Jump to content
Sign in to follow this  
Werner_B

Untersuchung von Wechseldatenträgern

Recommended Posts

Hallo zusammen,

mit der KIS in der Version 19.0.0.1088 (a) wird immer nur eine Datei mit einer Gesamtdauer von 0 Sekunden untersucht (Voreinstellung nach Installation unter "Externe Geräte beim Anschließen untersuchen" --> Schnelle Untersuchung). Auf dem Wechseldatenträger befinden sich jedoch ca. 13.000 Dateien.

Hat jemand ähnliche Erfahrungen gesammelt?

Die vollständige Untersuchung des USB-Sticks wird problemlos ausgeführt, auch wenn die Aktion vorher erfragt wird.

Gruß Werner_B

Share this post


Link to post

Wenn es sich um Win10 handelt:

Da gibt es einige Meldungen im Forum, dass externe Datenträger als lokale Festplatten erkannt werden, weil Windows das so sieht..
siehe z.B. hier oder such im Forum nach "Wechseldatenträger", da gibt es noch mehr ähnliche Berichte.:

 

 

Share this post


Link to post

Moin Weisi41 @, danke für den Hinweis; leider trifft er nicht auf mein Problem zu. Der Rechner läuft unter Win 10, und der Wechseldatenträger wird durchaus von KIS erkannt (s. Screenshot).

Es wird bei der schnellen Untersuchung scheinbar jeweils nur eine Datei erfasst. Wie bereits erwähnt, wird die vollständige Untersuchung klaglos ausgeführt...

Gruß Werner_B

image.png.b34022e58fe2cc56d717fb5d95d3c843.png

 

Share this post


Link to post

Welche Datei wird denn gescannt? Vielleicht beschränkt sich die schnelle Untersuchung auf eine autorun.inf oder einer .exe Datei. Reicht vollkommen aus. 

Share this post


Link to post
vor 11 Minuten schrieb Schweini:

Welche Datei wird denn gescannt? Vielleicht beschränkt sich die schnelle Untersuchung auf eine autorun.inf oder einer .exe Datei. Reicht vollkommen aus. 

Darüber schweigt das Programm... In den detaillierten Berichten stehen lediglich die Zeilen "Untersuchung externer Geräte - Die Aufgabe wurde gestartet" und "Untersuchung externer Geräte - Die Aufgabe wurde abgeschlossen".

Ob die KIS 18.0.0.405 das gleiche Verhalten zeigt, kann ich nicht mehr nachprüfen, denn nach Freigabe der 19.0.0.1088 (a), die ja wohl die Gegebenheiten der DSGVO berücksichtigen soll, ist die vorherige Version nicht mehr verfügbar. Die 18.0.0.405 war so voreingestellt, dass nach Einstecken des externen Datenträgers und Abfrage dieser immer vollständig überprüft wurde. Ich werde die 19.0.0.1088 dahingehend anpassen, um diese m. E. bestehende Unzulänglichkeit, ob Fehler oder nicht, zu umgehen.

Vielleicht beseitigt der Patch (b) neben den Fehlern, die im Zusammenhang mit Updates und Rootkit-Suche bestehen, auch dieses Problem.

Dank und Gruß

Werner_B

Share this post


Link to post
vor 11 Stunden schrieb Schweini:

Welche Datei wird denn gescannt? Vielleicht beschränkt sich die schnelle Untersuchung auf eine autorun.inf oder einer .exe Datei. Reicht vollkommen aus. 

Ist aber sehr fahrlässig, weil viele Schadprogramme gar nicht mehr in *.exe oder Autorun Dateien versteckt sind. Wäre zu offensichtlich. Dann lieber gar keine Untersuchung, als vorgetäuschte Sicherheit, wenn auf dem Wechseldatenträger die Malware z.B. in einer *.dll Datei steckt.

Share this post


Link to post
9 minutes ago, grindler said:

wenn auf dem Wechseldatenträger die Malware z.B. in einer *.dll Datei steckt.

Die .dll wird auf jeden Fall untersucht, sobald sie aufgerufen wird. Wie andere ausführbare Dateien auch.

Werner_B :

Was für Dateien sind auf der HD gespeichert?
Ein "normaler" Mix wie z. B. auf C: oder nur bestimmte Dateien wie Archive, Backups in einem speziellem Format,...?

