Wenn Schadsoftware entdeckt wird, kann Kaspersky Endpoint Security die infizierte Datei löschen und den von dieser Datei gestarteten schädlichen Prozess beenden.
Wenn die App während Schadsoftware-Untersuchung von einem Kontrolldienst oder vom Benutzer manuell neu gestartet wurde, wird die Aufgabenausführung unterbrochen. Die App protokolliert dann das Ereignis OnDemandTaskInterrupted.
Die Tabelle beschreibt alle verfügbaren Werte und Standardwerte aller Parameter, die Sie für die Aufgabe zur Schadsoftware-Untersuchung angeben können.
|
|
|
Einstellung
|
Beschreibung
|
Werte
|
ScanFiles
|
Aktiviert die Untersuchung von Dateien.
|
Yes (Standardwert) – Dateien untersuchen.
No – Dateien nicht untersuchen.
|
ScanBootSectors
|
Aktiviert die Untersuchung der Bootsektoren.
|
Yes (Standardwert) – Bootsektoren untersuchen.
No – Bootsektoren nicht untersuchen.
|
ScanComputerMemory
|
Aktiviert die Untersuchung des Prozess- und Kernelspeichers.
|
Yes (Standardwert) – Prozess-Speicher und Kernelspeicher untersuchen.
No – Prozess-Speicher und Kernelspeicher nicht untersuchen.
|
ScanStartupObjects
|
Aktiviert die Untersuchung der Autostart-Objekte.
|
Yes (Standardwert) – Autostart-Objekte untersuchen.
No – Autostart-Objekte nicht untersuchen.
|
ScanArchived
|
Aktiviert die Untersuchung von Archiven (einschließlich selbstentpackender sfx-Archive).
Die App untersucht Archive wie .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Die Liste der unterstützten Archivformate hängt von den verwendeten App-Datenbanken ab.
|
Yes (Standardwert) – Archive untersuchen. Wenn der Wert FirstAction=Recommended angegeben ist, löscht die App je nach Archivtyp entweder das infizierte Objekt oder das gesamte Archiv, das die Bedrohung enthält.
No – Archive nicht untersuchen.
|
ScanSfxArchived
|
Aktiviert die Untersuchung von nur selbstentpackenden Archiven (Archiven, zu deren Bestandteilen ein ausführbares Dekompressionsmodul gehört).
|
Yes (Standardwert) – Selbstentpackende Archive untersuchen.
No – Selbstentpackende Archive nicht untersuchen.
|
ScanMailBases
|
Aktiviert die Untersuchung von E-Mail-Datenbanken von Microsoft Outlook, Outlook Express, The Bat und anderer Mail-Clients.
|
Yes – Dateien von E-Mail-Datenbanken untersuchen.
No (Standardwert) – Dateien von E-Mail-Datenbanken nicht untersuchen.
|
ScanPlainMail
|
Aktiviert die Untersuchung von E-Mail-Nachrichten im Textformat (plain text).
|
Yes – E-Mail-Nachrichten im Textformat untersuchen.
No (Standardwert) – E-Mail-Nachrichten im Textformat nicht untersuchen.
|
ScanPriority
|
Gibt die Aufgabenpriorität an. Die Priorität der Aufgabe ist ein Parameter, der eine Reihe von internen Einstellungen der App Kaspersky Endpoint Security und Einstellungen für den Prozessstart kombiniert. Mit diesem Parameter können Sie angeben, wie die App Systemressourcen für die Ausführung von Aufgaben verbraucht.
|
Idle – Aufgabe mit niedriger Priorität ausführen: Auslastung von maximal 10 % der CPU-Ressourcen. Geben Sie diesen Wert an, wenn Sie Ressourcen der App für andere Aufgaben, einschließlich Benutzerprozesse, freigeben möchten. Der Abschluss der aktuellen Untersuchungsaufgabe dauert länger.
Normal (Standardwert) – Aufgabe mit normaler Priorität ausführen: maximal 50 % Ressourcenauslastung aller CPUs.
High – Aufgabe mit hoher Priorität ausführen, ohne die Auslastung der CPU-Ressourcen zu begrenzen. Geben Sie diesen Wert an, wenn Sie die aktuelle Untersuchungsaufgabe schneller ausführen möchten.
|
SizeLimit
|
Maximale Größe des zu untersuchenden Objekts (in Megabyte). Wenn die Größe des zu untersuchenden Objekts den angegebenen Wert überschreitet, überspringt die App das Objekt während der Untersuchung.
|
0 – 999999
0 – Die App untersucht Objekte beliebiger Größe.
