|
Anmerkung: die find.bat ist atm noch nicht fertig. Die alte find.bat sollte aber soweit funktionieren. Bei Problemen bitte hier melden. eScan-Anleitung für User mit Router.......... Download der PDF-Version 1. Das Programm herunterladen: Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6 Die Auswertedatei herunterladen: File-Upload.net - Ihr kostenloser File Hoster! 2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten 4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden! . http://img77.imageshack.us/img77/142...sprachefo4.jpg . 5. Das Programmfenster erscheint. Folgende Häkchen setzen: . http://img260.imageshack.us/img260/8...canmenujh0.jpg . 6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist. 7. Scan Only/ Nur Scannen anklicken 8. Nach Beendigung des Scanvorgangs das Programm beenden. 9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten. 10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten. eScan-Anleitung für User ohne! Router.......... Download der PDF-Version 1. Windows mit einem Account starten der über Administratorrechte verfügt http://img181.imageshack.us/img181/1...account1kh.jpg 2. Das Programm herunterladen: Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6 Die Auswertedatei herunterladen: File-Upload.net - Ihr kostenloser File Hoster! 3. Das Programm durch Doppelklick auf die Datei mwav.exe starten 4. Als Sprache Englisch oder Deutsch wählen. Zur Zeit bitte nur Englisch verwenden! . http://img77.imageshack.us/img77/142...sprachefo4.jpg . 5. Das Programmfenster erscheint. Folgende Häkchen setzen: . http://img260.imageshack.us/img260/8...canmenujh0.jpg . 6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist. 7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde) 8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3) 9. Einstellungen überprüfen (siehe obiges Bild) 10. Scan anklicken 11. Nach Beendigung des Scanvorgangs das Programm beenden. 12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen. 13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster notepad %systemdrive%\bases_x\escan_neu.txt tippen und ENTER drücken.[/QUOTE] |
@MightyMarc: Ich hab mal ein deutsches log erstellt (gekürzt, da sonst zu lang). Vllt. hilfts dir. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Mon Apr 16 21:29:42 2007 => Version 9.1.9 Mon Apr 16 21:54:16 2007 => Virus-Datenbank Datum: 4/16/2007 Mon Apr 16 21:54:38 2007 => Virus-Datenbank Datum: 4/16/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Apr 16 21:30:25 2007 => System found infected with winfixer/errorsafe Adware ({06170642-fa65-4fb6-ac79-5f235cb99bc2})! Action taken: Keine Aktion vorgenommen. Mon Apr 16 21:31:18 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (drivecleaner 2006 free.lnk)! Action taken: Keine Aktion vorgenommen. n Apr 16 21:31:19 2007 => System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen. Mon Apr 16 21:31:20 2007 => System found infected with winfixer/errorsafe Adware (error safe.lnk)! Action taken: Keine Aktion vorgenommen. Mon Apr 16 21:31:20 2007 => System found infected with drivecleaner2006 Corrupted Adware/Spyware (C:\PROGRA~1\DRIVEC~1\udc2006.xml)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Mon Apr 16 21:29:47 2007 => File C:\WINDOWS\system32\cbxxvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ig". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\ERRORS~1\UERScw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen. Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\GEMEIN~1\DRIVEC~1\sdrmon.exe markiert als not-a-virus:Downloader.Win32.WinFixer.l. Keine Aktion vorgenommen. Mon Apr 16 21:29:55 2007 => Datei C:\PROGRA~1\DRIVEC~1\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen. Mon Apr 16 21:32:52 2007 => Datei C:\DOKUME~1\***\LOKALE~1\Temp\ErrorSafeScannerSetup.exe//Stream//data0001 markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen. Mon Apr 16 21:33:53 2007 => Datei C:\Dokumente und Einstellungen\***\Eigene Dateien\ErrorSafeGermanNewReleaseInstall.