Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Überprüfungsoptionen mit SAV32CLI

Dieser Artikel enthält Informationen zu Überprüfungsoptionen mit SAV32CLI, dem Sophos Anti-Virus Befehlszeilen-Scanner für Windows NT-, Windows 2000-, Windows XP- und Windows 2003-Computer.

In diesem Dokument wird Folgendes beschrieben:

Vorgehensweise

Führen Sie beim Umgang mit Vireninfektionen SAV32CLI im abgesicherten Modus mit Eingabeaufforderung aus. Einzelheiten dazu finden Sie unter Entfernen schädlicher Dateien mit SAV32CLI. Im nachfolgenden Text wird der Begriff 'Virus' für Viren, Trojaner, Würmer und andere Schadprogramme verwendet.

Durchführen einer Überprüfung zur Information

Um eine Überprüfung nur zur Information durchzuführen, um ein Protokoll zu erstellen, geben Sie in die Eingabeaufforderung Folgendes ein:

SAV32CLI -P=C:\SCANLOG.TXT

Damit wird ein Protokoll infizierter Dateien erstellt. Die infizierten Dateien werden jedoch weder desinifizert noch gelöscht. Sie können das Protokoll dann zum Drucken oder E-Mailen auf eine Diskette kopieren. Wenn Sie SAV32CLI ohne den Befehlszeilenparameter -P ausführen, werden die Informationen über Viren nur auf dem Bildschirm angezeigt.

Desinfizieren infizierter Dateien

Um infizierte Objekte mit SAV32CLI zu desinfizieren, verwenden Sie den Befehlszeilenparameter '-di'.

  • Wenn eine Datei mehr als ein Mal infiziert wurde (entweder durch verschiedene Viren oder mehrere Instanzen des gleichen Virus), müssen Sie eventuell mehrere Überprüfungen durchführen, um alle Vireninfektionen zu desinfizieren.
  • Verwenden Sie nicht den Befehlszeilenparameter '-remove' in der gleichen Überprüfung wie '-di', da Sie eventuell eine Datei entfernen, für die eine Bereinigung möglich gewesen wäre.
  • Wenn sich die Infektion auf dem Computer rasch zu verbreiten scheint, erstellen Sie eine Sicherungskopie Ihrer Daten auf einer CD oder DVD, bevor Sie eine Desinfektion versuchen.

Der Befehlszeilenparameter '-di' desinfiziert infizierte Bootsektoren, einige infizierte Programm (.exe)-Dateien und infizierte Dokumente (z.B. .doc, .xls).

Wenn Ihr Computer durch mehrere Viren, Makroviren und andere Würmer infiziert wurde, beenden Sie die infizierten Prozesse (entweder manuell oder im abgesicherten Modus mit Eingabeaufforderung), führen Sie dann mehrere Überprüfungen durch, um diese Schadprogramme zu desinfizieren und zu entfernen. Erstellen Sie ein Protokoll aller Überprüfungen.

Führen Sie zuerst Folgendes aus:

SAV32CLI -DI -P=C:\SCANLOG1.TXT

Notieren Sie sich, wieviele Dateien desinfiziert werden.

Führen Sie die Überprüfung nochmals mit einem anderen Anmeldenamen durch:

SAV32CLI -DI -P=C:\SCANLOG2.TXT

Wenn sich die Anzahl desinfizierter Dateien verringert hat, führen Sie eine dritte Überprüfung aus. Ist dies nicht der Fall oder ist die Anzahl '0', entfernen Sie alle anderen Virendateien:

SAV32CLI -REMOVE -P=C:\REMOVLOG.TXT

Die obigen Überprüfungen desinfizieren alle Dateien, die desinfiziert werden können und entfernen alle übrigen.

Während dieses Prozesses werden alle infizierten Dokumente desinfiziert. Sehen Sie in der jeweiligen Virenanalyse nach, ob der jeweilige Virus Daten im Dokument beschädigt haben könnte. Wenn Sie die Protokolle prüfen, stellen Sie möglicherweise fest, dass einige Wurm- oder Trojaner-Dateien mit einem Virus infiziert waren und deshalb zuerst desinfiziert und dann entfernt wurden.

Hinweis: Wenn sich die Anzahl infizierter Dateien zwischen den Überprüfungen erhöht, kontaktieren Sie den technischen Support.

Überprüfen aller Dateien

Standardmäßig prüft Sophos Anti-Virus Dateien, die als ausführbare Dateien erkannt werden, und Dateien mit Erweiterungen, die von bekannten Arten ausführbarer Dateien verwendet werden.

Sie können alle Dateien und nicht nur ausführbare Dateien mit SAV32CLI überprüfen, in dem Sie den Befehlszeilenparameter '-all' verwenden.

