Kaspersky Internetsecurity 2014 Seltsamkeit

  • Ersteller Ersteller PandorasThinkpad
  • Erstellt am Erstellt am
P

PandorasThinkpad

Guest
Themenstarter
Eine Seltsamkeit, die mir gerade bei den detailed Reports von Kaspersky aufgefallen ist...


also die Sache ist die, ich habe da nun hier am T61 mit im Titel erwähnter IS eine Systemplatte aus meinem ebenfalls mit Vista bestückten Toshiba Notebook gescannt, da taucht dann allerdings mit im Scan von dem nun hier mal als Beispiel aufgeführten Laufwerk G: mit dem Adminname A...es gleichfalls auch der Adminname Haspa...is desjenigen scannenden Systems im Scan auf, was soll denn bitte das nun, ist das ein Bug?

Hier Bilder davon Haspa.JPG Alandes.JPG

Dieselbe Selsamkeit tritt bei dem Scan der Win7 Prof Systemplatte aus dem T23 auf.

Hier dann auch davon Beispielbilder Haspari.JPG T23.JPG

Ich scanne hier von dem Konto FreieNu..ung auf dem T61...einmal eben die Systemplatte des mit Vista bestückten Toshiba im externen USB Gehäuse und einmal die Systemplatte des mit Win7Prof bestückten T23 in einem anderen externen USB Gehäuse.


Was ist davon zu halten, kommt da Kaspersky nicht mit den zwei gleichen oder zwei verschiedenen Betriebssystemen klar?



Schönen Dank!

PT
 
Zunächst muss man einmal sagen, dass man Systemfestplatten grundsätzlich aus dem System heraus scannt, weil bestimmte Dateien dabei ausgelassen werden und vor allem der Bootsektor und gestartete Prozesse extra überprüft werden, weil diese im RAM ja, wie bei Viren nun mal üblich, ein Eigenleben entwickeln.

Zu zweiten sind da nur gepackte Lenovo-exe-Dateien zu sehen, die entpackt werden und auf ihre DDLs überprüft werden, das ist ein normaler Vorgang.

Zum dritten sind die fraglichen Objekte unter "Documents and Settings" abgespeichert, sie sind also entweder Schattenkopien eines Downloads oder Schatten- bzw. Offline-Kopien eines Netzwerks oder beides, also Schattenkopien eines Downloads eines Rechners im Netzwerk.

Kaspersky kommt also sehr wohl mit den zwei gleichen oder zwei verschiedenen Betriebssystemen klar, scannt aber auch Offline- bzw. Schattenkopien eines Netzwerks.
 
Danke soweit mal!

Also ein Netzwerk habe ich nicht, seltsam finde ich dann diese Listung von diesen Verzeichnissen hier auf dem T61, mit dem ich da ja scanne, unter diesem anderen Laufwerksbuchstaben zu finden. Also nun ja in beiden Fällen des Scans einer anderen Systemplatte...

Der Kaspersky beginnt ja doch eben sogleich, also direkt nach anstöpseln mit dem Scan, daher dachte ich scan doch einfach mal damit diese Platten aus den anderen Rechnern.

Also wie genau erklärt sich nun dass (also um nur mal dieses Beispiel da speziell zu konkretisieren) diese Verzeichnisse meiner eigentlichen Systempartition hier auf dem T61 (die ja dann auf C: sind) eben nun auch auf G: vorhanden sind und somit dort ja eben gescannt werden?

Genau das verstehe ich da nun nicht, was hat der Scan da also mit Dateien von C: zu schaffen, es soll ja doch eben nur Laufwerk G:/ H:/ I: und J: der mittels USB angestöpselten Platte gescannt werden.

Selber Fall ja eben mit der anderen angestöpselten Platte.

Das finde ich nun ja doch sehr seltsam....

Gruß,

PT
 
PandorasThinkpad schrieb:
Also wie genau erklärt sich nun dass (also um nur mal dieses Beispiel da speziell zu konkretisieren) diese Verzeichnisse meiner eigentlichen Systempartition hier auf dem T61 (die ja dann auf C: sind) eben nun auch auf G: vorhanden sind und somit dort ja eben gescannt werden? Genau das verstehe ich da nun nicht, was hat der Scan da also mit Dateien von C: zu schaffen, es soll ja doch eben nur Laufwerk G:/ H:/ I: und J: der mittels USB angestöpselten Platte gescannt werden.
Zum Vergrößern anklicken....

