immer noch ein chaos: alles nach anleitung ordell vom 27.8.07-für user ohne router-win2k
1. das installationsfernster kommt nicht-lycence agreement.
2. hier entpacken mwav.exe(die verpackte) liegt im selben verzeichnis wie alle anderen. 498 dateien
rsp habe wegen dem start/ausführen-problem(siehe unten) die mwavexe in c:\escan2 kopiert und auch dorthin entpackt. rechtsklick hier entpacken.
3. update/aktualisieren-dauert relativ lange. jetzt total 796 dateien.
4.mwavscan.com mit durchsuchen gefunden. direkteintrag geht nicht.
scan gemacht im abgesicherten/als administrator wie beim update auch im selben account.
5. findbat ausführen in e:\security\escan
geht nicht wie auch hier
findbat in c:\escan2 kopiert
findbat ausführen
Fehler beim ermitteln der installationssprache. fertig
nb: trotz update kam meldung dass die version älter als 30 tag sei.
ich lösche jetzt alles-der temp sollte sich nach den vorhergehenden fehlern auch gefüllt haben. die startpartition ist bedrohlich von 1.1 auf 750 mb leerplatz geschrumpft. das ist auch ein problem für sich, meine andere 120 er platte hat viel mehr platz obwohl auf beiden platten die programme auf d sind, mit wenigen ausnahmen.
so jetzt checke ich mal den log(habe 4 viren) und versuche die anderen auswerttools. killbox etc.

Ich weiß nicht, welche "Auswerttools" du meinst, aber killbox gehört definitiv nicht dazu. Man sollte damit nicht auf Verdacht irgendwas löschen, da man sich u.U. das System komplett zerschießen kann.

Vielleicht ist der Kaspersky Onlinescanner eine Alternative für dich. Er erfordert allerdings den Internet Explorer mit aktiviertem ActiveX.

ja guter tip. habe zuerst kaspersky online laufen lassen weil es probleme gabe mit neuem nanoscan/totalscan(FF-scanner alternative IE-scanner panda activescan.

2. 12. Die Auswertedatei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.
__________________
bis dahin hats geklappt neben der oe. fehlermeldung , ausser dass der log nur eine zusammenfassung zeigt und die schädlinge nicht, die im mwav.log sichtbar sind.

ich mache nichts ausser es steht hier.

Zitat:

Zitat von europanorama

bis dahin hats geklappt neben der oe. fehlermeldung , ausser dass der log nur eine zusammenfassung zeigt und die schädlinge nicht, die im mwav.log sichtbar sind.

ich mache nichts ausser es steht hier.

Ja, das ist mir gestern auch aufgefallen. eScan macht wirklich alles um uns das Leben schwer zu machen.
Die neue eScanversion hat mal wieder einiges geändert, ohne ersichtliche Gründe...

Wie sieht denn dein eScanlog aus? Hast du noch andere Einträge als "Datei ... infiziert durch" die nicht im find.bat-Log auftauchen?

lg myrtille

Am besten jemandem aus dem find.bat-Support-Team die mwav.log mal zukommen lassen.
Ich komme da aus aktuellem Anlass nicht in Frage dafür.

Feigling

Ich hab ja noch die Hoffnung, dass es sich nur um ein Wort handelt, da würde der Umbau noch übersichtlich bleiben.

Aber du darfst auch gerne einen Scan machen und das Log hier reinstellen, das wäre sicherlihc hilfreich.

lg myrtille

also von vorne nach hinten.

1. zum updaten musste ich mexe starten, denn mwav.exe ist ja die verpackte und mwavl.exe geht nicht.

2. da ich nach wilderssecurity-anleitung

General Cleaning Instructions - Wilders Security Forums
säubere-escan ist zusätzlich habe ich natürlich auch vorher den kaspersky-onlinescan genutzt. hat was gefunden. habe gesäubert. auf wildersecurity hat es übrigens sehr interessante unterlinks mit tools.
3. bases_x-dateien
escan.log ist leer
wem soll ich die anderen senden?
im escan2-order c:\escan2 ist noch eine mwav-log

ich schecke jetzt nochmals. ich glaube ich habe die 4 viren gefunden. aber eben, ich sehe nichts in den bases_x-dateien. ich glaube MWAV trickst uns aus.

ich sehe 3 mwav.txt-dateien
eine normal die anderen beiden mit datum, alle gleiche zeit heute morgen 517. alle ganz kurz. escan vom späten vormittag leer.


ich mache aber gerne nochmals alles von vorne, aber ich brauche eure hilfe.
a) wohin wird mwav.exe geladen, wohin sie entpackt?
b) wohin wird find.bat geladen?
wenn man mehrere partitionen hat. es dürfte egal sein, besser aber nicht auf startposition aus platzgründen(ich habe 5gb total-noch 650 übrig. präkär.
es wäre nett gewesen zu erwähnen dass bases_x selbst kreiert wird. ja, ok es muss einfach sein aber trotzdem fehlen wichtige minimal-hinweise in der ordell- anleitung. danke

nb: der mwav-log ist ellenlang- 5.6mb -also die bevor ich find.bat gedrückt habe.
base_x-dateien

Hi,

• die mwav.exe (die zu entpackende) solltest du speichern können wo du willst, entpackt wird automatisch in die variable %temp%, diese liegt meistens auf der Systempartition.
• Dasselbe gilt für die find.bat, auch diese funktioniert unanbhängig von dem Ort, an dem sie gespeichert ist.
• mwavl.exe wird offenbar für die Registrierung/Annahme der NUB benötigt.

