Zitat:

Zitat von cad

Braucht Ihr noch mehr Tests?

Nein, das hält nur auf. Gute Idee mit vista! Dankeschön. Ich habe die hosts-Abfrage angepaßt und mwav_clean etwas entschlackt. aktuell:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "escan"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %systemdrive%\escan\bases_x
	goto cp2wd
	:srchlog
	dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
	set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
	copy "%FILE%" %systemdrive%\escan\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="German" (
	goto germpath 
	) else (
	goto wrnglang
	)
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log ^|findstr "Benutzer"') do set linecnt=%%i
  more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\escan\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2008.29.02 %LOG%
	ver %LOG%
	findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
	echo. %LOG%   
	for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
	more %systemdrive%\escan\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Object" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
	findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
	echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "ergriffen Action" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
	findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
	findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
	findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
	echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
	findstr /v /f:c:\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1		localhost"|findstr /v /c:"::1				localhost" %LOG% 
	
cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
	findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

   
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
	:end
rem del %systemdrive%\escan\bases_x\tmp.log
rem del %systemdrive%\escan\bases_x\mwav_clean.log
rem del %systemdrive%\escan\bases_x\mwav_cut.log
  echo. %LOG%
  echo Batchstart: %TIMESTART% %LOG%
  echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	notepad %systemdrive%\escan\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         

Ich hänge mal die im KT zusammengefrickelte ftpfind.bat dran.

Vorteile:
- automatischer download&scan
- weniger FPs

Nachteile:
- keine, wenn der Laden läuft

File-Upload.net - Ihr kostenloser File Hoster!

Moin

File-Upload.net - Ihr kostenloser File Hoster!

Wirf bitte einen Blick darauf, die Batch braucht jetzt bei XP länger. Wie das bei Vista aussieht, kann ich erst heute Abend testen.

Grüße cad

Letzten Beitrag bitte löschen, bzw. nicht beachten.

Sorry

War gar nicht verkehrt. Die hosts-Abfrage treibt mich noch in den Wahnsinn. Mir fehlt die Standard-hosts von vista, könnte die mal bitte jmd als Anhang posten. Merci.

zur Laufzeit: Alles was unter 1h läuft ist ok.

neuer code:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "escan"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %systemdrive%\escan\bases_x
	goto cp2wd
	:srchlog
	dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
	set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
	copy "%FILE%" %systemdrive%\escan\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="German" (
	goto germpath 
	) else (
	goto wrnglang
	)
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %systemdrive%\escan\bases_x\mwav_clean.log') do set linecnt=%%i
  more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\escan\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2008.29.02 %LOG%
	ver %LOG%
	findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
	echo. %LOG%   
	for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	if "%eVersion%"=="" (
		for /f "tokens=1-3" %%i in ('findstr /c:"Version" %systemdrive%\escan\bases_x\mwav_cut.log') do set eVersion=%%i %%j
		)
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
	more %systemdrive%\escan\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Object" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
	findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
	echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "ergriffen Action" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
	findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
	findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
	findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
	echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
	findstr /v /f:%systemdrive%\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1       localhost"|findstr /v /c:"::1             localhost" %LOG% 
	
cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
	findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

   
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
rem del %systemdrive%\escan\bases_x\tmp.log
rem del %systemdrive%\escan\bases_x\mwav_clean.log
rem del %systemdrive%\escan\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	notepad %systemdrive%\escan\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         

findftp.bat: http://www.file-upload.net/download-697098/findftp.bat.html

Wünsche ein nettes WE.

Zitat:

Zitat von ordell1234

Die hosts-Abfrage treibt mich noch in den Wahnsinn. Mir fehlt die Standard-hosts von vista, könnte die mal bitte jmd als Anhang posten. Merci.

Hier hast du sie:

Zitat:

Zitat von hosts

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

Hoffe das reicht dir vorerst.

Und vielleicht auch noch interressant:

Zitat:

Zitat von lmhosts

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to computernames
# (NetBIOS) names. Each entry should be kept on an individual line.
# The IP address should be placed in the first column followed by the
# corresponding computername. The address and the computername
# should be separated by at least one space or tab. The "#" character
# is generally used to denote the start of a comment (see the exceptions
# below).
#
# This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
# files and offers the following extensions:
#
# #PRE
# #DOM:<domain>
# #INCLUDE <filename>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (non-printing character support)
#
# Following any entry in the file with the characters "#PRE" will cause
# the entry to be preloaded into the name cache. By default, entries are
# not preloaded, but are parsed only after dynamic name resolution fails.
#
# Following an entry with the "#DOM:<domain>" tag will associate the
# entry with the domain specified by <domain>. This affects how the
# browser and logon services behave in TCP/IP environments. To preload
# the host name associated with #DOM entry, it is necessary to also add a
# #PRE to the line. The <domain> is always preloaded although it will not
# be shown when the name cache is viewed.
#
# Specifying "#INCLUDE <filename>" will force the RFC NetBIOS (NBT)
# software to seek the specified <filename> and parse it as if it were
# local. <filename> is generally a UNC-based name, allowing a
# centralized lmhosts file to be maintained on a server.
# It is ALWAYS necessary to provide a mapping for the IP address of the
# server prior to the #INCLUDE. This mapping must use the #PRE directive.
# In addtion the share "public" in the example below must be in the
# LanManServer list of "NullSessionShares" in order for client machines to
# be able to read the lmhosts file successfully. This key is under
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
# in the registry. Simply add "public" to the list found there.
#
# The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
# statements to be grouped together. Any single successful include
# will cause the group to succeed.
#
# Finally, non-printing characters can be embedded in mappings by
# first surrounding the NetBIOS name in quotations, then using the
# \0xnn notation to specify a hex value for a non-printing character.
#
# The following example illustrates all of these extensions:
#
# 102.54.94.97 rhino #PRE #DOM:networking #net group's DC
# 102.54.94.102 "appname \0x14" #special app server
# 102.54.94.123 popular #PRE #source server
# 102.54.94.117 localsrv #PRE #needed for the include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# In the above example, the "appname" server contains a special
# character in its name, the "popular" and "localsrv" server names are
# preloaded, and the "rhino" server name is specified so it can be used
# to later #INCLUDE a centrally maintained lmhosts file if the "localsrv"
# system is unavailable.
#
# Note that the whole file is parsed including comments on each lookup,
# so keeping the number of comments to a minimum will improve performance.
# Therefore it is not advisable to simply add lmhosts file entries onto the
# end of this file.

