Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB-Sticks und USB-Cardreader direkt nach dem Verbinden scannen - Anhand von Avira ScanCL

Anleitung Sicherheit Erkennung und -Abwehr

Mitglied: nikoatit

nikoatit (Level 2) - Jetzt verbinden

15.07.2014, aktualisiert 14:07 Uhr, 6640 Aufrufe, 9 Kommentare, 1 Danke

Moin,

mein Aufgabstellung lautete:
Hauptsächlich USB-Sticks und USB-Cardreader direkt nach dem Verbinden zu scannen.

Die nachfolgende Doku ist zwar für Avira ScanCL geschrieben, aber lässt sich für die meisten gängigen Virenscanner abwandeln.

Hier nun meine Doku:

Vorbereitung


1. Eine lizenzierte Avira Antivirus-Version muss im installiert und der Installationd-Pfad sollte möglichst Default sein, z.B. “C:\Program Files (x86)\Avira\AntiVir Desktop“

2. Dateischutz fürs installieren bzw. kopieren muss deaktiviert sein
77faa1a7c2b3dd786e971921d5bbcc9d - Klicke auf das Bild, um es zu vergrößern

3. CMDOW herunterladen (http://commandline.co.uk/cmdow/) und Ordnerinhalt dort platzieren: “C:\Program Files (x86)\CMDOW\“

4. Avira ScanCL hunterladen-Zip herunterladen (http://www.avira.com/de/download/product/avira-command-line-scanner-sca ...) und Dateien msvcr90.dll, scancl.conf, scancl.exe und scancl-en.pdf im Installation-Ordner der Avira Vollversion (z.B. C:\Program Files (x86)\Avira\AntiVir Desktop) ablegen, damit der Produktschlüssel und die aktuellen Signaturen verwendet werden können

5. Die Datei scancl.conf bearbeiten und “allfiles“ und “scaninarchive“ einschalten. Und bei defaultaction: “defaultaction=delete“ setzen

6. Anschließend eine CMD (Batch) in diesen Ordner erstellen mit Bezeichnung av-scanner.cmd und folgenen Inhalt:
01.
@echo off 
02.
rem ***************** 
03.
rem Startet den AV-Scanner zum Scannen von USB-Geräten 
04.
rem ***************** 
05.
 
06.
ping 127.0.0.1 
07.
ping 127.0.0.1 
08.
 
09.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
10.
 
11.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf H: 
12.
 
13.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf I: 
14.
 
15.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf J: 
16.
 
17.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf K: 
18.
 
19.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf L: 
20.
 
21.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf M: 
22.
 
23.
exit
Erläuterung:
Die Laufwerksbuchstaben sollten nach eigenen Voraussetzungen gewählt werden.
Aufpassen das keine Netzlaufwerke oder weitere Festplatten sich darunter befinden!
Das werde ich die Tage noch verfeinern (siehe Ausblick).

Der Ping dient nur um den Start zu verzögern.

Task-Planen


1. Unter Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung die Aufgabenplanung öffnen

2. Rechtsklick auf Aufgabenplanung und eine "Einfach Aufgaben erstellen..."

3. Name und Beschreibung anpassen, z.B.: Name: AV-Trigger für USB-Geräte Beschreibung: Führt eine CMD aus, welche den AV-Scanner triggert und das/die neue(n) USB-Gerät(e) überprüft, wenn sie eingesteckt werden. -> Weiter

4. Bei Event-Protokollierung auswählen -> Weiter

5. Event einstellen
Protokoll: Microsoft-Windows-DriverFrameworks-UserMode/Betriebsbereit
Quelle: DriverFrameworks-UserMode
Ereignis-ID: 2010
0ec34f55befd99c97abe2431dd727236 - Klicke auf das Bild, um es zu vergrößern

-> Weiter

6. Programm starten auswählen und -> Weiter

7. Pfad angeben: "C:\Program Files (x86)\CMDOW\cmdow.exe"

Und damit die CMD im Hintergrund läuft folgenden Schalter verwenden:
/run /hid "C:\Program Files (x86)\Avira\AntiVir Desktop\av-scanner.cmd"
9366e8fa7d7c8d0e7baf8ae80bef4327 - Klicke auf das Bild, um es zu vergrößern

-> Weiter

8. Fertigstellen

Nacharbeiten


Dateischutz wieder einstellen.

