[betrieb-aktuell] Sophos Shh/Updater-B false positive unter Windows
Alessandro Schalk
aschalk at uni-koeln.de
Do Sep 20 11:00:48 CEST 2012
Hallo,
mittlerweile gibt es einen Weg, den Fehler in Sophos unter Windows zu
beheben.
Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu fahren.
Am Ende werden auf Client Seite zwar noch Objekte in der Quarantäne
angezeigt,
diese sollten aber trotzdem ein Update von Sophos oder anderen
Programmen nicht mehr verhindern.
Für alle, die eine eigene Sophos Enterprise Console nutzen hier eine
Anleitung,
um das Sophos wieder ans laufen zu bekommen.
_Um wieder Updates für die Sophos Enterprise Console erhalten zu können:_
- Auf dem Sophos Enterprise Console Server die Datei "/agen-xuv.ide/"
in /C:\Programme\Sophos\Sophos-Anti-Virus\/
bzw /C:\Programme(x86)\Sophos\Sophos-Anti-Virus\/ löschen.
- Den Dienst "/Sophos Anti-Virus/"neu starten oder alternativ den Server
neu starten.
- Die Enterprise Console aufrufen, den Punkt Update Manager auswählen
(falls nicht schon aktiv) und den Server mit "/Jetzt Updaten/" zum
Update auffordern.
_Um wieder die Updates für Clients, die über die Enterprise Console
laufen, erhalten zu können:_
- Die Sophos Enterprise Console starten, den Punkt Endpoints auswählen
(falls nicht schon aktiv) und in der/den Richtline/n für die Updates den
/On Access Scan/ deaktivieren.
- Die jeweilige Gruppe auswählen und auf "/Computer jetzt
aktualisieren/" klicken.
- Den /On Access Scan /wieder aktiveren.
- Die Fehlermeldungen gegebenfalls entfernen.
_Für Clients außerhalb des UKLAN (Server sophosupdate.__rrz.uni-koeln.de):_
- Sophos Endpoint Security and Control aufrufen
- /"Antivirus und HIPS konfigurieren"/ auswählen und den ersten Punkt
"/On Access Scan/" anklicken.
- /On Access Scan/ deaktivieren
- Update starten
- /On Access Scan/ aktiveren
Sollte die Anleitung für Clients die am Server
sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren, so ist
sehr wahrscheinlich noch nicht die aktuellste
Version auf den Server kopiert worden (wird von rzk-adsce4 kopiert).
Leider ist es, wie oben erwähnt nicht möglich die Objekte in der
Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise Console
zu entfernen.
Dies kann, wenn gewünscht auf jedem Client manuell gemacht werden.
Einfach die Objekte makieren und auf den Button entfernen drücken.
*Nicht!* unter Verfügbare Maßnahmen löschen, das führt zum Verlust der
Datei/en.
Wenn man in seinen Richtlinen die /On Access Scan/ Einstellungen so
konfiguriert hat, dass sie bei Virenverdacht die Datei löschen
funktioniert oben beschriebene Anleitung
höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens noch
aus dem (wenn vorhanden) Backup wieder zurückholen.
Mit freundlichen Grüßen
Alessandro Schalk
--
Alessandro Schalk University of Cologne
E-Mail: schalk at uni-koeln.de Regionales Rechenzentrum (RRZK)
Tel.: +49(0)221/470-89587 Weyertal 121
D-50931 Cologne - Germany
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.uni-koeln.de/pipermail/betrieb-aktuell/attachments/20120920/c0e31de1/attachment.html>
Mehr Informationen über die Mailingliste betrieb-aktuell