Lmhosts - Wikipedia

Zitat:

Zitat von ordell1234

Nachteile:
- keine, wenn der Laden läuft

File-Upload.net - Ihr kostenloser File Hoster!

Hat teilweise toll funktioniert (Download/Update/Start in den abgesicherten Modus/ MWAV Start/Scan lief an) und dann blieb es (die Batch) stehen. Nach Doppelklick (15:56 Uhr)kam : Stapel.... gestartet....Stapeldatei beendet (sinngemäß), jedenfalls ging kein Fenster mit der Auswertung zum speichern auf .....

Auszug aus den MWAV Logs (C:\bases_x)
Scandauer MWAV: Start 29 Feb 2008 13:54:28
Letzter Eintrag: 29 Feb 2008 14:30:04 - Datei C:\WINDOWS\$MSI31Uninstall_KB893803v2$\reg00041 wird gescannt [**]
29 Feb 2008 14:

bzw. da war ein 2. Log?

29 Feb 2008 14:05:20 - [Ordner: C:\Dokumente und Einstellungen\x\Eigene Dateien\IHK\sap\sap\Winter00Prüferdaten\000926_1344\Ganzheitliche Aufgabe I\FA 227 IT-Systemelektroniker\html-Seiten wird gescannt]

29 Fe

Das MWAV Fenster blieb offen und der Scan lief bis zum Ende durch ???

29 Feb 2008 15:11:22 - ***** Scannen abgeschlossen *****

29 Feb 2008 15:11:22 - Zahl der gescannten Objekte: 154891
29 Feb 2008 15:11:22 - Zahl der kritischen Objekte: 3
29 Feb 2008 15:11:22 - Zahl der desinfizierten Objekte: 0
29 Feb 2008 15:11:22 - Zahl der umbenannten Dateien: 0
29 Feb 2008 15:11:22 - Zahl der gelöschten Objekte: 0
29 Feb 2008 15:11:22 - Zahl der Fehler: 8
29 Feb 2008 15:11:22 - Zeit verstrichen: 01:15:25
29 Feb 2008 15:11:22 - Virendatenbank Datum: 28 Feb 2008
29 Feb 2008 15:11:23 - Virendatenbankzähler: 584905

29 Feb 2008 15:11:23 - Scannen abgeschlossen.

0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK

Zitat:

Zitat von ordell1234

findftp.bat: File-Upload.net - Ihr kostenloser File Hoster!

Dito

Ist das jetzt nur bei mir so?
(XP)

Ich habe gerade einen Suchlauf mit escan gemacht. Aber irgendwie funktioniert die find.bat nicht.
sieht ungefähr so aus:
[XXXX____________________]
Copying mwav.log ...

Passiert da noch was oder soll ich lieber den escan-log (den ich glücklicherweise gespeichert habe) posten. Welches Forum wäre dazu das richtige, Hijack-This- Abteilung?

Nomiman

Hallo Nomiman

Nimm bitte diese hier (Find.bat bzw.Auswertedatei)Klick und Doppelklick nicht vergessen.

Hijack Forum ist o.k.

Gruß cad

Ich weiß ja, dass ordell mich offiziell rausgeschmissen hat, aber ihr müsst die find.bat schon besser verstecken, wenn ihr nicht wollt, dass ich an ihr rummoser.

*mosermodus*
Dein "Antispywarewerkzeugsatz" funktinioniert nicht richtig.
*mosermodusoff*
EDIT:
Es ist nicht mein Log. Es handelt sich dabei wahrscheinlich um abgebrochene Scans. Also kein komplettes beenden von eScan.
Zwischen den beiden Scans stehen folgende Einträge:

Zitat:

Bitte warten, Anwendung wird beendet...
***** Scannen abgeschlossen *****
Zahl der gescannten Objekte: 39316
Zahl der kritischen Objekte: 12
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 14
Zeit verstrichen: 00:02:21
Virendatenbank Datum: 26 Feb 2008
Virendatenbankzähler: 581531
Scannen abgeschlossen.
Vom Benutzer gewählte Optionen:
Speicherüberprüfung: Aktiviert
Registrierungsdatenbank-Überprüfung: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Option Überprüfung der Laufwerke deaktiviert
Überprüfung der Ordner: Aktiviert
Der gewählte Ordner = C:\Windows
***** Speicherdateien werden gescannt *****
***** Dateien der Registrierungsdatenbak werden gescannt *****

Man könnte zb nach Speicherdateien suchen, das ist mE die erste Zeile, die vom neuen Scan geschrieben wurde. (und mit dem Text bekomm ich auch nur einzelne Einträge )


Und weils so schön ist:
Mehrfaches Ausführen der find.bat mit demselben Log (mehrere Scans) folgende Ausgabe der find.bat: :aplaus:

Code: Alles auswählenAufklappen

ATTFilter

Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Speicherüberprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Registrierungsdatenbank-Überprüfung: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung des Startordners: Aktiviert 
 Überprüfung des Systemordners: Aktiviert 
 Überprüfung der Ordner: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Dienste: Aktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 Option Überprüfung der Laufwerke deaktiviert 
 
Batchstart:  1:30:26,84 
Batchende:  1:30:30,26
         

Natürlich die Editfrist verpasst.