Vermutlich ändert Kaspersky während des Scans die Laufwerksbuchstaben, und vermutlich handelt es sich um eine RAM-Disk, die Kaspersky extra anlegt, um dort die Dateien zu entpacken. Ziel des ganzen Vorgangs ist eine virenfreie/s Platte bzw. System: Insofern ist Deine Beobachtung nur interessant, wenn sich nach dem Scanvorgang diese "Fremddateien" dort tatsächlich "hidden" auf dem Fremdsystem herumtummeln. Dies wird aber nicht der Fall sein... ;)
 
Uff, nochmals schönen Dank!!!---> also an sich normal? Habe ich dann nicht zu verstehen.....an sich finde ich es mehr als komisch, dass, wenn ich eben Verzeichnisse, gut, ist dann jeweils ne andere Systemplatte, einer anderen Platte scanne, dass eben dann die Dateien an dem diesen Scan vornehmenden System nicht völlig unangetastet bleiben, denn die haben ja doch eben mit den jeweiligen Systemen auf diesen Platten dann nun rein gar nichts zu tun, jedenfalls sehe ich das nun mal so, vielleicht ja etwas laienhaft, da möge ich einfach nun noch ein wenig genauer aufgeklärt werden, warum das eben dann so ist wie es ist.


Und nein, von den gescannten Platten tummelt sich hier nichts, eben nur diese Verzeichnisse hier von dem scannenden T61 tauchen dann ja einmal auf G: und in dem anderen Fall auf N: auf.

Ich verstehe da eben leider nur Bahnhof, warum das also nun eben so ist.

VG,

PanDoRA
 
PandorasThinkpad schrieb:
... denn die haben ja doch eben mit den jeweiligen Systemen auf diesen Platten dann nun rein gar nichts zu tun, jedenfalls sehe ich das nun mal so, vielleicht ja etwas laienhaft, da möge ich einfach nun noch ein wenig genauer aufgeklärt werden, warum das eben dann so ist wie es ist.
Zum Vergrößern anklicken....

Es beginnt schon in dem Moment und es hat gar nichts mit Kaspersky zu tun, wo man eine Systemplatte extern per USB anschließt: WINDOWS erkennt ein anderes, bootfähiges System und beginnt jetzt schon, den Loader abzugleichen, weil beim nächsten Restart könnte man ja auch von USB die angeschlossene Platte booten. Darauf ist das Hauptsystem nun vorbereitet, und legt dort unter Umständen Daten ab oder verändert den eigenen Bootloader oder den Bootloader des angeschlossenen USB-Systems, und es legt auch die Buchstabenfolge fest, falls das andere System gestartet wird und das jetzige Hauptsystem zur externen Platte wird.

Völlig unabhängig davon muss Kaspersky beim Entpacken von zips oder exe-Files ein Laufwerk schaffen, um die DLL für eine Virenprüfung zu einem unautorisierten Zugriff auf den Bootsektor oder ähnliches zu bewegen: Kein Laufwerksbuchstabe, kein Zugriff, so sind nun mal die Regeln, also schafft man den Laufwerksbuchstaben virtuell als RAM-Disk für die Dauer der Prüfung und schaut nun, was die DLL macht.

Aber wie gesagt: Solange Du Systemplatten extern prüfst, ist die Sache sowieso völlig unautorisiert, Du musst die Systemplatten nach ihrem eigenen Start von Kaspersky selbst prüfen lassen, so sind die Regeln und so wird es gemacht. Extern schließt man sie nur für die Datenrettung an, nicht aber für eine reguläre Virenprüfung.
 
Zuletzt bearbeitet:
Sind schlichtweg gepackte Dateien und stellen keine Bedrohung dar.

Aber eine andere Frage. Hast du die Konfiguration von Kaspersky auf "default" belassen oder zusätzliche Änderungen durchgeführt?
 
Hmm....auch wenn man eben gar nicht vom Adminkonto aus scannt....sondern nur eben von dem eingeschränkten Konto FreieNu..ung? Nun gut, die jeweiligen Systeme selbst haben GData als Internetsecurity....dachte eben nur ich hänge die mal hier an das T61 mit Kaspersky und checke auch mal mit dem....was für seltsame Blüten das aber dann eben treibt....nut gut, Volumenschattenkopien und so.....das geht mir wahrlich bereits zu sehr in die Materie....da muss ich mir schlicht und einfach völliges Laienwissen eingestehen.

