[betrieb-aktuell] Sophos Shh/Updater-B false positive unter Windows

Alessandro Schalk aschalk at uni-koeln.de
Do Sep 20 12:33:13 CEST 2012 

Erneute Ergänzung:

Der /On Access Scan/ von Sophos hat verschiedene Optionen bei der 
Bereinigung. Diese sind:

- Zugriff verweigern
- Zugriff verweigen und verschieben
- Löschen

Sollten Dateien auf dem Client wirklich verschoben sein, so müssen diese 
wieder von Hand zurückgeholt werden.
Die Quarantäne Ordner sind:

unter Windows7 - /C:\ProgramData\Sophos\Sophos-Anti-Virus\INFECTED/
unter WindowsXP - 
/C:\Dokumente&Einstellungen\AllUsers\Anwendungsdaten\Sophos\Sophos-Anti-Virus\INFECTED/

Im Falle des Sophos Updaters werden folgende Dateien benötigt:

- ALmon.exe
- ALsvc.exe
- ALUpdate.exe
- AUAdapter.dll
- Cidsync.dll
- inetconn.dll

Die Dateien müssen in den Ordner /C:\Programme\Sophos\AutoUpdate/.

Wenn eine dieser Dateien fehlt, kann der Update Dienst nicht gestartet 
werden und somit kann auch kein Update auf dem Client durchgeführt werden.


Am 20.09.2012 11:31, schrieb Alessandro Schalk:
> Ergänzung:
>
> Zur Zeit ist nicht bekannt welche Versionen von Sophos davon betroffen 
> sind (auf jedenfall Version 10). Das Problem tratt gestern Abend am 
> 19.09.2012 gegen 22 Uhr auf,
> als Sophos ein neues Update einspielte, welches zur Folge hatte das 
> Updater verschiedener Programme in die Quarantäne verschoben wurden.
> Wer seinen Rechner erst im laufe dieses Vormittags wieder hochgefahren 
> hat, kann unter umständen von diesem Problem verschont geblieben sein, 
> da Sophos mittlerweile
> einen fix in Form einen Updates draußen hatte. Welche Programme alle 
> davon betroffen sind ist auch nicht klar und dahingehend wurde von Sophos
> auch noch keine Aussage getätigt.
>
>
> Am 20.09.2012 11:00, schrieb Alessandro Schalk:
>> Hallo,
>>
>> mittlerweile gibt es einen Weg, den Fehler in Sophos unter Windows zu 
>> beheben.
>> Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu fahren.
>> Am Ende werden auf Client Seite zwar noch Objekte in der Quarantäne 
>> angezeigt,
>> diese sollten aber trotzdem ein Update von Sophos oder anderen 
>> Programmen nicht mehr verhindern.
>>
>> Für alle, die eine eigene Sophos Enterprise Console nutzen hier eine 
>> Anleitung,
>> um das Sophos wieder ans laufen zu bekommen.
>>
>> _Um wieder Updates für die Sophos Enterprise Console erhalten zu können:_
>>
>> -  Auf dem Sophos Enterprise Console Server die Datei 
>> "/agen-xuv.ide/" in /C:\Programme\Sophos\Sophos-Anti-Virus\/
>> bzw /C:\Programme(x86)\Sophos\Sophos-Anti-Virus\/ löschen.
>> - Den Dienst "/Sophos Anti-Virus/"neu starten oder alternativ den 
>> Server neu starten.
>> - Die Enterprise Console aufrufen, den Punkt Update Manager auswählen 
>> (falls nicht schon aktiv) und den Server mit "/Jetzt Updaten/" zum 
>> Update auffordern.
>>
>> _Um wieder die Updates für Clients, die über die Enterprise Console 
>> laufen, erhalten zu können:_
>>
>> - Die Sophos Enterprise Console starten, den Punkt Endpoints 
>> auswählen (falls nicht schon aktiv) und in der/den Richtline/n für 
>> die Updates den /On Access Scan/ deaktivieren.
>> - Die jeweilige Gruppe auswählen und auf "/Computer jetzt 
>> aktualisieren/" klicken.
>> - Den /On Access Scan /wieder aktiveren.
>> - Die Fehlermeldungen gegebenfalls entfernen.
>>
>> _Für Clients außerhalb des UKLAN (Server 
>> sophosupdate.__rrz.uni-koeln.de):_
>>
>> - Sophos Endpoint Security and Control aufrufen
>> - /"Antivirus und HIPS konfigurieren"/ auswählen und den ersten Punkt 
>> "/On Access Scan/" anklicken.
>> - /On Access Scan/ deaktivieren
>> - Update starten
>> - /On Access Scan/ aktiveren
>>
>> Sollte die Anleitung für Clients die am Server 
>> sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren, so ist 
>> sehr wahrscheinlich noch nicht die aktuellste
>> Version auf den Server kopiert worden (wird von rzk-adsce4 kopiert).
>>
>> Leider ist es, wie oben erwähnt nicht möglich die Objekte in der 
>> Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise 
>> Console zu entfernen.
>> Dies kann, wenn gewünscht auf jedem Client manuell gemacht werden. 
>> Einfach die Objekte makieren und auf den Button entfernen drücken.
>> *Nicht!* unter Verfügbare Maßnahmen löschen, das führt zum Verlust 
>> der Datei/en.
>>
>> Wenn man in seinen Richtlinen die /On Access Scan/ Einstellungen so 
>> konfiguriert hat, dass sie bei Virenverdacht die Datei löschen 
>> funktioniert oben beschriebene Anleitung
>> höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens noch 
>> aus dem (wenn vorhanden) Backup wieder zurückholen.
>>
>> Mit freundlichen Grüßen
>>
>> Alessandro Schalk
>> -- 
>> Alessandro Schalk                        University of Cologne
>> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
>> Tel.:   +49(0)221/470-89587              Weyertal 121
>>                                           D-50931 Cologne - Germany
>
>
> -- 
> Alessandro Schalk                        University of Cologne
> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
> Tel.:   +49(0)221/470-89587              Weyertal 121
>                                           D-50931 Cologne - Germany


-- 
Alessandro Schalk                        University of Cologne
E-Mail: schalk at uni-koeln.de              Regionales Rechenzentrum (RRZK)
Tel.:   +49(0)221/470-89587              Weyertal 121
                                          D-50931 Cologne - Germany

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.uni-koeln.de/pipermail/betrieb-aktuell/attachments/20120920/71d93ba7/attachment.html>

Mehr Informationen über die Mailingliste betrieb-aktuell