Noch ne Kleinigkeit:
Dadurch, dass die Einträge jetzt

Zitat:

Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

heißen, werden sie unter Infektionsmeldungen nicht mehr gelistet (findstr Object).
Dafür werden sie mit den derzeitigen Kriterien allerdings als "infected file" erkannt.

Mein Vorschlag wäre daher für die infected files:

Zitat:

findstr "Datei" %systemdrive%\bases_x\mwav_cut.log | findstr "infiziert" %LOG%

Gibt es damit Probleme?

Mein Vorschlag wäre somit:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "escan"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %systemdrive%\escan\bases_x
	goto cp2wd
	:srchlog
	dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
	set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
	copy "%FILE%" %systemdrive%\escan\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="German" (
	goto germpath 
	) else (
	goto wrnglang
	)
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Speicherdateien" %systemdrive%\escan\bases_x\mwav_clean.log') do set linecnt=%%i
  more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %systemdrive%\escan\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2008.29.02 %LOG%
	ver %LOG%
	findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
	echo. %LOG%   
	for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	if "%eVersion%"=="" (
		for /f "tokens=1-3" %%i in ('findstr /c:"Version" %systemdrive%\escan\bases_x\mwav_cut.log') do set eVersion=%%i %%j
		)
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
	more %systemdrive%\escan\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Infektionsmeldungen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr "Objekt" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
	findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
	echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
	echo Dateien %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Infected files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "infiziert" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Tagged files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo ~~~~ Offending files %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM     Meldungen über infizierte Prozesse und Scanfehler
  echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Prozesse und Module %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
	findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
	findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
	findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
	findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
	findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
	echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
	findstr /v /f:%systemdrive%\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1       localhost"|findstr /v /c:"::1             localhost" %LOG% 
	
cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
	findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
	findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

   
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
 del %systemdrive%\escan\bases_x\tmp.log
 del %systemdrive%\escan\bases_x\mwav_clean.log
 del %systemdrive%\escan\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	notepad %systemdrive%\escan\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         

Wobei ich eigentlich nur den Suchbegriff für linecnt von Spywareendloswort in Speicherdateien geändert habe, Object durch Objekt ersetzt habe und bei den infected files, jetzt nach "infiziert" statt "Action ergriffen" suche.

lg myrtille

Wow. 19 Seiten über escan. Dieses Program RICHTIG zu bedienen nimmt beinahe mehr Zeit in Anspruch, als den PC neu zu installieren. Zudem kann man während des Neuaufsetzen ungestört fernsehen, duschen, essen kochen, ein Buch lesen....(und dann ist Pc SAUBER! wogegen man nach escan nur eventuelle gewissheit hat, das er nicht sauber ist...)

Ich habe die Anleitung unter "Anleitungen, Faqs & Links" benutzt. Ich Dummerchen hab die Download-Datei als Admin aber auf meinem Desktop asugeführt, keen Plan, wo er das dan installiert hat...wohl automatisch im temp-ordner oder so... jedenfalls konnte im abgesicherten Modus mit start-->ausführen-->mwavscan.com einen Sche*ß tun! Die Datei wurde gar nicht gefunden. Die gedwonloadetet Version stimmte auch mit den Screenshots nicht überein. Das Prog. ist Mist. Ein toller Scanner (vielleicht) aber trotzdem Mist!

Der Thread ist nicht für Noobs, die eScan nicht benutzen können. Sondern ne Diskussion über die Funktionsweisen und Entwicklung von eScan, daher ist er so lang.
Es geht hier NICHT darum Leuten zu erklären wie das Tool bedient werden muss. (Was bisher in 99% der Fällen zb mit der Anleitung funktinoiert)

Das bei der Anleitung ein Fehler existiert bzgl der mwavscan.com ist bekannt (statt mwavscon.com muss %temp%\mwavscan.com eingegeben werden), was du an den Screenshots auszusetzen hast ist mir allerdings nicht klar. Die Bilder sind vollkommen identisch. Keine Ahnung was du da gemacht hast. (Bzw was du da für Probleme hattest? Was war unklar?)

Gibt es eigentlich ein Programm das für nicht der totale Mist ist?

Weitere konstruktive Kritik wäre übrigens durchaus willkommen.

lg myrtille

Zitat:

Zitat von myrtille

Gibt es eigentlich ein Programm das für nicht der totale Mist ist?

Monkey Island vielleicht? lol


was Viren angeht: nö...taugen alle nichts wirklich.
...aber ich klink mich an dieser stelle besser wieder aus...klick.
eins noch: bei mir sahen die screens definitiv nicht völlig identisch aus. werde das bei zeiten mal überprüfen...

Neue Version, neues Glück.

@cad: Die findtfp war ne Mogelpackung , sie sucht und findet nichts, sie bewerkstelligt nur den Download und scan. Ich hab jetzt einen Aufruf der find.bat über RunOnce mit reingenommen. Im KT hatten wir überlegt, die find.bat in die ftpfind zu integrieren, was das Ding mordsmäßig aufgebläht und Marc ein Trauma beschert hat. ME spricht nichts dagegen, beide Dateien getrennt zu halten.

Zitat:

0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK
0 -Bootmodus: NETWORK

Sieht danach aus, als hätte die mwav_cut nicht richtig funktioniert, reproduzieren kann ich den Fehler allerdings nicht.

@myrtille: Yep, "Maßnahme ergriffen" war zu allgemein.

