nikoatit
Goto Top

USB-Sticks und USB-Cardreader direkt nach dem Verbinden scannen - Anhand von Avira ScanCL

Moin,

mein Aufgabstellung lautete:
Hauptsächlich USB-Sticks und USB-Cardreader direkt nach dem Verbinden zu scannen.

Die nachfolgende Doku ist zwar für Avira ScanCL geschrieben, aber lässt sich für die meisten gängigen Virenscanner abwandeln.

Hier nun meine Doku:

back-to-topVorbereitung


1. Eine lizenzierte Avira Antivirus-Version muss im installiert und der Installationd-Pfad sollte möglichst Default sein, z.B. “C:\Program Files (x86)\Avira\AntiVir Desktop“

2. Dateischutz fürs installieren bzw. kopieren muss deaktiviert sein
77faa1a7c2b3dd786e971921d5bbcc9d

3. CMDOW herunterladen (http://commandline.co.uk/cmdow/) und Ordnerinhalt dort platzieren: “C:\Program Files (x86)\CMDOW\“

4. Avira ScanCL hunterladen-Zip herunterladen (http://www.avira.com/de/download/product/avira-command-line-scanner-sca ..) und Dateien msvcr90.dll, scancl.conf, scancl.exe und scancl-en.pdf im Installation-Ordner der Avira Vollversion (z.B. C:\Program Files (x86)\Avira\AntiVir Desktop) ablegen, damit der Produktschlüssel und die aktuellen Signaturen verwendet werden können

5. Die Datei scancl.conf bearbeiten und “allfiles“ und “scaninarchive“ einschalten. Und bei defaultaction: “defaultaction=delete“ setzen

6. Anschließend eine CMD (Batch) in diesen Ordner erstellen mit Bezeichnung av-scanner.cmd und folgenen Inhalt:
@echo off
rem *****************
rem Startet den AV-Scanner zum Scannen von USB-Geräten
rem *****************

ping 127.0.0.1
ping 127.0.0.1

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf H:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf I:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf J:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf K:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf L:  

"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf M:  

exit

Erläuterung:
Die Laufwerksbuchstaben sollten nach eigenen Voraussetzungen gewählt werden.
Aufpassen das keine Netzlaufwerke oder weitere Festplatten sich darunter befinden!
Das werde ich die Tage noch verfeinern (siehe Ausblick).

Der Ping dient nur um den Start zu verzögern.

back-to-topTask-Planen


1. Unter Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung die Aufgabenplanung öffnen

2. Rechtsklick auf Aufgabenplanung und eine "Einfach Aufgaben erstellen..."

3. Name und Beschreibung anpassen, z.B.: Name: AV-Trigger für USB-Geräte Beschreibung: Führt eine CMD aus, welche den AV-Scanner triggert und das/die neue(n) USB-Gerät(e) überprüft, wenn sie eingesteckt werden. -> Weiter

4. Bei Event-Protokollierung auswählen -> Weiter

5. Event einstellen
Protokoll: Microsoft-Windows-DriverFrameworks-UserMode/Betriebsbereit
Quelle: DriverFrameworks-UserMode
Ereignis-ID: 2010
0ec34f55befd99c97abe2431dd727236

-> Weiter

6. Programm starten auswählen und -> Weiter

7. Pfad angeben: "C:\Program Files (x86)\CMDOW\cmdow.exe"

Und damit die CMD im Hintergrund läuft folgenden Schalter verwenden:
/run /hid "C:\Program Files (x86)\Avira\AntiVir Desktop\av-scanner.cmd"
9366e8fa7d7c8d0e7baf8ae80bef4327

-> Weiter

8. Fertigstellen

back-to-topNacharbeiten


Dateischutz wieder einstellen.

back-to-topVerteilung im Netzwerk


CMDOW und Dateien für den Cmd-Scanner können leicht per z.B. Robocopy verteilt werden.
Auch der “Task“ kann ebenso einfach verteilt werden:
1. Klickt in der Aufgabenplanungsbibliothek rechts auf die Aufgabe und wählt exportieren (XML)
2. Bei den Clients lässt sich die Aufgabe über folgendes Kommando hinzufügen:
schtasks /Create /XML "Pfad-zur-XML/AV-Trigger für USB-Geräte.xml" /TN "AV-Trigger für USB-Geräte"

back-to-topAusblick


Verfeinert werden soll u.a. noch in der Batch die Laufwerkszuordnung bzw. das nur vorhandene Laufwerke auch gescannt werden.

