[betrieb-aktuell] Sophos Shh/Updater-B false positive unter Windows

Alessandro Schalk aschalk at uni-koeln.de
Do Sep 20 11:31:46 CEST 2012


Ergänzung:

Zur Zeit ist nicht bekannt welche Versionen von Sophos davon betroffen 
sind (auf jedenfall Version 10). Das Problem tratt gestern Abend am 
19.09.2012 gegen 22 Uhr auf,
als Sophos ein neues Update einspielte, welches zur Folge hatte das 
Updater verschiedener Programme in die Quarantäne verschoben wurden.
Wer seinen Rechner erst im laufe dieses Vormittags wieder hochgefahren 
hat, kann unter umständen von diesem Problem verschont geblieben sein, 
da Sophos mittlerweile
einen fix in Form einen Updates draußen hatte. Welche Programme alle 
davon betroffen sind ist auch nicht klar und dahingehend wurde von Sophos
auch noch keine Aussage getätigt.


Am 20.09.2012 11:00, schrieb Alessandro Schalk:
> Hallo,
>
> mittlerweile gibt es einen Weg, den Fehler in Sophos unter Windows zu 
> beheben.
> Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu fahren.
> Am Ende werden auf Client Seite zwar noch Objekte in der Quarantäne 
> angezeigt,
> diese sollten aber trotzdem ein Update von Sophos oder anderen 
> Programmen nicht mehr verhindern.
>
> Für alle, die eine eigene Sophos Enterprise Console nutzen hier eine 
> Anleitung,
> um das Sophos wieder ans laufen zu bekommen.
>
> _Um wieder Updates für die Sophos Enterprise Console erhalten zu können:_
>
> -  Auf dem Sophos Enterprise Console Server die Datei "/agen-xuv.ide/" 
> in /C:\Programme\Sophos\Sophos-Anti-Virus\/
> bzw /C:\Programme(x86)\Sophos\Sophos-Anti-Virus\/ löschen.
> - Den Dienst "/Sophos Anti-Virus/"neu starten oder alternativ den 
> Server neu starten.
> - Die Enterprise Console aufrufen, den Punkt Update Manager auswählen 
> (falls nicht schon aktiv) und den Server mit "/Jetzt Updaten/" zum 
> Update auffordern.
>
> _Um wieder die Updates für Clients, die über die Enterprise Console 
> laufen, erhalten zu können:_
>
> - Die Sophos Enterprise Console starten, den Punkt Endpoints auswählen 
> (falls nicht schon aktiv) und in der/den Richtline/n für die Updates 
> den /On Access Scan/ deaktivieren.
> - Die jeweilige Gruppe auswählen und auf "/Computer jetzt 
> aktualisieren/" klicken.
> - Den /On Access Scan /wieder aktiveren.
> - Die Fehlermeldungen gegebenfalls entfernen.
>
> _Für Clients außerhalb des UKLAN (Server 
> sophosupdate.__rrz.uni-koeln.de):_
>
> - Sophos Endpoint Security and Control aufrufen
> - /"Antivirus und HIPS konfigurieren"/ auswählen und den ersten Punkt 
> "/On Access Scan/" anklicken.
> - /On Access Scan/ deaktivieren
> - Update starten
> - /On Access Scan/ aktiveren
>
> Sollte die Anleitung für Clients die am Server 
> sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren, so ist 
> sehr wahrscheinlich noch nicht die aktuellste
> Version auf den Server kopiert worden (wird von rzk-adsce4 kopiert).
>
> Leider ist es, wie oben erwähnt nicht möglich die Objekte in der 
> Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise 
> Console zu entfernen.
> Dies kann, wenn gewünscht auf jedem Client manuell gemacht werden. 
> Einfach die Objekte makieren und auf den Button entfernen drücken.
> *Nicht!* unter Verfügbare Maßnahmen löschen, das führt zum Verlust der 
> Datei/en.
>
> Wenn man in seinen Richtlinen die /On Access Scan/ Einstellungen so 
> konfiguriert hat, dass sie bei Virenverdacht die Datei löschen 
> funktioniert oben beschriebene Anleitung
> höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens noch 
> aus dem (wenn vorhanden) Backup wieder zurückholen.
>
> Mit freundlichen Grüßen
>
> Alessandro Schalk
> -- 
> Alessandro Schalk                        University of Cologne
> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
> Tel.:   +49(0)221/470-89587              Weyertal 121
>                                           D-50931 Cologne - Germany


-- 
Alessandro Schalk                        University of Cologne
E-Mail: schalk at uni-koeln.de              Regionales Rechenzentrum (RRZK)
Tel.:   +49(0)221/470-89587              Weyertal 121
                                          D-50931 Cologne - Germany

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.uni-koeln.de/pipermail/betrieb-aktuell/attachments/20120920/0dcd4e5c/attachment.html>


Mehr Informationen über die Mailingliste betrieb-aktuell