Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   eScan-Anleitung und find.bat (https://www.trojaner-board.de/35365-escan-anleitung-find-bat.html)

MightyMarc 15.01.2007 18:07

eScan-Anleitung und find.bat
 
Es war ja schon einmal im Gespräch, die eScan-Anleitung etwas zu kürzen. Bei der Gelegenheit, habe ich mich noch an der find.bat vergriffen.

Die eScan-Anleitung

Ich habe die Anleitung von Cidre verkürzt. Sie soll Cidres Anleitung nicht ersetzen, sondern eher bei ONUs eingesetzt werden. Ich poste sie hier mal, damit darüber diskutiert werden kann. Insbesondere der Punkt mit dem Update im abgesicherten Modus ist diskussionsverdächtig. Ich habe das deswegen so gestaltet, damit der User möglichst wenig klicken, kopieren bzw frickeln muss.

1. Das Programm herunterladen, Die Datei zum Auswerten herunterladen
2. In den abgesicherten Modus mit Netzwerkunterstüzung! wechseln.
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten
4. Als Sprache Englisch oder Deutsch wählen.
5. Das Programmfenster erscheint. Folgende Häkchen setzen:
.
.
http://www.cidres-security.de/picture/eScan.gif
.
.
6. Aktualisieren/Update anklicken und warten bis die Aktualisierung abgeschlossen ist.
7. Scan anklicken
8. Eventuelle Funde mit einem Klick auf OK bestätigen.
.
.
http://www.cidres-security.de/picture/escan-lic-4.jpg
.
.
9. Nach Beendigung des Scanvorgangs das Programm beenden.
10. Die Auswertedatei find.zip (siehe Punkt 1) entpacken und die dadurch erhaltene Datei find.bat durch Doppelklick starten.
11. Den Inhalt des erscheinenden Fensters kopieren und im Forum posten.

find.bat

An der find.bat habe ich kleine Änderungen vorgenommen:

1. Die deutsche Sprache wird jetzt auch unterstützt
2. Kleiner Header eingefügt, der die Programmversion sowie das Datum der letzten Aktualisierung angibt
3. Optionen anghängt: die Scaneinstellungen werden nun auch angegeben
4. Am Ende wird die escan_neu.txt automatisch mit notepad geöffnet

Punkt 2 ist etwas kritisch, da die Angaben im Log mehrfach vorkommen und deswegen auch im Header mehrfach auftauchen. Sollte jemand eine Möglichkeit kennen, Mehrfachfunde nur ein Mal auszugeben: her damit!
Die geänderte Version könnt Ihr hier herunterladen, um sie zu testen und zu überprüfen.

Das letzte Wort bei der find.bat hat natürlich Haui.

Damit ist die Diskussion zur Anleitung sowie zur find.bat eröffnet. Kritik erwünscht.

Gruß

Marc

Edit:

Beispiele für Header und Such-Optionen:

Zitat:

Sat Jan 13 12:05:28 2007 => Version 8.8.4
Sat Jan 13 12:09:47 2007 => Version 8.8.4
Sat Jan 13 12:10:18 2007 => Version 8.8.4
Sat Jan 13 12:05:30 2007 => Virus-Datenbank Datum: 1/11/2007
Sat Jan 13 12:06:15 2007 => Virus-Datenbank Datum: 1/13/2007
Sat Jan 13 12:09:49 2007 => Virus-Datenbank Datum: 1/13/2007
Sat Jan 13 13:28:46 2007 => Virus-Datenbank Datum: 1/13/2007
Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jan 13 12:10:18 2007 => Specherüberprüfung: Aktiviert
Sat Jan 13 12:10:18 2007 => StartUp-Ordner Überprüfung: Deaktiviert
Sat Jan 13 12:10:18 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Jan 13 12:10:18 2007 => Überprüfung der Dienste: Aktiviert
Sat Jan 13 12:10:18 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Jan 13 12:10:18 2007 => Überprüfung aller Festplatten :Aktiviert

Haui45 15.01.2007 20:34

Zitat:

Zitat von MightyMarc (Beitrag 249134)
Das letzte Wort bei der find.bat hat natürlich Haui.

Du kannst mit der Datei machen was du willst. :)
Mir fehlt u.a. einfach die Zeit mich weiter darum zu kümmern, wenn du sie also verbessern willst, nur zu.
Ich kann sie natürlich weiterhin auf dem Webspace liegen lassen, das ist kein Problem. Schick mir einfach eine kurze PN, wenn du eine aktualisierete Fassung hast.