Zitat:

Scannen abgeschlossen.
Vom Benutzer gewählte Optionen:

Das riecht noch nach den alten strings, antisypwarewerkzeugbla funktioniert bei mir mit den neuen Versionen. Bei dir nicht?

neue ftpfind

Code: Alles auswählenAufklappen

ATTFilter

@echo off
REM Version 2008.03.06
REM
REM MightyMarc, ordell1234, myrtille und cad@ www.trojaner-board.de
rem Danke an alle ungenannten, freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit fuer nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
 
REM Marc Manske, Juli 2007

REM Pruefung des Betriebssystems und des Bootmodus'
if "%OS%" neq "Windows_NT" goto wrngos
if "%safeboot_option%" equ "MINIMAL" goto safeboot
if "%safeboot_option%" equ "NETWORK" goto srchwd
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell |findstr "findftp.bat"
if "%errorlevel%"=="0" goto reboot

%systemdrive%
cd\
set /a x=0
set /a srvcnt=0
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced %systemdrive%\escan\advanced.reg
reg export "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" %systemdrive%\escan\winlogon.reg
reg export "hkcu\control panel\international" %systemdrive%\escan\international.reg

cls
echo.
echo Benutzung dieser Batchdatei einzig und allein auf eigene Gefahr!
echo Es wird fuer nichts garantiert!
echo.
echo Wer alle moeglichen Risiken NICHT in Kauf nehmen moechte, steigt bei der
echo naechsten Abfrage aus (0 - Batch beenden)! 
echo. 
echo **** Es wird nun die Pingzeit zu den Downloadservern getestet. ****
echo.
echo **** Dieser Vorgang dauert etwa 30 Sekunden. ****
echo.
echo.


:srchwd
rem Search Working Directory
rem Hier wird geschaut, ob das WD bereits existiert. Wenn nicht wird es angelegt
rem und die Variable wd gesetzt.
set wd=%systemdrive%\escan\bases_x
if exist %systemdrive%\escan\bases_x goto pngsrv
mkdir %systemdrive%\escan\bases_x
pause


:pngsrv
rem Ping Servers
rem Die beiden Downloadserver werden angepingt, die Ergebnisse in Dateien ueberfuehrt.

ping ftp.microworldsystem.com > %wd%\ping1.log
ping update.mailscan.info > %wd%\ping2.log
findstr "Mittelwert" %wd%\ping1.log > %wd%\p1.log
findstr "Mittelwert" %wd%\ping2.log > %wd%\p2.log


:pngcom
rem Ping Communication (dumme Bezeichnung aber was soll's)
rem Die Pingzeiten der Server werden angezeigt und der User zur Auswahl aufgefordert.

cls
echo. 
echo Welchen Downloadserver wollen Sie verwendenss
echo Geben sie 1 fuer Server 1 bzw 2 fuer Server 2 ein. Sollten Sie die
echo mwav.exe bereits in %systemdrive%\escan gespeichert haben, waehlen Sie bitte
echo 3 aus, um die Datei zu entpacken und alles weitere zu veranlassen.
echo.
echo Es wird empfohlen, den Server mit dem geringeren Mittelwert zu waehlen.
echo.
echo.
echo [1] Server 1:
more %wd%\p1.log
echo.
echo [2] Server 2:
more %wd%\p2.log
echo. 
echo [3] Bereits vorhandene mwav.exe entpacken
echo.
echo [4] Update wiederholen / weitfuehren
echo.
echo [0] Beenden
echo.
set /p srv=Auswahl mit [Enter] bestaetigen:
if "%srv%"=="1" goto ftp
if "%srv%"=="2" goto ftp
if "%srv%"=="3" goto extract
if "%srv%"=="4" goto testextr
if "%srv%"=="0" goto end1
goto pngcom

:ftp
cls
echo.
echo Die eScan-Programmdatei wird von Server %srv% geladen. 
echo DIES DAUERT EINIGE MINUTEN (!), abhaengig von der Geschwindigkeit Ihrer 
echo Internetanbindung, der Auslastung des Servers und anderen Faktoren:
echo.
echo 56k Modem mindestens 41 Minuten !
echo ISDN mindestens 18 Minuten !
echo.
echo DSL 1000 mindestens 2 Minuten 30 Sekunden
echo DSL 2000 mindestens 1 Minute 15 Sekunden
echo DSL 6000 mindestens 40 Sekunden
echo.
echo Zu den nun folgenden Logzeilen kann ich Ihnen nur dieses raten:
echo.
echo Don't panic!
echo. 
echo (Sie koennen jederzeit mit Strg + C aus dieser Batchdatei aussteigen.)
echo.
echo.

:wgetfile
rem Write Get File
rem Das FTP-Script zum Downloaden der Datei wird geschrieben.

echo hash > %wd%\ftp.txt
echo binary >> %wd%\ftp.txt
echo get download/tools/mwav.exe %systemdrive%\escan\mwav.exe >> %wd%\ftp.txt
echo quit >> %wd%\ftp.txt

:wgetsize
rem Write Get Size
rem Das FTP-Script fuer das directory listing wird geschrieben.
rem Aus dem directory listing wird die Dateigroeße bestimmt.
pause
echo cd download > %wd%\ftpgetsize.txt
echo cd tools >> %wd%\ftpgetsize.txt
echo dir >> %wd%\ftpgetsize.txt
echo quit >> %wd%\ftpgetsize.txt
if "%srv%"=="2" goto ftp2


:ftp1
rem FTP Server 1
rem Zuerst wird der dir-Befehl im Downloadverzeichnis ausgefuehrt.
rem Aus dem Output wird ueber findstr die richtige Zeile ermittelt
rem und aus ihr der richtige Token extrahiert.
rem Danach wird die mwav.exe runtergeladen. Nach dem Download wird wie oben
rem ueber den dir-Befehl sowie findstr der token extrahiert.
rem Beide Tokens werden verglichen.

ftp -s:%wd%\ftpgetsize.txt -A ftp.microworldsystems.com > %wd%\ftp.log
for /f "tokens=1-9" %%i in ('findstr "mwav.exe" %wd%\ftp.log') do set rfsize=%%m
ftp -s:%wd%\ftp.txt -A ftp.microworldsystems.com
for /f "tokens=1-9" %%i in ('dir /-C %systemdrive%\escan^| findstr "mwav.exe"') do set lfsize=%%k
if "%rfsize%"=="%lfsize%" goto extract
goto nodl