Wichtig für das Funktionieren der find.bat ist allerdings, dass das Log im %temp%-Ordner liegt, ansonsten findet find.bat es nicht (notfalls geht evtl auch bases_x, hab ich noch nicht getestet)
Das eScanlog bitte bei file-upload.net hochladen und den link entweder hier einstellen oder mir per PM schicken.

Was deinen Speicherplatz angeht:
Kannst du mal schauen, was den ganzen Platz beansprucht? Ist das eine große Datei? Oder sind es einfach soviele kleine Dateien?
Hab eScan gestern bei mir durchlaufen lassen und es wurden keine 50Mb in Anspruch genommen. Wie groß ist denn dein mwav.log?


Bitte nicht einfach Dateien löschen, die eScan gefunden hat... eScan hat unglaublich viele Fehlalarme, die Chance, dass du "gutartige" Dateien löschst ist recht groß.

lg myrtille

Moin moin zsamma, escan hat an den strings gedreht, die batch in der Anleitung tut es nicht mehr. Den deutschen Teil der find.bat habe ich fix angepaßt, allerdings keine Prüfung auf Herz und Nieren. Warum auch... in 2 Wochen ist das Ding wieder Schrott :aplaus:

Text als find.bat speichern, ich hoffe, es haut soweit hin

Code: Alles auswählenAufklappen

ATTFilter

@echo off
REM Version 2008.22.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set LOG=^>^> "%systemdrive%\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "bases_x"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %systemdrive%\bases_x
	goto cp2wd
	:srchlog
	dir %systemdrive%\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %systemdrive%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %systemdrive%\bases_x\tmp.log
	set /P FILE=<%systemdrive%\bases_x\tmp.log
	copy "%FILE%" %systemdrive%\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  if %errorlevel% equ 1 goto engpath 
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="English" goto engpath 
	if "%eLang%"=="German" goto germpath 
	goto wrnglang
	
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "gescannt" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
  
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2007.06.16.01 %LOG%
	ver %LOG%
	if "%SAFEBOOT_OPTION%"=="" (echo Bootmodus: NORMAL %LOG%
	   ) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
	echo. %LOG%   
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
  more %systemdrive%\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
	findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
	echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Datei" %systemdrive%\bases_x\mwav_cut.log | findstr "ergriffen" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "markiert" %systemdrive%\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Infizierter" %systemdrive%\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
	findstr "Abbruch" %systemdrive%\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
	findstr "Modul" %systemdrive%\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
	findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %systemdrive%\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
	echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
	findstr /V /R /F:%systemdrive%\escan\bases_x\tmp.log "^#" | findstr /V /c:"127.0.0.1       localhost" %LOG% 
  
  
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %systemdrive%\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %systemdrive%\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
	findstr "Speicher" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Registrierung" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Start" %systemdrive%\bases_x\tmp.log %LOG%
	findstr /i "ordner" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Dienste" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Laufwerke" %systemdrive%\bases_x\tmp.log | findstr "der" %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

  goto end
  
  
REM *********************************************************************************	
REM *********************************************************************************
REM 2.2 Englischsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:engpath	
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine neue Logdatei überführt.

  if "%MODUS%"=="1" goto emode1
  if "%MODUS%"=="2" goto emode2
  if "%MODUS%"=="3" goto emode3
  
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Options" %systemdrive%\bases_x\mwav_clean.log^|findstr "User"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto emode
  
  :emode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log^|findstr /v "File"') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
  goto emode
  
  :emode2
  findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Options" %systemdrive%\bases_x\mwav_clean.log^|findstr "User"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
  goto emode
  
  :emode3
  findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_cut.log

  
REM 2.2.1 Englisch: Header der Reportdatei wird erstellt.
REM     OS-Version, Programmversion, Datum der Erkennungsdatei, Installationssprache, Batch-Version, Safe Mode
  
  :emode
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo find.bat Version 2007.06.16.01 %LOG%
	ver %LOG%
	if "%SAFEBOOT_OPTION%"=="" (echo Bootmodus: NORMAL %LOG%
	   ) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
	echo. %LOG%   
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
		for /f "tokens=*" %%i in ('findstr "Virus Database" %systemdrive%\bases_x\mwav_cut.log^|findstr "Date"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
  more %systemdrive%\bases_x\tmp.log %LOG%
	echo. %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...

REM 2.2.2 Englisch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%
	findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "found" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...

REM 2.2.3 Englisch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr /i "File" %systemdrive%\bases_x\mwav_cut.log | findstr /i "infected" | findstr /i "by" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "tagged" %systemdrive%\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...

REM 2.2.4 Englisch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...
	
