<html>
<head>
<meta content="text/html; charset=ISO-8859-15"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Erneute Ergänzung:<br>
<br>
Der <i>On Access Scan</i> von Sophos hat verschiedene Optionen
bei der Bereinigung. Diese sind:<br>
<br>
- Zugriff verweigern<br>
- Zugriff verweigen und verschieben<br>
- Löschen<br>
<br>
Sollten Dateien auf dem Client wirklich verschoben sein, so müssen
diese wieder von Hand zurückgeholt werden.<br>
Die Quarantäne Ordner sind:<br>
<br>
unter Windows7 - <i>C:\ProgramData\Sophos\Sophos-Anti-Virus\INFECTED</i><br>
unter WindowsXP - <i>C:\Dokumente&Einstellungen\AllUsers\Anwendungsdaten\Sophos\Sophos-Anti-Virus\INFECTED</i><br>
<br>
Im Falle des Sophos Updaters werden folgende Dateien benötigt:<br>
<br>
- ALmon.exe<br>
- ALsvc.exe<br>
- ALUpdate.exe<br>
- AUAdapter.dll<br>
- Cidsync.dll<br>
- inetconn.dll<br>
<br>
Die Dateien müssen in den Ordner <i>C:\Programme\Sophos\AutoUpdate</i>.<br>
<br>
Wenn eine dieser Dateien fehlt, kann der Update Dienst nicht
gestartet werden und somit kann auch kein Update auf dem Client
durchgeführt werden.<br>
<br>
<br>
Am 20.09.2012 11:31, schrieb Alessandro Schalk:<br>
</div>
<blockquote cite="mid:505AE282.5020408@uni-koeln.de" type="cite">
<meta content="text/html; charset=ISO-8859-15"
http-equiv="Content-Type">
<div class="moz-cite-prefix">Ergänzung:<br>
<br>
Zur Zeit ist nicht bekannt welche Versionen von Sophos davon
betroffen sind (auf jedenfall Version 10). Das Problem tratt
gestern Abend am 19.09.2012 gegen 22 Uhr auf,<br>
als Sophos ein neues Update einspielte, welches zur Folge hatte
das Updater verschiedener Programme in die Quarantäne verschoben
wurden.<br>
Wer seinen Rechner erst im laufe dieses Vormittags wieder
hochgefahren hat, kann unter umständen von diesem Problem
verschont geblieben sein, da Sophos mittlerweile<br>
einen fix in Form einen Updates draußen hatte. Welche Programme
alle davon betroffen sind ist auch nicht klar und dahingehend
wurde von Sophos<br>
auch noch keine Aussage getätigt.<br>
<br>
<br>
Am 20.09.2012 11:00, schrieb Alessandro Schalk:<br>
</div>
<blockquote cite="mid:505ADB40.3000305@uni-koeln.de" type="cite">
<meta http-equiv="content-type" content="text/html;
charset=ISO-8859-15">
Hallo,<br>
<br>
mittlerweile gibt es einen Weg, den Fehler in Sophos unter
Windows zu beheben.<br>
Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu
fahren.<br>
Am Ende werden auf Client Seite zwar noch Objekte in der
Quarantäne angezeigt,<br>
diese sollten aber trotzdem ein Update von Sophos oder anderen
Programmen nicht mehr verhindern.<br>
<br>
Für alle, die eine eigene Sophos Enterprise Console nutzen hier
eine Anleitung,<br>
um das Sophos wieder ans laufen zu bekommen.<br>
<br>
<u>Um wieder Updates für die Sophos Enterprise Console erhalten
zu können:</u><br>
<br>
- Auf dem Sophos Enterprise Console Server die Datei "<i>agen-xuv.ide</i>"
in <i>C:\Programme\Sophos\Sophos-Anti-Virus\</i><br>
bzw <i>C:\Programme(x86)\Sophos\Sophos-Anti-Virus\</i> löschen.<br>
- Den Dienst "<i>Sophos Anti-Virus</i>"neu starten oder
alternativ den Server neu starten.<br>
- Die Enterprise Console aufrufen, den Punkt Update Manager
auswählen (falls nicht schon aktiv) und den Server mit "<i>Jetzt
Updaten</i>" zum Update auffordern.<br>
<br>
<u>Um wieder die Updates für Clients, die über die Enterprise
Console laufen, erhalten zu können:</u><br>
<br>
- Die Sophos Enterprise Console starten, den Punkt Endpoints
auswählen (falls nicht schon aktiv) und in der/den Richtline/n
für die Updates den <i>On Access Scan</i> deaktivieren.<br>
- Die jeweilige Gruppe auswählen und auf "<i>Computer jetzt
aktualisieren</i>" klicken.<br>
- Den <i>On Access Scan </i>wieder aktiveren.<br>
- Die Fehlermeldungen gegebenfalls entfernen.<br>
<br>
<u>Für Clients außerhalb des UKLAN (Server sophosupdate.</u><u>rrz.uni-koeln.de):</u><br>
<br>
- Sophos Endpoint Security and Control aufrufen<br>
- <i>"Antivirus und HIPS konfigurieren"</i> auswählen und den
ersten Punkt "<i>On Access Scan</i>" anklicken.<br>
- <i>On Access Scan</i> deaktivieren<br>
- Update starten<br>
- <i>On Access Scan</i> aktiveren<br>
<br>
Sollte die Anleitung für Clients die am Server
sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren,
so ist sehr wahrscheinlich noch nicht die aktuellste<br>
Version auf den Server kopiert worden (wird von rzk-adsce4
kopiert).<br>
<br>
Leider ist es, wie oben erwähnt nicht möglich die Objekte in der
Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise
Console zu entfernen.<br>
Dies kann, wenn gewünscht auf jedem Client manuell gemacht
werden. Einfach die Objekte makieren und auf den Button
entfernen drücken.<br>
<b>Nicht!</b> unter Verfügbare Maßnahmen löschen, das führt zum
Verlust der Datei/en.<br>
<br>
Wenn man in seinen Richtlinen die <i>On Access Scan</i>
Einstellungen so konfiguriert hat, dass sie bei Virenverdacht
die Datei löschen funktioniert oben beschriebene Anleitung<br>
höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens
noch aus dem (wenn vorhanden) Backup wieder zurückholen.<br>
<br>
Mit freundlichen Grüßen<br>
<br>
Alessandro Schalk<br>
<pre class="moz-signature" cols="72">--
Alessandro Schalk University of Cologne
E-Mail: <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:schalk@uni-koeln.de">schalk@uni-koeln.de</a> Regionales Rechenzentrum (RRZK)
Tel.: +49(0)221/470-89587 Weyertal 121
D-50931 Cologne - Germany</pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">--
Alessandro Schalk University of Cologne
E-Mail: <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:schalk@uni-koeln.de">schalk@uni-koeln.de</a> Regionales Rechenzentrum (RRZK)
Tel.: +49(0)221/470-89587 Weyertal 121
D-50931 Cologne - Germany</pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">--
Alessandro Schalk University of Cologne
E-Mail: <a class="moz-txt-link-abbreviated" href="mailto:schalk@uni-koeln.de">schalk@uni-koeln.de</a> Regionales Rechenzentrum (RRZK)
Tel.: +49(0)221/470-89587 Weyertal 121
D-50931 Cologne - Germany</pre>
</body>
</html>