:ftp2
rem FTP Server 2
rem siehe :ftp1
set x=0
ftp -s:%wd%\ftpgetsize.txt -A update.mailscan.info > %wd%\ftp.log
for /f "tokens=1-9" %%i in ('findstr "mwav.exe" %wd%\ftp.log') do set rfsize=%%m
ftp -s:%wd%\ftp.txt -A update.mailscan.info
for /f "tokens=1-9" %%i in ('dir /-C %systemdrive%\escan^| findstr "mwav.exe"') do set lfsize=%%k

:size
rem Größenprüfung, ob der Download vollständig verlief
if "%rfsize%"=="%lfsize%" goto extract

:nodl
rem No Download
rem Meldung die der User zu sehen bekommt, wenn die Tokens (siehe :ftp1)
rem unterschiedlich sind. es wird aufgefordert irgendwas zu machen.

echo **** ftp - no download >> %temp%\find.log
set ndl=
cls
echo Der Download war nicht erfolgreich. 
echo Groesse der Datei auf dem Server:
echo %rfsize% byte
echo Groesse der Datei hier auf dem Computer:
echo %lfsize%
echo.
echo Wiederholen Sie den Download mit der Batchdatei. 
echo Alternativ koennen Sie die mwav.exe auch hier ueber Ihren Browser 
echo runterladen:
echo.
echo http://update6.mwti.net/download/tools/mwav.exe
echo http://update3.mwti.net/download/tools/mwav.exe
echo http://www.mwti.net/download/tools/mwav.exe
echo ftp://update.mailscan.info/download/tools/mwav.exe
echo.
echo Speichern Sie die in diesem Fall die mwav.exe in %systemdrive%\ (nicht in einem 
echo Ordner oder Unterordner), starten die Batch und waehlen Option 3.
echo.
echo [1] Datei nochmal runterladen
echo [0] Batchdatei beenden
echo.
set /p ndl=Auswahl mit [Enter] bestaetigen:
if "%ndl%"=="1" goto pngsrv
if "%ndl%"=="0" goto end
goto nodl
pause

:extract
rem extract
rem Da der User hier hinspringen kann, muessen die Verzeichnisse ueberprueft werden.
rem Sind sie nicht vorhanden, werden sie erstellt und die Variable(n) gesetzt.
rem %temp% wird auf %systemdrive%\eScan umgebogen. Das haengt damit zusammen, dass
rem die mwav.exe sich beim Ausfuehren in %temp% entpackt. Und im standard-Tempordner
rem will man die Dateien nicht haben.
rem mwav.exe wird mit /MEM (Speicherueberpruefung) gestartet,
rem damit es sich ohne Userinteraktion entpackt. 

dir /A:D %systemdrive%\escan | findstr /i "bases_x"
if %errorlevel% equ 1 mkdir escan\bases_x
cls
echo Download erfolgreich. Groesse der Datei auf dem Server ist %rfsize% byte und
echo auf dem Computer %lfsize% byte.
echo.
echo eScan wird jetzt in das Zielverzeichnis entpackt und ueberprueft
echo den Arbeitsspeicher. Dieser Vorgang dauert - abhaengig von Ihrem System -
echo etwa 30 - 90 Sekunden.
echo.
echo Sollte nach 5 Minuten immer noch dieser Text zu lesen sein, brechen sie 
echo den Vorgang mit der Tastenkombination Strg + C ab und starten Sie die Batchdatei 
echo neu (Option 3 waehlen). Fuehrt dies auch nicht zum Erfolg, melden Sie bite Ihr  
echo Problem hier:
echo.
echo www.trojaner-board.de, Diskussionsforum, eScan-Anleitung und find.bat
echo.
echo.
%systemdrive%\escan\mwav.exe /FS
del /s /q /f %temp%\*.manifest

:testextr
rem testing extraction
rem Hier werden einfach ein paar Dateien gesucht um zu sehen, ob das Entpacken 
rem auch funktioniert hat.

dir %temp% | findstr /i "zcompare.ppl"
if %errorlevel% equ 1 goto noextr
dir %temp% | findstr /i "download.exe"
if %errorlevel% equ 1 goto noextr
dir %temp% | findstr /i "virus.avi"
if %errorlevel% equ 1 goto noextr
dir %temp% | findstr /i "mexe.com"
if %errorlevel% equ 1 goto noextr
dir %temp% | findstr /i "unregx.exe"
if %errorlevel% equ 1 goto noextr
goto files

:noextr
rem no extraction
rem bei testextr ist einmal %errorlevel% = 1 aufgetaucht > Entpacken unvollstaendig
pause
set nxtr=
cls
echo.
echo Das Entpacken von eScan war leider nicht erfolgreich. Bitte starten Sie
echo die Batchdatei neu und waehlen Sie bei der Frage nach dem Downloadserver
echo Option "3" aus. Das Entpacken wird wiederholt.
echo.
echo [1] Datei nochmal runterladen
echo [2] Erneut versuchen die Datei zu entpacken
echo [0] Batchdatei beenden
echo.
set /p nxtr=Auswahl mit [Enter] bestaetigen:
if "%nxtr%"=="1" goto pngsrv
if "%nxtr%"=="2" (
for /f "tokens=1-9" %%i in ('dir /-C %systemdrive%\escan^| findstr "mwav.exe"') do set lfsize=%%k
for /f "tokens=1-9" %%i in ('findstr "mwav.exe" %wd%\ftp.log') do set rfsize=%%m
goto size
)
if "%nxtr%"=="0" goto end
goto noextr

:files
rem files
rem hier werden einige Dateien geschrieben, die für das Update benötigt werden.