Share this post


Link to post
vor 9 Stunden schrieb grindler:

Ist aber sehr fahrlässig, weil viele Schadprogramme gar nicht mehr in *.exe oder Autorun Dateien versteckt sind

Geht ja nur darum, den Stick auf ausführende Schadprogramme zu untersuchen (und das reicht auch). Jede andere Datei wird beim öffnen gescannt, bzw beim öffnen des Ordners.

Wenn man auf einem Stick 15000 jpg's untersuchen würde (ist Schmarrn), dann könnte man Sticks einige Minuten nicht nutzen. Da dessen Zugriffszeiten so niedrig sind, dass ein paralleles öffnen und scannen nicht/kaum möglich ist. Allerdings scheint das erst neu zu sein mit der V19. Bisher ist die Untersuchung immer vollständig gewesen - ist mir jedenfalls so in Erinnerung.

Man bräuchte jetzt mal den Inhalt dieses Sticks. Was befindet sich im Root und sind Ordner darin?

Edited by Schweini

Share this post


Link to post
vor 12 Stunden schrieb Schulte:

Was für Dateien sind auf der HD gespeichert?
Ein "normaler" Mix wie z. B. auf C: oder nur bestimmte Dateien wie Archive, Backups in einem speziellem Format,...?

Ja, ein "normaler" Mix, darunter auch sieben *.dll.

 

vor 3 Stunden schrieb Schweini:

Man bräuchte jetzt mal den Inhalt dieses Sticks. Was befindet sich im Root und sind Ordner darin?

Den Inhalt möchte ich an dieser Stelle nicht veröffentlichen. Wenn Du mit "Root" das Stammverzeichnis meinst (zugegeben, hier "schwimme" ich), ja, es befinden sich mehrere Ordner darin.

Dank und Gruß

Werner_B

Share this post


Link to post

Dann wird vermutlich nur eine *.exe im Hauptverzeichnis/Root untersucht worden sein. Ob das ausreicht - mir würde das reichen - ist ein anderes Thema. Was mir nicht passt ist, das man alle Sticks/Wechseldatenträger untersuchen kann oder keine. Aber obwohl jeder Stick eine einmalige ID von Windows bekommt, kann man nicht auswählen: Diesen Stick nicht mehr nachfragen. 

Share this post


Link to post

Hallo! Verzeih mir wenn mein Beitrag hier falsch ist. Vielleicht verschieben?

Früher, wenn ich einen Wechseldatenträger angeschlossen habe kam ein Fenster und hat gefragt was ich scannen möchte oder ob ich etwas scannen möchte. So habe ich das auch eingestellt. Jetzt kommt dieses Fenster nicht mehr. Ich tue sowieso was ich vorhabe, aber warum kommt diese Nachfrage nicht mehr? Nein, ich weiß nicht seit wann. Es ist mir vor ein paar Tagen aufgefallen.

Danke!

Win 7

KIS 18.0.0.405(h)

Edited by muskatnuss

Share this post


Link to post

Hallo muskatnuss,

schau doch mal in den Einstellungen nach: Einstellungen --> Untersuchung -->  Externe Geräte beim Anschließen untersuchen.

Voreingestellt ist in der KIS 19.0.0.1088 "Schnelle Untersuchung" (Auswahlmöglichkeiten sollten in der 18.0.0.405 ähnlich sein). Wähle hier die Variante "Aktion erfragen"; dann öffnet sich wie gewohnt das Fenster in der rechten unteren Ecke.

Gruß Werner_B

Share this post


Link to post

Hallo Werner,

das kenne ich und es ist so eingestellt ( habe ich oben auch geschrieben :)) . Trotzdem kommt das Fenster nicht. :wacko:

Ich bin offen für weitere Vorschläge!!

Merci im Voraus!

Share this post


Link to post
On 6/26/2018 at 12:45 PM, muskatnuss said:

aber warum kommt diese Nachfrage nicht mehr?

Hallo muskatnuss ,

KIS orientiert sich seit einiger Zeit daran, wie Windows den externen Datenträger einbindet.

Erkennt Windows eine USB-Festplatte als lokale Festplatte, wird sie von KIS ebenfalls nicht als Wechselmedium behandelt - es kommt keine Abfrage.

Im Windows-Explorer müsstest Du die Zuordnung unter "dieser PC" erkennen können.

Share this post


Link to post

Ui!!! Danke. Das klingt vernünftig. Beim nächsten Male werde ich genau da gucken. Ich scanne immer, wenn ich etwas Neues auf einem Wechseldatenträger bringe, deswegen ist es nicht ein großes Problem - sensibel bin ich schon. Ich habe mich nur über die neue Verhaltensweise gewundert.

Vielen Dank!

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.