Die Schadsoftware-Untersuchung ist eine vollständige oder selektive Untersuchung von Dateien auf einem Gerät, die von Kaspersky Endpoint Security durchgeführt wird. Die App kann mehrere Aufgaben zur Schadsoftware-Untersuchung gleichzeitig ausführen. Sie können auch gleichzeitig Benutzeraufgaben zur Schadsoftware-Untersuchung erstellen.
Standardmäßig erstellt die App mit der vollständigen Untersuchung eine vordefinierte Aufgabe zur Schadsoftware-Untersuchung Bei der vollständigen Untersuchung untersucht die App alle Objekte, die sich auf den lokalen Laufwerken des Geräts befinden, sowie alle gemounteten und freigegebenen Objekte, auf welche der Zugriff über die Protokolle Samba und NFS mit den empfohlenen Sicherheitseinstellungen erfolgt.
Wenn Schadsoftware entdeckt wird, kann Kaspersky Endpoint Security die infizierte Datei löschen und den von dieser Datei gestarteten schädlichen Prozess beenden.
Wenn die App während Schadsoftware-Untersuchung von einem Kontrolldienst oder vom Benutzer manuell neu gestartet wurde, wird die Aufgabenausführung unterbrochen. Die App protokolliert dann das Ereignis OnDemandTaskInterrupted.
Die Tabelle beschreibt alle verfügbaren Werte und Standardwerte aller Parameter, die Sie für die Aufgabe zur Schadsoftware-Untersuchung angeben können.
Parameter der Aufgabe zur Schadsoftware-Untersuchung
Einstellung |
Beschreibung |
Werte |
|
---|---|---|---|
|
Aktiviert die Untersuchung von Dateien. |
|
|
|
Aktiviert die Untersuchung der Bootsektoren. |
|
|
|
Aktiviert die Untersuchung des Prozess- und Kernelspeichers. |
|
|
|
Aktiviert die Untersuchung der Autostart-Objekte. |
|
|
|
Aktiviert die Untersuchung von Archiven (einschließlich selbstentpackender sfx-Archive). Die App untersucht Archive wie .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Die Liste der unterstützten Archivformate hängt von den verwendeten App-Datenbanken ab. |
|
|
|
Aktiviert die Untersuchung von nur selbstentpackenden Archiven (Archiven, zu deren Bestandteilen ein ausführbares Dekompressionsmodul gehört). |
|
|
|
Aktiviert die Untersuchung von E-Mail-Datenbanken von Microsoft Outlook, Outlook Express, The Bat und anderer Mail-Clients. |
|
|
|
Aktiviert die Untersuchung von E-Mail-Nachrichten im Textformat (plain text). |
|
|
|
Maximale Größe des zu untersuchenden Objekts (in Megabyte). Wenn die Größe des zu untersuchenden Objekts den angegebenen Wert überschreitet, überspringt die App das Objekt während der Untersuchung. |
0 – 999999 0 – Die App untersucht Objekte beliebiger Größe. Standardwert: 0. |
|
|
Maximale Untersuchungsdauer (in Sekunden) eines Objekts. Die App stellt die Untersuchung eines Objekts ein, wenn sie länger dauert als durch diese Einstellung festgelegt. |
0 – 9999 0 – die Untersuchungsdauer für Objekte ist nicht begrenzt. Standardwert: 0. |
|
|
Auswahl der ersten Aktion, welche die App für infizierte Objekte ausführen soll. |
Standardwert: |
|
|
Auswahl der zweiten Aktion, welche die App für infizierte Objekte ausführen soll. Die App führt die zweite Aktion aus, wenn die Ausführung der ersten Aktion misslingt. |
Die Werte der Einstellung Wenn als erste Aktion Standardwert: |
|
|
Aktiviert den Ausschluss von Objekten, die in der Einstellung |
|
|
|
Ausschluss von der Untersuchung von Objekten nach Name oder Maske. Mit dieser Einstellung können Sie eine einzelne Datei anhand des Namens oder mehrere Dateien anhand von Masken im Shell-Format aus dem angegebenen Untersuchungsbereich ausschließen. Bevor Sie den Wert dieser Einstellung festlegen, stellen Sie sicher, dass die Einstellung |
Der Standardwert ist nicht angegeben.
|
|
|
Aktiviert den Ausschluss von Objekten mit Bedrohungen, die durch die Einstellung |
|
|
|
Schließt Objekte nach dem Namen der in den Objekten gefundenen Bedrohungen von der Untersuchung aus. Bevor Sie die Werte dieser Einstellung festlegen, stellen Sie sicher, dass die Einstellung Um ein Objekt von der Untersuchung auszuschließen, geben Sie den vollständigen Namen der Bedrohung an, die im Objekt gefunden wurde, d. h. die Zeile mit der Entscheidung der App, dass dieses Objekt infiziert ist. Sie können beispielsweise ein Tool zum Sammeln von Informationen über Ihr Netzwerk verwenden. Damit es von der App nicht blockiert wird, fügen Sie den vollständigen Namen der darin enthaltenen Bedrohung zur Liste der Bedrohungen hinzu, die von der Untersuchung ausgenommen sind. Den vollständigen Namen der im Objekt gefundenen Bedrohung finden Sie im Protokoll der App oder auf der Website https://threats.kaspersky.com. |
Beim Wert der Einstellung muss die Groß- und Kleinschreibung beachtet werden. Der Standardwert ist nicht angegeben.
|
|
|
Aktiviert die Protokollierung von Informationen zu untersuchten Objekten, welche die App als nicht infiziert einstuft. Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt durch die App untersucht wurde. |
|
|
|
Aktiviert das Protokollieren von Informationen über untersuchte Objekte, die Bestandteil zusammengesetzter Objekte sind. Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt innerhalb eines Archivs von der App untersucht wurde. |
|
|
|
Aktiviert das Protokollieren von Informationen über Objekte, die aus einem bestimmten Grund nicht verarbeitet wurden.
|
|
|
|
Aktiviert die heuristische Analyse. Mithilfe der heuristischen Analyse kann die App Bedrohungen bereits erkennen, bevor sie den Virenanalysten bekannt sind. |
|
|
|
Legt die Stufe der heuristischen Analyse fest. Sie können die Ebene der heuristischen Analyse festlegen. Die Ebene der heuristischen Analyse regelt das Verhältnis zwischen der Gründlichkeit der Suche nach Bedrohungen, der Belastung der Betriebssystemressourcen und der Untersuchungsdauer. Je höher die festgelegte Ebene der heuristischen Analyse, desto mehr Ressourcen verbraucht die Untersuchung und desto länger dauert sie. |
|
|
|
Aktiviert die Nutzung der iChecker-Technologie. Wenn Sie Kaspersky Endpoint Security im Light Agent-Modus zum Schutz virtueller Umgebungen verwenden, wird die Verwendung der iChecker-Technologie nicht unterstützt. Wird Optimierung für Untersuchungen mittels des Schutzservers realisiert. |
|
|
|
Liste mit Namen der Geräte, deren Bootsektoren von der App untersucht werden. Der Einstellungswert darf nicht leer sein. Um die Aufgabe auszuführen, müssen Sie mindestens eine Maske für Gerätenamen angeben. |
Standardwert: |
|
Der Abschnitt [ScanScope.item_#] enthält die folgenden Parameter: |
|||
|
Beschreibung des Untersuchungsbereichs mit zusätzlichen Informationen über den Untersuchungsbereich. Die maximale Länge einer Zeichenfolge, die mit dieser Einstellung angegeben werden kann, beträgt 4096 Zeichen. |
Standardwert:
|
|
|
Aktiviert die Untersuchung des angegebenen Bereichs. Um die Aufgabe auszuführen, müssen Sie mindestens einen zu untersuchenden Bereich angeben. |
|
|
|
Einschränkung des Untersuchungsbereichs. Im Untersuchungsbereich untersucht die App nur Dateien, die mit Masken im Shell-Format angegeben wurden. Wenn die Einstellung nicht angegeben wurde, untersucht die App alle Objekte im Untersuchungsbereich. Sie können für diese Einstellung mehrere Werte angeben. |
Standardwert:
|
|
|
Pfad zum Verzeichnis mit untersuchten Objekten.
|
|
|
Der Abschnitt [ExcludedFromScanScope.item_#] enthält folgende Einstellungen: |
|||
|
Beschreibung des Ausschlussbereichs von der Untersuchung mit zusätzlichen Informationen über den Ausschlussbereich. |
Der Standardwert ist nicht angegeben. |
|
|
Schließt den angegebenen Bereich von der Untersuchung aus. |
|
|
|
Einschränkung des von der Untersuchung ausgeschlossenen Bereichs. Im Ausschlussbereich schließt die App nur Dateien aus, die mittels Masken im Shell-Format angegeben wurden. Wenn die Einstellung nicht angegeben wurde, schließt die App alle Objekte im Ausschlussbereich aus. Sie können für diese Einstellung mehrere Werte angeben. |
Standardwert: |
|
|
Pfad zum Verzeichnis mit ausgeschlossenen Objekten.
|
Bei Systemen mit dem Dateisystem BTRFS und aktivierten aktiven Snapshots wird es zur Optimierung der Untersuchungsaufgaben empfohlen, den Pfad mit dem im "Read only"-Modus gemounteten Snapshots den Ausschlüssen hinzuzufügen. Beispielsweise können in Systemen auf Basis von SUSE/OpenSUSE eines Ausschluss folgendermaßen angeben:
Remote-Verzeichnisse werden nur dann von der Untersuchung durch die App ausgeschlossen, wenn sie bereits vor dem Aufgabenstart eingebunden wurden. Remote-Verzeichnisse, die erst nach dem Aufgabenstart eingebunden wurden, werden von der Untersuchung nicht ausgeschlossen. |