echo > %temp%\download.lck
echo > %temp%\filelist.lst
echo [Config] > %temp%\EUpdate.ini
echo ConnectViaProxy=0 >> %temp%\EUpdate.ini
echo SourceURL=http://update6.mwti.net/pub/update >> %temp%\EUpdate.ini
echo HTTPHost=http://update6.mwti.net/sendinfo >> %temp%\EUpdate.ini
echo DownloadType=2 >> %temp%\EUpdate.ini
echo HTTPPort=80 >> %temp%\EUpdate.ini
echo LogfilePath=%temp% >> %temp%\EUpdate.ini
echo DestDir=%temp% >> %temp%\EUpdate.ini
echo TempDir=%temp% >> %temp%\EUpdate.ini
echo Createsysteminfo=0 >> %temp%\EUpdate.ini
echo CreateReport=0 >> %temp%\EUpdate.ini
echo CopyMissing=0 >> %temp%\EUpdate.ini
echo HTTPLastTry=1 >> %temp%\EUpdate.ini
echo HTTPNumOfTry=1 >> %temp%\EUpdate.ini
echo Fileno=0 >> %temp%\EUpdate.ini
echo Hosttry=0 >> %temp%\EUpdate.ini 

:options
rem options
rem hier werden die notwendigen Werte fuer den escan und updatetest in der Registry gesetzt

reg add HKCR\eut /v Language /t REG_SZ /d German /f
reg add HKCR\eut /v AllFiles /t REG_SZ /d 1 /f
reg add HKCR\eut /v ProgramFiles /t REG_SZ /d 0 /f
reg add HKCR\eut /v SizeRestriction /t REG_SZ /d 10 /f

:update
rem update
rem eScan wird aktualisiert

cls
echo. 
echo Das Entpacken war erfolgreich. Nun werden die Updates fuer eScan
echo runtergeladen. Dies kann einige Minuten dauern (meist 1-2 Minuten).
echo.
%temp%\download.exe
del /s /q %temp%\spy*

:testupdate
rem Pruefung des Updates durch Vergleich des in der EUpdate.ini eingetragenen Datums
rem mit dem aktuellen Datum. Der Reg.-Zweig, der die Datumsoptionen beinhaltet wird
rem gesichert und dann werden die einstellungen auf ein einheitliches Format gebracht.
rem Letztendlich wird der Reg.-Zweig wieder reimportiert.
reg add "hkcu\control panel\international" /v sShortDate /t REG_SZ /d dd.MM.yyyy /f
reg add "hkcu\control panel\international" /v sDate /t REG_SZ /d . /f
reg add "hkcu\control panel\international" /v iDate /t REG_SZ /d 1 /f
for /f "tokens=2 delims==" %%i in ('findstr /i "lastsuccessfuldownload" %temp%\EUpdate.ini') do echo %%i> %wd%\datum.log
for /f "tokens=1,2,3 delims=." %%i in (%wd%\datum.log) do set edatum=%%j.%%i.%%k
echo %date%
echo %edatum%
if "%date%"=="%edatum%" goto reboot
set /a x=%x%+1
if %x% lss 4 goto update

:srvchange
if %srvcnt% equ 1 goto leckmich
cls
echo.
echo Das Update will bei Ihnen partout nicht funktionieren. Es wird jetzt ein anderer
echo Updateserver getestet.
echo.
echo Bitte druecken Sie eine beliebige Taste um die Aktualiserung zu starten.
echo.
pause
echo [Config] > %temp%\EUpdate.ini
echo ConnectViaProxy=0 >> %temp%\EUpdate.ini
echo SourceURL=http://update5.mwti.net/pub/update >> %temp%\EUpdate.ini
echo HTTPHost=http://update5.mwti.net/sendinfo >> %temp%\EUpdate.ini
echo DownloadType=2 >> %temp%\EUpdate.ini
echo HTTPPort=80 >> %temp%\EUpdate.ini
echo LogfilePath=%temp% >> %temp%\EUpdate.ini
echo DestDir=%temp% >> %temp%\EUpdate.ini
echo TempDir=%temp% >> %temp%\EUpdate.ini
echo Createsysteminfo=0 >> %temp%\EUpdate.ini
echo CreateReport=0 >> %temp%\EUpdate.ini
echo CopyMissing=0 >> %temp%\EUpdate.ini
echo HTTPLastTry=1 >> %temp%\EUpdate.ini
echo HTTPNumOfTry=1 >> %temp%\EUpdate.ini
echo Fileno=0 >> %temp%\EUpdate.ini
echo Hosttry=0 >> %temp%\EUpdate.ini
set x=0
set srvcnt=1
goto update

:leckmich 
cls
echo.
echo Bei Ihnen ist der Versuch einer Programmaktualisierung ein hoffnungsloser
echo Fall. Melden Sie sich im Forum www.trojaner-board.de und beschreiben Sie Ihr
echo Problem im Diskussionforum unter "eScan-Anleitung und find.bat"
echo.
pause
goto end1

:reboot
rem Die findftp.bat wird in den Autostart von winlogon geschrieben. Der Nutzer kann entscheiden, ob er sofort oder
rem später in den abgesicherten Modus wechseln möchte
if "%safeboot_option%" equ "NETWORK" goto safeboot
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /d "explorer.exe, %~dp0findftp.bat" /f
cls
echo Bitte starten Sie das System im abgesicherten Modus neu. 
echo Hierfuer druecken Sie noch VOR dem Anmeldebildschirm von Windows 'F8'.
echo.
echo Sie koennen entweder sofort neu starten oder spaeter selbst in den abgesicherten Modus wechseln.
echo. 
echo [1]	Jetzt in den abgesicherten Modus wechseln. 
echo		Bitte vorher andere offene Anwendungen schliessen. 
echo.
echo [2] 	Selbst zu einem spaeteren Zeitpunkt in den abgesicherten Modus wechseln.
echo.
echo [3] 	Die Stapelbearbeitung abbrechen.
echo.
set /p boot=Auswahl mit [Enter] bestaetigen:
if "%boot%"=="1" shutdown -r -f -t 10
if "%boot%"=="2" goto end1
if "%boot%"=="3" goto end2
goto :reboot

