[betrieb-aktuell] Sophos Shh/Updater-B false positive unter Windows

Alessandro Schalk aschalk at uni-koeln.de
Do Sep 20 11:00:48 CEST 2012 

Hallo,

mittlerweile gibt es einen Weg, den Fehler in Sophos unter Windows zu 
beheben.
Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu fahren.
Am Ende werden auf Client Seite zwar noch Objekte in der Quarantäne 
angezeigt,
diese sollten aber trotzdem ein Update von Sophos oder anderen 
Programmen nicht mehr verhindern.

Für alle, die eine eigene Sophos Enterprise Console nutzen hier eine 
Anleitung,
um das Sophos wieder ans laufen zu bekommen.

_Um wieder Updates für die Sophos Enterprise Console erhalten zu können:_

-  Auf dem Sophos Enterprise Console Server die Datei "/agen-xuv.ide/" 
in /C:\Programme\Sophos\Sophos-Anti-Virus\/
bzw /C:\Programme(x86)\Sophos\Sophos-Anti-Virus\/ löschen.
- Den Dienst "/Sophos Anti-Virus/"neu starten oder alternativ den Server 
neu starten.
- Die Enterprise Console aufrufen, den Punkt Update Manager auswählen 
(falls nicht schon aktiv) und den Server mit "/Jetzt Updaten/" zum 
Update auffordern.

_Um wieder die Updates für Clients, die über die Enterprise Console 
laufen, erhalten zu können:_

- Die Sophos Enterprise Console starten, den Punkt Endpoints auswählen 
(falls nicht schon aktiv) und in der/den Richtline/n für die Updates den 
/On Access Scan/ deaktivieren.
- Die jeweilige Gruppe auswählen und auf "/Computer jetzt 
aktualisieren/" klicken.
- Den /On Access Scan /wieder aktiveren.
- Die Fehlermeldungen gegebenfalls entfernen.

_Für Clients außerhalb des UKLAN (Server sophosupdate.__rrz.uni-koeln.de):_

- Sophos Endpoint Security and Control aufrufen
- /"Antivirus und HIPS konfigurieren"/ auswählen und den ersten Punkt 
"/On Access Scan/" anklicken.
- /On Access Scan/ deaktivieren
- Update starten
- /On Access Scan/ aktiveren

Sollte die Anleitung für Clients die am Server 
sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren, so ist 
sehr wahrscheinlich noch nicht die aktuellste
Version auf den Server kopiert worden (wird von rzk-adsce4 kopiert).

Leider ist es, wie oben erwähnt nicht möglich die Objekte in der 
Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise Console 
zu entfernen.
Dies kann, wenn gewünscht auf jedem Client manuell gemacht werden. 
Einfach die Objekte makieren und auf den Button entfernen drücken.
*Nicht!* unter Verfügbare Maßnahmen löschen, das führt zum Verlust der 
Datei/en.

Wenn man in seinen Richtlinen die /On Access Scan/ Einstellungen so 
konfiguriert hat, dass sie bei Virenverdacht die Datei löschen 
funktioniert oben beschriebene Anleitung
höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens noch 
aus dem (wenn vorhanden) Backup wieder zurückholen.

Mit freundlichen Grüßen

Alessandro Schalk

-- 
Alessandro Schalk                        University of Cologne
E-Mail: schalk at uni-koeln.de              Regionales Rechenzentrum (RRZK)
Tel.:   +49(0)221/470-89587              Weyertal 121
                                          D-50931 Cologne - Germany

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.uni-koeln.de/pipermail/betrieb-aktuell/attachments/20120920/c0e31de1/attachment.html>

Mehr Informationen über die Mailingliste betrieb-aktuell