REM 2.2.5 Englisch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "Possibly" %systemdrive%\bases_x\mwav_cut.log | findstr "password" | findstr "protected" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
	findstr /V /R /F:%systemdrive%\bases_x\tmp.log "^#" | findstr /V "127.0.0.1" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.2.6 Englisch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Total" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
	findstr "Critical" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
	findstr "Disinfected" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
	findstr "Renamed" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
	findstr "Deleted" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
	findstr "Errors" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Elapsed:" %systemdrive%\bases_x\mwav_cut.log %LOG%
	findstr "Scanned:" %systemdrive%\bases_x\mwav_cut.log %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...
  
REM 2.2.7 Englisch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "abled" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
	findstr "Memory" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Registry" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Startup" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Folder" %LOG%
	findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Area" %LOG%
	findstr "Services" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "Drive" %systemdrive%\bases_x\tmp.log %LOG%
	findstr "All" %systemdrive%\bases_x\tmp.log %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...
	
	goto end

REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
	:end
rem	del %systemdrive%\bases_x\tmp.log
rem	del %systemdrive%\bases_x\mwav_clean.log
rem	del %systemdrive%\bases_x\mwav_cut.log
  echo. %LOG%
  echo Batchstart: %TIMESTART% %LOG%
  echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	notepad %systemdrive%\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in englischer und deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         

Grüße

"ergriffen"? Nette Idee!
Aber ich seh da schon Probleme kommen, schau dir folgende Zeilene an:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.7.5
Sprache: German
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with virusburst Trojan (vb.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Maßnahme ergriffen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Desktop\exe.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei G:\AUTORUN.INF infiziert durch den Virus "Fujack"! Maßnahme ergriffen: No Action Taken.

Ich würde ja behaupten, dass es da auch Dateien mit "Action Taken: No Action Taken" geben muss und diese würden ausm Raster fallen.

Zitat:

Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem XP-Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der kritischen Objekte: 5
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 36
Zeit verstrichen: 00:10:29
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Hier geht auch noch was schief.... a) wird die Hostdatei, wegen des "SystemRoot" nicht gefunden und b) sind die Anzahl der gescannten Dateien verschwunden.

Außerdem ist die englische Version nicht mehr mit der deutschen identisch...
Ich mach gleich mal nen Vorschlag...

ordell, was dich evtl interessieren könnte (falls du nichts zu tun hast. ) ist ein 2. Log, dass von eScan erstellt wird:
Es listet Dateie mit Größe, Erstelldatum und Besitzer. Allerdings hab ich noch nicht verstandne nach welchem Muster er die Datein aussucht.

bis gleich
lg myrtille

EDIT: funktioniert bei euch die variable %hostloc% ? Ich hab da das Problem mit dem Systemroot...

Nichts zu tun? Madame! Ich habe mich gebührend auf das WE vorzubereiten.

Mir schwahnt Schlimmes, das Trüffelschwein der Fehlersuche schlägt wieder zu
Gute Einwände , also folgende Änderungen:

Zeile 121 findstr /v /c: "wird gescannt" -> sonst wird die Anzahl der gescannten objekte nicht angezeigt

Zeile 206 findstr /i "ergriffen Action" -> da hast du beides im Boot

Header: Version 2008.22.02

Zeile 267 host: \escan\ entfernt -> Ich habe die Zeile aus ner anderen batch übernommen (Änderungen durch die ftpfind.bat), aber das Verzeichnis Escan gibbet hier nüsch, deswegen schlug die Sache fehl.

Anm. zur hosts: Marc liest den Pfad aus der Registry aus, setzt den Pfad als Variable %hostloc%, schreibt ihn in tmp.log und findstr /F:tmp.log durchsucht die hosts-Datei. Sollte eigentlich funktionieren.

Vllt sollte man sich mal mit den Jungs in Verbidung setzen. Grundsätzlich ist eScan ja nicht verkehrt, aber die ständigen Versuche, sich der deutschen Sprache anzunähern sowie die völlig sinnfreien Aktionen wie zB Änderung der Optioncodes in der Registry oder die lustigen Ordner in %systemroot% machen es schwer den Leuten eScan zu empfehlen. Mit den Fehlalarmen kommt man mit der Zeit ja klar, aber der Rest nervt nur und ist notwendig wie ein Furunkel am Arsch.

Bei Lichte besehen ist die ganze Geschichte längst überholt. Die Kaspersky-engine hornalt, die Antispywareeigenentwicklung eine Zumutung, und warum die nicht ein vernünftiges log auf die Reihe bekommen, wie jeder popelige Av-vendor auch, wird mir immer ein Rätsel bleiben.

Gibt es was anderes, dass sich vernünftig einsetzen lässt am besten ohne das User Funde so ohne weiteres löschen können (das ist mMn der große Vorteil von eScan - bei dem Programm aber auch dringend notwendig)?

Nicht, dass ich wüßte. War iirc schon mal Thema im KT, aber ernsthafte Alternativen taten sich nicht auf. Antivir hat noch einen kommandozeilenbasierten (was für ein Wort!) scanner, nur mit der freien Lizenz scannt der keine Unterverzeichnisse. Pech. CureIt hat mich auch nicht überzeugt.