Discussion:
[MSE] Scannen einer Datei
(zu alt für eine Antwort)
Heinz-Mario Frühbeis
2011-05-25 15:22:04 UTC
Permalink
Hallo!

Ich habe mir eine Datei aus dem Internet heruntergeladen.
Diese Datei liegt im Verzeichnis: D:\X\Y\
Wenn ich nun mit der rechten Maus auf diese Datei klicke und im Menü
"Scannen mit MSE" auswähle wird die Datei zwar gescannt, aber MSE meldet
2(!) Dateien gescannt und keine Bedrohung gefunden.
Ansicht Ordner (habe ich zwecks Überprüfung mal darauf geändert) :
Systemdaten anzeigen
Alle Daten Daten anzeigen

In dem Ordner D:\X\Y\ befindet sich definitiv nur eine Datei.

Wieso meldet dann aber MSE 2 Dateien gescannt?

Was für ein Tag und
mit Gruß
Heinz-Mario Frühbeis
Karl-Josef Ziegler
2011-05-25 16:39:05 UTC
Permalink
Post by Heinz-Mario Frühbeis
Wieso meldet dann aber MSE 2 Dateien gescannt?
Handelt es sich evtl. um eine gepackte, selbstextrahierende Datei?

Viele Grüße,

- Karl-Josef
Heinz-Mario Frühbeis
2011-05-25 16:50:22 UTC
Permalink
"Karl-Josef Ziegler"...
Post by Karl-Josef Ziegler
Post by Heinz-Mario Frühbeis
Wieso meldet dann aber MSE 2 Dateien gescannt?
Handelt es sich evtl. um eine gepackte, selbstextrahierende Datei?
Nein, ein (in Zahl 1) MP3-File (MP3-Audioformat) .
Jedenfalls gibt der WinExplorer das so an.

Mit Gruß
Heinz-Mario Frühbeis
Heinz-Mario Frühbeis
2011-05-25 16:53:28 UTC
Permalink
"Karl-Josef Ziegler"...
Post by Karl-Josef Ziegler
Post by Heinz-Mario Frühbeis
Wieso meldet dann aber MSE 2 Dateien gescannt?
Handelt es sich evtl. um eine gepackte, selbstextrahierende Datei?
Ich habe jetzt mal ein anderes MP3-File scannen lassen. Dabei weist MSE
*nur* eine Datei aus die gescannt wurde.

Mit Gruß
Heinz-Mario Frühbeis
Heiko Rost
2011-05-25 18:05:40 UTC
Permalink
Post by Heinz-Mario Frühbeis
Ich habe mir eine Datei aus dem Internet heruntergeladen.
Diese Datei liegt im Verzeichnis: D:\X\Y\
Wenn ich nun mit der rechten Maus auf diese Datei klicke und im Menü
"Scannen mit MSE" auswähle wird die Datei zwar gescannt, aber MSE meldet
2(!) Dateien gescannt und keine Bedrohung gefunden.
Folgendes gilt für XP, bei anderen Windows-Versionen ist es evtl.
anders: Bei Rechtsklick auf die Datei ist bei den Eigenschaften unter
Allgemein ein Hinweis in der Art "Datei stammt von einem anderen
Computer..." und die Schaltfläche "Zulassen" vorhanden. Nach "Zulassen"
und "Ok" sollte MSE nur noch eine Datei melden.
Post by Heinz-Mario Frühbeis
Systemdaten anzeigen
Alle Daten Daten anzeigen
In dem Ordner D:\X\Y\ befindet sich definitiv nur eine Datei.
Wieso meldet dann aber MSE 2 Dateien gescannt?
Wahrscheinlich wird der Alternative Datenstrom
<http://de.wikipedia.org/wiki/Alternativer_Datenstrom> mitgescannt, in
dem vermerkt ist, daß die Datei aus dem Internet geladen wurde. Leider
siehst Du diese ADS im Explorer nicht.

Gruß Heiko
Heinz-Mario Frühbeis
2011-05-25 18:15:40 UTC
Permalink
"Heiko Rost" ...

Mein Bs derzeit ist Vista32; da gibts das AFAIK nicht.
Post by Heiko Rost
Wahrscheinlich wird der Alternative Datenstrom
<http://de.wikipedia.org/wiki/Alternativer_Datenstrom> mitgescannt, in
dem vermerkt ist, daß die Datei aus dem Internet geladen wurde. Leider
siehst Du diese ADS im Explorer nicht.
Ich habe von http://speedtest.qsc.de/ 10MB.qsc heruntergeladen und dann mit
MSE scannen lassen.
Und siehe da: Es sind zwei (!) Elemente gescannt worden.
Die ADS sieht man wahrscheinlich nie, was? Finde ich schon recht merkwürdig.

