11
Was ist der "Windows Namespace" und warum UNC? Sophos Fehler
Huhu,
bei jeden regulärem Virenscan auf einem einzigen Client erhalte ich einen wilden False Positive (produkey):
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Über die Sophos Enterprise Console kann ich das Tool nicht runterwerfen. "Bereinigung nicht möglich".
Viel mehr geht es auch eher darum um zu verstehen was das sein könnte. Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).
Ich vermute einen Zusammenhang mit einer nicht mehr aktiven GP0, welche unsere User Profile auf dem Fileserver abgelegt hat. Oder alternativ mit dem Synchroniserungscenter. Das habe ich bereits händisch abgeschaltet. Mir ist schleierhaft was der Sophos da scanned.
Habt ihr sowas schon mal gesehen?
System: Laptop mit Windows 10 pro
Umgebung: Normales AD + Sophos gemangedter AV
bei jeden regulärem Virenscan auf einem einzigen Client erhalte ich einen wilden False Positive (produkey):
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Über die Sophos Enterprise Console kann ich das Tool nicht runterwerfen. "Bereinigung nicht möglich".
Viel mehr geht es auch eher darum um zu verstehen was das sein könnte. Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).
Ich vermute einen Zusammenhang mit einer nicht mehr aktiven GP0, welche unsere User Profile auf dem Fileserver abgelegt hat. Oder alternativ mit dem Synchroniserungscenter. Das habe ich bereits händisch abgeschaltet. Mir ist schleierhaft was der Sophos da scanned.
Habt ihr sowas schon mal gesehen?
System: Laptop mit Windows 10 pro
Umgebung: Normales AD + Sophos gemangedter AV
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378177
Url: https://administrator.de/forum/was-ist-der-windows-namespace-und-warum-unc-sophos-fehler-378177.html
Ausgedruckt am: 05.04.2025 um 16:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Ex0r2k16:
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).
Der Pfad ist auch nur auf deine Clients zu finden welche Offline Dateien haben. Und im Ordner CSC hast du nichts verloren. Und die Datei Produkey von Nirsoft ist als ungewolltes unerwünschtes Programm eingestuft, einfach erlauben.Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver***\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Den Pfad oben gibt es auf unserem Fileserver so nicht (mehr).
Ich vermute einen Zusammenhang mit einer nicht mehr aktiven GP0, welche unsere User Profile auf dem Fileserver abgelegt hat. Oder alternativ mit dem Synchroniserungscenter. Das habe ich bereits händisch abgeschaltet.
Aber den Ordner C:\Windows\CSC gibt es noch und somit die Offline Dateien? Nur das abschalten von Offline Dateien löscht nichts. Mir ist schleierhaft was der Sophos da scanned.
Alles was derzeit auf dein Datenträger ist, und Sophos nimmt sich da etwas mehr Rechte wie du siehst.Gruß,
Peter
eine Productkey.exe in einer Productkey.zip .... einfach erlauben?
Istn ziemlich mieser Tipp Pjordorf, wenn man sich eh schon unsicher ist.
Solltest die Datei zu virustotal hochladen ohne sie selbst zu öffnen.
Ich vermute ein PUA in einem Crack den der User irgendwie ausm Netz hat .
Istn ziemlich mieser Tipp Pjordorf, wenn man sich eh schon unsicher ist.
Solltest die Datei zu virustotal hochladen ohne sie selbst zu öffnen.
Ich vermute ein PUA in einem Crack den der User irgendwie ausm Netz hat .
Ich würde mir die Datei ja gerne anschauen. Dafür muss ich mir selbst aber höhere Rechte auf CSC\v2.06 verschaffen. Richtig?
Ja bevor ich irgendwas erlaube schaue ich mir die Datei natürlich auch lieber vorher an. Produkey wird von Sophos aber generell als PUA eingestuft. Von daher gehe ich wirklich von nem FP aus.
Ja bevor ich irgendwas erlaube schaue ich mir die Datei natürlich auch lieber vorher an. Produkey wird von Sophos aber generell als PUA eingestuft. Von daher gehe ich wirklich von nem FP aus.
Hallo,
Ja, ist eh nur PUA wie du selbst sagst. Und NirSoft ist eine bekannte Firma und hat auch Software welche im bereich PUA angesiedelt ist. Ob sinnvoll oder nicht ist hier nicht die Frage, das muss der TO entscheiden. Wir Admins nutzen schon mal Produkte auch von NirSoft.
Gruß,
Peter
Ja, ist eh nur PUA wie du selbst sagst. Und NirSoft ist eine bekannte Firma und hat auch Software welche im bereich PUA angesiedelt ist. Ob sinnvoll oder nicht ist hier nicht die Frage, das muss der TO entscheiden. Wir Admins nutzen schon mal Produkte auch von NirSoft.
Istn ziemlich mieser Tipp Pjordorf, wenn man sich eh schon unsicher ist.
