Discussion:
Traritrara, die Post ist da
(zu alt für eine Antwort)
Ulrich F. Heidenreich
2012-10-07 14:55:34 UTC
Permalink
Das erspart mir, zu checken, welcher Virus im
Hilfreicher wäre zu wissen, wie denn das Attachement hieß.

Im "Deutschen_Post_oder_DHL-ID0100118.zip" steckt zum Beispiel
ein "Win32/Malagent", im "Postetikett_Deutsche_Post_AG.zip" ein
"Win32/Kuloz.B"; im "DHL_Express_Shipment_POST_ORDER_ID1J1A3Q53.zip"
ein "Win32/Bublik.D" usw. usf.

Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt oder
man es dazu überreden kann, solche zu schreiben? Das für Hauke jetzt
mühsam per Buntklickie aus dem MSE-Verlauf herauszupicken, ist nämlich
nicht gerade Recovery.

CU!
Ulrich

Xpost nach de.admin.net-abuse.mail und de.comp.security.virus
Followup-To nach de.comp.security.virus
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 2 Monaten und 18 Tagen ist Weihnachten
UTR94 FEM9K IMQ4M 8FKGJ KY8YW O3OD5 QURNC 54ZUF 0Z544
Stellt euch vor, es ist Sonntag und keiner geht hin!
Ralph Lehmann
2012-10-07 16:41:00 UTC
Permalink
Post by Ulrich F. Heidenreich
Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt
System-Log, Quelle: Microsoft Antimalware

ciao Ralph
Ulrich F. Heidenreich
2012-10-08 08:17:49 UTC
Permalink
Post by Ralph Lehmann
Post by Ulrich F. Heidenreich
Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt
System-Log, Quelle: Microsoft Antimalware
Sorry, wenn ich jetzt eine "Dumme Frage™" stelle:

Wo finde ich das? Per Ereignisanzeige zusammenklicken wäre genauso
wenig sinnvoll, wie es aus direkt in den MSE zusammenzuklicken.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 2 Monaten und 17 Tagen ist Weihnachten
ZKJZD 7AQ59 KPIW3 0RUB8 YILUC KD4JQ W2O59 YTXTD V9SBR
Stellt euch vor, es ist Montag und keiner geht hin!
Ralph Lehmann
2012-10-08 09:15:55 UTC
Permalink
Post by Ulrich F. Heidenreich
Post by Ralph Lehmann
Post by Ulrich F. Heidenreich
Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt
System-Log, Quelle: Microsoft Antimalware
Wo finde ich das? Per Ereignisanzeige zusammenklicken wäre genauso
wenig sinnvoll, wie es aus direkt in den MSE zusammenzuklicken.
Ich würde eine benutzerdefinierte Ansicht erstellen und die dann
exportieren.

evt- und evtx-Dateien sind IIRC nur mit dem EventViewer vernünftig lesbar.

ciao Ralph
Ulrich F. Heidenreich
2012-10-08 10:07:48 UTC
Permalink
Post by Ralph Lehmann
Post by Ulrich F. Heidenreich
Post by Ralph Lehmann
Post by Ulrich F. Heidenreich
Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt
System-Log, Quelle: Microsoft Antimalware
Wo finde ich das? Per Ereignisanzeige zusammenklicken wäre genauso
wenig sinnvoll, wie es aus direkt in den MSE zusammenzuklicken.
Ich würde eine benutzerdefinierte Ansicht erstellen und die dann
exportieren.
evt- und evtx-Dateien sind IIRC nur mit dem EventViewer vernünftig lesbar.
Also schreibt MSE keine Logs. Schade. Aber trotzdem Danke.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 2 Monaten und 17 Tagen ist Weihnachten
5S0XN MVDFK BTY4J 50381 3TXJ7 LZJHV SH29J 2DV06 FUKY7
Stellt euch vor, es ist Montag und keiner geht hin!
Michael Landenberger
2012-10-08 10:48:33 UTC
Permalink
Post by Ulrich F. Heidenreich
Also schreibt MSE keine Logs.
Doch, natürlich, und zwar in die Windows-Ereignislogs. Wie man da drankommt
und sie auswertet, wurde bereits erläutert.

