*kurz einwerf*
im moment gibt es ein problem mit dem provider
melde mich hier sobald die datei wie gewohnt zur verfügung steht

GUA

Version 2007.06.16.1 verfügbar

GUA

Endlich habe ich das Problem mit der Updategebaren von eScan gefunden. Es ist das gleiche wie mit den Downloadservern

Um sicher zu stellen, dass die User ein aktuelles eScan verwenden und die Einstellungen stimmen, würde ich mit der Bachdatei gerne schon etwas früher eingreifen. Mal hier ein paar Gedanken zur Diskussion freigegeben:

* %temp% auf einen vordefinierten Ordner ändern, mwav.exe starten, %temp% wieder auf Standard zurückbiegen. So hätte man das entpackt eScan im Ordner der Wahl.

* Die Update-Konfiguration ändern und dann die download.exe starten um escan zu updaten

* in der Registry den Code für die richtigen Scanoptionen eintragen (danke trendmicro für dieses bescheuerte Binärcodesystem)

* boot.ini auf safeboot:minimal ändern und Neustart veranlassen

* Im abgesicherten Modus Scannen und auswerten

* boot.ini wieder änder auf Standard (bzw vorherigen Wert)

* In den normalen Modus booten und dem User die Auswertung anzeigen

Da es einige Unbekannte gibt, wollte ich mal Eure Meinung zur Umsetzbarkeit hören und ob Ihr das ganze überhaupt für sinnvoll erachtet (ich halte es für sinnvoll, aber darum geht es nicht).

Gruß

Marc

Den Start in den abgesicherten Modus durch die boot.ini zu erzwingen ist gefährlich. Es gibt Malware (zunehmend mehr), die die Registryeinträge für den abgesicherten Modus löscht. Wenn das vorliegt, hängt man dann in einer Schleife, in der der Rechner immer wieder zu booten versucht ohne dass es klappt. Dürfte für viele Leute der GAU schlechthin sein, Basteleien mit der Reparaturkonsole sind unbeliebt, da die Maus nicht funktioniert und die Möglichkeiten sehr eingeschränkt sind, Eine BartPE-CD kann man dann auch nicht mehr anfertigen.

In diesen Fällen ist zwar eine Neuinstallation angebracht, der abgesicherte Modus sollte möglich sein, vorher sollte aber noch die Möglichkeit bestehen, ein paar Daten zu sichern.

Die Umgebungsvariable temp vor dem Start der mwav.exe zu setzen ist eine gute Idee. Bei einem Start des ganzen aus einer Batchdatei heraus muss man sie nicht mal zurücksetzen, da mit dem Ende der Batchdatei die ausführende cmd.exe beendet wird und die Umgebung damit weg ist. Das ermöglicht es im richtigen abgesicherten Modus zu scannen (dem ohne Netzwerktreiber). Netzwerktreiber werden öfter gepatcht oder ausgetauscht, so werden die dann vom Scan miterfasst.

Laden und updaten ungefähr so (ungetesteter Beispielcode, der voraussetzt, dass mwav.exe erreichbar ist):

Code: Alles auswählenAufklappen

ATTFilter

%systemdrive%
cd \
if not exist c:\bases mkdir bases
set temp=c:\bases
mwav.exe
         

Am einfachsten vermutlich die mwav.exe in das Hauptverzeichnis speichern zu lassen. In den extrem seltenen Fällen, in denen ein eingeschränktes Konto benutzt wird, funktioniert das aber nicht, da dort dann kein Schreibrecht gegeben ist. Ca. 99,9% aller Benutzer arbeiten aber durchgehend mit Administratorrechten. Ist an den HijackThis Logs zu erkennen, bei eingeschränkten Rechten würden diverse Prozesse nicht angezeigt, z.B. winlogon.exe und services.exe.

Dein Einwand mit dem abgesicherten Modus leuchtet mir ein. %temp% würde ich trotzdem ganz gerne dirket nach dem Entpacken von eScan wieder zurücksetzen, damit nicht jede x-beliebige Anwedung in das Verzeichnis schreibt während das Update läuft und die Optionen gesetzt werden.

Gruß

Marc

Hallo Marc,

Den Vorschlag mit dem Temp-Ordner find ich gut, und meiner Meinung nach hat KarlKarl bereits eine schlanke Lösung angeboten. Wenn ich nicht totales Blech erzähle, gilt das "temporäre" Setzen von %temp% im Rahmen der Batch nur für mwav. Andere Anwendungen bleiben von dieser Umgebung unberührt und schreiben imho nicht in dieses Verzeichnis.