:safeboot
rem Start von escan im abgesicherten Modus, Zurücksetzen des Winlogon-Registryeintrags über end2
cls
%systemdrive%
cd\
echo Sie befinden sich im abgesicherten Modus. escan wird jetzt gestartet... 
echo.
dir /s /b find.bat>%systemdrive%\escan\findpath.tmp & set /p findpath=<%systemdrive%\escan\findpath.tmp
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v find.bat /d "%findpath%" /f
%temp%\mexe.com /drive
echo 0 -Bootmodus: %Safeboot_Option% >>%temp%\mwav.log
cls
echo escan ist beendet. Das System startet jetzt neu und fuehrt die find.bat aus.
echo Bitte schliessen Sie alle offenen Anwendungen.
echo.
echo Wenn Sie jetzt nicht neu starten moechten, druecken Sie bitte [q] fuer [q]uit.
set /p boot=Eingabe mit [Enter] bestaetigen:
if "%boot%"=="q" goto end2
start shutdown -r -f -t 10

:end2
reg import %systemdrive%\escan\winlogon.reg 2>nul
if "%errorlevel%"=="1" reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /d Explorer.exe /f
reg import %systemdrive%\escan\advanced.reg 2>nul
reg import %systemdrive%\escan\international.reg 2>nul
ren %systemdrive%\escan\*.reg *.old 2>nul
if "%errorlevel%"=="1" del /q %systemdrive%\escan\*.reg
:end1
cls
echo Die Stapelverarbeitung ist beendet.
echo.
pause
exit



:wrngos
color 04
echo.
echo Ihre Windowsversion wird nicht unterstuetzt.
echo Die Stapelverarbeitung wird abgegbrochen.
echo.
pause
exit
         

Änderungen:
- find.bat-Aufruf für den Neustart aus dem abgesicherten Modus

unten geht's weiter

find.bat

Code: Alles auswählenAufklappen

ATTFilter

@echo on
REM Version 2008.03.06
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM 
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
  :INITIAL
  set TIMESTART=%TIME%
  set wd=%systemdrive%\escan
  set LOG=^>^> "%wd%\bases_x\eScan_neu.txt"
  set MODUS=%1
  set linecnt=1
  

REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
  :OS
	IF "%OS%"=="Windows_NT" goto srchwd
	IF "%OS%"=="" goto wrngos
  
  cls
  echo.
  echo.
  echo [XX______________________]
  echo.
  echo Checking OS ...
  
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
  
REM 2.0.1 Log-Datei (mwav.log) wird gesucht	
REM     Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM     Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf), 
REM     wird diese umbenannt.
  
  :srchwd
	%systemdrive%
	cd\
	dir /A:D %systemdrive% | findstr /i "escan"
	if %errorlevel% equ 0 goto srchlog 
	mkdir %wd%\bases_x
	goto cp2wd
	:srchlog
	dir %wd%\bases_x | findstr /i "mwav.log"
	if %errorlevel% equ 1 goto cp2wd
	ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
	
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
  :cp2wd
	dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log
	set /P FILE=<%wd%\bases_x\tmp.log
	copy "%FILE%" %wd%\bases_x\
  
  cls
  echo.
  echo.
  echo [XXXX____________________]
  echo.
  echo Copying mwav.log ...
  
REM 2.0.2 Installationssprache wird ermittelt
REM     In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen. 
REM     Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache. 
REM     Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

  :getlang
  reg query HKCR\eut /v "Language" > nul
  for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
	if "%eLang%"=="German" (
	goto germpath 
	) else (
	goto wrnglang
	)
	cls
  echo.
  echo.
  echo [XXXXXX__________________]
  echo.
  echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
	:germpath
	
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine 
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

  if "%MODUS%"=="1" goto gmode1
  if "%MODUS%"=="2" goto gmode2
  if "%MODUS%"=="3" goto gmode3
  
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %wd%\bases_x\mwav_clean.log)
  for /f "delims=: tokens=1" %%i in ('findstr /n "Antispywarewerkzeugsatz" %wd%\bases_x\mwav_clean.log') do set linecnt=%%i
  more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log
  
  cls
  echo.
  echo.
  echo [XXXXXXXX________________]
  echo.
  echo Cleaning log ...
  goto gstart
  
  :gmode1
  for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log') do (echo %%i >> %wd%\bases_x\mwav_cut.log)
  goto gstart
  
  :gmode2
  findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_clean.log
  for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %wd%\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
  more +%linecnt% %wd%\bases_x\mwav_clean.log > %wd%\bases_x\mwav_cut.log
  goto gstart
  
  :gmode3
  findstr /v /c:"wird gescannt" %wd%\bases_x\mwav.log >> %wd%\bases_x\mwav_cut.log
  
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM     Versionsnummer der find.bat
REM     OS-Version: per ver 
REM     Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM               Im normalen Modus ist SBO nicht gesetzt.
REM               Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM     Programmversion: wird aus HKCR\eut gelesen
REM     Sprache: wurde bereits bestimmt (:getlang)
REM     Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM                Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM                Eintrag) wird ins Log geschrieben.               

  :gstart
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   > %wd%\bases_x\eScan_neu.txt
	echo Header %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  %LOG%
	echo find.bat Version 2008.03.06 %LOG%
	ver %LOG%
	findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG%
	if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
	echo. %LOG%   
	for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
	if "%eVersion%"=="" (
		for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j
		)
	echo eScan Version: %eVersion% %LOG%
	echo Sprache: %eLang% %LOG%
	for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log)
	more %wd%\bases_x\tmp.log %LOG%
	echo. %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXX______________]
  echo.
  echo Writing header ...
	
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM     Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM     Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten. 
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXX____________]
  echo.
  echo Reported infections  ...
		
