Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   eScan-Anleitung und find.bat (https://www.trojaner-board.de/35365-escan-anleitung-find-bat.html)

MightyMarc 16.04.2007 17:39

Anmerkung: die find.bat ist atm noch nicht fertig. Die alte find.bat sollte aber soweit funktionieren. Bei Problemen bitte hier melden.

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden!
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only/ Nur Scannen anklicken
8. Nach Beendigung des Scanvorgangs das Programm beenden.
9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt
http://img181.imageshack.us/img181/1...account1kh.jpg

2. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden!
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10. Scan anklicken
11. Nach Beendigung des Scanvorgangs das Programm beenden.
12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.[/QUOTE]

ordell1234 16.04.2007 22:37

@MightyMarc: Ich hab mal ein deutsches log erstellt (gekürzt, da sonst zu lang). Vllt. hilfts dir.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 16 21:29:42 2007 => Version 9.1.9
Mon Apr 16 21:54:16 2007 => Virus-Datenbank Datum: 4/16/2007
Mon Apr 16 21:54:38 2007 => Virus-Datenbank Datum: 4/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:30:25 2007 => System found infected with winfixer/errorsafe Adware ({06170642-fa65-4fb6-ac79-5f235cb99bc2})! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:18 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (drivecleaner 2006 free.lnk)! Action taken: Keine Aktion vorgenommen.
n Apr 16 21:31:19 2007 => System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with winfixer/errorsafe Adware (error safe.lnk)! Action taken: Keine Aktion vorgenommen.
Mon Apr 16 21:31:20 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (C:\PROGRA~1\DRIVEC~1\udc2006.xml)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 16 21:29:47 2007 => File C:\WINDOWS\system32\cbxxvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\ERRORS~1\UERScw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\GEMEIN~1\DRIVEC~1\sdrmon.exe markiert als not-a-virus:Downloader.Win32.WinFixer.l. Keine Aktion vorgenommen.
Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\DRIVEC~1\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:32:52 2007 => Datei C:\DOKUME~1\***\LOKALE~1\Temp\ErrorSafeScannerSetup.exe//Stream//data0001 markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:33:53 2007 => Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\ErrorSafeGermanNewReleaseInstall.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
on Apr 16 21:42:59 2007 => Datei C:\Programme\DriveCleaner 2006 Free\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen.
Mon Apr 16 21:43:10 2007 => Datei C:\Programme\ErrorSafe Free\uers.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen.
Mon Apr 16 21:53:50 2007 => File C:\WINDOWS\system32\ssqpq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 16 21:31:18 2007 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\errorsafescannersetup.exe
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\drivecleaner 2006 free.lnk
Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\error safe.lnk

~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Apr 16 21:31:17 2007 => Offending Folder found: C:\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:18 2007 => Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\drivecleaner 2006 free
Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\drivecleaner 2006 free
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\drivecleaner 2006 free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\error safe free !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\flfxr15.flfixer15 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine.1 !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk !!!
Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk.1 !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 21:54:16 2007 => Gefundene Viren: 172
Mon Apr 16 21:54:16 2007 => Anzahl Fehler: 6
Mon Apr 16 21:54:16 2007 => Dauer des Scans bisher: 00:24:08
Mon Apr 16 21:54:16 2007 => Gescannte Dateien: 36018
Mon Apr 16 21:29:42 2007 => Specherüberprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Registry Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 16 21:29:42 2007 => Überprüfung aller Festplatten :Aktiviert


Die find.bat lief astrein durch. :aplaus:

Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%. Gruß und Glückwunsch für die gelungene Anleitung, ordell

Nachtrag: Die Vorschau des Postings setzt ein smiley bei "not-a-virus:Downloader". Bei 8 smileys ist Schluss und der TO kann nicht posten. K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte. In letzterem Fall würde ich noch einen Hinweis in der Anleitung geben. In diesem Sinne...

MightyMarc 16.04.2007 23:36

Zitat:

Zitat von ordell1234 (Beitrag 263118)
Die find.bat lief astrein durch.

:Boogie: Yeeha .... es handelt sich hierbei um die alte find.bat (wie ich dazugeschrieben hatte ;) )

Zitat:

Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%.
Schau ich mir mal an. Danke für den Hinweis.

Zitat:

K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte.
Nun hab ich genauso viel Ahnung wie Du :balla: . Ich überleg mir mal was zu diesem Thema. Priorität haben jetzt aber andere Dinge.

Gruß

Marc

BTW Das Log enthält genau die Dinge, die mir gefehlt haben :daumenhoc

Edit:

So, mir platzen gleich die Eier :mad
Ich würde mal zu gerne wissen, wer bei Trendmicro für die Lokalisierung zuständig ist. Das ganze ist Scheisse im Quadrat! Man verzeihe mir diesen Ausbruch, aber das musste jetzt mal sein.

