Hi,

mir ist eben aufgefallen, dass MWAV eScan nun eine Bereinigungsfunktion hat!
Ich mein, dass ist sicherlich nicht so verkehrt, aber ärgerlich wenn es ein False-Positive ist und eine Datei ohne Rückfrage löscht, besonders schlimm wenn es in Mailboxdateien einen Virus findet und gleich den ganzen Container löscht...
Außerdem lassen sich im Zweifelsfall gelöschte Dateien nicht mehr bei Virustotal auswerten.

Das lässt sich aber auch unterdrücken, ist in manchen Fällen ja wünschenswert. Man kann nun den Haken bei "scan only" setzen oder wegnehmen.
Ich denke das ist ein Hinweis in der neuen Anleitung zu eScan wert.

Zitat:

Zitat von cosinus

Hi,

mir ist eben aufgefallen, dass MWAV eScan nun eine Bereinigungsfunktion hat

Ich bin mal so frei, mich selbst zu zitieren.

Zitat:

Zitat von Haui45

BTW:

• Erwähnt werden sollte m.E. noch, dass die Prozedur so natürlich nur für WinXP/2k-Nutzer funktioniert.
• Ich hab mir kürzlich die aktuelle Version von eScan heruntergeladen und es gibt wohl wieder die Möglichkeit, infizierte Files umbenennen zu lassen.

Zitat:

Zitat von cosinus

Ich mein, dass ist sicherlich nicht so verkehrt, aber ärgerlich wenn es ein False-Positive ist und eine Datei ohne Rückfrage löscht,

Siehe oben - die Dateien werden umbenannt - iirc in "alter.Dateiname.REN".

Oh sorry, das hab ich überlesen...

Edit: Ich hab MWAV mal über einen Ordner mit Malware vollgestopft drüberlaufen lassen. Tatsächlich ist es so, dass auch Dateien gelöscht werden.
Kann das eingestellt werden, dass der Dateien nur umbenennt?

Zitat:

Zitat von cosinus

Oh sorry, das hab ich überlesen...

Edit: Ich hab MWAV mal über einen Ordner mit Malware vollgestopft drüberlaufen lassen. Tatsächlich ist es so, dass auch Dateien gelöscht werden.

Scheint so zu sein, ich hatte es damals nur mit dem Eicar-Testfile getestet, das wurde umbenannt...

Zitat:

Kann das eingestellt werden, dass der Dateien nur umbenennt?

Den Haken bei Scan Only setzen.

Zitat:

Zitat von Haui45

Den Haken bei Scan Only setzen.

Stimmt, hast ja recht!

Die ganze Aufregung ist eigentlich umsonst, siehe hier & hier.

Zitat:

New Year Bonanza - MicroWorld is offering this FREE MWAV Toolkit to help you to "Scan and Clean" your PC/Computer for FREE upto 15th Feb. 2007.

Ach danke für den Hinweis. Hab die Seite nicht gesehen, ich zieh mir die mwav.exe immer über FileZilla von ftp.microworldsystems.com.

Zitat:

Zitat von cosinus

Ach danke für den Hinweis. Hab die Seite nicht gesehen, ich zieh mir die mwav.exe immer über FileZilla von ftp.microworldsystems.com.

Ich lasse mir die mwav.exe auch immer automatisch holen & installieren (ich bin faul und der beschriebene Weg ist doch ziemlich langwierig).

Ich las nur per Zufall o.g. Thread & da steht es ja auch.

Vor der Option, die gefundenen Sachen auch gleich entfernen zu lassen, kann ich beim Escan auch nur warnen, die Rate der Falscherkennungen ist entschieden zu hoch. Gerade bei den als "offending" gemeldeten Sachen sind serienweise Fehlalarme. Es sieht wohl so aus, daß er da einfach auf Namen von Objekten in Dateisystem und Registry schaut. Beispiele:

AOL-Benutzer haben oft einen Ordner "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024", der wird als "smitfraud Browser Hijacker" gemeldet. Vor längerer Zeit gab es mal eine Smitfraudvariante, die in system32 einen Ordner "1024" anlegte. Gerade dieser Tage auf einem Usersystem in einem anderen Forum passiert, da hat er auch ein paar Einträge aus der Registry gelöscht, die in einem frisch installierten garantiert sauberen WIndows bereits vorhanden sind.