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
 
  echo. %LOG%
  echo. %LOG%
  echo ~~~~~~~~~~~ %LOG%
  echo Dateien %LOG%
  echo ~~~~~~~~~~~ %LOG%
  echo ~~~~ Infected files %LOG%
  echo ~~~~~~~~~~~ %LOG%
  findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG%
  echo ~~~~~~~~~~~ %LOG%
  echo ~~~~ Tagged files %LOG%
  echo ~~~~~~~~~~~ %LOG%
  findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG%
  echo ~~~~~~~~~~~ %LOG%
  echo ~~~~ Offending files %LOG%
  echo ~~~~~~~~~~~ %LOG%
  findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG%
  echo ~~~~~~~~~~~ %LOG%
  echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!)  %LOG%
  echo ~~~~~~~~~~~ %LOG%
  findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG%
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXX__________]
  echo.
  echo Reported files  ...
  
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~ %LOG%
	echo Ordner %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
	echo ~~~~~~~~~~~ %LOG%
	echo Registry %LOG%
	echo ~~~~~~~~~~~ %LOG%
	findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG%

  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXX________]
  echo.
  echo Reported folders and entries  ...

REM 2.1.5 Deutsch: Diverses
REM  Meldungen über laufende Prozesse und Scanfehler
REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen
REM 2. Schritt: Einfuegen der Liste in das log

echo Set objWMIService ^= GetObject("winmgmts:\\" ^& "." ^& "\root\cimv2")>>%wd%\prclst.vbs
echo Set ProcessList ^= objWMIService.ExecQuery("Select * from Win32_Process")>>%wd%\prclst.vbs
echo.>>%wd%\prclst.vbs
echo For Each ProcItem in ProcessList>>%wd%\prclst.vbs
echo wscript.echo ProcItem.commandline>>%wd%\prclst.vbs
echo next>>%wd%\prclst.vbs
cscript %wd%\prclst.vbs //nologo>%wd%\prclst-null.tmp
findstr /i /v "null" %wd%\prclst-null.tmp>%wd%\prclst.tmp

echo. %LOG%
  echo. %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Diverses %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo laufende Prozesse - commandline %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	type %wd%\prclst.tmp %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Scanfehler %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Hosts-Datei %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
	echo DataBasePath: %hostloc% %LOG%
	echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log
	echo Zeilen die nicht dem Standard entsprechen: %LOG%
	findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1       localhost"|findstr /v /c:"::1             localhost" %LOG% 
	
cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXX______]
  echo.
  echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
	echo Statistiken: >>%wd%\bases_x\eScan_neu.txt
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /c:"Zahl der" %wd%\bases_x\mwav_cut.log %LOG%
	findstr /c:"Zeit verstrichen:" %wd%\bases_x\mwav_cut.log %LOG%
	
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXX____]
  echo.
  echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	echo Scan-Optionen %LOG%
	echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   %LOG%
	findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log
	findstr "Speicher" %wd%\bases_x\tmp.log %LOG%
	findstr "Registrierung" %wd%\bases_x\tmp.log %LOG%
	findstr "Start" %wd%\bases_x\tmp.log %LOG%
	findstr /i "ordner" %wd%\bases_x\tmp.log %LOG%
	findstr "Systembereiche" %wd%\bases_x\tmp.log %LOG%
	findstr "Dienste" %wd%\bases_x\tmp.log %LOG%
	findstr "Überprüfung *. Laufwerke" %wd%\bases_x\tmp.log %LOG%
  cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXX__]
  echo.
  echo Writing Options ...

   
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss 
REM *********************************************************************************
REM *********************************************************************************
 
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
rem del %wd%\bases_x\tmp.log
rem del %wd%\bases_x\mwav_clean.log
rem del %wd%\bases_x\mwav_cut.log
del %wd%\prclst*
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
	
	cls
  echo.
  echo.
  echo [XXXXXXXXXXXXXXXXXXXXXXXX]
  echo.
  echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
  cls
	echo.
	echo.
	echo Auswertung beendet.
	echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
	start notepad %wd%\bases_x\eScan_neu.txt 
	exit
	
REM 4.1 Abbruch: Falsches Betriebssystem
  :wrngos
  cls
	color 04
	echo.
	echo Ihre Windowsversion wird nicht unterstützt.
	echo Die Stapelverarbeitung wird abgegbrochen.
	echo.
	pause
	exit

REM 4.2 Abbruch: falsche Installationssprache
  :wrnglang
  cls
  color 04
	echo.
	echo Fehler bei der Ermittlung der Installationssprache!
	echo. 
	echo Diese Batchdatei kann nur Logdateien in deutscher Sprache 
	echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt. 
	echo.
	echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
	echo die Sprache bei eScan zu ändern.
	echo.
	echo Die Stapelverarbeitung wird abgebrochen.
	echo.
  pause
  exit
         

Änderungen:
- strings geändert, um die Zuordnung zu den Funden wieder herzustellen
- prozessliste über ein minivbs

Besten Dank nochmal für's Testen

Für die Fehleranalyse:

- echo on in den batches setzen
- batch über Kommandozeile mit find /bzw. ftpfind 2>error.txt aufrufen -> nur Fehler werden geloggt
- batch erneut mit find/findftp >error2.txt 2>&1 starten -> Fehler und syntax werden geloggt, durch die error.txt weiß man, wo suchen -> macht die Fehlerortung leichter
- für Doppelgemoppel sind die %systemdrive%\escan\bases_x\mwav_cut +mwav_clean.log hilfreich
- alte find.bat von der Platte fegen, da die ftpfind die find.bat mir "dir /s /b find.bat" auf %systemdrive% sucht und die erst beste, die sie in die Finger bekommt, nimmt
- batches funzen imho nur ab escan 9.7.5
- bei vista ftpfind.bat als Admin starten

War jetzt Kraut und Rüben, aber ich seh selbst nicht mehr durch.