanerdateien gelöscht. allerdings bei backdoors und exe-viren...
jedenfalls thx für die Info Cidre und big thx an Haui45 h:

Dank an Cidre für den Thread und seinen Verbesserungsvorschlag (Einbau der Statistiken).

Erwähnt werden sollte jedoch, dass die Datei so, wie jetzt ist, nur unter Win2000 und WinXP funktionieren wird (Grund ist der Befehl "findstr").
Falls jemand Win95/98/ME verwendet und Zeit/Lust hat, kann er das Ganze auch ausprobieren, muss aber wahrscheinlich "findstr" durch "find" ersetzen. Falls kein positives Ergebnis zu Stande kommt, wäre es empfehlenswert, die Datei über die Eingabeaufforderung zu starten.
Hier ein kurzes Beispiel:

Code: Alles auswählenAufklappen

ATTFilter

echo Funde für infected >c:\find2.txt
find /N /I "infected" c:\bases_x\mwav.log >>c:\find2.txt
echo ____________________________________________________ >>c:\find2.bat
echo Funde für tagged >>c:\find2.txt
find /N /I "tagged" c:\bases_x\mwav.log >>c:\find2.txt
         

MfG Haui

Code: Alles auswählenAufklappen

ATTFilter

if not exist c:\bases\mwav.log goto 1
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt
echo Funde für "infected" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Funde für "tagged" >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo Statisktiken: >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt
findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt
:1 
if not eXist c:\bases_x\mwav.log goto 2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt
echo Funde für "infected" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Funde für "tagged" >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo Statistiken: >>c:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt
findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt
echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt
echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt
:2 exit
         

Oder verwendet besser noch dieses und postet mal, wie's auf den verschiedenen Betriebssystemen (auch XP und 2000) funktioniert.

btw: vor jedem Scan mit eScan sollte die alte mwav.log gelöscht werden!


P.S.: unter XP funktioniert es (oder nicht) je nach Speicherort der .bat

@Chris14
Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker). Link müsste ich suchen.
In eine Batch würde ich das nicht einbauen. Sie soll uns lediglich die Funde zeigen und dem Hilfesuchenden ein wenig Arbeit ersparen

Naja, wer Lust hat, kann ja ein bisschen rumprobieren, ich hab dazu zu wenig Zeit...

Zitat:

Zitat von Haui45

Zum löschen der Einträge gibt es schon ein Programm (geschrieben von Seeker)

Momentan nicht verfügbar.

Zitat:

In eine Batch würde ich das nicht einbauen.

Full Ack.

So jezt hier mal mein Ergebnis:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 13:36:47 2005 => Scanning Folder: C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\*.*
Mon Aug 29 13:36:47 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\A0127654.EXE.VIR
Mon Aug 29 13:36:50 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\IUN6002.EXE.VIR
Mon Aug 29 13:36:52 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\TXP3SETUP.EXE.VIR
Mon Aug 29 13:37:01 2005 => Scanning File C:\Programme\Antivirpersonalv6.17.8.62\INFECTED\WBOPEN.EXE.VIR
Mon Aug 29 13:38:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 29 14:57:49 2005 => File C:\Programme\Winamp\Skins\bc-selfexec.wsz infected by "Exploit.Win32.LnkRun" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:00:52 2005 => C:\RECYCLER\NPROTECT\00000103. possibly infected and removed by background antivirus package!
Mon Aug 29 15:00:52 2005 => File C:\RECYCLER\NPROTECT\00000103. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:00:55 2005 => C:\RECYCLER\NPROTECT\00000154. possibly infected and removed by background antivirus package!
Mon Aug 29 15:00:55 2005 => File C:\RECYCLER\NPROTECT\00000154. infected by "BkCln.Unknown" Virus! Action Taken: Keine Aktion vorgenommen.
Mon Aug 29 15:49:16 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 29 15:49:16 2005 => Total Virus(es) Found: 4
Mon Aug 29 15:49:16 2005 => Total Errors: 2297
Mon Aug 29 15:49:16 2005 => Time Elapsed: 03:48:18
Mon Aug 29 15:49:16 2005 => Total Objects Scanned: 142666
Mon Aug 29 11:58:13 2005 => Virus Database Date: 2005/08/27
Mon Aug 29 15:49:16 2005 => Virus Database Date: 2005/08/27
Mon Aug 29 16:26:49 2005 => Virus Database Date: 2005/08/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ende
Habe eSCheck ausgeführt und was sicher auch Sinnvoll ist es standen nicht die Vieren aus der Quarantäne von Antivier mit drin obwohl sie bei eScan geführt wurden.
Habe nur die 2 C:\RECYCLER\NPROTECT gelöscht und das Skin von Winamp.
Bei C:\RECYCLER könnten doch 2 früherer Virus drin sein ,oder? Warum das Skin von Winamp ein Virus haben soll weiß ich nicht.
2297 Fehler klingt auch viel.
Was mit Altnet ist (=> Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken) weiß ich auch nicht das findet eScan auch aber ich weiß nicht wie und wo ich das lösche, mit Altnet surf hat das sicher nichts zu tun.

Wegen Altnet musst du in die Datei selbst rein schauen (die log von escan) und diesen dann per Hand aus der registry löschen.

Ich blicke debei nicht so durch, ich finde den eigentlichen Eintrag.

Ist das HKLM\Software\microsoft\downloadmanager !!! oder noch "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken.???

Siehe aus log:

Mon Aug 29 22:55:17 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Mon Aug 29 22:55:17 2005 => Loading Spyware Signatures from FIXED Database...
Mon Aug 29 22:55:24 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Mon Aug 29 22:55:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.


Mon Aug 29 22:55:42 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Mon Aug 29 22:55:42 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll". Action Taken: No Action Taken.

---
Finde da nicht die Grenze!

ALSO

du öffnest die registry und suchst dem Pfad entsprechend die Funde raus. Den Downloadmanager kannst du als Verzeichniss in der Registry löschen. Die anderen sind als Dateien angegeben und lassen sich so auch finden.

Du weist wie du da rein kommst in die Registry?


HKLM\Software\microsoft\downloadmanager (verzeichniss löschen)
und da
HKLM\Software\Microsoft\Windows\CurrentVersion\Mod uleUsage
schaust du mal nach der Datei EPUWalcontrol.dll

und

die C:\WINDOWS\Downloaded Program Files\EPUWalcontrol.dll
lässt du bei virustotal.com oder http://virusscan.jotti.org/de/ durchsuchen was die dazu sagen und wenn sie auch was finden dann löschen.

Hast du die Systemwiederhestellung an?

Ja, mach ich sonnst mit regedit.vbs aber da steht nichts weil der auch Anfang fehlt.
Weiß nich in welchen Ordner ich da muß.
Die EPUWalcontrol.dll gibt es nicht mehr in Windows. Kann sein das das bei eSCheck gelöscht wurde, ich weiß jetzt gar nicht wo man das einlesen kann da ist doch ein Backup gemacht wurden.
Bei “http://virusscan.jotti.org/de/” stand bei C:\WINDOWS\Downloaded Program Files dann“The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file” was ist das? Scripte an und Cokis mit IE, habe Firefox und Sicherheit hoch.
Die Wiederherstellung habe ich immer noch aus bis alles runter ist, kleines Risiko ich weiß.