This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

sav32cli - bestimmte Ordner vom Scan ausschliessen

Hallo

Ich scanne mit sav32cli und konnte mit dem Parameter -exclusion die Ordner beim Scan nicht ausschliessen.

 

Gestartet wurde der Scan folgendermassen:

 

sav32cli.exe \\meinedaten\bla -exclude \\meinedaten\bla\nicht scannen -ss etc..

 

Der Ordner  '\\meinedaten\bla\nicht scannen'  sollte ausgeschlossen werden, wurde aber gescannt. Hat jemand eine Idee wieso?

 



This thread was automatically locked due to age.
Parents
  • Hello Andy Hosennen,

    you did put the exclusion in quotes, didn't you?
    How do you know it is scanning as you are using the -ss option (BTW, you shouldn't put it after -exclude although it is correctly recognized)?

    Christian

  • Hi Christian

    I'm using a Powershell script:

     

    No, I did not put the exclusion in quotes. I have a log file and a lot of entries, that's why I know it is scanning and the "exluded" folder gets scanned too ;-)

     

    cmd /c "C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sav32cli.exe" \\Daten\celsius -exclude \\daten\celsius\Admiral Nicht -ss -f -extensive -remove -di -pua -all -archive -loopback -mime -oe -tnef -cleanup -nc -suspicious --no-stop-scan -p=c:\Admiral\log\soph.txt

     

    Ben

  • Hallo Ben (Ben oder Andy Hosennen?),

    Teufel! Hab ich doch tatsächlich auf Englisch geantwortet.

    -ss produziert (wie unter Usage: angegeben) bei mir keinen Output (außer im Fall einer Erkennung).
    Wie gesagt, "zur Sicherheit" gehören -exclude und -include an das Ende. Wie bei allen cmd-Shell Befehlen müssen Parameter die ein Leerzeichen enthalten (wie z.B. Pfade) unter Anführungszeichen stehen. In obigem Fall "sieht" sav32cli zwei -excludes: \\daten\celsius\Admiral und Nicht. Klarerweise haben beide keinen Effekt.

    Wie immer bin ich neugierig: Was ist der Zweck des Ganzen? Nur eine Fingerübung oder ist ein ernsthafter Einsatz geplant?

    Christian

Reply
  • Hallo Ben (Ben oder Andy Hosennen?),

    Teufel! Hab ich doch tatsächlich auf Englisch geantwortet.

    -ss produziert (wie unter Usage: angegeben) bei mir keinen Output (außer im Fall einer Erkennung).
    Wie gesagt, "zur Sicherheit" gehören -exclude und -include an das Ende. Wie bei allen cmd-Shell Befehlen müssen Parameter die ein Leerzeichen enthalten (wie z.B. Pfade) unter Anführungszeichen stehen. In obigem Fall "sieht" sav32cli zwei -excludes: \\daten\celsius\Admiral und Nicht. Klarerweise haben beide keinen Effekt.

    Wie immer bin ich neugierig: Was ist der Zweck des Ganzen? Nur eine Fingerübung oder ist ein ernsthafter Einsatz geplant?

    Christian

Children
  • Hallo Christian

    -ss don't Display anything except on error or Virus (habe jeweils einen Testvirus platziert und die "korrupten" Dateien werden auch schön aufgelistet im Log)

    Das ist soweit alles gut.

    Da ich das ganze mit Powershell machen wollte und weiteres eingebaut habe, kam das hier zum Zug:

     

    cmd /c "C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sav32cli.exe" \\Daten\celsius -exclude \\daten\celsius\Admiral Nicht

     

    Leider verträgt Powershell die Anführungszeichen in diesem Fall nicht. Ich werde es jetzt den Ordner auf Admiral_Nicht ändern, dann geht es.

    Keine Übung, produktive Umgebung.

    Danke für die Antwort.

    Ben

  • Hallo Ben,

    ah, die Freuden von cmd aufgerufen mit Powershell [:D].
    Ab Powershell v3 sollte es mit cmd --% /c "C:\Program Files (x86) ... funktionieren.
    Alternativ mit v2:
    cmd @'
    /c "C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sav32cli.exe" \\Daten\celsius -exclude "\\daten\celsius\Admiral Nicht"
    '@
    Achtung: die Newlines sind wichtig (hier ein entsprechender Beitrag auf stackoverflow)!

    [Edit]
    Die einfachste Möglichkeit hätte ich fast nicht erwähnt:
    & 'C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sav32cli.exe' '\\Daten\celsius -ss -exclude "\\daten\celsius\Admiral Nicht" '
    [/Edit]

    produktive Umgebung
    meine Vorstellungskraft ist begrenzt, vielleicht verstehe ich auch produktiv falsch. Ich sehe jedenfalls keinen Grund für einen (offenbar vordefinierten) Einsatz mit allumfassendem Durchsuchungsbefehl und unbegrenzter Lizenz auf leisesten Verdacht zu töten (wenn dieses Bild erlaubt ist). Was wäre denn die Anwendung?

    Christian
    P.S.: warum vergeht immer ein Tag bis zur Antwort :) - notify ausgeschaltet?

  • Hallo Christian

    cmd /c geht gut

    Sind meine Netzwerkshares die gescannt werden, da ich mit Sophos Central keine elegante Variante mehr habe, diese zu durchsuchen.

    Sav32cli wird voraussichtlich für eine bestimmte Zeit ein treuer Begleiter.

    Gruss
    Ben

    Notify ausgeschaltet [:D]  

  • Hallo Ben,

    meine Netzwerkshares [...] mit Sophos Central [...] nicht mehr
    ich kenne Central nicht wirklich, bietet offenbar nicht die selben Möglichkeiten wie SESC. Wie auch immer ...

    Noch zwei Hinweise:

    sav32cli.exe läuft wie es scheint auf multi-core Systemen (gibt es noch andere?) wesentlich länger als ein vergleichbarer Scheduled Scan.

    Nochmals eine Warnung betreffend die im Beispiel gewählten Optionen. Es gibt hoffentlich ausreichend häufige regelmäßige Backups diese Network Shares. Falsch positive Erkennungen sind nicht ausgeschlossen - und wenn dann ohne Rückfrage gelöscht wird, war's das (wie bei Shh/Updater).

    Christian