  • Die Überprüfung aller Dateien kann wesentlich länger dauern als nur die Überprüfung ausführbarer Dateien.
  • Sie sollten nur selten, wenn überhaupt, eine nicht ausführbare Datei über eine Befehlseingabe entfernen müssen. Sie sollten dazu mit einer Windows-Überprüfung in der Lage sein, die wahscheinlich einfacher ist.
  • Gehen Sie bei der Entfernung von Dateien mit einer Überprüfung aller Dateien vorsichtig vor. Sie entfernen damit eventuell ganze Posteingänge, die nur eine infizierte E-Mail enthalten, oder Archivdateien, die neben vielen Dateien nur eine infizierte Datei enthalten.

Überprüfen des Bootsektors bootbarer CDs

Sie können den Befehlszeilenparameter '-cdr' verwenden, um das CD-Laufwerk zu bestimmen, das eine zu überprüfende CD enthält. Wenn Sie beispielsweise Folgendes verwenden:

sav32cli -cdr=D

sucht SAV32CLI nach einem möglichen bootbaren Image auf einer CD in Laufwerk D. Wenn ein Image gefunden wird, überprüft SAV32CLI den Bootsektor dieses Images auf Bootsektorviren. Wenn Sie außerdem den Parameter '-loopback' verwenden, überprüft SAV32CLI die Dateien in diesem bootbaren Image auf ausführbare Viren.

Verwenden von IDE-Dateien eines anderen Verzeichnisses

Mit dem Befehlszeilenparameter '-idedir' können Sie ein alternatives Verzeichnis oder Laufwerk verwenden, um anzugeben, wo sich die Virenkennungdateien (IDEs) befinden werden. Das Standardverzeichnis ist das Verzeichnis, in dem sich die Hauptvirendaten befinden. Dabei handelt es sich meist um das Verzeichnis, in dem sich SAV32CLI.EXE befindet.

Wenn Sie z.B. Folgendes eingeben:

SAV32CLI -idedir=A:\

werden die IDE-Dateien im Rootverzeichnis einer Diskette in Laufwerk A: verwendet.

Überprüfen einzelner Festplatten

Um das gesamte System zu überprüfen, geben Sie 'SAV32CLI' und alle Befehlszeilenparameter zur Entfernung ein. Verwenden Sie kein '*:'.

Um einzelne Laufwerke zu überprüfen, verwenden Sie 'SAV32CLI C:' oder 'SAV32CLI D:' usw.

Hinweise zum Gebrauch von Platzhaltern und Ausnahmen finden Sie in den Versionsinfos von SAV32CLI.

Abbrechen der Überprüfung übergroßer Dateien

SAV32CLI kann die Überprüfung einiger Arten schädlicher Dateien abbrechen, die auf das Stören von Antiviren-Scannern ausgerichtet sind. Diese Dateien werden manchmal als "Zip-Bomben" bezeichnet und sehen meist wie harmlose Archivdateien aus, die Unmengen an Zeit, Festplattenspeicher und Speicher benötigen, wenn Sie zur Überprüfung entpackt werden.

Die Befehlszeilenoption --stop-scan weist SAV32CLI an, die Überprüfung solcher "Zip-Bomben" zu stoppen, wenn Sie erkannt werden. Beispiel:

SAV32CLI -archive -all C:\ --stop-scan

überprüft alle Objekte (Dateien und Verzeichnisse) in Laufwerk C:, überprüft Archivdateien und stoppt die Überprüfung, wenn eine "Zip-Bombe" erkannt wird.

Wenn eine "Zip-Bombe" erkannt wird, wird eine Meldung wie

Prüfung von C:\misc\b.zip abgebrochen - scheint eine 'Zip-Bombe' zu sein

angezeigt.

Entfernen von Dateien ohne Bestätigung

Bei der Desinfektion von Computern können Sie Zeit sparen, indem Sie den Befehlszeilenparameter 'no confirmation' (keine Bestätigung) '-nc' in Verbindung mit '-remove' verwenden. Damit werden alle infizierten Dateien automatisch gelöscht. Sie laufen dabei jedoch Gefahr, insbesondere, wenn Sie in Verbindung mit einer Überprüfung aller Dateien den Befehlszeilenparameter '-all' verwenden, ganze Archivdateien und Posteingänge, die nur ein infiziertes Objekt enthalten, und infizierte Dokumente, für die eine Bereinigung möglich gewesen wäre, zu verlieren.

Wenn darüber hinaus auf einem Computer viele Systemdateien infiziert sind, könnten Sie den Computer in einen Zustand versetzen, in dem die Datenwiederherstellung ohne spezielle Tools nicht mehr möglich ist.

Verwenden Sie obigen Parameter nur, wenn Sie sicher sind, welche Dateien und Dateitypen auf Ihrem Comptuer infiziert wurden.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.