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen. on Apr 16 21:42:59 2007 => Datei C:\Programme\DriveCleaner 2006 Free\udc6cw.exe markiert als not-a-virus:Downloader.Win32.WinFixer.t. Keine Aktion vorgenommen. Mon Apr 16 21:43:10 2007 => Datei C:\Programme\ErrorSafe Free\uers.exe markiert als not-a-virus:Downloader.Win32.WinFixer.o. Keine Aktion vorgenommen. Mon Apr 16 21:53:50 2007 => File C:\WINDOWS\system32\ssqpq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.fp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Mon Apr 16 21:31:18 2007 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\errorsafescannersetup.exe Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\drivecleaner 2006 free.lnk Mon Apr 16 21:31:18 2007 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\error safe.lnk ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Mon Apr 16 21:31:17 2007 => Offending Folder found: C:\Programme\drivecleaner 2006 free Mon Apr 16 21:31:18 2007 => Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\drivecleaner 2006 free Mon Apr 16 21:31:20 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\drivecleaner 2006 free ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\drivecleaner 2006 free !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKLM\Software\error safe free !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\drivecleaner 2006 free !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\Software\error safe free !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\esspchck.esspchck.1 !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\flfxr15.flfixer15 !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fwraper.ffenginwraper.1 !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\fxcore.mmfixcore.1 !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\mmfxctrl.cofixengine.1 !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk !!! Mon Apr 16 21:31:14 2007 => Offending Key found: HKCU\\udcpchk.udcpchk.1 !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Apr 16 21:54:16 2007 => Gefundene Viren: 172 Mon Apr 16 21:54:16 2007 => Anzahl Fehler: 6 Mon Apr 16 21:54:16 2007 => Dauer des Scans bisher: 00:24:08 Mon Apr 16 21:54:16 2007 => Gescannte Dateien: 36018 Mon Apr 16 21:29:42 2007 => Specherüberprüfung: Aktiviert Mon Apr 16 21:29:42 2007 => Registry Überprüfung: Aktiviert Mon Apr 16 21:29:42 2007 => System-Ordner Überprüfung: Aktiviert Mon Apr 16 21:29:42 2007 => Überprüfung der Systembereiche: Deaktiviert Mon Apr 16 21:29:42 2007 => Überprüfung der Dienste: Aktiviert Mon Apr 16 21:29:42 2007 => Überprüfung der Festplatten: Deaktiviert Mon Apr 16 21:29:42 2007 => Überprüfung aller Festplatten :Aktiviert Die find.bat lief astrein durch. :aplaus: Vorschlag: Da der Temp-ordner nicht zwingend auf %systemdrive% liegen muss, bietet sich an, das mwav.log in Zeile 36 der find.bat auf %temp% suchen und nicht auf %systemdrive%. Gruß und Glückwunsch für die gelungene Anleitung, ordell Nachtrag: Die Vorschau des Postings setzt ein smiley bei "not-a-virus:Downloader". Bei 8 smileys ist Schluss und der TO kann nicht posten. K.A., ob man bereits in der find.bat zwischen ":" und "D" was setzen kann (hab null Dunst von Programmierung *grins*), oder der Einfachheit halber der TO die Grafiken deaktivieren sollte. In letzterem Fall würde ich noch einen Hinweis in der Anleitung geben. In diesem Sinne... |
Zitat:
Zitat:
Zitat:
Gruß Marc BTW Das Log enthält genau die Dinge, die mir gefehlt haben :daumenhoc Edit: So, mir platzen gleich die Eier :mad Ich würde mal zu gerne wissen, wer bei Trendmicro für die Lokalisierung zuständig ist. Das ganze ist Scheisse im Quadrat! Man verzeihe mir diesen Ausbruch, aber das musste jetzt mal sein. Der deutsche Teil könnte soweit funktionieren. Neu ist der Teil "Diverses" der wie folgt aussieht: Zitat:
|
60 Minuten sind vorbei :rolleyes: Den englischen Teil habe ich noch nicht einmal angeschaut. Für deutschsprachige Logs könnte es reichen: Download der ersten Testversion |
für find.bat ist wohl bald ein copyright nötig, rät Anwalt Dr. Gonzo ;) |
Zitat:
So, den ersten Stuss habe ich behoben: Die Erkennnung der Installationssprache konnte gar nicht funktionieren. Jetzt tut sie es. Theoretisch sollte es jetzt auch mit englischen Logs funktionieren. Der Punkt "Diverses" fehlt bei den englischen Logs aber noch, da ich nicht weiß wie die Kreativabteilung bei Trendmicro die einzelnen Punkte genannt hat. zweite Testversion |
In der Batch steckt verdammt viel Arbeit. Es treiben sich im Internet einige Schweine herum, die sich sowas dann aneignen, als ihr Werk ausgeben und die eigentlichen Schöpfer sogar noch als Lügner bezichtigen und bedrohen. Um solchen Leuten besser entgegen treten zu können, sollte man schon auf solche Kleinigkeiten achten. Stichwort für Google: Pcbutts |