Standardwert: 0.
|
TimeLimit
|
Maximale Untersuchungsdauer (in Sekunden) eines Objekts. Die App stellt die Untersuchung eines Objekts ein, wenn sie länger dauert als durch diese Einstellung festgelegt.
|
0 – 9999
0 – die Untersuchungsdauer für Objekte ist nicht begrenzt.
Standardwert: 0.
|
FirstAction
|
Auswahl der ersten Aktion, welche die App für infizierte Objekte ausführen soll.
Wenn ein infiziertes Objekt in einer Datei erkannt wird, auf die ein zum Untersuchungsbereich gehörender symbolischer Link verweist (während die verlinkte Datei selbst nicht zum Untersuchungsbereich gehört), wird für die Zieldatei die angegebene Aktion ausgeführt. Wenn Sie z. B. die Aktion Remove (entfernen) angeben, entfernt die App die Zieldatei, aber symbolische Link bleibt erhalten und verweist auf eine nicht vorhandene Datei.
|
Disinfect (desinfizieren) – Die App versucht, ein Objekt zu desinfizieren, und speichert eine Kopie davon im Speicher. Wenn die Desinfektion fehlschlägt (beispielsweise, weil der Typ des Objekts oder der Typ der Bedrohung im Objekt nicht desinfiziert werden kann), belässt die App das Objekt unverändert. Wenn die erste Aktion auf Desinfizieren festgelegt ist, wird empfohlen, die zweite Aktion mithilfe der Einstellung SecondAction anzugeben.
Remove (löschen) – Die App löscht das infizierte Objekt, nachdem eine Backup-Kopie davon erstellt wurde.
Recommended (empfohlene Aktion ausführen) – Die App wählt automatisch eine Aktion für das Objekt und führt sie aus, wobei Informationen zu der im Objekt gefundenen Bedrohung berücksichtigt werden. Beispielsweise löscht Kaspersky Endpoint Security Trojaner sofort, da sie andere Dateien nicht infizieren und deshalb keine Desinfektion erfordern.
Skip (überspringen) – Die App unternimmt keinen Versuch, das infizierte Objekt zu desinfizieren oder zu löschen. Informationen über das infizierte Objekt werden im Protokoll gespeichert.
Standardwert: Recommended
|
SecondAction
|
Auswahl der zweiten Aktion, welche die App für infizierte Objekte ausführen soll. Die App führt die zweite Aktion aus, wenn die Ausführung der ersten Aktion misslingt.
|
Die Werte der Einstellung SecondAction sind dieselben wie die Werte der Einstellung FirstAction.
Wenn als erste Aktion Skip oder Remove ausgewählt ist, muss keine zweite Aktion angegeben werden. In allen anderen Fällen wird empfohlen, zwei Aktionen anzugeben. Wenn Sie keine zweite Aktion angegeben haben, wendet die App Skip (überspringen) als zweite Aktion an.
Standardwert: Skip
|
UseExcludeMasks
|
Aktiviert den Ausschluss von Objekten, die in der Einstellung ExcludeMasks angegeben sind, von der Untersuchung.
|
Yes – Objekte, die in der Einstellung ExcludeMasks angegeben sind, aus der Untersuchung ausschließen.
No (Standardwert) – Objekte, die in der Einstellung ExcludeMasks angegeben sind, nicht aus der Untersuchung ausschließen.
|
ExcludeMasks
|
Ausschluss von der Untersuchung von Objekten nach Name oder Maske. Mit dieser Einstellung können Sie eine einzelne Datei anhand des Namens oder mehrere Dateien anhand von Masken im Shell-Format aus dem angegebenen Untersuchungsbereich ausschließen.
Bevor Sie den Wert dieser Einstellung festlegen, stellen Sie sicher, dass die Einstellung UseExcludeMasks aktiviert ist.
|
Der Standardwert ist nicht angegeben.
Beispiel:
UseExcludeMasks=Yes
ExcludeMasks.item_0000=eicar1.*
ExcludeMasks.item_0001=eicar2.*
|
|
UseExcludeThreats
|
Aktiviert den Ausschluss von Objekten mit Bedrohungen, die durch die Einstellung ExcludeThreats festgelegt sind, von der Untersuchung.
|
Yes – Objekte, die Bedrohungen enthalten, die in der Einstellung ExcludeThreats angegeben sind, von der Untersuchung ausschließen.