Bei der boot.ini habe ich auch Bauchschmerzen, da man nicht weiß, was auf infizierten Kisten so läuft. Die F8-Taste sollte noch jeder finden.

Zitat:

in der Registry den Code für die richtigen Scanoptionen eintragen (danke trendmicro für dieses bescheuerte Binärcodesystem)

Möchtest du Registry-Einträge setzen, anstelle dass der TO die Häkchen setzt?

Zitat:

* Die Update-Konfiguration ändern und dann die download.exe starten um escan zu updaten

Jaja, es scheint ein Graus mit dem Update zu sein, ich habe das Programm eine Weile nicht mehr benutzt und damals z.T. die Signaturen von KAV manuell geladen. Welche konkreten Vorstellungen hast du bei einer Änderung? U.U. könnte es lizenzrechtliche Probleme geben.

Mein Senf, Gruß ordell

Zitat:

Zitat von ordell1234

Möchtest du Registry-Einträge setzen, anstelle dass der TO die Häkchen setzt?

Exakt. Damit ist sichergestellt, dass der User keinen Blödsinn baut (z.B. kein Scan only etc).

Zitat:

Welche konkreten Vorstellungen hast du bei einer Änderung?

Inhalt der Datei httpsite.txt wie folgt ändern:

Zitat:

http://update6.mwti.net/pub/update
http://update5.mwti.net/pub/update
http://update4.mwti.net/pub/update
http://update3.mwti.net/pub/update
http://download1.mwti.net/pub/update

Der eigentlich primäre Updateserver packt es nicht und das Wechseln der Updateserver (dafür ist die httpsite.txt wohl gedacht) scheint nicht zu funktionieren. Ob die Änderung genommen wurde, kann man nach einem Updateversuch in der Datei Download.log überprüfen (bei mir hatte eScan beim ersten Versuch noch den eigentlichen Primärserver verwendet).

Zitat:

U.U. könnte es lizenzrechtliche Probleme geben.

Das kann sein, aber es ist für eScan keine gute Werbung, wenn das Update partout nicht funktioniert. Ich werde wohl mal nachfragen, kann mir aber nicht vorstellen, dass es da Probleme gibt.

Gruß

Marc

Wegen der temp-Variablen: Wenn man eine Batchdatei startet, startet Windows dafür die cmd.exe um sie von der ausführen zu lassen. Die Umgebungsvariablen sind nur für diese cmd.exe und die unter ihr (also aus der Batchdatei) gestarteten Programme gültig. Ist die Batchdatei zu ende, endet auch die cmd.exe und die veränderte Umgebung ist weg. Andere Anwendungen die währenddessen oder danach gestartet werden, auch weitere Batchdateien, bekommen ihre eigene Umgebung, in der alle Variablen wieder so initialisiert sind, wie es das System macht. temp zeigt also wieder auf den temp-Ordner des Benutzerverzeichnisses.

Danke an euch beide. Dann hat sich das geklärt.

Marc

Zitat:

Zitat von MightyMarc

Inhalt der Datei httpsite.txt wie folgt ändern:

Zitat:

Der eigentlich primäre Updateserver packt es nicht und das Wechseln der Updateserver (dafür ist die httpsite.txt wohl gedacht) scheint nicht zu funktionieren. Ob die Änderung genommen wurde, kann man nach einem Updateversuch in der Datei Download.log überprüfen (bei mir hatte eScan beim ersten Versuch noch den eigentlichen Primärserver verwendet).

Meinste das klappt? Ich habe soeben mal escan jungfräulich installiert, und nach dem Entpacken
fehlen bei mir:

-download.log
-ftpsites.txt
-httpsites.txt
-update.txt

Diese Dateien werden wohl erst nach dem Update angelegt. Anschließend habe ich mehrfach versucht, die Reihenfolge in httpsites zu ändern, allerdings ohne Erfolg. mwav sucht bei mir stets zuerst auf

http*//www.microworldsystems.com/pub/update

Hattest du schon Erfolg mit der Änderung der Serverreihenfolge?