Gruß

Michael
Ralph Lehmann
2012-10-08 12:16:56 UTC
Permalink
Post by Michael Landenberger
Post by Ulrich F. Heidenreich
Also schreibt MSE keine Logs.
Doch, natürlich, und zwar in die Windows-Ereignislogs. Wie man da drankommt
und sie auswertet, wurde bereits erläutert.
Immerhin hat Stefan angeregt, es mit der Befehlszeile zu versuchen. Hier
eine zeitgemäße Variante:
PS: get-eventlog -newest 5 -log system -source "Microsoft Antimalware"
-instanceid 1116 | format-list

ciao Ralph
Ralph Lehmann
2012-10-08 10:48:45 UTC
Permalink
Post by Ulrich F. Heidenreich
Also schreibt MSE keine Logs. Schade.
Es schreibt kein _eigenes_ Log. Es schreibt ins System-Log. So wie viele
andere Komponenten auch.

ciao Ralph
Stefan Kanthak
2012-10-08 11:06:40 UTC
Permalink
Post by Ulrich F. Heidenreich
Post by Ralph Lehmann
Post by Ulrich F. Heidenreich
Weiß in der Zielgruppe vielleicht jemand, ob MSE da Logs schreibt
System-Log, Quelle: Microsoft Antimalware
Also schreibt MSE keine Logs. Schade. Aber trotzdem Danke.
Genau. NICHT MSE schreibt Log-Eintraege, sondern die von MSE verwendete
"Microsoft Malware Protection Engine".

Und jeder, der sich mit eNTe auch nur ein bisschen auskennt, weiss,
dass man mit Kommandos wie EventQuery alle von der Quelle "Microsoft
Antimalware" erzeugten Log-Eintraege ausgeben lassen kann.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ralph Lehmann
2012-10-08 11:57:19 UTC
Permalink
Post by Stefan Kanthak
Und jeder, der sich mit eNTe auch nur ein bisschen auskennt, weiss,
dass man mit Kommandos wie EventQuery alle von der Quelle "Microsoft
Antimalware" erzeugten Log-Eintraege ausgeben lassen kann.
Microsoft selbst sieht das offenbar inzwischen anders. Siehe
technet.microsoft.com/de-de/library/ff935312(v=ws.10).aspx
Dort heißt es: "Eventquery.vbs is deprecated, and is not guaranteed to
be supported in future releases of Windows."

Empfohlen wird stattdessen Powershell.

ciao Ralph
Stefan Kanthak
2012-10-08 18:39:11 UTC
Permalink
Post by Ralph Lehmann
Post by Stefan Kanthak
Und jeder, der sich mit eNTe auch nur ein bisschen auskennt, weiss,
dass man mit Kommandos wie EventQuery alle von der Quelle "Microsoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post by Ralph Lehmann
Post by Stefan Kanthak
Antimalware" erzeugten Log-Eintraege ausgeben lassen kann.
Microsoft selbst sieht das offenbar inzwischen anders. Siehe
technet.microsoft.com/de-de/library/ff935312(v=ws.10).aspx
Dort heißt es: "Eventquery.vbs is deprecated, and is not guaranteed to
be supported in future releases of Windows."
~~~~~~~~~~~~~~~~~~
Post by Ralph Lehmann
Empfohlen wird stattdessen Powershell.
Extra fuer Dummenfaenger wie Dich habe ich's nochmal unterstrichen!

Apropos PoserShell: ab welcher Windows-Version gehoert die nochmal
zum Lieferumfang? Und wieviele Male "fetter" als EventQuery ist sie?

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Ralph Lehmann
2012-10-08 19:45:58 UTC
Permalink
Post by Stefan Kanthak
Post by Ralph Lehmann
Post by Stefan Kanthak
Und jeder, der sich mit eNTe auch nur ein bisschen auskennt, weiss,
dass man mit Kommandos wie EventQuery alle von der Quelle "Microsoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Post by Ralph Lehmann
Post by Stefan Kanthak
Antimalware" erzeugten Log-Eintraege ausgeben lassen kann.
Microsoft selbst sieht das offenbar inzwischen anders. Siehe
technet.microsoft.com/de-de/library/ff935312(v=ws.10).aspx
Dort heißt es: "Eventquery.vbs is deprecated, and is not guaranteed to
be supported in future releases of Windows."
~~~~~~~~~~~~~~~~~~
Es handelt sich um einen Technet-Artikel bzgl. Server 2003.
Post by Stefan Kanthak
Extra fuer Dummenfaenger wie Dich habe ich's nochmal unterstrichen!
Vielen Dank.
Post by Stefan Kanthak
Apropos PoserShell: ab welcher Windows-Version gehoert die nochmal
zum Lieferumfang? Und wieviele Male "fetter" als EventQuery ist sie?
Bei den aktuellen Systemen gehört sie zum Lieferumfang, bei den derzeit
unterstützten kann sie installiert werden. Um wie viel fetter sie ist,
spielt bei den aktuellen keine Rolle, bei den alten fast keine.

Weiterhin wird EventQuery seit -gt Server 2003 nicht mehr mitgeliefert,
in Windows 7 funktioniert es offenbar überhaupt nicht mehr zuverlässig.

Natürlich kannst Du EventQuery weiterhin benutzen, aber das als Lösung
des im OP angesprochenen Problems zu empfehlen, halte ich für ziemlich
mutig.

Viele Grüße und schönen Abend. :-)

Ralph

Loading...