Das der TO schon icht weiß was nd wie CSC ist, ist schon als Admin etwas ...Solltest die Datei zu virustotal hochladen ohne sie selbst zu öffnen.
Warum, fast ein jeder weiß das Produkey ein PUA ist. Schau mal hier https://www.nirsoft.net/utils/product_cd_key_viewer.html unter Known Problems.Ich vermute ein PUA in einem Crack den der User irgendwie ausm Netz hat .
Der TO sagt aber von NirSoft...und für das zu lesen was NirSoft schreibt bin ich nicht zuständig. NirSoft gehört in fast jeder umfangreicheren Werkzeugsammlung eines Admin Gruß,
Peter
der TO sagt doch selbst das es ein FalsePositive ist. Der Pfad spricht ja auch Bände...
Entweder man will, das so ein Keyausleser OK ist, oder nicht. Also ist erlauben legtim, wenn man sich denn sicher ist, was das ist.
Entweder man will, das so ein Keyausleser OK ist, oder nicht. Also ist erlauben legtim, wenn man sich denn sicher ist, was das ist.
Hallo,
Gruß,
Peter
Zitat von @Ex0r2k16:
Ich würde mir die Datei ja gerne anschauen. Dafür muss ich mir selbst aber höhere Rechte auf CSC\v2.06 verschaffen. Richtig?
Nur wenn du selbst in das Verzeichniss C:\Windows\CSC\... einsteigen und nachsachauen willst. Ansonsten reichen auch die Wekzeuge vom Synchronisierungscenter wie Offline Dateien Verwalten und dort in "Offlinedateien Anzeigen" gehen. Dort kannst du dir auch alle Dateien ansehen, kopieren etc.Ich würde mir die Datei ja gerne anschauen. Dafür muss ich mir selbst aber höhere Rechte auf CSC\v2.06 verschaffen. Richtig?
Ja bevor ich irgendwas erlaube schaue ich mir die Datei natürlich auch lieber vorher an. Produkey wird von Sophos aber generell als PUA eingestuft. Von daher gehe ich wirklich von nem FP aus.
Schau unter https://www.nirsoft.net/utils/product_cd_key_viewer.html Known Problems nach. NirSoft ist kein unbekannter.Gruß,
Peter
Ok, so detailiert auf das Productkey bin ich gar nicht eingegangen. Deine Empfehlung "ja da ist was als unerwünschtes Programm markiert, einfach erlauben" habe ich dann wohl so gedeutet, das du das jetzt in jedem Fall gesagt hättest "jaja, einfach erlauben, wird scho" :D
Hallo,
Und es heisst ProduKey. Es fehlen dort bewusst 2 Buchstaben.
Gruß,
Peter
Und es heisst ProduKey. Es fehlen dort bewusst 2 Buchstaben.
das du das jetzt in jedem Fall gesagt hättest "jaja, einfach erlauben, wird scho" :D
Nene, das hätte ich garantiert nicht wenn ich ProduKey nicht gekannt hätte Gruß,
Peter
Insbesondere Produkey ist da schon mal ganz nützlich, wenn der Kunde (vor allem Privatkunden) "Ihren Schlüssel verlegt" haben und eine Neuinstallation ansteht. Meist ist der zwar vorhanden aber in irgendwelchen Stapeln oder Kisten vergraben.
lks
Zitat von @Ex0r2k16:
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver*\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Datei "C:\Windows\CSC\v2.0.6\namespace\UNC Pfad zum Fileserver*\Mitarbeiter\Docs\*Username*\Desktop\WIN10 Stick\produkey.zip\ProduKey.exe" gehört zu Adware/PUA 'NirSoft ProduKey' (Typ Hacking Tool).
Wie die Kollegen schon sagten: Das sind offline-Dateien.
Starte einfach eine administrative Shell (z.B. cmd.exe als Administrator starten) und hangel Dich einfach per cd da Verzeichnis für Verzeichnis herunter. Dann wirst Du sehen, ob die Dinger da sind oder nicht.
Und wenn Du das produkey mit Absicht da drauf gepackt hast, erlaube es einfach in Sophos.
lks
Hallo,
Gruß,
Peter
Zitat von @Lochkartenstanzer:
Starte einfach eine administrative Shell (z.B. cmd.exe als Administrator starten) und hangel Dich einfach per cd da Verzeichnis für Verzeichnis herunter.
Ab Verzeichniss v2.0.6 ist eigentlich schluß. Da ist es einfacher das Synchronisierungscenter zu bemühen. Dort können auch einzelne Dateien oder ganze Ordner gelöscht werden da ein abschalten von Offlinedateien die schon vorhandenen Dateien nicht anfasst.Starte einfach eine administrative Shell (z.B. cmd.exe als Administrator starten) und hangel Dich einfach per cd da Verzeichnis für Verzeichnis herunter.
Und wenn Du das produkey mit Absicht da drauf gepackt hast, erlaube es einfach in Sophos.
War sein Vorgänger der auch per GPO und Offlinedateien ... Gruß,
Peter
1
