Sicherheitsprogramme Kaspersky Web-Anti-Virus: Wie genau funktioniert das?

Kann Kaspersky HTTP-Datenverkehr auf Schädlinge überprüfen?
Und werden Schädlinge erkannt, bevor diese eingeschleust werden?

Kann eine Infizierung erfolgreich abgewehrt werden, oder geht das nicht?
Damit meine ich nicht, dass Kaspersky einen Schädling insofern abwehrt, dass er im Nachhinein gelöscht wird, sondern insofern, dass es noch nicht einmal zu einer temporären Infektion kommt.

Ja über die Funktion Web-Antivirus wird der HTTP Verkehr kontrolliert. Ausserdem kann man in den Parametern - Netzwerk, außer den vorgegebenen Ports noch manuell selbst Ports eingeben. Ich will sicher hier keine Werbung machen, nur meine Erfahrung mit KIS wiedergeben und seit dem ich es nutze (einige Jahre) habe ich mir noch nichts eingefangen.

Also nochmal ganz deutlich sagen:
Kann Kaspersky Schädlinge auf Webseiten erkennen und den Nutzer warnen, BEVOR diese eingeschleust werden können - und damit eine Infektion KOMPLETT verhindern, auch im Cache und an sonstigen Orten der Festplatte?

Weil eigentlich können Programme ja nur etwas scannen, was bereits auf der Festplatte ist.
Scannt Kaspersky den Cache vom HTTP-Verkehr oder wie arbeitet Kaspersky im Detail?

Dafür gibt es ja Web-AV, daß sie erst gar nicht auf den Rechner kommen. Was brächte es wenn die Software den HTTP Verkehr untersucht, Schädlinge erkennt und trotzdem auf den Rechner läßt. Dachte mit dem was ich geschrieben habe wäre das klar ausgedrückt.
Ich kann jetzt nur für Kaspersky sprechen, aber das kann jede andere gute Security auch.
Gibt ja genügend Tests von Security Software. Einfach mal googeln.

Aber wie ARBEITET Kaspersky oder der Web-Anti-Virus davon?
Wie will Kaspersky den HTTP-Datenstrom untersuchen, aber Schädlinge am Einschleusen hindern? Immerhin landet der gesamte Datenverkehr auf dem Rechner.

Oder hat Kaspersky soetwas wie einen blitzschnellen Filter eingebaut im Web-Anti-Virus, der ganz schnell Schädlinge erkennt und sie nicht durchlässt?

Ich bitte darum, mir die technischen Details zu erklären, wenn das möglich ist.

Ich glaube, hier kriegst du auf deine Fragen eher eine Antwort....

Für die technischen Details geh doch bitte auf die Homepage/Forum des jeweiligen Herstellers. Aber vielleicht gibt es ja hier im Forum auch Leute, die darin bewandert sind und können dir mehr Auskunft geben. Mir ist wichtig das ich mir noch nie etwas eingefangen habe. Über den technischen Background was Antivirensoftware betrifft hab ich mir noch keine Gedanken gemacht.

Hier findest vielleicht ja auch Antwort auf d. Fragen:

http://support.kaspersky.com/de/kis2009/tech?qid=207619209

Jeder Schadcode (Trojaner, Virus, Spyware, Rootkit, etc.) hat eine bestimmte Signatur.
Auch Codes, die über das HTT-Protokoll und dem Port 80 auf den zu infizierenden
PC übertragen werden sollen.
Diese Signatur ist eindeutig und kann von einem AV-Programm anhand
von individuellen Eigenschaften erkannt werden, sofern es die entsprechende Information
in seiner Datenbank hat.
Deshalb sollte die Signatur-Datenbank immer aktuell gehalten werden
(tägl-/wöchentl. Update).

Ein AV-Programm ist vergleichbar einer Firewall.
Die FW prüft die Datenpakete anhand der individuellen Eigenschaften,
erfüllt ein Paket alle Kriterien einer Regel, wird diese Regel angewandt,
das Paket wird entweder durchgelassen oder blockiert.

Ziemlich der gleiche Prozess läuft auch beim AV-Programm ab,
nur wird hier die 'Quarantäne' zwischengeschaltet.

Der Unterschied zur FW ist, die FW fragt den Benutzer,
was mit dem Paket geschehen soll, und agiert dann je nach Antwort.
Das AV-Programm agiert zuerst und warnt, bzw. fragt anschließend den Benutzer,
was mit dem Paket passieren soll.

Das ist der ganze Zauber an den montrösen Suites,
von deren Umfang mindestens 90% überflüssig wie ein Kropf ist.
So besitzen die meisten Browser diese sog. 'neue' Technik, entweder schon integriert oder als AddOn.

Aber allen gemeinsam ist die Königsdisziplin "Rootkit".
Bisher gibt es kein auch nur annähernd vernünftiges Schutzprogramm dagegen,
und wird es wahrscheinlich auch nicht geben.

Rootkit

@Hallo Franz,

ich nutze die Gelegenheit und frage an dieser Stelle was über Rootkits
Ich habe mit einem Tool mein Rechner nach Rootkits durchsuchen lassen und folgendes Ergebnis erhalten -:foto
Weiß aber jetzt nicht ob ich die Löschen darf/soll?

Vielen Dank für eure Mühe& ein schönes Pfingstfest

Sieht chinesisch aus, oder?
Ist ein bissel kein.
Mache ein Backup deiner Registrierung und lösche anschließend
die Einträge.

Ein weiteres Indiz für Rootkits ist, da sie hauptsächlich für die unsichtbare
Weiterleitung interner Daten gedacht sind, sind verdächtige Ports im höheren Bereich
z.B. Port 31337).
Wenn du bei dir einen Portscan durchführst und Ports nicht eindeutig
zuordnen kannst, sollten diese explizit in der FW geschlossen werden
(z.B. wenn der Zielport zu einer unbekannten (Web-) Adresse gehört).

Wenn du in der Eingabeaufforderung einmal

netstat -p

Zum Vergrößern anklicken....

eingibst, bekommst du schon eine relativ aussagekräftige Anzeige
der offenen/halboffenen Ports.
Die Schalter von 'netstat' lassen sich beliebig erweitern/ändern (siehe netstat /?).

Aber 100% sicher wird dir zur Zeit noch kein Programm einen Rootkit zuweisen können,
das solltest du immer im HInterkopf behalten.