Schadsoftware-Untersuchung ausführen

Syntax des Befehls:

kav scan <Untersuchungsbereich> <Aktion> <Dateitypen> <Ausnahmen> <Berichtsparameter> <erweiterte Parameter>

Hinweis: Um eine Schadsoftware-Untersuchung auszuführen, können Sie auch Aufgaben verwenden, die in der Anwendung erstellt wurden. Starten Sie dazu die entsprechende Aufgabe über die Befehlszeile. Die Aufgabe wird mit den Einstellungen ausgeführt, die über die Oberfläche von Kaspersky Endpoint Security festgelegt wurden.

Beschreibungen der Parameter

<Untersuchungsbereich> – Dieser Parameter legt eine Liste der Objekte fest, die auf schädlichen Code untersucht werden sollen. Es können mehrere Parameter angegeben werden, die durch Leerzeichen zu trennen sind.

Folgende Werte sind möglich:

• <Dateien> – Liste mit den Pfaden der zu untersuchenden Dateien und/oder Ordner. Sie können absolute oder relative Dateipfade verwenden. Die Elemente werden in der Liste durch Leerzeichen getrennt.

  Hinweis: Wenn der Objekt- oder Pfadname ein Leerzeichen oder Sonderzeichen (beispielsweise $, & oder @) enthält, muss entweder der Name in einfache Anführungszeichen (' ') gesetzt werden oder direkt vor jedem Sonderzeichen muss ein Backslash (\) gesetzt werden. Wenn ein konkreter Ordner angegeben wird, werden alle darin enthaltenen Dateien und Ordner untersucht.

• -all – Vollständige Untersuchung Ihres Computers.
• -remdrives – Alle Wechseldatenträger
• -fixdrives – Alle internen Laufwerke.
• -netdrives – Alle Netzlaufwerke
• -@:<dateiliste.lst> – Pfad der Datei mit einer Liste der zu untersuchenden Objekte und Ordner. Die Datei muss das Textformat besitzen und jedes Untersuchungsobjekt muss in einer separaten Zeile stehen. Nur ein absoluter Dateipfad ist zulässig.

<Aktion> – Dieser Parameter bestimmt die Aktion für schädliche Objekte, die bei der Untersuchung gefunden werden. Wenn dieser Parameter nicht angegeben ist, wird die standardmäßige Aktion ausgeführt, die dem Wert -i8 entspricht.

Folgende Werte sind möglich:

• -i0 – Keine Aktion mit dem Objekt ausführen, nur Informationen im Bericht speichern
• -i1 – Infizierte Objekte desinfizieren, irreparable Objekte überspringen
• -i2 – Infizierte Objekte desinfizieren, irreparable Objekte löschen; Container nicht löschen, außer Containern mit ausführbarem Header (sfx-Archive)
• -i3 – Infizierte Objekte desinfizieren, irreparable Objekte löschen; Container vollständig löschen, falls die darin enthaltenen infizierten Dateien nicht gelöscht werden können
• -i4 – Infizierte Objekte löschen; Container vollständig löschen, falls die darin enthaltenen infizierten Dateien nicht gelöscht werden können
• -i8 – Benutzer nach einer Aktion fragen, wenn ein infiziertes Objekt gefunden wird (Standardwert)
• -i9 – Benutzer nach einer Aktion fragen, nachdem die Untersuchung abgeschlossen wurde

<Dateitypen> – Dieser Parameter bestimmt die Dateitypen, die bei der Untersuchung untersucht werden. Wenn dieser Parameter nicht angegeben ist, werden nur Dateien untersucht, die potentiell infiziert werden können (basierend auf dem Dateiinhalt).

Folgende Werte sind möglich:

• -fe – Nur Dateien untersuchen, die potentiell infiziert werden können (basierend auf dem Dateiinhalt).
• -fi – Nur Dateien untersuchen, die potentiell infiziert werden können (basierend auf der Dateierweiterung). Dieser Parameter wird standardmäßig verwendet.
• -fa – Alle Dateien untersuchen

<Ausnahmen> – Dieser Parameter bestimmt, welche Objekte von der Untersuchung ausgeschlossen werden sollen. Es können mehrere Parameter angegeben werden, die durch Leerzeichen zu trennen sind.

Folgende Werte sind möglich:

• -e:a – Archive nicht untersuchen
• -e:b – E-Mail-Datenbanken nicht untersuchen
• -e:m – E-Mail-Nachrichten im Textformat nicht untersuchen
• -e:<Maske> – Objekte, die der Maske entsprechen, nicht untersuchen
• -e:<Sekunden> – Objekte überspringen, deren Untersuchung länger dauert, als der in Sekunden angegebene Zeitraum
• -es:<Größe> – Objekte überspringen, die größer sind, als der in Megabyte angegebene Wert.

<Berichtsparameter> – Diese Parameter bestimmen das Format des Berichts, der die Untersuchungsergebnisse enthält. Sie können einen absoluten oder einen relativen Pfad für die Berichtsdatei angeben. Wenn dieser Parameter nicht angegeben ist, werden die Untersuchungsergebnisse angezeigt. Dabei werden alle Ereignisse genannt.

Folgende Werte sind möglich:

• -r:<Berichtsdatei> – Nur wichtige Ereignisse in der angegebenen Berichtsdatei protokollieren
• -ra:<Berichtsdatei> – Alle Ereignisse in der angegebenen Berichtsdatei protokollieren

<zusätzliche Parameter> – Parameter für die Verwendung von Untersuchungstechnologien und Konfigurationsdateien:

• -iSwift=<on|off> – Verwendung von iSwift aktivieren/deaktivieren
• -c:<Konfigurationsdatei> – Gibt den Pfad der Konfigurationsdatei an, die die Anwendungseinstellungen für Untersuchungsaufgaben enthält. Sie können einen absoluten oder einen relativen Dateipfad angeben. Wenn dieser Parameter nicht angegeben ist, werden neben den Werten, die bereits in der Befehlszeile angegeben sind, jene Werte verwendet, die auf der Anwendungsoberfläche festgelegt sind.