Ich dachte mit solchen Medien wäre es an sich das gleiche wie mit USB Stick und so...denkste...

nun verstehe ich irgendwie auch dass sich dann diese Platten im Endeffekt auch gar nicht mittels "Hardware sicher entfernen" haben entfernen lassen, also eben nur auf die harte Tour, Stecker raus....ausstecken....

Besten Dank und gute Nacht,

PT

- - - Beitrag zusammengeführt - - -

Helios schrieb:
Hast du die Konfiguration von Kaspersky auf "default" belassen oder zusätzliche Änderungen durchgeführt?
Zum Vergrößern anklicken....

Ich habe da nix selbst eingestellt, steht also auf default.


Und Documents and Settings sehe ich nur wenn ich alle versteckten und Systemdateien einblenden/ anzeigen lasse, dieser Ordner hat aber dann 0 KB....
 
Zuletzt bearbeitet:
PandorasThinkpad schrieb:
Ich habe da nix selbst eingestellt, steht also auf default.
Zum Vergrößern anklicken....
Okay. Dann ändere noch folgende Optionen in den Einstellungen:

  • "Settings" -> "Scan" -> "Security Level" auf "High" stellen
  • "Settings" -> "Scan" -> "Scan removable drives on connection" auf "Do not scan" setzen. Ist aber fakultativ. Damit wird ein Start des Scanvorgangs beim Anschliessen von USB-Sticks, externen SSDs/HDDs etc. verhindert.
  • "Settings" -> "Additional" -> "Threads and Exclusions" einen Haken unter "Detect other software that can be used by intruders to damage your computer or personal data" setzen
 
Habe ich dann nun gemacht....und Punkt 2 habe ich auf prompt for action gesetzt...alles andere ist dann nun auch so eingestellt....also wie von dir nun vorgegeben...

Was genau wäre nun die Erklärung für dann dieses Auftauchen von Verzeichnissen von C: im Laufwerk G:, also auf der externen Platte befindlich, die ja dann doch eben gescannt werden soll....springen da dann wirklich teilweise die Laufwerksbuchstaben, dann würden ja gewisse Teile von G: gar nicht gescannt worden sein, jedenfalls wäre das dann mal meine laienhaft Vermutung.
 
Helios schrieb:
"Security Level" auf "High" stellen [...] "Scan removable drives on connection" auf "Do not scan"
Zum Vergrößern anklicken....
hat es einen Grund, warum du die Detection auf "streng" setzt, aber mögliche "Einfallsorte"(externe Drives) ungeprüft lässt (Erfahrungswerte?/Empfehlungen von anderer Seite?/Performanceprobleme?)
 
PandorasThinkpad schrieb:
Was genau wäre nun die Erklärung für dann dieses Auftauchen von Verzeichnissen von C: im Laufwerk G:, also auf der externen Platte befindlich, die ja dann doch eben gescannt werden soll....springen da dann wirklich teilweise die Laufwerksbuchstaben, dann würden ja gewisse Teile von G: gar nicht gescannt worden sein, jedenfalls wäre das dann mal meine laienhaft Vermutung.
Zum Vergrößern anklicken....

Nein, die Laufwerksbuchstaben "springen" nicht. Kaspersky scannt komplett die externen HDDs, egal welche Buchstaben der oder den HDDs zugewiesen werden. Übersprungen wird da nichts.
 
Und wie genau kommt es dann dazu, dass dann eben diese einzelnen Verzeichnisse des Systemlaufwerkes hier auf dem T61 dort in dem Scan der Partition des externen Laufwerkes auftauchen, wie oder warum genau kommt das zustande, was ist dafür dann die Ursache...ist es wirklich deswegen, da Windows diese Platte dann als anderes Bootsystem einbinden möchte?

Was diesen Medienscan nun anbelangt, so belasse ich es da lieber mal bei dem von mir nun eingestellten "prompt for action".


Also der Scan erfolgt hier vom T61 mit Vista Home Premium, im ersten Fall scanne ich eine Platte mit ebenfalls Vista aus einem Toshiba, müsste Vista Home sein, im zweiten Fall scanne ich die mit Win7 Prof bespielte Systemplatte eines T23. Ich benutze dann die Kaspersky Internetsecurity 2014 mit aktuellen Definitionsdateien. Lizenz ist auch gerade wieder erneuert worden.
 