BTW:
  • Erwähnt werden sollte m.E. noch, dass die Prozedur so natürlich nur für WinXP/2k-Nutzer funktioniert.
  • Ich hab mir kürzlich die aktuelle Version von eScan heruntergeladen und es gibt wohl wieder die Möglichkeit, infizierte Files umbenennen zu lassen.

cad 15.01.2007 20:57

Liste der Anhänge anzeigen (Anzahl: 1)
Meine Mädels mussten eben als ONUs testweise die Anleitung ausführen.

Hat gut funktioniert, bis auf diese Meldung.

MightyMarc 16.01.2007 01:09

Zitat:

Zitat von cad (Beitrag 249173)
Meine Mädels ...

Eine reicht Dir wohl nicht... :D

Zitat:

Hat gut funktioniert, bis auf diese Meldung.
Ging es danach weiter?


Ein Problem konnte ich lokalisieren:

Im abgesicherten Modus funktioniert die LAN-Verbindung, aber anscheinend kein PPPoE. Kann das jemand bestätigen?

Wie wäre das zu umschiffen?

Download und Update von eScan über den Adminaccount?
Das Problem ist ja folgendes:
eScan entpackt sich in %TEMP%. Die Updates wandern ebenso in %TEMP%. Ein Update mit einem anderen Account als mit dem, der im abgesicherten Modus verwendet wird, würde nicht viel Sinn machen.

cad 16.01.2007 08:23

Nö, eine reichte nicht.http://img258.imageshack.us/img258/9905/devilred4ry.gif

Ja, lief problemlos durch.

KarlKarl 17.01.2007 07:39

Hi,

im wesentlichen besteht die find.bat aus mit Pipes verketteten Aufrufen von findstr. 'findstr /i "aktiviert"' taucht zum Beispiel in 6 Zeilen auf, in zwei weiteren ohne "/i" (Absicht ?). Man könnte die Laufzeit verbessern wenn man einmal die Ausgabe in einer Datei auffängt und die dann in den anderen Zeilen für eine Eingabeumleitung benutzt. Laufzeitrelevant sind vor allen Dingen die Zeilen, in denen der erste findstr-Befehl über die komplette mwav.log läuft. Zur Verdeutlichung mal ein Ausschnitt:
Code:

findstr /i "aktiviert" %systemdrive%\bases_x\mwav.log > %temp%\aktiviert.tmp
findstr /i "Systembereiche" < %temp%\aktiviert.tmp >> %systemdrive%\eScan_neu.txt
findstr /i "Dienste" < %temp%\aktiviert.tmp >> %systemdrive%\eScan_neu.txt

Dies wird dadurch unterstützt, da zwei verkettete findstr-Befehle getauscht werden können:
Code:

findstr /i "Specher" %systemdrive%\bases_x\mwav.log | findstr /i "aktiviert"
erzeugt denselben Output wie
Code:

findstr /i "aktiviert" %systemdrive%\bases_x\mwav.log | findstr /i "Specher"
Falls ich richtig gezählt habe macht die neue Version 39 Durchläufe mit findstr durch die komplette mwav.log. "Zwischendateien" erzeugt für die Strings "aktiviert", "abled", "virus", "file" und ein paar mehr sollten das auf unter die Hälfte bringen können. Ok, vielleicht spielt Laufzeit hier auch nicht so die Rolle, aber dann ist es freundlich, ab und wann den Anwender mit einem echo-Befehl wissen zu lassen, das was vorangeht. Gerade in diesem Bereich liegen die Nerven oft sehr blank und würden dadurch etwas geschont.

Was die mehrfachen Versionszeilen angeht, sollte sowas gehen:
Code:

findstr /i "Version" %systemdrive%\bases_x\mwav.log | findstr /i /V "scan" | findstr /i /V "entry" | findstr /i /V "found" | findstr /i /V "offending" >> %systemdrive%\version_strings.log
for /f "delims=> tokens=1-2" %%a in (version_strings.log) do (
    set v=%%a
    set w=%%b
)
echo %v%^>%w% >> %systemdrive%\eScan_neu.txt

(Bei Linux würde ich "tail -n 1" nehmen, manchmal frage ich mich doch ob Windows das verkehrte Betriebssystem ist :rolleyes: )

Die bisherige Version läuft auch nicht auf älteren Betriebssystemen, habe gerade mal Windows 98 aus der Ecke gezogen. Kein findstr-Befehl, keine Variable %systemdrive%, "set /p" geht auch nicht. Da wäre es ganz sinnvoll, ganz zu Anfang die Version zu prüfen, ob in der Umgebungsvariablen OS Windows_NT steht.


Schließlich läßt sich der als Ziel des entpackens benutzte Ordner steuern:
Code:

set temp=C:\bases_x
mwav.exe

und schon landet es in C:\bases_x (setzt natürlich voraus, daß es den auch gibt).

MightyMarc 18.01.2007 13:22

Zitat:

Zitat von KarlKarl (Beitrag 249413)
Die bisherige Version läuft auch nicht auf älteren Betriebssystemen, habe gerade mal Windows 98 aus der Ecke gezogen. Da wäre es ganz sinnvoll, ganz zu Anfang die Version zu prüfen, ob in der Umgebungsvariablen OS Windows_NT steht.

Die markierte Stelle hatte ich glatt überlesen. Leider.

Zitat:

Schließlich läßt sich der als Ziel des entpackens benutzte Ordner steuern:
Code:

set temp=C:\bases_x
mwav.exe


Die find.bat soll eScan nicht starten, sondern wirklich nur das Log auswerten


Neue Version:
File-Upload.net - Ihr kostenloser File Hoster!

Gruß

Marc

KarlKarl 18.01.2007 15:54

Da bin ich wirklich etwas sehr zwischen den Themen gesprungen. Natürlich ist der Start der mwav.exe was anderes als die Auswertung des Logs. Ich meinte die beiden oben geschriebenen Befehle von cmd.exe aus ausführen zu lassen um das auspacken in den richtigen Ordner zu zwingen.

Die temporär angelegte version_strings.log sollte am Ende auch noch gelöscht werden.

MightyMarc 19.01.2007 16:07

So, die letzten Schweinereien in der find.bat habe ich jetzt bereinigt. Ich fasse mal zusammen:
  • die deutsche Sprache wird unterstützt
  • es wird geprüft, ob eine NT-Variante läuft
  • einige Pipes wurden durch Umleitungen in eine temporäre Dateien ersetzt
  • Scan-Optionen wurden an den Bericht angehängt
  • alles landet nun in %systemdrive%\bases_x
  • ein paar Sprunganweisungen eingefügt, sowie kleinere Änderungen vorgenommen
  • Header mit Versionsnummer und OS-Version
  • User wird informiert was gerade läuft

An der Stelle ein Dankeschön an KarlKarl für seine Mithilfe und an Cad und seinen Harem für die ersten Tests.

Die neueste und wohl vorläufig letzte Fassung der find.bat gibt es hier:
File-Upload.net - Ihr kostenloser File Hoster!


Vielleicht erklären sich ja noch ein paar Leute bereit, Tests mit englischer als auch deutscher Spracheinstellung zu machen. Verseuchte PCs sollte es ja genug geben :D

cad 19.01.2007 19:35

Zitat:

Zitat von MightyMarc (Beitrag 249768)
... Cad und seinen Harem für die ersten Tests.

http://www.smileyarchiv.net/durchein...staunt0061.gif

Mädels bitte mit Töchtern übersetzen und statt seinem bitte Ihre.

http://www.schildersmilies.de/schilder/tot.gif

Gruß Petra

MightyMarc 20.01.2007 13:22

Zitat:

Zitat von cad (Beitrag 249806)
[IMG]
Mädels bitte mit Töchtern übersetzen und statt seinem bitte Ihre.

Ein klassischer Fall von knapp daneben ist auch vorbei. :o


So, ich habe jetzt die Anleitung etwas angepasst. Kommen innerhalb der nächsten 24 Monate keine Beschwerden, Anregungen oder sonstwas gehen die Anleitungen ungeändert an GUA und die find.bat an Haui.

Kurzanleitung eScan: User mit Router

Kurzanleitung eScan: User ohne Router (<= kann für alle Anwender verwendet werden)

Haui45 20.01.2007 13:29

Bei der "Ohne-Router-Anleitung" steht notepad %systemdrive\bases_x\escan_neu.txt, aber es müsste wohl %systemdrive% heißen.

MightyMarc 20.01.2007 13:31

Zitat:

Zitat von Haui45 (Beitrag 249879)
Bei der "Ohne-Router-Anleitung" steht notepad %systemdrive\bases_x\escan_neu.txt, aber es müsste wohl %systemdrive% heißen.

Äh, nein, weil die neue find.bat gerade auf dem Weg zu Dir ist (ich dachte es sei besser alle Dateien in %systemdrive%\bases_x zu werfen).

Haui45 20.01.2007 13:32

Zitat:

Zitat von MightyMarc (Beitrag 249880)
Äh, nein, weil die neue find.bat gerade auf dem Weg zu Dir ist (ich dachte es sei besser alle Dateien in %systemdrive%\bases_x zu werfen).

Es fehlt das zweite "%"-Zeichen.
Das wollte ich damit ausdrücken. ;)

MightyMarc 20.01.2007 13:35

Zitat:

Zitat von Haui45 (Beitrag 249881)
Es fehlt das zweite "%"-Zeichen.
Das wollte ich damit ausdrücken. ;)


Geändert.

Gruß

Marc

Edit:

Die find.bat wurde von Haui inzwischen ausgetauscht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131