Verteilung im Netzwerk


CMDOW und Dateien für den Cmd-Scanner können leicht per z.B. Robocopy verteilt werden.
Auch der “Task“ kann ebenso einfach verteilt werden:
1. Klickt in der Aufgabenplanungsbibliothek rechts auf die Aufgabe und wählt exportieren (XML)
2. Bei den Clients lässt sich die Aufgabe über folgendes Kommando hinzufügen:
schtasks /Create /XML "Pfad-zur-XML/AV-Trigger für USB-Geräte.xml" /TN "AV-Trigger für USB-Geräte"

Ausblick


Verfeinert werden soll u.a. noch in der Batch die Laufwerkszuordnung bzw. das nur vorhandene Laufwerke auch gescannt werden.
Mitglied: Snowman25
15.07.2014 um 13:21 Uhr
defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
Bitte warten ..
Mitglied: nikoatit
15.07.2014, aktualisiert um 13:28 Uhr
Zitat von Snowman25:

defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
Gute Anmerkung!
Sollte man sich natürlich entsprechend Anforderungen einstellen und sind in der "scancl.conf" auch erwähnt.
Bei uns sind "löschen" die Anforderungen.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014, aktualisiert 16.07.2014
Hi.

Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die Nase fallen möchte.
Bitte warten ..
Mitglied: AlFalcone
18.07.2014 um 23:30 Uhr
Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Bitte warten ..
Mitglied: nikoatit
21.07.2014 um 13:14 Uhr
Zitat von DerWoWusste:

Hi.
Moin!
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner
erreicht die selbe Sicherheit ohne jegliches Zutun.
So läuft es im Rest des Netzwerk auch ab.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks
anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die
Nase fallen möchte.
Genau, es handelt sich um einen speziellen Rechner für u.a. Präsentation, Grafik-Video- und Bildbearbeitung, Scannen usw.
Dabei werden die Rohdaten oder erste Entwürfe oft per SD-Karte, USB-Stick und Co. von externen Mitarbeitern von zu Hause mitgebracht.
Den PC dabei komplett aus dem Netzwerk zu verbannen ist nicht möglich.
Außerdem soll die ganze Multmedia-Abteilung ("nur" 4 Arbeitsplätze) ebenfalls eigene Sticks, SD-Karten und Co. verwenden dürfen.
Hatte ich auch einen Thread zu eröffnet: http://www.administrator.de/forum/cardreader-auf-schadprogramme-scannen ...
Es gibt zu dem noch die Einschränkung das Archive nicht vom Echtzeit-Scanner (On-Access) durchsucht werden, weil hier sehr viele und große Archive an der Tagesordnung sind.
Die oben genannte Lösung durchsucht auch Archive (Performance ist bei den 4 Rechnern zu vernachlässigen).
Bitte warten ..
Mitglied: nikoatit
21.07.2014 um 13:18 Uhr
Zitat von AlFalcone:

Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Die Einführung eines anderen Systems ist keine Option...Alleine schon weg laufenden Lizenzen für gut 300 Systeme.
Bitte warten ..
Mitglied: AlFalcone
22.07.2014 um 22:43 Uhr
Wird durch Eset locker "Entschädigt" (Ablöse Rabatt) und daher als Ausrede nicht tragbar
Bitte warten ..
Mitglied: Nr60730
25.07.2014 um 10:37 Uhr
Salve,

anstatt die vielen Zeilen
01.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
wäre ein
01.
for %%a in (g h i j k l m) do ( 
02.
      net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf %%a: 
03.
      )
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
01.
if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer

N8 weitermachen.
Bitte warten ..
Mitglied: nikoatit
25.07.2014 um 10:45 Uhr
Zitat von Nr60730:

Salve,

anstatt die vielen Zeilen
01.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
wäre ein
01.
> for %%a in (g h i j k l m) do ( 
02.
>       net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" 
03.
> --config=scancl.conf %%a: 
04.
>       ) 
05.
> 
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den
Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
01.
> if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer

N8 weitermachen.
Vielen Dank! Super Sache
Etwas ähnliches hatte ich auch im Sinn, aber bin noch nicht dazu gekommen.
Füge deine Verbesserung oben ein.

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 10
Windows X 1511 auf USB-Stick
Erfahrungsbericht von LochkartenstanzerWindows 107 Kommentare

Hi, habe gerade ein Experiment gemacht: ein momentan ungenutzte Win7-Lizenz aus der Kruschtelkischd ausgegraben. Windows 10 mit dieser Win7-Lizenz ...

Verschlüsselung & Zertifikate
USB-Stick-Verschlüsselung im Unternehmen - leicht gemacht
Tipp von DerWoWussteVerschlüsselung & Zertifikate24 Kommentare

Mir ist vor kurzem aufgefallen, dass Bitlocker in Win8/Server 2012- (oder höher) Umgebungen ein sehr praktisches Feature hat, das ...

Sicherheit
Üble Sicherheitslücke ermöglicht Systemübernahme mittels USB-Sticks
Information von DerWoWussteSicherheit13 Kommentare

erklärt die Risiken, wenn man den Patch nicht sofort einspielt: ein Angreifer kann sich durch bloßes Anstecken eines präparierten ...

Peripheriegeräte
USB zu RS232 Converter
Erfahrungsbericht von KuemmelPeripheriegeräte45 Kommentare

Hallo Kollegen, ich möchte gerne meine Erfahrungen mit den sogenannten USB to RS232 Converter mit euch teilen. Die einen ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 8 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 9 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server12 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...