IKARUS T3 Commandline Scanner (t3scan) nutzen

Der Antiviren-Hersteller IKARUS bietet zahlreiche Produkte direkt und indirekt an. Aufmerksame Leser Wissen, das die IKARUS-Engine unter anderem bei Securepoint und MDaemon zum Einsatz kommen. Zum Portfolio der Österreicher gehört unter einem der T3 Commandline Scanner (t3scan).

Aber wozu braucht man heute noch einen kommandozeilen-basierten Virenscanner? Diese Frage lässt sich leicht beantworten. Einer bzw. eigentlich gleich mehrere Anwendungsfälle kann die Integration in andere Produkte oder Abläufe sein. Ein weiteres Szenario ist, das man es mit Systemen zu tun hat, auf denen kein Echtzeit-Schutz laufen darf, wie Maschinensteuerungen, Echtzeit-Systeme, revisionssichere Forschungs- oder Test-Maschinen, usw. Dann gäbe es da noch den Crosscheck mit einem vorhandenen (installierten) AV als auch die Möglichkeit von einem Boot-Medium (z.B. WinPE) aus einen Offline-Scan durchführen zu können.

Um dennoch nach Malware suchen zu können bietet sich dann eben ein Commandline Scanner an, der nur bei Bedarf oder via Aufgabe ausgeführt wird.

Man lädt unter https://updates.ikarus.at/updates/update.html die aktuelle Virendefinition samt Scanner herunterladen und packt beides in einen Ordner, z.B. nach “C:\T3SCAN”.

Anschließend führt man man die “ikarust3scan_w64.exe”, hierbei handelt es sich um ein selbst-extrahierendes Archiv das zwei Dateien (“t3_w64.dll”, “t3scan_w64.exe”) enthält, aus.

Nun kann man via Eingabeaufforderung, Skript, etc. die eigentliche Prüfung durchführen lassen. Ein Beispiel:

t3scan_w64.exe -l t3scan.log C:\Temp

Die Ausgabe und ein Log können so aussehen:

IKARUS - T3SCAN V6.03.09 (WIN64)
         Engine version: 6.03.23
         VDB: 04.10.2024 12:17:37 (Build: 107487)
         Copyright - IKARUS Security Software GmbH 2021.
         All rights reserved.

C:\Users\andy\Tools\Defender Control\DefCon.zip:DefCon/DefCon.rar - File is protected with a password or password is wrong. (Error Code: 21)
C:\Users\andy\Tools\Defender Control\DefCon.zip - File is protected with a password or password is wrong. (Error Code: 21)
C:\Users\andy\Tools\WirelessKeyView\wirelesskeyview-x64.zip - File is protected with a password or password is wrong. (Error Code: 21)
C:\Users\andy\Tools\WirelessKeyView\WirelessKeyView.exe - Adware Signature 5239897 'PUA.WirelessKeyView' found

  Summary:
  ==========================================================
    135346 files scanned
    1 file infected
      (135346 files contained 142355 items, 0 infected)

    Used time: 11:02.953
  ==========================================================

Einen Rückgabewert gibt es ebenfalls, allerdings sehr rudimentär:

0 bedeutet nichts gefunden
1 bedeutet etwas gefunden oder zu beanstanden

Wobei die Eins für alles mögliche stehen kann wie kennwortgeschützte Archive, Dateien auf die nicht zugegriffen werden konnte, usw. Übrigens werden erhöhte Rechte nicht unbedingt benötigt, es kommt darauf an welche Ordner man scannt.

Wichtig zu Wissen ist, das t3scan nur meldet, aber nichts entfernt oder in eine Quarantäne verschiebt oder umbenennt!

Folgende Optionen stehen zur Verfügung:

C:\T3SCAN>t3scan_w64.exe -?

Syntax: t3scan [options] 
        t3scan [options] 

Options:
    -help | -h | -?            This help
    -filelist | -F   Read input files from newline-separated file 
    -logfile | -l    Create log file
    -maxfilesize | -m       Max. filesize in MB (default 64MB)
    -nosim       | -n          No simulation
    -nosubdirs | -d            Do not scan sub directories
    -vdbpath | -vp       Path to signature database.  By default T3sigs.vdb is used

Special options:
    -noarchives  | -na         Do not scan archive content
    -rtimeout         Stop scanning any input file after 
    -timeout          Stop scanning any item inside a file after 
    -version | -ver            Display the program, engine and VDB version
    -vdbver                    Display VDB version
    -verbose | -v              Increase the output level
    -noadware                  Disable adware/spyware signatures
    -nosigqa                   Disable SigQA

Nachfolgend noch ein kleines quick & dirty-Batch-Skript für den Download, das Entpacken und Ausführen von t3scan:

@echo off

cd "C:\T3SCAN"

rem Downloads

 powershell Invoke-WebRequest -Uri http://updates.ikarus.at/cgi-bin/t3download.pl/t3sigs.vdb -OutFile t3sigs.vdb
 powershell Invoke-WebRequest -Uri http://updates.ikarus.at/cgi-bin/t3download.pl/ikarust3scan_w64.exe -OutFile ikarust3scan_w64.exe

rem Extract

 ren ikarust3scan_w64.exe ikarust3scan_w64.zip
 powershell Expand-Archive ikarust3scan_w64.zip -DestinationPath "%cd%" -Force

rem Run

 t3scan_w64.exe -l t3scan.log C:\Temp

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.