Bericht 1 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 08-11-2007 |
| Aan | : | Allen | MsgID | : | 3616.1 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hallo,
Ik werk met NOD32 en Michel heeft me een keer op het onderstaande handigheidje:
@echo off
cls
rem verwijder oude waarschuwing als die bestaat.
if exist "%userprofile%\bureaublad\VirusFound!.txt" del "%userprofile%\bureaublad\VirusFound!.txt"rem Zie de Nod32 Help voor meer opties. Alle volgende opties moeten op EEN regel staan
"%ProgramFiles%\Eset\nod32.exe" /local /selfcheck+ /subdir+ /list- /quit+ /pattern+ /heur+ /scanfile+
/scanboot+ /scanmbr+ /scanmem+ /arch+ /sfx+ /pack+ /mailbox+ /ntfs+ /adware /unsafe
/ah /all /exclude=DezeNietScannen.exe, /log+ /logrewrite /log=batchresults.logif errorlevel 1 goto alarm
goto einde:alarm
rem kopieer de log naar het bureaublad
copy "%ProgramFiles%\eset\batchresults.log" "%userprofile%\bureaublad\VirusFound!.txt":einde
rem errorlevel waarden
rem 0 - scan voltooid, niets gevonden
rem 1 - virus gevonden
rem 2 - virus opgeruimd
rem 5 - scan onderbrokenexitIk heb hier een autoscan.bat van gemaakt en dit werkt op zich prima. Als er een virus is gevonden (eicar testvirus), dan zie ik inderdaad het tekstbestand "VirusFound.txt" op m'n bureaublad met daarin de VOLLEDIGE log. Hoe kan ik nu zo snel mogelijk zien welk bestand een virus bevat en waar het bestand zich bevindt? Ik kan het natuurlijk altijd vinden door handmatig de diepgaande analyse uit te voeren.
Na de scan kan ik niet zien of errorlevel 2 en of 5 zijn opgetreden. Hoe weet ik bijvoorbeeld of er een virus verwijderd is (errorlevel 2)?
GroetjesHenk
Bericht 2 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 09-11-2007 |
| Aan | : | Henk | MsgID | : | 3616.2 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Henk,
Kom er morgen even op terug.
Michel Uphoff (NLcomputer)
Homepage
Bericht 3 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 10-11-2007 |
| Aan | : | Henk | MsgID | : | 3616.3 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Henk,
>> op m'n bureaublad met daarin de VOLLEDIGE log. Hoe kan ik nu zo snel mogelijk zien welk bestand een virus bevat en waar het bestand zich bevindt? <<Dat txt bestand wordt standaard in kladblok geopend. Je kan dus eenvoudig met zoeken (ctrl-F) de regels waarin het woord besmet of virus (even naar de meest handige zoekterm) vinden. Het is overigens wel mogelijk met een for-in-do loop iets te bakken dat alleen de regels met virusmeldingen in de log zet. Dat vereist wel een stuk extra programmeeerwerk.
>> Na de scan kan ik niet zien of errorlevel 2 en of 5 zijn opgetreden. Hoe weet ik bijvoorbeeld of er een virus verwijderd is (errorlevel 2)? <<Dan zal je de batchfile moeten aanpassen. Errorlevels moeten van hoog naar laag uitgelezen worden (oude erfenis uit het Dos tijdperk). Je test dus eerst op 5 dan op 2,1 een voorbeeldje:
if errorlevel 5 goto gestopt
if errorlevel 2 goto gecleand
if errorlevel 1 goto alarm
echo Alles in orde > "%userprofile%\bureaublad\VirLog.txt"
goto einde
:gestopt
echo Scannen onderbroken > "%userprofile%\bureaublad\VirLog.txt"
goto einde
:gecleand
echo Virus gevonden en opgeruimd > "%userprofile%\bureaublad\VirLog.txt"
goto einde
:alarm
rem kopieer de log naar het bureaublad
copy "%ProgramFiles%\eset\batchresults.log" "%userprofile%\bureaublad\VirusFound!.txt"
:einde
exit
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 10/11/2007 17:54 CET door
Michel Uphoff (Sysop)
Bericht 4 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 11-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3616.4 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Michel,
>> Je kan dus eenvoudig met zoeken (ctrl-F) de regels waarin het woord besmet of virus (even naar de meest handige zoekterm) vinden<<Dat is met het eicar test virus niet mogelijk.
