Hallo,
hab folgendes Problem:

Ich nutze das Programm Winpooch zur Überwachung der Systemfiles und der Registry. Dieses Programm scheint weithin unbekannt zu sein, ist für mich aber sehr nützlich, weil es wirklich zuverlässig eine Veränderung anzeigt.
Bisher habe ich AntiVir benutzt, habe mir aber kürzlich KAV 5.0 runtergeladen.
Seitdem ich KAV nutze zeigt Winpooch beim booten an, dass fast sämtliche Dateien in SYSTEM32 verändert wurden.
Beispiel heute:
Samstag, 24. September 2005 - 14:57:13 -
- Winpooch started
- Die Datei "C:\WINDOWS\system32\RASMAN.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\TAPI32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RTUTILS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\tapisrv.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\PSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASMANS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINIPSEC.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NETCFGX.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASTAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\UNIMDM.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\UNIPLAT.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\KMDDSP.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\NDPTSP.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\IPCONF.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\H323.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINSTA.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\HIDPHONE.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\WSOCK32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\APPHELP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\HID.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WTSAPI32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASPPP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NTLSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\kerberos.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\CRYPTDLL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASCHAP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\CREDUI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASTLS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SCHANNEL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINSCARD.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NETMAN.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WZCSVC.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WMI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WZCSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\UPNP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SSDPAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINMM.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINSPOOL.DRV" wurde verändert
- Die Datei "C:\WINDOWS\system32\RSAENH.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\CSCUI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASADHLP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSV1_0.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\IPHLPAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASDLG.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\XPSP2RES.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WDMAUD.DRV" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSACM32.DRV" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSACM32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MIDIMAP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\COMRES.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\CLBCATQ.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NTMARTA.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINSTA.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSVCP60.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SHIMENG.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\UXTHEME.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\PSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\CRYPTDLL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\kerberos.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\rpcss.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\TERMSRV.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ICAAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSTLSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ACTIVEDS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ADSLDPC.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ATL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\wininet.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\msi.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\RTUTILS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\CREDUI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WSOCK32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ACTXPRXY.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\tapisrv.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASMANS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINIPSEC.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NETCFGX.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASTAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\TAPI32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\UNIMDM.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\UNIPLAT.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\KMDDSP.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\NDPTSP.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\IPCONF.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\H323.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\HIDPHONE.TSP" wurde verändert
- Die Datei "C:\WINDOWS\system32\HID.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASPPP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NTLSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASMAN.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASCHAP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASTLS.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SCHANNEL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WINSCARD.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NETMAN.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WZCSVC.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WMI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WZCSAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\UPNP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SSDPAPI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASADHLP.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASDLG.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\urlmon.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\msvcr71.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\USERINIT.EXE" wurde verändert
- Die Datei "C:\WINDOWS\EXPLORER.EXE" wurde verändert
- Die Datei "C:\WINDOWS\system32\browseui.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\shdocvw.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\CSCDLL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\THEMEUI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSIMG32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSUTB.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\MSCTF.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\LINKINFO.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NTSHRUI.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\WEBCHECK.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\STOBJECT.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\BATMETER.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\NETSHELL.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\ADVAPI32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\COMCTL32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\shell32.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\wininet.dll" wurde verändert
- Die Datei "C:\WINDOWS\system32\RASAPI32.DLL" wurde verändert
- Die Datei "C:\WINDOWS\system32\SENSAPI.DLL" wurde verändert

Auch wenn ich mit KAV scanne bekomme ich solche Meldungen.
Bei KEINEM anderen Scanner, und ich nutze AdAware, ewido, AntiVir, MS_AntiSpyware, ist das so, nur bei KAV.

Was macht Kaspersky (anders), was andere nicht machen?
Wenn jemand dafür eine Erklärung hat, wäre ich sehr dankbar.

karaya

@Karaya
Du hast eine gute Frage gestellt, auf die ich keine Antwort geben kann. Vielleicht jemand anderer, der sich mit KAV besser auskennt. Oder versuche noch hier: http://forum.kaspersky.com/index.php?showforum=26

Hallo,

Kaspersky scannt eine Datei und merkt sich, dass diese schon gescannt wurde. Dies geschieht
dadurch, dass Kaspersky eine Information bei jeder Datei im ADS speichert.
(ADS = alternative Datenströme)

Kaspersky scannt die Datei dann erst wieder, wenn es Updates gibt oder wenn die Datei
verändert wurde.
Durch das hinzufügen der Information wird die Datei natürlich für andere Programme
verändert. Ich schätze diese Veränderung meldet "Winpooch".
--> Von daher schätze ich dies als normal ein.

Schöne Grüße
Jaa, matane
Heiko

Nach Ryuu's Erklärung müssten Sich die Daten ja dann nur einmal von KAV geändert worden sein, falls du Sie nicht upgedatet, oder anderweitig geändert hast, was heißt Winpooch müsste die daten doch nur einmal auflisten, oder nicht?

Nach jedem Update von Kaspersky werden die Dateien neu "signiert".



Domino

Hallo,

ich danke für die vielen Antworten.
Die Erklärung von Ryuu leuchtet ein. Mir kam das Ganze einfach merkwürdig vor, weil es nur beim KAV so ist. Ich hatte auch mal den Bitdefender getestet - nichts.

Das bedeutet aber, dass Kaspersky offenbar ein völlig anderes Verfahren anwendet als andere Hersteller - ist doch auch mal interessant zu erfahren.

Ich denke, ich kann mit den Meldungen leben.
Danke nochmal

karaya