Der deutsche Teil könnte soweit funktionieren. Neu ist der Teil "Diverses" der wie folgt aussieht:
Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 15:11:40 2007 => List of all Processes Sharing [i] : C:\WINNT\SYSTEM32\WINLOGON.EXE,C:\WINNT\system32\svchost.exe,C:\WINNT\Explorer.exe
Mon Apr 16 15:11:40 2007 => *** Infizierter Prozess wird beendet C:\WINNT\SYSTEM32\WINLOGON.EXE,C:\WINNT\system32\svchost.exe,C:\WINNT\Explorer.exe...
Mon Apr 16 15:11:43 2007 => *** Abbruch erfolgreich.
Mon Apr 16 15:11:40 2007 => Modul C:\WINNT\system32\imaadp32.acm akiv im Speicher...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 16 15:11:56 2007 => C:\WINNT\System32\jkkji.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:13:02 2007 => C:\WINNT\System32\xlibgfl254.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:13:41 2007 => C:\bsys.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:16:27 2007 => C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHQB85Q3\bulk[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:17:01 2007 => C:\Dokumente und Einstellungen\Name eines Furchtlosen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RIN83ZCJ\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:08 2007 => C:\WINNT\system32\jkkji.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:51 2007 => C:\WINNT\system32\xlibgfl254.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:34:51 2007 => C:\WINNT\Temp\eraseme_52214.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 16 15:38:25 2007 => D:\inst\I386\JUNGLEQU.WA_ nicht gescannt. Wahrscheinlich durch Passwort geschützt...

MightyMarc 17.04.2007 00:45

60 Minuten sind vorbei :rolleyes:

Den englischen Teil habe ich noch nicht einmal angeschaut. Für deutschsprachige Logs könnte es reichen:
Download der ersten Testversion

ordell1234 17.04.2007 00:57

für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo ;)

MightyMarc 17.04.2007 01:37

Zitat:

Zitat von ordell1234 (Beitrag 263124)
für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo ;)

Copyright auf so ne olle Batch? :balla:

So, den ersten Stuss habe ich behoben:

Die Erkennnung der Installationssprache konnte gar nicht funktionieren. Jetzt tut sie es. Theoretisch sollte es jetzt auch mit englischen Logs funktionieren. Der Punkt "Diverses" fehlt bei den englischen Logs aber noch, da ich nicht weiß wie die Kreativabteilung bei Trendmicro die einzelnen Punkte genannt hat.

zweite Testversion

KarlKarl 17.04.2007 01:43

In der Batch steckt verdammt viel Arbeit. Es treiben sich im Internet einige Schweine herum, die sich sowas dann aneignen, als ihr Werk ausgeben und die eigentlichen Schöpfer sogar noch als Lügner bezichtigen und bedrohen. Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten.

Stichwort für Google: Pcbutts

MightyMarc 17.04.2007 01:46

Anmerkung: Die find.bat ist atm noch in Bearbeitung. Getestet wird jetzt am lebenden Objekt! Alle Links aktualisiert (find.bat zweite Testversion; Links in den PDF-Versionen ebenfalls geändert).

eScan-Anleitung für User mit Router.......... Download der PDF-Version

1. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan Only/ Nur Scannen anklicken
8. Nach Beendigung des Scanvorgangs das Programm beenden.
9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.



eScan-Anleitung für User ohne! Router.......... Download der PDF-Version

1. Windows mit einem Account starten der über Administratorrechte verfügt
http://img181.imageshack.us/img181/1...account1kh.jpg

2. Das Programm herunterladen:
Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6

Die Auswertedatei herunterladen:
File-Upload.net - Ihr kostenloser File Hoster!

3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
.
http://img77.imageshack.us/img77/142...sprachefo4.jpg
.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
http://img260.imageshack.us/img260/8...canmenujh0.jpg
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)
8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3)
9. Einstellungen überprüfen (siehe obiges Bild)
10. Scan anklicken
11. Nach Beendigung des Scanvorgangs das Programm beenden.
12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen.
13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster
notepad %systemdrive%\bases_x\escan_neu.txt
tippen und ENTER drücken.

MightyMarc 17.04.2007 01:49

Zitat:

Zitat von KarlKarl (Beitrag 263126)
Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten.

Mag ja sein, aber von der Materie habe ich noch weniger Ahnung als von der Batchprogrammierung. Zudem ist die find.bat eigentlich Hauis Kind.

KarlKarl 17.04.2007 01:56

:daumenhoc das sieht richtig gut aus :aplaus:

http://img182.imageshack.us/img182/2...dbatlh9.th.png

MightyMarc 17.04.2007 02:00

Zitat:

Zitat von KarlKarl (Beitrag 263129)
das sieht richtig gut aus

Danke, aber anders würde ich da nicht mehr durchblicken. Und so kann dann auch vllt mal jemand anderes an der Batch rumfrickeln.

Gruß

Marc

KarlKarl 17.04.2007 02:03

Werde da sicher auch noch sehr gerne genauer reinschauen und mit eventuellen Ideen rüberkommen, nur leider fehlen mir so ein paar richtige Seuchenlogs. So bleibt es Theorie, ich "fürchte", meine Systeme geben da nicht viel her.

MightyMarc 17.04.2007 02:08

Zitat:

Zitat von KarlKarl (Beitrag 263131)
Werde da sicher auch noch sehr gerne genauer reinschauen und mit eventuellen Ideen rüberkommen,...

You are welcome!

Zitat:

...nur leider fehlen mir so ein paar richtige Seuchenlogs. So bleibt es Theorie, ich "fürchte", meine Systeme geben da nicht viel her.
Bei mir war da auch nicht viel zu holen. Aber im Bekanntenkreis gibt es dann doch ab und an Exemplare wie dieses:
Zitat:

Mon Apr 16 16:07:18 2007 => ***** Scan vollständig. *****
Mon Apr 16 16:07:18 2007 => Gescannte Dateien: 64627
Mon Apr 16 16:07:18 2007 => Gefundene Viren: 39
:huepp:

MightyMarc 17.04.2007 23:57

Nächste Version (2007.04.18.01)
Diese Version ist noch nicht in den Anleitungen!

Da ich noch auf Logs von Usern warte um die aufgetretenen Probleme zu beheben, gibt es nur Kleinigkeiten:

2007.04.18.01:

* Spracherkennung geändert (ist jetzt zuverlässiger)
Code:

vorher
findstr "Protokolldatei" %systemdrive%\bases_x\mwav.log
if %errorlevel% EQU 0 goto germpath
findstr "Virus" %systemdrive%\bases_x\mwav.log | findstr "Database" | findstr "Date"
if %errorlevel% EQU 0 goto engpath

jetzt
reg query HKCR\eut /v Language
if %errorlevel% neq 0 goto engpath
reg query HKCR\eut /v Language | findstr "English"
if %errorlevel% equ 0 goto engpath
reg query HKCR\eut /v Language | findstr "German"
if %errorlevel% equ 0 goto germpath
goto wronglang

* alte mwav-logs in %systemdrive%\bases_x werden jetzt umbenannt

* die Reportdatei wird jetzt neu erstellt und nicht immer wieder an die alte drangehängt

* den Code ein bisschen umgeräumt und weiter auskommentiert

* Versionsnummer eingeführt (Datum umgekehrt + Tagesversion)

* Unter "Diverses" (deutscher Pfad) wird jetzt %DataBasePath% angezeigt. Zusätzlich werden von allen Hosts-Dateien die auf %systemdrive% zu finden sind, die Zeilen angezeigt, die nicht dem Standard entsprechen (geplant ist, die Hosts-Datei in %DataBasePath% zu durchforsten):
Code:

reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath" | findstr "DataBasePath" >> %systemdrive%\bases_x\eScan_neu.txt
%systemdrive%
dir /s /b hosts > %systemdrive%\bases_x\temp_hosts_list.log
findstr /V /R /F:%systemdrive%\bases_x\temp_hosts_list.log "^#" | findstr /V "127.0.0.1" >> %systemdrive%\bases_x\escan_neu.txt


Ich benötige leider immer noch Logs (sowohl in Englisch als auch Deutsch). Die deutschprachigen Logs benötige ich zum testen, die englischsprachigen Logs jedoch um die Suchbegriffe zu bestimmen (Infizierter Prozess, Wahrscheinlich passwortgeschützt, Modul akiv, .....).

Gruß

Marc

Edit:
Nächste Version (2007.04.18.02) Diese Version ist noch nicht in den Anleitungen!

2007.04.18.02:

* Fehler in den Infektionsmeldungen behoben

MightyMarc 18.04.2007 01:30

Version 2007.04.18.03 Diese Version ist noch nicht in den Anleitungen!

* englischer Pfad verbessert (aber immer noch unvollständig ~50-60%)
* Executable Command Found in hinzugefügt
* Invalid Entry DllName hinzugefügt
* findstr nicht mehr case-sensitiv (Schalter /i)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131