Na wat zoeken in de logs van NOD32 zag ik hoe ik zo snel mogelijk kon zien waar de problemen zaten (zie bijlage).
Het bestand Produkey 1.06.zip heb ik al heel lang en meerdere keren geopend zonder problemen. Sinds 7-11-2007 geeft NOD32 hiervoor een melding. Hoe kan dat?
>>Dan zal je de batchfile moeten aanpassen<<Heb ik gedaan en dat werkt inderdaad prima. Dank hiervoor.
GroetjesHenk | Bijlagen : 
scanner_log.doc
206KB |
Bericht 5 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 11-11-2007 | | Aan | : | Henk | MsgID | : | 3616.5 | | Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Henk, >> Hoe kan dat? <<Kennelijk heeft Eset Produkey.exe aan hun lijst van "riskware" toegevoegd. Welbeschouwd is dat terecht, want met dat tooltje achterhaal (dus ook: steel) je een Windows XP product key eenvoudig. Nod32 noemt het ook riskware: Software die geen virus/trojan/adware et cetera is, maar toch een beveiligingsrisico inhoudt. Een MOGELIJK gevaarlijke applicatie dus. Helaas is het onderscheid tussen legitieme software en malware tegenwoordig niet zo eenvoudig meer, zoals ook bij dit tooltje blijkt. Een ander mooi voorbeeld is Remote Administrator, een tool die heel veel systeembeheerders gebruiken om computers eenvoudig en snel op afstand over te nemen/te controleren. Een van de fijnste eigenschappen van dat programma is, dat je het zonder vragen te laten stellen aan de gebruiker 'stil' en volledig automatisch kan installeren. Ideaal op een netwerk; eenvoudig de setup in het loginscript meenemen, en klaar is de installatie, en de gebruiker kan ondersteund worden. Tegelijkertijd maakt dit het programma potentieel erg gevaarlijk, want wat ik kan met de beste bedoelingen, kan een ander met de slechtse bedoelingen. Die zou bijvoorbeeld iemand een mailtje met Remote Admin als attachment kunnen sturen (het attachment heet dan bijvoorbeeld "update.exe") en de lezer overhalen die update te installeren. Met een beetje geluk (geen router of firewall), zou de verzender dan volledige toegang tot die computer hebben. FamaTech (de bouwer van Remote Admin) heeft er dan ook gloeiend de pest in op de antivirusbakkers, dat deze hun geweldige programma zonder daar om te vragen zo maar verwijderen. Dat is immers vernietigen van uitermate legitieme en nuttige software. Nee! zeggen de av-bedrijven, het wordt ook wel gebruikt als malware. Beiden zijn waar, kom er maar eens uit. Beveiligingssoftware is niet in staan het onderscheid te maken tussen gewenst en ongewenst gebruik. Daarom hebben veel hedendaagse anti-malware programma's ook extra instellingen waarbij je het detecteren van mogelijk ongewenste en/of mogelijk gevaarlijke applicaties aan- of uit kan schakelen.
Michel Uphoff (NLcomputer)
Homepage |
Bericht 6 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 11-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3616.6 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Michel.
Bedankt voor je uitleg.
>>Welbeschouwd is dat terecht, want met dat tooltje achterhaal (dus ook: steel) je een Windows XP product key eenvoudig.<<Zo had ik het nog niet bekeken. Ik heb al wel meerdere pc's / labtop's gezien waarbij op de sticker een andere prodkey staat, dan dat er met het tooltje wordt vermeld. Hoe zit dat?
