9
USB-Sticks und USB-Cardreader direkt nach dem Verbinden scannen - Anhand von Avira ScanCL
Moin,
mein Aufgabstellung lautete:
Hauptsächlich USB-Sticks und USB-Cardreader direkt nach dem Verbinden zu scannen.
Die nachfolgende Doku ist zwar für Avira ScanCL geschrieben, aber lässt sich für die meisten gängigen Virenscanner abwandeln.
Hier nun meine Doku:
1. Eine lizenzierte Avira Antivirus-Version muss im installiert und der Installationd-Pfad sollte möglichst Default sein, z.B. “C:\Program Files (x86)\Avira\AntiVir Desktop“
2. Dateischutz fürs installieren bzw. kopieren muss deaktiviert sein
3. CMDOW herunterladen (http://commandline.co.uk/cmdow/) und Ordnerinhalt dort platzieren: “C:\Program Files (x86)\CMDOW\“
4. Avira ScanCL hunterladen-Zip herunterladen (http://www.avira.com/de/download/product/avira-command-line-scanner-sca ..) und Dateien msvcr90.dll, scancl.conf, scancl.exe und scancl-en.pdf im Installation-Ordner der Avira Vollversion (z.B. C:\Program Files (x86)\Avira\AntiVir Desktop) ablegen, damit der Produktschlüssel und die aktuellen Signaturen verwendet werden können
5. Die Datei scancl.conf bearbeiten und “allfiles“ und “scaninarchive“ einschalten. Und bei defaultaction: “defaultaction=delete“ setzen
6. Anschließend eine CMD (Batch) in diesen Ordner erstellen mit Bezeichnung av-scanner.cmd und folgenen Inhalt:
Erläuterung:
Die Laufwerksbuchstaben sollten nach eigenen Voraussetzungen gewählt werden.
Aufpassen das keine Netzlaufwerke oder weitere Festplatten sich darunter befinden!
Das werde ich die Tage noch verfeinern (siehe Ausblick).
Der Ping dient nur um den Start zu verzögern.
1. Unter Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung die Aufgabenplanung öffnen
2. Rechtsklick auf Aufgabenplanung und eine "Einfach Aufgaben erstellen..."
3. Name und Beschreibung anpassen, z.B.: Name: AV-Trigger für USB-Geräte Beschreibung: Führt eine CMD aus, welche den AV-Scanner triggert und das/die neue(n) USB-Gerät(e) überprüft, wenn sie eingesteckt werden. -> Weiter
4. Bei Event-Protokollierung auswählen -> Weiter
5. Event einstellen
Protokoll: Microsoft-Windows-DriverFrameworks-UserMode/Betriebsbereit
Quelle: DriverFrameworks-UserMode
Ereignis-ID: 2010
-> Weiter
6. Programm starten auswählen und -> Weiter
7. Pfad angeben: "C:\Program Files (x86)\CMDOW\cmdow.exe"
Und damit die CMD im Hintergrund läuft folgenden Schalter verwenden:
/run /hid "C:\Program Files (x86)\Avira\AntiVir Desktop\av-scanner.cmd"
-> Weiter
8. Fertigstellen
Dateischutz wieder einstellen.
CMDOW und Dateien für den Cmd-Scanner können leicht per z.B. Robocopy verteilt werden.
Auch der “Task“ kann ebenso einfach verteilt werden:
1. Klickt in der Aufgabenplanungsbibliothek rechts auf die Aufgabe und wählt exportieren (XML)
2. Bei den Clients lässt sich die Aufgabe über folgendes Kommando hinzufügen:
schtasks /Create /XML "Pfad-zur-XML/AV-Trigger für USB-Geräte.xml" /TN "AV-Trigger für USB-Geräte"
Verfeinert werden soll u.a. noch in der Batch die Laufwerkszuordnung bzw. das nur vorhandene Laufwerke auch gescannt werden.
mein Aufgabstellung lautete:
Hauptsächlich USB-Sticks und USB-Cardreader direkt nach dem Verbinden zu scannen.
Die nachfolgende Doku ist zwar für Avira ScanCL geschrieben, aber lässt sich für die meisten gängigen Virenscanner abwandeln.