Content-ID: 243699

Url: https://administrator.de/contentid/243699

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

Snowman25
Snowman25 15.07.2014 um 13:21:18 Uhr
Goto Top
defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
nikoatit
nikoatit 15.07.2014 aktualisiert um 13:28:12 Uhr
Goto Top
Zitat von @Snowman25:

defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
Gute Anmerkung!
Sollte man sich natürlich entsprechend Anforderungen einstellen und sind in der "scancl.conf" auch erwähnt.
Bei uns sind "löschen" die Anforderungen.
DerWoWusste
DerWoWusste 15.07.2014, aktualisiert am 16.07.2014 um 00:44:26 Uhr
Goto Top
Hi.

Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die Nase fallen möchte.
AlFalcone
AlFalcone 18.07.2014 um 23:30:53 Uhr
Goto Top
Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
nikoatit
nikoatit 21.07.2014 um 13:14:40 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.
Moin!
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner
erreicht die selbe Sicherheit ohne jegliches Zutun.
So läuft es im Rest des Netzwerk auch ab.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks
anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die
Nase fallen möchte.
Genau, es handelt sich um einen speziellen Rechner für u.a. Präsentation, Grafik-Video- und Bildbearbeitung, Scannen usw.
Dabei werden die Rohdaten oder erste Entwürfe oft per SD-Karte, USB-Stick und Co. von externen Mitarbeitern von zu Hause mitgebracht.
Den PC dabei komplett aus dem Netzwerk zu verbannen ist nicht möglich.
Außerdem soll die ganze Multmedia-Abteilung ("nur" 4 Arbeitsplätze) ebenfalls eigene Sticks, SD-Karten und Co. verwenden dürfen.
Hatte ich auch einen Thread zu eröffnet: Cardreader auf Schadprogramme scannen
Es gibt zu dem noch die Einschränkung das Archive nicht vom Echtzeit-Scanner (On-Access) durchsucht werden, weil hier sehr viele und große Archive an der Tagesordnung sind.
Die oben genannte Lösung durchsucht auch Archive (Performance ist bei den 4 Rechnern zu vernachlässigen).
nikoatit
nikoatit 21.07.2014 um 13:18:06 Uhr
Goto Top
Zitat von @AlFalcone:

Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Die Einführung eines anderen Systems ist keine Option...Alleine schon weg laufenden Lizenzen für gut 300 Systeme.
AlFalcone
AlFalcone 22.07.2014 um 22:43:18 Uhr
Goto Top
Wird durch Eset locker "Entschädigt" (Ablöse Rabatt) und daher als Ausrede nicht tragbar face-smile
Nr60730
Nr60730 25.07.2014 um 10:37:02 Uhr
Goto Top
Salve,

anstatt die vielen Zeilen
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G:   
wäre ein
for %%a in (g h i j k l m) do (
      net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf %%a:  
      )
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer face-wink

N8 weitermachen.
nikoatit
nikoatit 25.07.2014 um 10:45:26 Uhr
Goto Top
Zitat von @Nr60730:

Salve,

anstatt die vielen Zeilen
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G:   
wäre ein
> for %%a in (g h i j k l m) do (
>       net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe"  
> --config=scancl.conf %%a:
>       )
> 
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den
Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
> if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer face-wink

N8 weitermachen.
Vielen Dank! Super Sache face-smile
Etwas ähnliches hatte ich auch im Sinn, aber bin noch nicht dazu gekommen.
Füge deine Verbesserung oben ein.

Gruß