>>ook extra instellingen waarbij je het detecteren van mogelijk ongewenste en/of mogelijk gevaarlijke applicaties aan- of uit kan schakelen. <<Zoals bij NOD32.
GroetjesHenk
Bericht 7 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 11-11-2007 |
| Aan | : | Henk | MsgID | : | 3616.7 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Ik heb al wel meerdere pc's / labtop's gezien waarbij op de sticker een andere prodkey staat, dan dat er met het tooltje wordt vermeld. Hoe zit dat? <<Tja... iemand heeft opnieuw een (ander) OS geïnstalleerd en een andere product key of bij een groter bedrijf wellicht een open license key gebruikt? De leverancier draait 100 computer met dezelfde productkey uit, en plakt er dan pas stickers op? De gebruiker is aan het aanpassen geslagen? Wie zal het zeggen.
Bij mij op het werk gebeurt zoiets ook wel: Ik maak een 'moeder' computer tip-top in orde en kloon de disk vervolgens naar 30 identieke computers. Omdat de verschillen tussen deze computers te gering zijn, zal Windows niet om een nieuwe product activering vragen. Ze hebben dus dezelfde key. Op de kast zit wel per pc een unieke OEM productkey sticker.
Eigenlijk hoor je zo'n pc te 'syspreppen' (het programma SysPrep uitvoeren dus). Daarmee verwijder je de productkey en moet de gebruiker bij eerste aanzetten zelf zijn gebruikersnaam en productkey invoeren (+ activeren).
Michel Uphoff (NLcomputer)
Homepage
Bericht 8 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 12-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3616.8 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Michel,
>>De leverancier draait 100 computer met dezelfde productkey uit, en plakt er dan pas stickers op<<Dit lijkt me goed mogelijk. De pc was bij Dixons oid gekocht.
>>kloon de disk vervolgens naar 30 identieke computers.<<Dat scheelt weer veel werk.
>>de kast zit wel per pc een unieke OEM productkey sticker.<<Dus als ik het goed begrijp, zou de pc geactiveerd moeten kunnen worden met de productkey op de sticker, na een schone installatie vanaf een originele OEM-cd. Kan het ook zonder problemen met de key die productkey laat zien?
GroetjesHenk
Bericht 9 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 12-11-2007 |
| Aan | : | Henk | MsgID | : | 3616.9 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Henk,
>> Dus als ik het goed begrijp, zou de pc geactiveerd moeten kunnen worden met de productkey op de sticker, na een schone installatie vanaf een originele OEM-cd. <<Als de sticker een OEM versie van dezelfde soort (home/pro/MC) is én van dezelfde taal: Ja.
>> Kan het ook zonder problemen met de key die productkey laat zien? <<Ik zie daar de ratio niet van, die productkey heeft toch al betrekking op een geregistreerde versie, want je haalt hem immers uit een draaiende XP versie? Of mis ik jouw bedoeling/vraag ?
Michel Uphoff (NLcomputer)
Homepage
Bericht 10 van 10NL Computer Forum ~ Computerbeveiligin g | Van | : | Henk | Datum | : | 14-11-2007 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3616.10 |
| Onderwerp | : | NOD32 autoscannen | Forum | : | ws-nlcomputer |
Hoi Michel,
>>
>> Kan het ook zonder problemen met de key die productkey laat zien? <<Ik zie daar de ratio niet van, die productkey heeft toch al betrekking op een geregistreerde versie, want je haalt hem immers uit een draaiende XP versie? Of mis ik jouw bedoeling/vraag ? <<Ik sprak pas iemand en vertelde hem dat de productkey, op de sticker, kan afwijken van wat het tooltje laat zien. Hij stelde mij dezelfde vraag en moest hem toen het antwoord schuldig blijven.
Het lijkt mij dat het moet kunnen, maar zoals jezelf al aangeeft kan het zonder problemen met de productkey op de sticker.
GroetjesHenk