Ich hoffe, das ich mir wegen der zwei Elemente für eine Datei keine weiteren
Sorgen mehr machen brauche.

Mit Dank und
mit Gruß
Heinz-Mario Frühbeis
Heiko Rost
2011-05-25 18:39:57 UTC
Permalink
Post by Heinz-Mario Frühbeis
Die ADS sieht man wahrscheinlich nie, was?
Im Explorer meines Wissens nach mit keiner Windows-Version, ab Vista
zumindest in der Kommandozeile. Lies Dir am besten den Wikipedia-Artikel
durch, dort existiert auch ein Link zu StreamViev, mit dem sich ADS
finden lassen.
Post by Heinz-Mario Frühbeis
Finde ich schon recht merkwürdig.
Mir gefallen die auch nicht gerade, leider sind sie nun einmal da und
man muß wissen, was sie sind und wie sie entstehen können.
Post by Heinz-Mario Frühbeis
Ich hoffe, das ich mir wegen der zwei Elemente für eine Datei keine weiteren
Sorgen mehr machen brauche.
Grundsätzlich nicht mehr oder weniger Sorgen als mit anderen Dateien.
Das Hauptproblem ist eben, daß man sie normalerweise nicht sieht.

Gruß Heiko
Ansgar -59cobalt- Wiechers
2011-05-26 07:14:55 UTC
Permalink
Post by Heiko Rost
Post by Heinz-Mario Frühbeis
In dem Ordner D:\X\Y\ befindet sich definitiv nur eine Datei.
Wieso meldet dann aber MSE 2 Dateien gescannt?
Wahrscheinlich wird der Alternative Datenstrom
<http://de.wikipedia.org/wiki/Alternativer_Datenstrom> mitgescannt, in
dem vermerkt ist, daß die Datei aus dem Internet geladen wurde. Leider
siehst Du diese ADS im Explorer nicht.
Es gibt diverse Tools, mit denen man ADS anzeigen lassen kann, z.B.:

http://technet.microsoft.com/en-us/sysinternals/bb897440
http://www.nirsoft.net/utils/alternate_data_streams.html
http://www.bleepingcomputer.com/files/adsspy.php
http://www.safer-networking.org/en/tools/

Von JSWare gibt es auch eine Shell Extension, die im Eigenschaften-
Dialog ein zusätzliches Tab für ADS anzeigt:

http://www.jsware.net/jsware/sviewer.php5

Letztere funktioniert allerdings nur bis XP/2003, weil JSWare von UAC-
und TrustedInstaller-Bullshit offenbar genauso genervt ist wie ich. ;)

Man kann das Erstellen dieser nutzlosen Zone.Identifier-Streams auch
unterbinden. Für den Internet Explorer macht man das am besten mit einer
Richtlinie:

Benutzerkonfiguration
`-Administrative Vorlagen
`-Windows-Komponenten
`->Anlagen-Manager
"Zoneninformationen in Dateianlagen nicht beibehalten": aktiviert

In Seamonkey erstellt man eine neue Preference:

browser.download.manager.alertOnEXEOpen=false

Vermutlich geht dasselbe auch in Firefox.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Heinz-Mario Frühbeis
2011-05-26 12:53:43 UTC
Permalink
"Ansgar -59cobalt- Wiechers" ...
Post by Ansgar -59cobalt- Wiechers
Man kann das Erstellen dieser nutzlosen Zone.Identifier-Streams auch
unterbinden. Für den Internet Explorer macht man das am besten mit einer
Benutzerkonfiguration
`-Administrative Vorlagen
`-Windows-Komponenten
`->Anlagen-Manager
"Zoneninformationen in Dateianlagen nicht beibehalten": aktiviert
Wie finde ich denn diese "Benutzerkonfiguration" (etc.) ?

