Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 5395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Scanning archived files

syno
Hello Everyone

I am trying to use Sophos EndPoint Security and Control, Version 10.0 in order to virus scan some archives (zip, rar, 7z, etc). However I don't understand the scan results. I am using the 'Right Click Scanning' feature to scan 'All Files' and 'Scan within archive files' for Adaware, PUA's and suspicious files. For example, I have a zip file with 4 blank text files within it. No matter how many text files I add to the zip file the results show that only two items were scanned. If I extract the zip file and then scan it, it shows that 5 items were scanned which are the 4 text files and one folder.

I don't understand what these 2 items scanned signify and whether indeed the contents of the zip file is actually being scanned.

Thanks for your help..


This thread was automatically locked due to age.
  • 0
    I am running Sophos Endpoint Security and Control, version 10.3 on a fully patched and updated Windows 7 (32-bit) system in a virtual machine.

    The Sophos Endpoint Security and Control is associated with a Sophos UTM which is also fully patched and updated, running version 9.313-3.

    I found your post during a search for the same issue. I do not have an answer, but you should know that I see the same thing: after scanning a ZIP file - Sophos Antivirus reports only two files scanned. 

    I would like to know the answer to the same questions: Is it scanning all of the files in the full ZIP archive? Can I trust the results?
  • 0 in reply to utmadm
    Update:

    I just discovered some unusual differences, depending on whether the scan is performed from an account with administrator privileges or an unprivileged user account:

    * The system prompts for permission to run Sophos Anti-Virus Right-Click Scan in the administrator account. The scan runs without a permission prompt in the unprivileged user account.

    * The "items scanned" total for the ZIP file is "2" from the admin account. It is only "1" for the unprivileged user account.

    * The "items scanned" total for the extracted, unzipped folder is one higher in the admin account, compared with the unprivileged user account.
  • 0 in reply to utmadm
    Final update, based on information from Sophos Technical Support:

    All files in ZIP archives are scanned. The reported counts are as designed and expected.

    It is normal to see different counts on the same ZIP archive depending on which account is doing the scanning. Admin accounts will also run a boot sector scan, which results in a higher count. Memory scanning and Registry scanning can also increment the count depending on settings. Ordinary, unprivileged user accounts do not have sufficient privileges to perform those special scans, hence the lower reported scan counts.

    Bottom line: All is well. Results are as expected by Sophos.
Unfiltered HTML