Hier nun meine Doku:
Vorbereitung
1. Eine lizenzierte Avira Antivirus-Version muss im installiert und der Installationd-Pfad sollte möglichst Default sein, z.B. “C:\Program Files (x86)\Avira\AntiVir Desktop“
2. Dateischutz fürs installieren bzw. kopieren muss deaktiviert sein
3. CMDOW herunterladen (http://commandline.co.uk/cmdow/) und Ordnerinhalt dort platzieren: “C:\Program Files (x86)\CMDOW\“
4. Avira ScanCL hunterladen-Zip herunterladen (http://www.avira.com/de/download/product/avira-command-line-scanner-sca ..) und Dateien msvcr90.dll, scancl.conf, scancl.exe und scancl-en.pdf im Installation-Ordner der Avira Vollversion (z.B. C:\Program Files (x86)\Avira\AntiVir Desktop) ablegen, damit der Produktschlüssel und die aktuellen Signaturen verwendet werden können
5. Die Datei scancl.conf bearbeiten und “allfiles“ und “scaninarchive“ einschalten. Und bei defaultaction: “defaultaction=delete“ setzen
6. Anschließend eine CMD (Batch) in diesen Ordner erstellen mit Bezeichnung av-scanner.cmd und folgenen Inhalt:
@echo off
rem *****************
rem Startet den AV-Scanner zum Scannen von USB-Geräten
rem *****************
ping 127.0.0.1
ping 127.0.0.1
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf H:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf I:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf J:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf K:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf L:
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf M:
exitErläuterung:
Die Laufwerksbuchstaben sollten nach eigenen Voraussetzungen gewählt werden.
Aufpassen das keine Netzlaufwerke oder weitere Festplatten sich darunter befinden!
Das werde ich die Tage noch verfeinern (siehe Ausblick).
Der Ping dient nur um den Start zu verzögern.
Task-Planen
1. Unter Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung die Aufgabenplanung öffnen
2. Rechtsklick auf Aufgabenplanung und eine "Einfach Aufgaben erstellen..."
3. Name und Beschreibung anpassen, z.B.: Name: AV-Trigger für USB-Geräte Beschreibung: Führt eine CMD aus, welche den AV-Scanner triggert und das/die neue(n) USB-Gerät(e) überprüft, wenn sie eingesteckt werden. -> Weiter
4. Bei Event-Protokollierung auswählen -> Weiter
5. Event einstellen
Protokoll: Microsoft-Windows-DriverFrameworks-UserMode/Betriebsbereit
Quelle: DriverFrameworks-UserMode
Ereignis-ID: 2010
-> Weiter
6. Programm starten auswählen und -> Weiter
7. Pfad angeben: "C:\Program Files (x86)\CMDOW\cmdow.exe"
Und damit die CMD im Hintergrund läuft folgenden Schalter verwenden:
/run /hid "C:\Program Files (x86)\Avira\AntiVir Desktop\av-scanner.cmd"
-> Weiter
8. Fertigstellen
Nacharbeiten
Dateischutz wieder einstellen.
Verteilung im Netzwerk
CMDOW und Dateien für den Cmd-Scanner können leicht per z.B. Robocopy verteilt werden.
Auch der “Task“ kann ebenso einfach verteilt werden:
1. Klickt in der Aufgabenplanungsbibliothek rechts auf die Aufgabe und wählt exportieren (XML)
2. Bei den Clients lässt sich die Aufgabe über folgendes Kommando hinzufügen:
schtasks /Create /XML "Pfad-zur-XML/AV-Trigger für USB-Geräte.xml" /TN "AV-Trigger für USB-Geräte"
Ausblick
Verfeinert werden soll u.a. noch in der Batch die Laufwerkszuordnung bzw. das nur vorhandene Laufwerke auch gescannt werden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243699
Url: https://administrator.de/contentid/243699
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
9 Kommentare
Neuester Kommentar
defaultaction=delete ist doch etwas Harsch, oder?Wäre sowas wie
defaultaction=clean,move,delete nicht für den User "angenehmer"?