Zuletzt bearbeitet:
supertux schrieb:
hat es einen Grund, warum du die Detection auf "streng" setzt, aber mögliche "Einfallsorte"(externe Drives) ungeprüft lässt (Erfahrungswerte?/Empfehlungen von anderer Seite?/Performanceprobleme?)
Zum Vergrößern anklicken....
Ja. Da ich etliche, aber wohlweislich persönliche USB-Sticks und externe HDDs/SSDs einsetze, brauche ich die Prüfung nicht. Anders würde es aussehen, wenn ich "fremde" externe Medien anschliessen würde. Habe dafür jedoch die Autostart-Optionen für externe Medien deaktiviert.
 
Ich werde die beiden ersten Partitionen der jeweiligen Platten gleich nochmal über Computer/ rechte Maustaste/ scan for Virus scannen, ob das dann eben einen Unterschied machen wird oder ob da dann eben auch Verzeichnisse hier meines den Scan vornehmenden Systems in dem Report auftauchen, eben unter diesem anderen Laufwerksbuchstaben, eben jenes Laufwerkes, das ich dann ja eben scannen lasse.
 
PandorasThinkpad schrieb:
Und wie genau kommt es dann dazu, dass dann eben diese einzelnen Verzeichnisse des Systemlaufwerkes hier auf dem T61 dort in dem Scan der Partition des externen Laufwerkes auftauchen, wie oder warum genau kommt das zustande, was ist dafür dann die Ursache...ist es wirklich deswegen, da Windows diese Platte dann als anderes Bootsystem einbinden möchte?
Zum Vergrößern anklicken....
Als anderes Bootsystem will Windows die externen Platten nicht einbinden. Kaspersky erkennt nur, dass da gepackte oder mehrfach gepackte Dateien vorhanden sind und gibt eine entsprechende Meldung im Protokoll an. Zumindest soweit ich dein Problem verstanden habe.

PandorasThinkpad schrieb:
Was diesen Medienscan nun anbelangt, so belasse ich es da lieber mal bei dem von mir nun eingestellten "prompt for action".
Zum Vergrößern anklicken....
Passt.

PandorasThinkpad schrieb:
Ich werde die beiden ersten Partitionen der jeweiligen Platten gleich nochmal über Computer/ rechte Maustaste/ scan for Virus scannen, ob das dann eben einen Unterschied machen wird oder ob da dann eben auch Verzeichnisse hier meines den Scan vornehmenden Systems in dem Report auftauchen, eben unter diesem anderen Laufwerksbuchstaben, eben jenes Laufwerkes, das ich dann ja eben scannen lasse.
Zum Vergrößern anklicken....
Ja, bin mal gespannt, was da raus kommt. Müssten eigentlich im Protokoll erscheinen.
 
Zuletzt bearbeitet:
OK, Rückmeldung werde ich dann geben....an sich ja doch eben seltsam, finde jedenfalls ich...schönen Dank soweit und dann eventuell mal ne gute Nacht.
 
So, habe da mal nur die Platte aus dem T23 genommen, selbes Bild, auch auf diese Weise wird erst einiges an Verzeichnis gescannt was dann eben einzig zum T61 gehört (also wovon dann die anfänglichen Bilder in Auszügen zeugen), was dann also gar nicht auf dieser anderen Platte sein kann.....dann läuft der Scan der eigentlichen Dateien von der Partition dieser anderen Platte selbst. Eben alles wird dann unter diesem Laufwerksbuchstaben von der externen Platte gelistet, also jene Dateien, die dann eben nur auf C: vorhanden sind (aber ja eben auch gescannt werden)...und jene, die dann wirklich diese eigentlich gescannte Partition sind. Vorläufiges Ende vom Lied (für mich): Jetzt brenne ich mir eine Rescue CD und scanne auf den jeweiligen Notebooks selbst.

Nochmals gute Nacht.
 
Ah, also wie gedacht. Danke für die Rückmeldung.


Übrigens... auf der offiziellen amerikanischen Homepage von Kaspersky sind bereits die finalen englischen Versionen 15.0.2.361 (MR2) von KAV/KIS/KTS 2015 erhältlich. Lokalisierte Übersetzungen sollten in Kürze ebenfalls bereit stehen.

Wichtig dabei: Insbesondere der 3. Punkt von Post #9 aktivieren. Sollte meiner Meinung nach eigentlich in allen Produkten per default gesetzt sein.

  • "Settings" -> "Additional" -> "Threads and Exclusions" einen Haken unter "Detect other software that can be used by intruders to damage your computer or personal data" setzen

LG Uwe
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben