Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB-Sticks und USB-Cardreader direkt nach dem Verbinden scannen - Anhand von Avira ScanCL

Anleitung Sicherheit Erkennung und -Abwehr

Mitglied: nikoatit

nikoatit (Level 2) - Jetzt verbinden

15.07.2014, aktualisiert 14:07 Uhr, 6336 Aufrufe, 9 Kommentare, 1 Danke

Moin,

mein Aufgabstellung lautete:
Hauptsächlich USB-Sticks und USB-Cardreader direkt nach dem Verbinden zu scannen.

Die nachfolgende Doku ist zwar für Avira ScanCL geschrieben, aber lässt sich für die meisten gängigen Virenscanner abwandeln.

Hier nun meine Doku:

Vorbereitung


1. Eine lizenzierte Avira Antivirus-Version muss im installiert und der Installationd-Pfad sollte möglichst Default sein, z.B. “C:\Program Files (x86)\Avira\AntiVir Desktop“

2. Dateischutz fürs installieren bzw. kopieren muss deaktiviert sein
77faa1a7c2b3dd786e971921d5bbcc9d - Klicke auf das Bild, um es zu vergrößern

3. CMDOW herunterladen (http://commandline.co.uk/cmdow/) und Ordnerinhalt dort platzieren: “C:\Program Files (x86)\CMDOW\“

4. Avira ScanCL hunterladen-Zip herunterladen (http://www.avira.com/de/download/product/avira-command-line-scanner-sca ...) und Dateien msvcr90.dll, scancl.conf, scancl.exe und scancl-en.pdf im Installation-Ordner der Avira Vollversion (z.B. C:\Program Files (x86)\Avira\AntiVir Desktop) ablegen, damit der Produktschlüssel und die aktuellen Signaturen verwendet werden können

5. Die Datei scancl.conf bearbeiten und “allfiles“ und “scaninarchive“ einschalten. Und bei defaultaction: “defaultaction=delete“ setzen

6. Anschließend eine CMD (Batch) in diesen Ordner erstellen mit Bezeichnung av-scanner.cmd und folgenen Inhalt:
01.
@echo off 
02.
rem ***************** 
03.
rem Startet den AV-Scanner zum Scannen von USB-Geräten 
04.
rem ***************** 
05.
 
06.
ping 127.0.0.1 
07.
ping 127.0.0.1 
08.
 
09.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
10.
 
11.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf H: 
12.
 
13.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf I: 
14.
 
15.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf J: 
16.
 
17.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf K: 
18.
 
19.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf L: 
20.
 
21.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf M: 
22.
 
23.
exit
Erläuterung:
Die Laufwerksbuchstaben sollten nach eigenen Voraussetzungen gewählt werden.
Aufpassen das keine Netzlaufwerke oder weitere Festplatten sich darunter befinden!
Das werde ich die Tage noch verfeinern (siehe Ausblick).

Der Ping dient nur um den Start zu verzögern.

Task-Planen


1. Unter Systemsteuerung\Alle Systemsteuerungselemente\Verwaltung die Aufgabenplanung öffnen

2. Rechtsklick auf Aufgabenplanung und eine "Einfach Aufgaben erstellen..."

3. Name und Beschreibung anpassen, z.B.: Name: AV-Trigger für USB-Geräte Beschreibung: Führt eine CMD aus, welche den AV-Scanner triggert und das/die neue(n) USB-Gerät(e) überprüft, wenn sie eingesteckt werden. -> Weiter

4. Bei Event-Protokollierung auswählen -> Weiter

5. Event einstellen
Protokoll: Microsoft-Windows-DriverFrameworks-UserMode/Betriebsbereit
Quelle: DriverFrameworks-UserMode
Ereignis-ID: 2010
0ec34f55befd99c97abe2431dd727236 - Klicke auf das Bild, um es zu vergrößern

-> Weiter

6. Programm starten auswählen und -> Weiter

7. Pfad angeben: "C:\Program Files (x86)\CMDOW\cmdow.exe"

Und damit die CMD im Hintergrund läuft folgenden Schalter verwenden:
/run /hid "C:\Program Files (x86)\Avira\AntiVir Desktop\av-scanner.cmd"
9366e8fa7d7c8d0e7baf8ae80bef4327 - Klicke auf das Bild, um es zu vergrößern

-> Weiter

8. Fertigstellen

Nacharbeiten


Dateischutz wieder einstellen.

Verteilung im Netzwerk


CMDOW und Dateien für den Cmd-Scanner können leicht per z.B. Robocopy verteilt werden.
Auch der “Task“ kann ebenso einfach verteilt werden:
1. Klickt in der Aufgabenplanungsbibliothek rechts auf die Aufgabe und wählt exportieren (XML)
2. Bei den Clients lässt sich die Aufgabe über folgendes Kommando hinzufügen:
schtasks /Create /XML "Pfad-zur-XML/AV-Trigger für USB-Geräte.xml" /TN "AV-Trigger für USB-Geräte"

Ausblick


Verfeinert werden soll u.a. noch in der Batch die Laufwerkszuordnung bzw. das nur vorhandene Laufwerke auch gescannt werden.
Mitglied: Snowman25
15.07.2014 um 13:21 Uhr
defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
Bitte warten ..
Mitglied: nikoatit
15.07.2014, aktualisiert um 13:28 Uhr
Zitat von Snowman25:

defaultaction=delete ist doch etwas Harsch, oder?
Wäre sowas wie defaultaction=clean,move,delete nicht für den User "angenehmer"?
Gute Anmerkung!
Sollte man sich natürlich entsprechend Anforderungen einstellen und sind in der "scancl.conf" auch erwähnt.
Bei uns sind "löschen" die Anforderungen.
Bitte warten ..
Mitglied: DerWoWusste
15.07.2014, aktualisiert 16.07.2014
Hi.

Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner erreicht die selbe Sicherheit ohne jegliches Zutun.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die Nase fallen möchte.
Bitte warten ..
Mitglied: AlFalcone
18.07.2014 um 23:30 Uhr
Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Bitte warten ..
Mitglied: nikoatit
21.07.2014 um 13:14 Uhr
Zitat von DerWoWusste:

Hi.
Moin!
Gestatte die Anmerkung: wozu das Ganze?
Etwas direkt bei Anschluss on demand zu scannen bringt nichts, außer Performance-Einbußen. Ein on-access-Scanner
erreicht die selbe Sicherheit ohne jegliches Zutun.
So läuft es im Rest des Netzwerk auch ab.
Edit: auf Präsentationsrechnern könnte ich es mir immerhin vorstellen, wenn dort ständig Externe mit Sticks
anrauschen und man das Gescanne gerne als Erstes erledigen würde und nicht etwa währed der Präsentation auf die
Nase fallen möchte.
Genau, es handelt sich um einen speziellen Rechner für u.a. Präsentation, Grafik-Video- und Bildbearbeitung, Scannen usw.
Dabei werden die Rohdaten oder erste Entwürfe oft per SD-Karte, USB-Stick und Co. von externen Mitarbeitern von zu Hause mitgebracht.
Den PC dabei komplett aus dem Netzwerk zu verbannen ist nicht möglich.
Außerdem soll die ganze Multmedia-Abteilung ("nur" 4 Arbeitsplätze) ebenfalls eigene Sticks, SD-Karten und Co. verwenden dürfen.
Hatte ich auch einen Thread zu eröffnet: http://www.administrator.de/forum/cardreader-auf-schadprogramme-scannen ...
Es gibt zu dem noch die Einschränkung das Archive nicht vom Echtzeit-Scanner (On-Access) durchsucht werden, weil hier sehr viele und große Archive an der Tagesordnung sind.
Die oben genannte Lösung durchsucht auch Archive (Performance ist bei den 4 Rechnern zu vernachlässigen).
Bitte warten ..
Mitglied: nikoatit
21.07.2014 um 13:18 Uhr
Zitat von AlFalcone:

Macht Eset File/Endpoint/Mail Security von Haus aus und ohne irgend welchen Scripts oder grossartigen Anpassungen.
Die Einführung eines anderen Systems ist keine Option...Alleine schon weg laufenden Lizenzen für gut 300 Systeme.
Bitte warten ..
Mitglied: AlFalcone
22.07.2014 um 22:43 Uhr
Wird durch Eset locker "Entschädigt" (Ablöse Rabatt) und daher als Ausrede nicht tragbar
Bitte warten ..
Mitglied: Nr60730
25.07.2014 um 10:37 Uhr
Salve,

anstatt die vielen Zeilen
01.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
wäre ein
01.
for %%a in (g h i j k l m) do ( 
02.
      net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf %%a: 
03.
      )
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
01.
if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer

N8 weitermachen.
Bitte warten ..
Mitglied: nikoatit
25.07.2014 um 10:45 Uhr
Zitat von Nr60730:

Salve,

anstatt die vielen Zeilen
01.
"C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" --config=scancl.conf G: 
wäre ein
01.
> for %%a in (g h i j k l m) do ( 
02.
>       net use |findstr /i "%%a:" ||if exist %%a:\. "C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe" 
03.
> --config=scancl.conf %%a: 
04.
>       ) 
05.
> 
wohl mein Schnellschuss in die Richtung...

Denn mit deiner Version würdest du auch evtl. gemappte Laufwerke erwischen, die möglicherweise suboptimal für den
Einsatzzweck abgefrühstückt werden.

Und wenn schon €echo 0ff - dann wäre ein
01.
> if exist %%a:\. title scanne laufwerk %%a nach vieren/ oder fümpfen
irgendwie Powerpointdautauglicherererer

N8 weitermachen.
Vielen Dank! Super Sache
Etwas ähnliches hatte ich auch im Sinn, aber bin noch nicht dazu gekommen.
Füge deine Verbesserung oben ein.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Speicherkarten
Tool zum neuformatieren eines USB-Sticks (6)

Frage von flyingKangaroo zum Thema Speicherkarten ...

Speicherkarten
gelöst Verschlüsselte USB-Sticks (19)

Frage von rudeboy zum Thema Speicherkarten ...

Peripheriegeräte
gelöst Liste von USB 3 Sticks mit RMB ist gleich 0 (18)

Frage von ChrisIO zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...