neue escan-Anleitung (eScanCheck110)

#0
08.06.2005, 13:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 neue escan-Anleitung --> mit Hilfe von "escanCheck110"

Ich habe mal eine neue Anleitung fuer den escan (etwas einfacher als die alte) ausgearbeitet.
Falls es jemand mal ausprobiert und Verbesserungsvorschlaege hat (oder Fehler findet), so sind jegliche Hinweise willkommen ;)

http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2005, 20:22
Member

Beiträge: 1132
#2 Hi Sabina,

Prozedur wird bei Trojaner-Info ganz anders beschrieben:
http://www.trojaner-info.de/hijacker/escan.shtml

War auch bis jetzt der Meinung, dass die Dateien der mwav.exe in den Ordner c:\bases (hat sich wohl auf c:\bases_x geändert) entpackt werden müssen, weil sonst die Signaturen der Kaspersky-Engine nicht upgedatet werden.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.06.2005, 21:14
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#3 Hallo@

Das besondere an diesem neuen Tool escanCheck110: man muss nicht mehr suchen und umkopieren oder Ordner anlegen, sondern das Tool erledigt alles von selbst ;)

Bis jetzt bestand ja immer das Problem, dass sich beim Entpacken nicht der Pfad anpassen liess, dieses Problem ist nun behoben ;)

Dazu kommt, dass man nicht mehr muehevoll die "infected" suchen oder als Alternative eine Extra-Datei von Trojanerboard laden muss ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2005, 22:43
Member

Beiträge: 1132
#4 Klingt interessant. Ist escancheck110 eine Weiterentwicklung von eScan? Konnte bei Microworld nichts dazu finden.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.06.2005, 22:48
Member
Avatar Malkesh

Beiträge: 669
#5 Sieht für mich wie ein Third-Party Programm aus, welches nur eine GUI zum starten des eigentlichen mwav bietet. Eben mit der Möglichkeit einige Konfigurationen vorzunehmen.

Wer jetzt mit welcher "Version" besser zurecht kommt wird jeder für sich entscheiden müssen. Ich persönlich sehe keine große Arbeitsersparnis bzw. größere Einfachheit in der Bedienung (was ist an e-scan auch so schwer?) - aber es gibt sicher viele User die das anders sehen. Für die könnte so ein Interface ein Segen sein.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
09.06.2005, 10:02
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 Hallo@

schoenes Beispiel (koennt ihr euch ueberzeugen, wie effektiv das Tool ist...alles mit einem Klick erledigt .... ;) )

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: -------------------- INFECTED --------------------
2: 1: -------------------- INFECTED --------------------
3: 2: 1: Wed Jun 08 21:13:24 2005 => Scanning Folder: C:\Program Files\AVPersonal\INFECTED\*.*
4: 3: 2: Wed Jun 08 21:36:30 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\070D335B.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
5: 4: 3: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\26B273D2.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
6: 5: 4: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\547E2CFF.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
7: 6: 5: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\548256FC.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
8: 7: 6: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\54D046A6.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
9: 8: 7: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\54D61A9E.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
10: 9: 8: Wed Jun 08 21:36:31 2005 => File C:\Program Files\Norton AntiVirus\Quarantine\54DA449B.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------

--------------------------------------------------

1: --------------------- TAGGED ---------------------
2: 1: --------------------- TAGGED ---------------------
3: 2: 1: Wed Jun 08 20:56:57 2005 => File C:\Documents and Settings\Angela\Desktop\l2mfix\Process.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken.
4: 3: 2: Wed Jun 08 20:56:58 2005 => File C:\Documents and Settings\Angela\Desktop\l2mfix.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken.
5: 4: 3: Wed Jun 08 21:00:04 2005 => File C:\WINDOWS\system32\ktj0l71m1.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
6: 5: 4: Wed Jun 08 21:00:13 2005 => File C:\WINDOWS\system32\mfimg32.dll tagged as "not-a-virus:AdWare.Look2Me.ab". Action Taken: No Action Taken.
232: 13: C:\System Volume Information\_restore{02818594-CB0B-43E3-8139-587D9EF98970}\RP156\A0027853.exe => tagged:Tool.Win32.Processor.20.
233: 14: C:\System Volume Information\_restore{02818594-CB0B-43E3-8139-587D9EF98970}\RP158\A0030395.exe => tagged:Tool.Win32.Processor.20.
234: 15: C:\System Volume Information\_restore{02818594-CB0B-43E3-8139-587D9EF98970}\RP158\A0030456.exe => tagged:Tool.Win32.Processor.20.
235: 16: C:\System Volume Information\_restore{02818594-CB0B-43E3-8139-587D9EF98970}\RP158\A0030460.exe => tagged:Tool.Win32.Processor.20.
236: 17: C:\System Volume Information\_restore{02818594-CB0B-43E3-8139-587D9EF98970}\RP159\A0031095.exe => tagged:Tool.Win32.Processor.20.
237: 18: C:\WINDOWS\Downloaded Program Files\popcaploader.dll => taggedownloader.Win32.PopCap.b.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: 1: 1: Wed Jun 08 20:56:21 2005 => ERROR!!! Invalid Entry {5464D816-CF16-4784-B9F3-75C0DB52B499} = C:\PROGRA~1\Yahoo!\Common\ymmapi.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
2: 2: 2: Wed Jun 08 20:56:21 2005 => ERROR!!! Invalid Entry {E46D65EC-24E0-4D66-9EE9-27B26B447E80} = C:\WINDOWS\system32\mhrddm.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
3: 3: 3: Wed Jun 08 20:56:24 2005 => ERROR!!! Invalid Entry VTTimer = VTTimer.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.

82: 82: 82: Wed Jun 08 21:02:36 2005 => Result: ERROR!!! File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WildTangent.zip is Not Scanned
83: 83: 83: Wed Jun 08 21:02:36 2005 => Result: ERROR!!! File C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WildTangent1.zip is Not Scanned

--------------------------------------------------
------------- FILES ADDED TO DELETE --------------

--------------------------------------------------

1: C:\Program Files\Norton AntiVirus\Quarantine\070D335B.htm => Exploit.HTML.Mht
2: C:\Program Files\Norton AntiVirus\Quarantine\26B273D2.zip => Trojan.Java.ClassLoader.c
3: C:\Program Files\Norton AntiVirus\Quarantine\547E2CFF.htm => Exploit.HTML.Mht
4: C:\Program Files\Norton AntiVirus\Quarantine\54825
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2005, 11:50
Member

Beiträge: 3306
#7 Der Vorteil ist das Löschen der Malware, was der normale Escan nicht macht.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
09.06.2005, 12:52
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#8

Zitat

asdrubael postete
Der Vorteil ist das Löschen der Malware, was der normale Escan nicht macht.
das hab ich noch nicht ausprobiert, oder besser, ich hab es versucht, aber in einem eingeschraenkten Benutzerkonto (also nicht im abgesicherten modus)...und da hat es nicht geklappt.
Ich muss es noch mal machen, um zu sehen, ob es wirklich funktioniert . ;)

Falls es jemand schon ausprobiert hat--> bitte berichten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2005, 19:09
Moderator

Beiträge: 7795
#9 Escan-Check wurde eigentlich extra dafuer geschrieben, die Dateien zu loeschen, die Escan findet. Escan -check gibt es schon kurz nach dem Zeitpunkt, als Escan nicht mehr die Moeglichkeit bot Dateien selber zu loeschen.

Das Programm kommt von Seeker, der auch SPSeHjFix geschrieben hat.

Ich habe noch nicht genau ausprobiert, wie gut oder ob es Malware nach einem Neustart loescht, die "Pendingfileoperation" ueberwacht.

BTW Anleitung: Du solltest auf die orginaldownloadquelle verweisen:
http://www32.brinkster.com/idontknowit/download/
und abgesicherter Modus waere auch fuer alle Windowsversionen nicht schlecht. ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.06.2005, 22:08
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#10 Hallo@raman

selbstverstaendlich werde ich die Originalquelle angeben .
Ich wusste nicht, wer das Tool gebastelt hat, habs einfach von jemandem bekommen , ohne Quellenangabe ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2005, 12:48
Moderator

Beiträge: 7795
#11 Punkt 6, 7 und 8 sind zusammen machbar. Beides anhaken und start druecken. Rein theoretisch, kann man auch alle drei Sachen anhaken und das ganze so etwas optimieren. Zumindest bei der Erstinstallation. Danach kann man Escan beim starten die Registrierung ueberpruefen lassen und Updates in unregelmaessigen abstaenden wiederholen, das geht ja auch relativ schnell, da man nur die geaenderten Daten geladen werden.

Das ganze Paket braucht man nicht, wenn man escan/escan-check bereits installiert hat.;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2005, 15:23
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#12 Hallo@raman

Punkt 6,7,8 hab ich so dargestellt denn: wenn man gleich alles anhakt, (also auch scan), bginnt dieser sofort.

(und der soll doch im abgesicherten Modus sein....)?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.06.2005, 15:36
Moderator

Beiträge: 7795
#13 Es hat zumindest den Vorteil, das der scanner nicht von anderen laufenden Prozessen gestoert wird. Aber zum normalen gebrauch reicht es den Hintergrundwaechter zu deaktivieren und dann Escan pruefen zu lassen(IMO).
Aber ich finde die Idee mit der Escan-check Anleitung sehr gut!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.06.2005, 00:39
Member

Beiträge: 1132
#14 Also, das Tool erleichtert ja offenbar den Usern den Gebrauch von eScan und bietet zusätzliche Funktionalitäten.
Aber, sind diese Endloslisten von Errors eigentlich nötig? Liest die irgendwer? Sie machen imho einen Thread nur unnötig unübersichtlich.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
11.06.2005, 13:24
Member
Avatar Malkesh

Beiträge: 669
#15 Ich denke schon das sie Sinn machen. Das ist wie mit den HijackThis-Logs, wer nicht weiß was die Einträge bedeuten, für den schaut das ganze wie ein Haufen Müll aus, aber wer sie interpretieren kann, weiß dadurch viel genauer was vor sich geht. Ich kann bei eScan auch nicht mit jedem Error was anfangen (aber einige sind wirklich selbst erklärend), aber ich denke das es hier schon einige Leute gibt die sehr wohl wissen was mancher Fehler bedeuten könnte und was eventuell dagegen zu unternehmen ist. Malware wird eben immer raffinierter um Virenscanner zu umgehen, da ist es auch nicht auszuschließen, das sie sich hinter scheinbaren Scan-Fehlern verbirgt.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende