| myrtille | 06.03.2008 12:35 |
Hi,
arbeite bitte mal folgendes ab:
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter. - Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
- Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus. - Wähle E für Englisch im Sprachenmenü
- Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
- Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
- Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
- Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.
Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.
Wegen der find.bat, versuche es bitte nochmal mit dieser find.bat: Code:
@echo off
REM Version 2008.29.02
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.
REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM
REM Marc Manske, April 2007
REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
:INITIAL
set TIMESTART=%TIME%
set LOG=^>^> "%systemdrive%\escan\bases_x\eScan_neu.txt"
set MODUS=%1
set linecnt=1
REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.
REM Die Umgebungsvariable %OS% abgefragt.
:OS
IF "%OS%"=="Windows_NT" goto srchwd
IF "%OS%"=="" goto wrngos
cls
echo.
echo.
echo [XX______________________]
echo.
echo Checking OS ...
REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************
REM 2.0.1 Log-Datei (mwav.log) wird gesucht
REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),
REM wird diese umbenannt.
:srchwd
%systemdrive%
cd\
dir /A:D %systemdrive% | findstr /i "escan"
if %errorlevel% equ 0 goto srchlog
mkdir %systemdrive%\escan\bases_x
goto cp2wd
:srchlog
dir %systemdrive%\escan\bases_x | findstr /i "mwav.log"
if %errorlevel% equ 1 goto cp2wd
ren %systemdrive%\escan\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"
REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
:cp2wd
dir /s /b %temp%\mwav.log > %systemdrive%\escan\bases_x\tmp.log
set /P FILE=<%systemdrive%\escan\bases_x\tmp.log
copy "%FILE%" %systemdrive%\escan\bases_x\
cls
echo.
echo.
echo [XXXX____________________]
echo.
echo Copying mwav.log ...
REM 2.0.2 Installationssprache wird ermittelt
REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.
REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.
REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.
:getlang
reg query HKCR\eut /v "Language" > nul
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
if "%eLang%"=="German" (
goto germpath
) else (
goto wrnglang
)
cls
echo.
echo.
echo [XXXXXX__________________]
echo.
echo Determing language ...
REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:germpath
REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.
if "%MODUS%"=="1" goto gmode1
if "%MODUS%"=="2" goto gmode2
if "%MODUS%"=="3" goto gmode3
for /f "delims=- tokens=1*" %%i in ('findstr /v /c:"wird gescannt" %systemdrive%\escan\bases_x\mwav.log ^|findstr ^[0-3]') do (echo %%j >> %systemdrive%\escan\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "Speicherdateien" %systemdrive%\escan\bases_x\mwav_clean.log') do set linecnt=%%i
more +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto gstart
:gmode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log') do (echo %%i >> %systemdrive%\escan\bases_x\mwav_cut.log)
goto gstart
:gmode2
findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "Optionen" %systemdrive%\escan\bases_x\mwav_clean.log^|findstr "Benutzer"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\escan\bases_x\mwav_clean.log > %systemdrive%\escan\bases_x\mwav_cut.log
goto gstart
:gmode3
findstr /v "Scanne" %systemdrive%\escan\bases_x\mwav.log >> %systemdrive%\escan\bases_x\mwav_cut.log
REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM Versionsnummer der find.bat
REM OS-Version: per ver
REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTION% (SBO)
REM Im normalen Modus ist SBO nicht gesetzt.
REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM Programmversion: wird aus HKCR\eut gelesen
REM Sprache: wurde bereits bestimmt (:getlang)
REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM Eintrag) wird ins Log geschrieben.
:gstart
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\escan\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2008.29.02 %LOG%
ver %LOG%
findstr "Bootmodus:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
if "%eVersion%"=="" (
for /f "tokens=1-3" %%i in ('findstr /c:"Version" %systemdrive%\escan\bases_x\mwav_cut.log') do set eVersion=%%i %%j
)
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %systemdrive%\escan\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\escan\bases_x\tmp.log)
more %systemdrive%\escan\bases_x\tmp.log %LOG%
echo. %LOG%
cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...
REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Objekt" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
findstr "System" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...
REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Datei" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "infiziert" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "markiert" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "file" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...
REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Key" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...
REM 2.1.5 Deutsch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Infizierter" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
findstr "Abbruch" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
findstr "Modul" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
findstr "Executable" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\escan\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "Error" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts|more> %systemdrive%\escan\bases_x\tmp.log
echo Zeilen die nicht dem XP-Standard entsprechen: %LOG%
findstr /v /f:%systemdrive%\escan\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...
REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\escan\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /c:"Zahl der" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
findstr /c:"Zeit verstrichen:" %systemdrive%\escan\bases_x\mwav_cut.log %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...
REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "aktiviert" %systemdrive%\escan\bases_x\mwav_cut.log >> %systemdrive%\escan\bases_x\tmp.log
findstr "Speicher" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Registrierung" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Start" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr /i "ordner" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Systembereiche" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Dienste" %systemdrive%\escan\bases_x\tmp.log %LOG%
findstr "Überprüfung *. Laufwerke" %systemdrive%\escan\bases_x\tmp.log %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...
REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss
REM *********************************************************************************
REM *********************************************************************************
REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
del %systemdrive%\escan\bases_x\tmp.log
del %systemdrive%\escan\bases_x\mwav_clean.log
del %systemdrive%\escan\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%
cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXXXX]
echo.
echo Cleaning up ...
REM 3.2 Abschluss: Status wird angezeigt
cls
echo.
echo.
echo Auswertung beendet.
echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.
REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
notepad %systemdrive%\escan\bases_x\eScan_neu.txt
exit
REM 4.1 Abbruch: Falsches Betriebssystem
:wrngos
cls
color 04
echo.
echo Ihre Windowsversion wird nicht unterstützt.
echo Die Stapelverarbeitung wird abgegbrochen.
echo.
pause
exit
REM 4.2 Abbruch: falsche Installationssprache
:wrnglang
cls
color 04
echo.
echo Fehler bei der Ermittlung der Installationssprache!
echo.
echo Diese Batchdatei kann nur Logdateien in deutscher Sprache
echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.
echo.
echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
echo die Sprache bei eScan zu ändern.
echo.
echo Die Stapelverarbeitung wird abgebrochen.
echo.
pause
exit
Einfach den Text als find.bat in einem Texteditor abspeichern.
lg myrtille
EDIT:
Die Warnung bei Combofix ist ein Disclaimer, damit du den Ersteller des Tools nicht verklagen kannst, sollte dein Rechner kaputtgehen. Aus Erfahrung kann ich aber sagen, dass es in den letzten 3 Jahren nur eine Handvoll Rechner gab, denen das passiert ist und es lag dabei nicht am Tool selber, sondern an einer Manipulation durch einen Trojaner.
Den Rechner, also die Hardware, kann es natürlich nicht kaputt machen: Das Schlimmste wäre also eine mögliche Neuinstallation. | 