Mit Gruß
Heinz-Mario Frühbeis
Ralph Lehmann
2011-05-26 13:19:06 UTC
Permalink
Post by Heinz-Mario Frühbeis
"Ansgar -59cobalt- Wiechers" ...
Post by Ansgar -59cobalt- Wiechers
Man kann das Erstellen dieser nutzlosen Zone.Identifier-Streams auch
unterbinden. Für den Internet Explorer macht man das am besten mit einer
Benutzerkonfiguration
`-Administrative Vorlagen
`-Windows-Komponenten
`->Anlagen-Manager
"Zoneninformationen in Dateianlagen nicht beibehalten": aktiviert
Wie finde ich denn diese "Benutzerkonfiguration" (etc.) ?
gpedit.msc
Heinz-Mario Frühbeis
2011-05-26 13:31:32 UTC
Permalink
"Ralph Lehmann" ...
Post by Ralph Lehmann
Post by Heinz-Mario Frühbeis
"Ansgar -59cobalt- Wiechers" ...
Post by Ansgar -59cobalt- Wiechers
Man kann das Erstellen dieser nutzlosen Zone.Identifier-Streams auch
unterbinden. Für den Internet Explorer macht man das am besten mit einer
Benutzerkonfiguration
`-Administrative Vorlagen
`-Windows-Komponenten
`->Anlagen-Manager
"Zoneninformationen in Dateianlagen nicht beibehalten": aktiviert
Wie finde ich denn diese "Benutzerkonfiguration" (etc.) ?
gpedit.msc
Oh man, das liest sich wieder sehr kompliziert (das ws ich dazu durch Google
gefunden habe -> Vista gpedit.msc).
Es ist wohl kein Programm. oder so? Sondern irgendwas bezgl. Registry?

Mit Gruß
Heinz-Mario Frühbeis
Hans Wein
2011-05-26 17:43:57 UTC
Permalink
Post by Heinz-Mario Frühbeis
Oh man, das liest sich wieder sehr kompliziert (das ws ich dazu durch
Google gefunden habe -> Vista gpedit.msc).
Es ist wohl kein Programm. oder so? Sondern irgendwas bezgl. Registry?
Es ist ein Programm, und zwar die "Microsoft Management Console", die
für alle möglichen Schraubereien an Windows verwendet wird. In diesem
speziellen Fall dient sie als "Gruppenrichtlinieneditor", und im
Endeffekt schreibt sie tatsächlich in die Registry.

Hans
Heinz-Mario Frühbeis
2011-05-27 11:53:17 UTC
Permalink
"Ralph Lehmann" ...
Post by Ralph Lehmann
gpedit.msc
Dies ist wohl eine Datei?
Ich nehme mal an, das man MMC öffnet; dann auf "Datei->Öffnen" klickt?
Diese Datei (wenn es denn eine ist) kann ich in C: aber nicht finden.

Mit Gruß
Heinz-Mario Frühbeis
Ralph Lehmann
2011-05-27 13:01:54 UTC
Permalink
Post by Heinz-Mario Frühbeis
"Ralph Lehmann" ...
Post by Ralph Lehmann
gpedit.msc
Diese Datei (wenn es denn eine ist) kann ich in C: aber nicht finden.
http://www.sevenforums.com/tutorials/3652-local-group-policy-editor-open.html

Beitrag 8
Ansgar -59cobalt- Wiechers
2011-05-27 14:33:56 UTC
Permalink
Post by Heinz-Mario Frühbeis
"Ralph Lehmann" ...
Post by Ralph Lehmann
gpedit.msc
Dies ist wohl eine Datei?
Ja. Eine vordefinierte Management-Konsole für die Verwaltung von
Richtlinien.
Post by Heinz-Mario Frühbeis
Ich nehme mal an, das man MMC öffnet; dann auf "Datei->Öffnen" klickt?
Diese Datei (wenn es denn eine ist) kann ich in C: aber nicht finden.
Start > Ausführen ... > gpedit.msc

Auf verkrüppelten Windows-Versionen (z.B. XP Home) ist diese Konsole
allerdings nicht vorhanden.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Stefan Kanthak
2011-05-26 16:50:04 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Von JSWare gibt es auch eine Shell Extension, die im Eigenschaften-
http://www.jsware.net/jsware/sviewer.php5
Letztere funktioniert allerdings nur bis XP/2003, weil JSWare von UAC-
und TrustedInstaller-Bullshit offenbar genauso genervt ist wie ich. ;)
Wenn's ein wenig mehr sein darf: <http://www.mutexed.com/code/FragExt/>
Post by Ansgar -59cobalt- Wiechers
Man kann das Erstellen dieser nutzlosen Zone.Identifier-Streams auch
unterbinden.
Vermutlich geht dasselbe auch in Firefox.
Und Opera erstellt sie erst gar nicht.-P

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Loading...