Ich hatte mal auf meinem Desktop einen Ordner "Emule". Auf dem System ist nie ein Emule oder sonstiger P2P installiert gewesen, der Ordner enthielt einfach technische Dokumente, die u.a. mit Emule zu tun hatten. Auch der wurde als offending erkannt und wäre weg gewesen

Ich schätze Escan sehr, aber nur als Analysewerkzeug. Das Log muß man sich dananch gründlich anschauen und dann entscheiden, was davon wie entfernt wird.

Karl, genau sowas meinte ich. Als Analysetool ist MWAV eScan wirklich schon gut, aber KEIN Virenscanner sollte ungefragt eine verdächtige Datei oder Registryeintrag einfach mal so löschen. Besser wäre die Einstellung auf Scanonly oder wenn nicht, dass alle Dateien grundsätzlich umbenannt werden.

So, habe in den Anleitungen die Bilder ausgetauscht:

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen, Die Auswertedatei herunterladen
2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.

.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only anklicken
8. Eventuelle Funde mit einem Klick auf OK bestätigen.
9. Nach Beendigung des Scanvorgangs das Programm beenden.
10. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
11. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt



2. Das Programm herunterladen, Die Auswertedatei herunterladen
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.

.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10.Scan anklicken
11.Eventuelle Funde mit einem Klick auf OK bestätigen.
12.Nach Beendigung des Scanvorgangs das Programm beenden.
13.Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
14.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.

HI
hab alles genau so gemacht wie beschrieben ...
aber das ystem kann den angegebenen pfad nicht finden ????

habe aber auf c: einen pfad bases_x ...
aber auch das eingegeben im cmd fenster nach systemdrive% bringt die selbe fehlermeldung ???

gruß Funky

Obwohl, die Aussage macht mich stutzig, genau übersetzt heisst es nämlich:

Zitat:

New Year Bonanza - MicroWorld is offering this FREE MWAV Toolkit to help you to "Scan and Clean" your PC/Computer for FREE upto 15th Feb. 2007.

Zitat:

Glücksfall fürs neue Jahr - MicroWorld bietet das MWAV Toolkit, kostenlos, bis zum 15 Februar an, um Ihren Computer zu "Scannen und zu bereinigen"

Soll das heissen, das die versionen danach, weiter viren entfernen, also alle versionen die vor dem 15Feb. releasen, entfernen Viren und werden es auch in zukunft tun?!
Verwirrend...

OK, bevor die Anleitung jetzt an GUA rausgeht, wollte ich von Euch wissen, ob es Verbesserungsvorschläge für die Anleitung oder die Batchdatei gibt? Wie sind die Erfahrungen mit den Usern? Bekommen die das gebacken?

Gruß

Marc

Also die Anleitung ist prima!

Mir sind noch ein par Sachen aufgefallen:

-Ein User hatte Probleme die verlinkte Anleitung zum abgesicherten Modus zu verstehen, weil dort nur vom abgesicherten Modus, nicht vom abg.M. mit Nw. Unterstützung die Rede ist. Einfach ausprobieren ist einigen wohl fremd..

-Ich selbst hatte auf dem Pc meiner Mum folgendes Problem:
Habe einen scan mit MWAVE gemacht (scan only weil ich Smitfraudfix auf dem Rechner hatte und dieses ja sonst komplett aufgeduselt und zerstört wird.). Als MWAVE die Datei öffnen wollte hat AntiVir (noch aktiv da vorher scan gemacht) den Zugriff verhindert und der Rechner ist abgeschmiert.. ^^.
Fazit: Eine Fw oder Av scanner sollten unbedingt deaktiviert werden bevor ein eScan durchgeführt wird. Ich weiss, im abgesicherten Modus werden sie eigentlich nicht mit gestartet aber viele User starten sie dann manuell.Oder machen halt wie ich vorher einen scan..

-Dann scheint mir die neue Version der find.bat noch nicht in der Anleitung zu sein oder? Denn im Header eines Users erscheinen diese tollen Zusatzinformationen nicht..

Zitat:

Scan-Optionen wurden an den Bericht angehängt

Kann auch sein, dass ich da grad, was verpeile..

Liebe Grüsse und nochmaliges Lob für die Anleitung.

Undoreal