No (Standardwert) – Objekte, die Bedrohungen enthalten, die in der Einstellung ExcludeThreats angegeben sind, nicht von der Untersuchung ausschließen.
|
ExcludeThreats
|
Schließt Objekte nach dem Namen der in den Objekten gefundenen Bedrohungen von der Untersuchung aus. Bevor Sie die Werte dieser Einstellung festlegen, stellen Sie sicher, dass die Einstellung UseExcludeThreats aktiviert ist.
Um ein Objekt von der Untersuchung auszuschließen, geben Sie den vollständigen Namen der Bedrohung an, die im Objekt gefunden wurde, d. h. die Zeile mit der Entscheidung der App, dass dieses Objekt infiziert ist.
Sie können beispielsweise ein Tool zum Sammeln von Informationen über Ihr Netzwerk verwenden. Damit es von der App nicht blockiert wird, fügen Sie den vollständigen Namen der darin enthaltenen Bedrohung zur Liste der Bedrohungen hinzu, die von der Untersuchung ausgenommen sind.
Den vollständigen Namen der im Objekt gefundenen Bedrohung finden Sie im Protokoll der App oder auf der Website der Virus-Encyclopedia.
|
Beim Wert der Einstellung muss die Groß- und Kleinschreibung beachtet werden.
Der Standardwert ist nicht angegeben.
Beispiel:
UseExcludeThreats=Yes
ExcludeThreats.item_0000=EICAR-Test-*
ExcludeThreats.item_0001=?rojan.Linux
|
|
ReportCleanObjects
|
Aktiviert die Protokollierung von Informationen zu untersuchten Objekten, welche die App als nicht infiziert einstuft.
Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt durch die App untersucht wurde.
|
Yes – Informationen zu nicht infizierten Objekten im Protokoll speichern.
No (Standardwert) – Informationen zu nicht infizierten Objekten nicht im Protokoll speichern.
|
ReportPackedObjects
|
Aktiviert das Protokollieren von Informationen über untersuchte Objekte, die Bestandteil zusammengesetzter Objekte sind.
Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt innerhalb eines Archivs von der App untersucht wurde.
|
Yes – Informationen über die Untersuchung von Objekten, die zu einem Archiv gehören, im Protokoll speichern.
No (Standardwert) – Informationen über die Untersuchung von Objekten, die zu einem Archiv gehören, nicht im Protokoll speichern.
|
ReportUnprocessedObjects
|
Aktiviert das Protokollieren von Informationen über Objekte, die aus einem bestimmten Grund nicht verarbeitet wurden.
|
Yes – Informationen zu nicht verarbeiteten Objekten im Protokoll speichern.
No (Standardwert) – Informationen zu nicht verarbeiteten Objekten nicht im Protokoll speichern.
|
UseAnalyzer
|
Aktiviert die heuristische Analyse.
Mithilfe der heuristischen Analyse kann die App Bedrohungen bereits erkennen, bevor sie den Virenanalysten bekannt sind.
|
Yes (Standardwert) – Heuristische Analyse aktivieren.
No – Heuristische Analyse deaktivieren.
|
HeuristicLevel
|
Legt die Stufe der heuristischen Analyse fest.
Sie können die Ebene der heuristischen Analyse festlegen. Die Ebene der heuristischen Analyse regelt das Verhältnis zwischen der Gründlichkeit der Suche nach Bedrohungen, der Belastung der Betriebssystemressourcen und der Untersuchungsdauer. Je höher die festgelegte Ebene der heuristischen Analyse, desto mehr Ressourcen verbraucht die Untersuchung und desto länger dauert sie.
|
Light – Oberflächlichste Untersuchung mit minimaler Belastung des Systems.
Medium – Mittlere Ebene der heuristischen Analyse mit ausgeglichener Belastung des Betriebssystems.
Deep – Gründlichste Untersuchung mit maximaler Belastung des Betriebssystems.
Recommended (Standardwert) – Der empfohlene Wert.
|
UseIChecker
|
Aktiviert die Nutzung der iChecker-Technologie.
|
Yes (Standardwert) – Nutzung der iChecker-Technologie aktivieren.
No – Nutzung der iChecker-Technologie deaktivieren.
|
DeviceNameMasks.item_#
|
Liste mit Namen der Geräte, deren Bootsektoren von der App untersucht werden.
Der Einstellungswert darf nicht leer sein. Um die Aufgabe auszuführen, müssen Sie mindestens eine Maske für Gerätenamen angeben.
|
AllObjects – Untersuchung der Bootsektoren aller Geräte.
<Maske für Gerätenamen> – Untersuchung der Bootsektoren von den Geräten, deren Namen von der Maske eingeschlossen werden.
Standardwert: /** (beliebiger Zeichensatz im Gerätenamen, einschließlich des Zeichens /)
|
Der Abschnitt [ScanScope.item_#] enthält die folgenden Parameter:
|
AreaDesc
|
Beschreibung des Untersuchungsbereichs mit zusätzlichen Informationen über den Untersuchungsbereich. Die maximale Länge einer Zeichenfolge, die mit dieser Einstellung angegeben werden kann, beträgt 4096 Zeichen.
|
Standardwert: All objects.
Beispiel:
AreaDesc="Mail bases scan"
|
|
UseScanArea
|
Aktiviert die Untersuchung des angegebenen Bereichs. Um die Aufgabe auszuführen, müssen Sie mindestens einen zu untersuchenden Bereich angeben.
|
Yes (Standardwert) – Den angegebenen Bereich untersuchen.
No – Angegebenen Bereich nicht untersuchen.
|
AreaMask
|
Einschränkung des Untersuchungsbereichs. Im Untersuchungsbereich untersucht die App nur Dateien, die mit Masken im Shell-Format angegeben wurden.
Wenn die Einstellung nicht angegeben wurde, untersucht die App alle Objekte im Untersuchungsbereich. Sie können für diese Einstellung mehrere Werte angeben.
|
Standardwert: * (alle Objekte untersuchen)
Beispiel:
AreaMask_<Nummer des Elements>=*doc
|
|
Path
|
Pfad zum Verzeichnis mit untersuchten Objekten.
|
<Pfad zum lokalen Verzeichnis> – Objekte im angegebenen Verzeichnis untersuchen. Bei der Angabe des Pfades können Sie Masken verwenden.
Verwenden Sie das Zeichen * (Sternchen), um eine Maske für Datei- oder Verzeichnisnamen zu erstellen.
Sie können einen Stern * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) vor dem Zeichen / im Datei- oder Verzeichnisnamen zu ersetzen. Beispiel: /dir/*/file oder /dir/*/*/file.
Sie können zwei aufeinander folgende Sterne * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) im Datei- oder Verzeichnisnamen, einschließlich des Zeichens / zu ersetzen. Beispiel: /dir/**/file*/ oder /dir/file**/.
Die Maske ** kann nur ein einziges Mal pro Verzeichnisname verwendet werden. Beispiel: Die Maske /dir/**/**/file ist nicht korrekt.
Sie können das Symbol ? anstelle eines einzelnen Zeichens in einem Datei- oder Verzeichnisnamen verwenden.
Shared:NFS – Ressourcen des Gerätedateisystems untersuchen, auf die über das NFS-Protokoll zugegriffen wird.
Shared:SMB – Ressourcen des Gerätedateisystems untersuchen, auf die über das Samba-Protokoll zugegriffen wird.
Mounted:NFS – Remote-Verzeichnisse untersuchen, die auf dem Gerät über NFS-Protokoll eingebunden sind.
Mounted:SMB – Remote-Verzeichnisse untersuchen, die auf dem Gerät über das Samba-Protokoll eingebunden sind.
AllRemoteMounted – alle Remote-Verzeichnisse untersuchen, die auf dem Gerät über Samba- oder NFS-Protokolle gemountet sind.
AllShared – Ressourcen des Gerätedateisystems untersuchen, auf die über das Samba- und NFS-Protokoll zugegriffen wird.
<Typ des Dateisystems> – alle Ressourcen des angegebenen Dateisystems des Geräts untersuchen.
|
Der Abschnitt [ExcludedFromScanScope.item_#] enthält folgende Einstellungen:
|
AreaDesc
|
Beschreibung des Ausschlussbereichs von der Untersuchung mit zusätzlichen Informationen über den Ausschlussbereich.
|
Der Standardwert ist nicht angegeben.
|
UseScanArea
|
Schließt den angegebenen Bereich von der Untersuchung aus.
|
Yes (Standardwert) – Den angegebenen Bereich ausschließen.
No – Den angegebenen Bereich nicht ausschließen.
|
AreaMask
|
Einschränkung des von der Untersuchung ausgeschlossenen Bereichs. Im Ausschlussbereich schließt die App nur Dateien aus, die mittels Masken im Shell-Format angegeben wurden.