Alternativ könnte man probieren, die Updates manuell per Kommandozeile zu laden, zB mit wget für win. Gruß

Also bei mir geht es wie folgt:

Ich schreibe es gleich so, wie es u.U. in der Batch landet

Zitat:

REM EWD steht für eScan Working Directory

@echo off
echo > EWD\download.lck
echo > EWD\filelist.lst
echo [Config] > EWD\EUpdate.ini
echo ConnectViaProxy=0 >> EWD\EUpdate.ini
echo SourceURL=http://update6.mwti.net/pub/update >> EWD\EUpdate.ini
echo HTTPHost=http://update6.mwti.net/sendinfo >> EWD\EUpdate.ini
echo DownloadType=2 >> EWD\EUpdate.ini
echo HTTPPort=80 >> EWD\EUpdate.ini
echo LogfilePath=EWD >> EWD\EUpdate.ini
echo DestDir=EWD >> EWD\EUpdate.ini
echo TempDir=EWD\FtpTemp >> EWD\EUpdate.ini
echo Createsysteminfo=0 >> EWD\EUpdate.ini
echo CreateReport=0 >> EWD\EUpdate.ini
echo CopyMissing=0 >> EWD\EUpdate.ini
echo HTTPLastTry=1 >> EWD\EUpdate.ini
echo HTTPNumOfTry=1 >> EWD\EUpdate.ini
echo Fileno=0 >> EWD\EUpdate.ini
echo Hosttry=0 >> EWD\EUpdate.ini

Vom Sinn her, ist es wohl klar...Syntax muss ich noch testen. Die httpsite scheint zwar eine Alternativliste zu sin, aber sobald der Server ansprechbar ist, wird er auch in die EUpdate.ini geschrieben (leider). Falls noch Fragen sind, nur her damit.

BTW da die drei Dateien (EUpdate.ini, download.lck und filelist.lst) nach dem Entpacken nicht existieren kann es auch keine Kollisionen mit irgendwelchen lizenzrechtlichen Aspekten geben (mMn).

Edit:
Hier ein kurzer Überblick, wie die Codes bei den Optionen zustande kommen:
File-Upload.net - Ihr kostenloser File Hoster!

uuuuuuuuuuuuuuups, ähm, Nö, keine Fragen mehr.

Ach, vielleicht doch noch: bewirkt

Zitat:

HTTPLastTry=1
HTTPNumOfTry=1

die Eintragung, wann zum letzten Mal ein Update erfolgte und wieviele Verbindungsversuche zum Server erfolgten?

Zitat:

Edit:
Hier ein kurzer Überblick, wie die Codes bei den Optionen zustande kommen:

Glücklich die, die es verstehen. :aplaus:

Zitat:

Zitat von ordell1234

Ach, vielleicht doch noch: bewirkt die Eintragung, wann zum letzten Mal ein Update erfolgte und wieviele Verbindungsversuche zum Server erfolgten?

Gute Fragen. Die Updatedaten (wann, version etc) werden nach demersten Update in eine Datei namens IUpdate.ini geschrieben. Bsp

Zitat:

[Config]
Lastupdate=23 Jun 2007
Lastver=Nicht verfügbar
LastSuccessfulDownload=06.23.2007.22.45.33.00

Diese Daten laden dann - aus Gründen die mir nicht bekannt sind - auch in der EUpdate.ini

Was HTTPNumOfTry bedeutet ... keine Ahnung... unter Umständen handelt es sich tatsächlich um die Anzahl der Verbindungsversuche. Google bleibt bei dem Thema schwarz.

Zitat:

Glücklich die, die es verstehen. :aplaus:

regedit > HKCR\eut

Ändere mal den Wert von Option z.B auf 18 dez, starte escan und Vergleiche die Häkchen mit der Tabelle
Der einzig wirklich interessante Wert dürft 63 sein.

Dickes Danke für deine bereitwillige Hilfe. Ich probiers die Nacht mal aus, aber zunächst muss ich Bruce Willis erst mal über die Schulter schauen, wie er die Welt rettet.

Grüße, ordell

Was bisher (zumindest bei mir - Windows XP, Administratorrechte) funktioniert:

• Download der mwav.exe per FTP
• Entpacken ohne Benutzerinteraktion (per Miniscan)
• Setzen der Optionen
• Update von eScan

Wer es mal testen will, hier der Downloadlink:
File-Upload.net - Ihr kostenloser File Hoster!

Gruß

Marc

Edit:
Die Batch ist noch nicht kommentiert. Im Zweifelsfall fragt einfach nach.

Edit 2:
Die Optionenliste, diesmal mit Gitterraster
File-Upload.net - Ihr kostenloser File Hoster!