[betrieb-aktuell] Sophos Shh/Updater-B false positive unter Windows

Alessandro Schalk aschalk at uni-koeln.de
Fr Sep 21 08:15:48 CEST 2012 

Update:

mittlerweile gibt es ein wenig Hilfe von offizieller Seite.

http://www.sophos.com/en-us/support/knowledgebase/118323.aspx

Hier gibt es ein Script von Sophos, welches den AutoUpdater auf den 
Clients (End Points) reparieren soll,
falls dafür relevante Dateien durch die Richtlinien im /On Access Scan/  
gelöscht worden sind.
Das Script kann aber nur Dateien, die vom AutoUpdater benötigt werden, 
wiederherstellen.
Andere Dateien bleiben gelöscht.

Viele Grüße

Alessandro

Am 20.09.2012 12:33, schrieb Alessandro Schalk:
> Erneute Ergänzung:
>
> Der /On Access Scan/ von Sophos hat verschiedene Optionen bei der 
> Bereinigung. Diese sind:
>
> - Zugriff verweigern
> - Zugriff verweigen und verschieben
> - Löschen
>
> Sollten Dateien auf dem Client wirklich verschoben sein, so müssen 
> diese wieder von Hand zurückgeholt werden.
> Die Quarantäne Ordner sind:
>
> unter Windows7 - /C:\ProgramData\Sophos\Sophos-Anti-Virus\INFECTED/
> unter WindowsXP - 
> /C:\Dokumente&Einstellungen\AllUsers\Anwendungsdaten\Sophos\Sophos-Anti-Virus\INFECTED/
>
> Im Falle des Sophos Updaters werden folgende Dateien benötigt:
>
> - ALmon.exe
> - ALsvc.exe
> - ALUpdate.exe
> - AUAdapter.dll
> - Cidsync.dll
> - inetconn.dll
>
> Die Dateien müssen in den Ordner /C:\Programme\Sophos\AutoUpdate/.
>
> Wenn eine dieser Dateien fehlt, kann der Update Dienst nicht gestartet 
> werden und somit kann auch kein Update auf dem Client durchgeführt werden.
>
>
> Am 20.09.2012 11:31, schrieb Alessandro Schalk:
>> Ergänzung:
>>
>> Zur Zeit ist nicht bekannt welche Versionen von Sophos davon 
>> betroffen sind (auf jedenfall Version 10). Das Problem tratt gestern 
>> Abend am 19.09.2012 gegen 22 Uhr auf,
>> als Sophos ein neues Update einspielte, welches zur Folge hatte das 
>> Updater verschiedener Programme in die Quarantäne verschoben wurden.
>> Wer seinen Rechner erst im laufe dieses Vormittags wieder 
>> hochgefahren hat, kann unter umständen von diesem Problem verschont 
>> geblieben sein, da Sophos mittlerweile
>> einen fix in Form einen Updates draußen hatte. Welche Programme alle 
>> davon betroffen sind ist auch nicht klar und dahingehend wurde von Sophos
>> auch noch keine Aussage getätigt.
>>
>>
>> Am 20.09.2012 11:00, schrieb Alessandro Schalk:
>>> Hallo,
>>>
>>> mittlerweile gibt es einen Weg, den Fehler in Sophos unter Windows 
>>> zu beheben.
>>> Wir sind zur Zeit dabei diesen in Unserer Sophos Umgebung zu fahren.
>>> Am Ende werden auf Client Seite zwar noch Objekte in der Quarantäne 
>>> angezeigt,
>>> diese sollten aber trotzdem ein Update von Sophos oder anderen 
>>> Programmen nicht mehr verhindern.
>>>
>>> Für alle, die eine eigene Sophos Enterprise Console nutzen hier eine 
>>> Anleitung,
>>> um das Sophos wieder ans laufen zu bekommen.
>>>
>>> _Um wieder Updates für die Sophos Enterprise Console erhalten zu 
>>> können:_
>>>
>>> -  Auf dem Sophos Enterprise Console Server die Datei 
>>> "/agen-xuv.ide/" in /C:\Programme\Sophos\Sophos-Anti-Virus\/
>>> bzw /C:\Programme(x86)\Sophos\Sophos-Anti-Virus\/ löschen.
>>> - Den Dienst "/Sophos Anti-Virus/"neu starten oder alternativ den 
>>> Server neu starten.
>>> - Die Enterprise Console aufrufen, den Punkt Update Manager 
>>> auswählen (falls nicht schon aktiv) und den Server mit "/Jetzt 
>>> Updaten/" zum Update auffordern.
>>>
>>> _Um wieder die Updates für Clients, die über die Enterprise Console 
>>> laufen, erhalten zu können:_
>>>
>>> - Die Sophos Enterprise Console starten, den Punkt Endpoints 
>>> auswählen (falls nicht schon aktiv) und in der/den Richtline/n für 
>>> die Updates den /On Access Scan/ deaktivieren.
>>> - Die jeweilige Gruppe auswählen und auf "/Computer jetzt 
>>> aktualisieren/" klicken.
>>> - Den /On Access Scan /wieder aktiveren.
>>> - Die Fehlermeldungen gegebenfalls entfernen.
>>>
>>> _Für Clients außerhalb des UKLAN (Server 
>>> sophosupdate.__rrz.uni-koeln.de):_
>>>
>>> - Sophos Endpoint Security and Control aufrufen
>>> - /"Antivirus und HIPS konfigurieren"/ auswählen und den ersten 
>>> Punkt "/On Access Scan/" anklicken.
>>> - /On Access Scan/ deaktivieren
>>> - Update starten
>>> - /On Access Scan/ aktiveren
>>>
>>> Sollte die Anleitung für Clients die am Server 
>>> sophosupdate.rrz.uni-koeln.de hängen noch nicht funktionieren, so 
>>> ist sehr wahrscheinlich noch nicht die aktuellste
>>> Version auf den Server kopiert worden (wird von rzk-adsce4 kopiert).
>>>
>>> Leider ist es, wie oben erwähnt nicht möglich die Objekte in der 
>>> Quarantäneliste auf den Clients mit Hilfe der Sophos Enterprise 
>>> Console zu entfernen.
>>> Dies kann, wenn gewünscht auf jedem Client manuell gemacht werden. 
>>> Einfach die Objekte makieren und auf den Button entfernen drücken.
>>> *Nicht!* unter Verfügbare Maßnahmen löschen, das führt zum Verlust 
>>> der Datei/en.
>>>
>>> Wenn man in seinen Richtlinen die /On Access Scan/ Einstellungen so 
>>> konfiguriert hat, dass sie bei Virenverdacht die Datei löschen 
>>> funktioniert oben beschriebene Anleitung
>>> höchst Wahrscheinlich nicht. Die Dateien kann man dann höchstens 
>>> noch aus dem (wenn vorhanden) Backup wieder zurückholen.
>>>
>>> Mit freundlichen Grüßen
>>>
>>> Alessandro Schalk
>>> -- 
>>> Alessandro Schalk                        University of Cologne
>>> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
>>> Tel.:   +49(0)221/470-89587              Weyertal 121
>>>                                           D-50931 Cologne - Germany
>>
>>
>> -- 
>> Alessandro Schalk                        University of Cologne
>> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
>> Tel.:   +49(0)221/470-89587              Weyertal 121
>>                                           D-50931 Cologne - Germany
>
>
> -- 
> Alessandro Schalk                        University of Cologne
> E-Mail:schalk at uni-koeln.de               Regionales Rechenzentrum (RRZK)
> Tel.:   +49(0)221/470-89587              Weyertal 121
>                                           D-50931 Cologne - Germany


-- 
Alessandro Schalk                        University of Cologne
E-Mail: schalk at uni-koeln.de              Regionales Rechenzentrum (RRZK)
Tel.:   +49(0)221/470-89587              Weyertal 121
                                          D-50931 Cologne - Germany

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.uni-koeln.de/pipermail/betrieb-aktuell/attachments/20120921/de74edd9/attachment.html>

Mehr Informationen über die Mailingliste betrieb-aktuell