Zitat von @Snowman25:
Wäre sowas wie
Gute Anmerkung!defaultaction=delete ist doch etwas Harsch, oder?Wäre sowas wie
defaultaction=clean,move,delete nicht für den User "angenehmer"?Sollte man sich natürlich entsprechend Anforderungen einstellen und sind in der "scancl.conf" auch erwähnt.
Bei uns sind "löschen" die Anforderungen.
Hi.
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die Nase fallen möchte.
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die Nase fallen möchte.
Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Moin!
Dabei werden die Rohdaten oder erste Entwürfe oft per SD-Karte, USB-Stick und Co. von externen Mitarbeitern von zu Hause mitgebracht.
Den PC dabei komplett aus dem Netzwerk zu verbannen ist nicht möglich.
Außerdem soll die ganze Multmedia-Abteilung ("nur" 4 Arbeitsplätze) ebenfalls eigene Sticks, SD-Karten und Co. verwenden dürfen.
Hatte ich auch einen Thread zu eröffnet: Cardreader auf Schadprogramme scannen
Es gibt zu dem noch die Einschränkung das Archive nicht vom Echtzeit-Scanner (On-Access) durchsucht werden, weil hier sehr viele und große Archive an der Tagesordnung sind.
Die oben genannte Lösung durchsucht auch Archive (Performance ist bei den 4 Rechnern zu vernachlässigen).
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner
erreicht die selbe Sicherheit ohne jegliches Zutun.
So läuft es im Rest des Netzwerk auch ab.Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner
erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks
anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die
Nase fallen möchte.
Genau, es handelt sich um einen speziellen Rechner für u.a. Präsentation, Grafik-Video- und Bildbearbeitung, Scannen usw.anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die
Nase fallen möchte.
Dabei werden die Rohdaten oder erste Entwürfe oft per SD-Karte, USB-Stick und Co. von externen Mitarbeitern von zu Hause mitgebracht.
Den PC dabei komplett aus dem Netzwerk zu verbannen ist nicht möglich.
Außerdem soll die ganze Multmedia-Abteilung ("nur" 4 Arbeitsplätze) ebenfalls eigene Sticks, SD-Karten und Co. verwenden dürfen.
Hatte ich auch einen Thread zu eröffnet: Cardreader auf Schadprogramme scannen
Es gibt zu dem noch die Einschränkung das Archive nicht vom Echtzeit-Scanner (On-Access) durchsucht werden, weil hier sehr viele und große Archive an der Tagesordnung sind.
Die oben genannte Lösung durchsucht auch Archive (Performance ist bei den 4 Rechnern zu vernachlässigen).
Zitat von @AlFalcone:
Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Die Einführung eines anderen Systems ist keine Option...Alleine schon weg laufenden Lizenzen für gut 300 Systeme.Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Wird durch Eset locker "Entschädigt" (Ablöse Rabatt) und daher als Ausrede nicht tragbar 
Salve,
anstatt die vielen Zeilen
wäre ein
wohl mein Schnellschuss in die Richtung...
Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den Einsatzzweck abgefrühstückt werden.
Und wenn schon €echo 0ff - dann wäre ein
irgendwie Powerpointdautauglicherererer 
N8 weitermachen.
anstatt die vielen Zeilen
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: for %%a in (g h i j k l m) do (
net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf %%a:
)Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den Einsatzzweck abgefrühstückt werden.
Und wenn schon €echo 0ff - dann wäre ein
if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfenN8 weitermachen.
Zitat von @Nr60730:
Salve,
anstatt die vielen Zeilen
wäre ein
wohl mein Schnellschuss in die Richtung...
Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den
Einsatzzweck abgefrühstückt werden.
Und wenn schon €echo 0ff - dann wäre ein
irgendwie Powerpointdautauglicherererer
N8 weitermachen.
Vielen Dank! Super Sache Salve,
anstatt die vielen Zeilen
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: > for %%a in (g h i j k l m) do (
> net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe"
> --config=scancl.conf %%a:
> )
> Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den
Einsatzzweck abgefrühstückt werden.
Und wenn schon €echo 0ff - dann wäre ein
> if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfenN8 weitermachen.
Etwas ähnliches hatte ich auch im Sinn, aber bin noch nicht dazu gekommen.
Füge deine Verbesserung oben ein.
Gruß