Anmerkung: Die find.bat ist atm noch in Bearbeitung. Getestet wird jetzt am lebenden Objekt! Alle Links aktualisiert (find.bat zweite Testversion; Links in den PDF-Versionen ebenfalls geändert). eScan-Anleitung für User mit Router.......... Download der PDF-Version 1. Das Programm herunterladen: Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6 Die Auswertedatei herunterladen: File-Upload.net - Ihr kostenloser File Hoster! 2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.3. Das Programm durch Doppelklick auf die Datei mwav.exe starten 4. Als Sprache Englisch oder Deutsch wählen. . http://img77.imageshack.us/img77/142...sprachefo4.jpg . 5. Das Programmfenster erscheint. Folgende Häkchen setzen: . http://img260.imageshack.us/img260/8...canmenujh0.jpg . 6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist. 7. Scan Only/ Nur Scannen anklicken 8. Nach Beendigung des Scanvorgangs das Programm beenden. 9. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten. 10. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten. eScan-Anleitung für User ohne! Router.......... Download der PDF-Version 1. Windows mit einem Account starten der über Administratorrechte verfügt http://img181.imageshack.us/img181/1...account1kh.jpg 2. Das Programm herunterladen: Downloadlink 1 Downloadlink 2 Downloadlink 3 Downloadlink 4 Downloadlink 5 Downloadlink 6 Die Auswertedatei herunterladen: File-Upload.net - Ihr kostenloser File Hoster! 3. Das Programm durch Doppelklick auf die Datei mwav.exe starten 4. Als Sprache Englisch oder Deutsch wählen. . http://img77.imageshack.us/img77/142...sprachefo4.jpg . 5. Das Programmfenster erscheint. Folgende Häkchen setzen: . http://img260.imageshack.us/img260/8...canmenujh0.jpg . 6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist. 7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde) 8. Doppelklick auf die Datei mwav.exe (wie in Schritt 3) 9. Einstellungen überprüfen (siehe obiges Bild) 10. Scan anklicken 11. Nach Beendigung des Scanvorgangs das Programm beenden. 12. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten und das sich öffnende Notepadfenster schliessen. 13.Windows normal booten. START > AUSFÜHREN > cmd In das sich öffnende Konsolenfenster notepad %systemdrive%\bases_x\escan_neu.txt tippen und ENTER drücken. |
Zitat:
|
|
Zitat:
Gruß Marc |
Werde da sicher auch noch sehr gerne genauer reinschauen und mit eventuellen Ideen rüberkommen, nur leider fehlen mir so ein paar richtige Seuchenlogs. So bleibt es Theorie, ich "fürchte", meine Systeme geben da nicht viel her. |
Zitat:
Zitat:
Zitat:
|
Nächste Version (2007.04.18.01) Diese Version ist noch nicht in den Anleitungen! Da ich noch auf Logs von Usern warte um die aufgetretenen Probleme zu beheben, gibt es nur Kleinigkeiten: 2007.04.18.01: * Spracherkennung geändert (ist jetzt zuverlässiger) Code: vorher* die Reportdatei wird jetzt neu erstellt und nicht immer wieder an die alte drangehängt * den Code ein bisschen umgeräumt und weiter auskommentiert * Versionsnummer eingeführt (Datum umgekehrt + Tagesversion) * Unter "Diverses" (deutscher Pfad) wird jetzt %DataBasePath% angezeigt. Zusätzlich werden von allen Hosts-Dateien die auf %systemdrive% zu finden sind, die Zeilen angezeigt, die nicht dem Standard entsprechen (geplant ist, die Hosts-Datei in %DataBasePath% zu durchforsten): Code: reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath" | findstr "DataBasePath" >> %systemdrive%\bases_x\eScan_neu.txtIch benötige leider immer noch Logs (sowohl in Englisch als auch Deutsch). Die deutschprachigen Logs benötige ich zum testen, die englischsprachigen Logs jedoch um die Suchbegriffe zu bestimmen (Infizierter Prozess, Wahrscheinlich passwortgeschützt, Modul akiv, .....). Gruß Marc Edit: Nächste Version (2007.04.18.02) Diese Version ist noch nicht in den Anleitungen! 2007.04.18.02: * Fehler in den Infektionsmeldungen behoben |
Version 2007.04.18.03 Diese Version ist noch nicht in den Anleitungen! * englischer Pfad verbessert (aber immer noch unvollständig ~50-60%) * Executable Command Found in hinzugefügt * Invalid Entry DllName hinzugefügt * findstr nicht mehr case-sensitiv (Schalter /i) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board