Wenn die Einstellung nicht angegeben wurde, schließt die App alle Objekte im Ausschlussbereich aus. Sie können für diese Einstellung mehrere Werte angeben.
|
Standardwert: * (alle Objekte ausschließen)
|
Path
|
Pfad zum Verzeichnis mit ausgeschlossenen Objekten.
|
<Pfad zum lokalen Verzeichnis> – Objekte im angegebenen Verzeichnis von der Untersuchung ausschließen. Bei der Angabe des Pfades können Sie Masken verwenden.
Verwenden Sie das Zeichen * (Sternchen), um eine Maske für Datei- oder Verzeichnisnamen zu erstellen.
Sie können einen Stern * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) vor dem Zeichen / im Datei- oder Verzeichnisnamen zu ersetzen. Beispiel: /dir/*/file oder /dir/*/*/file.
Sie können zwei aufeinander folgende Sterne * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) im Datei- oder Verzeichnisnamen, einschließlich des Zeichens / zu ersetzen. Beispiel: /dir/**/file*/ oder /dir/file**/.
Die Maske ** kann nur ein einziges Mal pro Verzeichnisname verwendet werden. Beispiel: Die Maske /dir/**/**/file ist nicht korrekt.
Sie können das Symbol ? anstelle eines einzelnen Zeichens in einem Datei- oder Verzeichnisnamen verwenden.
Bei Systemen mit dem Dateisystem BTRFS und aktivierten aktiven Snapshots wird es zur Optimierung der Untersuchungsaufgaben empfohlen, den Pfad mit dem im "Read only"-Modus gemounteten Snapshots den Ausschlüssen hinzuzufügen. Beispielsweise können in Systemen auf Basis von SUSE/OpenSUSE eines Ausschluss folgendermaßen angeben: /.snapshots/*/snapshot/.
<Pfad zum lokalen Verzeichnis> – Objekte im angegebenen Verzeichnis (und dessen Unterverzeichnissen) von der Untersuchung ausschließen. Bei der Angabe des Pfades können Sie Masken verwenden.
Verwenden Sie das Zeichen * (Sternchen), um eine Maske für Datei- oder Verzeichnisnamen zu erstellen.
Sie können einen Stern * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) vor dem Zeichen / im Datei- oder Verzeichnisnamen zu ersetzen. Beispiel: /dir/*/file oder /dir/*/*/file.
Sie können zwei aufeinander folgende Sterne * verwenden, um eine beliebige Anzahl an Zeichen (inklusive einer leeren Menge) im Datei- oder Verzeichnisnamen, einschließlich des Zeichens / zu ersetzen. Beispiel: /dir/**/file*/ oder /dir/file**/.
Die Maske ** kann nur ein einziges Mal pro Verzeichnisname verwendet werden. Beispiel: Die Maske /dir/**/**/file ist nicht korrekt.
Sie können das Symbol ? anstelle eines einzelnen Zeichens in einem Datei- oder Verzeichnisnamen verwenden.
Bei Systemen mit dem Dateisystem BTRFS und aktivierten aktiven Snapshots wird es zur Optimierung der Untersuchungsaufgaben empfohlen, den Pfad mit dem im "Read only"-Modus gemounteten Snapshots den Ausschlüssen hinzuzufügen. Beispielsweise können in Systemen auf Basis von SUSE/OpenSUSE eines Ausschluss folgendermaßen angeben: /.snapshots/*/snapshot/.
Mounted:NFS – Remote-Verzeichnisse, die auf dem Gerät über das NFS-Protokoll gemountet sind, von der Untersuchung ausschließen.
Mounted:SMB – Remote-Verzeichnisse, die auf dem Gerät über das Samba-Protokoll gemountet sind, von der Untersuchung ausschließen.
AllRemoteMounted – Alle Remote-Verzeichnisse, die auf dem Gerät über Samba- oder NFS-Protokolle gemountet sind, von der Untersuchung ausschließen.
<Typ des Dateisystems> – alle Ressourcen des angegebenen Dateisystems des Geräts von der Untersuchung ausschließen.
Remote-Verzeichnisse werden nur dann von der Untersuchung durch die App ausgeschlossen, wenn sie bereits vor dem Aufgabenstart eingebunden wurden. Remote-Verzeichnisse, die erst nach dem Aufgabenstart eingebunden wurden, werden von der Untersuchung nicht ausgeschlossen.
|