Entfernen von Viren

In Enterprise Console werden Virendesinfektions- und -Entfernungsaktionen nach Gruppe oder einzelnem Computer implementiert. Ein vorhandener Virus, Trojaner oder Wurm wird durch einen Viren-Report in der Spalte "Alarme" von Enterprise Console angezeigt. Andere Artikel beschäftigen sich mit folgenden Themen:

• Entfernen von Viren lokal unter Windows
• Entfernen von Viren mit Notfall-Befehlszeilen-Scannern.

Vorgehensweise

1. Beurteilen des Problems

Vor dem Entfernen von Viren müssen Sie wissen, ob diese

• Änderungen im Setup oder in Dokumenten auf Ihrem Computer vornehmen können
• sich zuerst über Freigaben in Ihrem Netzwerk verbreiten
• Administratorrechte übernehmen oder Ihr Netzwerk auf andere Weise schädigen.

Stellen Sie zuerst mit Enterprise Console fest, welche Viren sich auf einem Computer befinden.

1. Rechtsklicken Sie auf den Namen des Computers.
2. Wählen Sie "Computer-Details öffnen".
3. Blättern Sie nach unten zu "Erkannte Objekte" (oder "Erkannte Viren").
   • Die Spalte "Typ" (oder "Virenname") listet die Namen der entdeckten Viren auf.
   • Die Spalte "Details" ("Infizierte Datei") listet auf, wo sich die Viren auf dem Computer befinden.
4. Klicken Sie auf den Namen des Virus, um dessen Beschreibung auf der Sophos Website aufzurufen.

Die Beschreibung gibt Aufschluss darüber, wie sich Viren oder andere Programme verbreiten und was sie bewirken.

2. Geringfügige Infektion

Geringfügige Infektionen können Sie über eine vollständige Systemprüfung mit Enterprise Console, Version 3, und Sophos Anti-Virus für Windows 2000+, Version 7, von der Konsole aus behandeln.

Wenn mehrere Computer betroffen sind, verfahren Sie wie folgt:

1. Öffnen Sie Enterprise Console.
2. Wählen Sie den betroffenen Computer bzw. die betroffenen Gruppen aus und halten Sie bei der Auswahl die Strg-Taste gedrückt.
3. Rechtsklicken Sie auf die ausgewählten Objekte.
4. Klicken Sie auf "Vollständige Systemüberprüfung".
5. Klicken Sie auf "OK", um die Überprüfung zu starten. Die Überprüfung kann einige Zeit in Anspruch nehmen.
6. Rechtsklicken Sie nach dem Abschluss der Überprüfung erneut auf die ausgewählten Objekte.
7. Klicken Sie auf die Option "Erkannte Objekte desinfizieren".
8. Wählen Sie die Viren und sonstigen Objekte aus, die Sie desinfizieren möchten.
9. Klicken Sie auf "OK", um die Desinfektion einzuleiten.
10. Überprüfen Sie die betroffenen Computer nach einiger Zeit erneut in der Konsole (rechtsklicken Sie auf "Computerdetails öffnen", um diese Option auszuwählen).
    • Wenn die Anzahl der betroffenen Computer steigt, fahren Sie mit Abschnitt 3 ("Verhindern einer weiteren Infektion") fort und behandeln Sie den Vorfall als schwerwiegende Infektion.
    • Ist dies nicht der Fall, fahren Sie mit den Anweisungen zu geringfügigen Infektionen fort.
11. Wenn bei der ersten Bereinigung nicht alle Objekte entfernt wurden (es wurden beispielsweise nicht alle Komponenten gefunden), ist unter Umständen eine erneute vollständige Systemprüfung der betroffenen Computer sowie eine weitere Bereinigung erforderlich.
12. Bisweilen können die verbleibenden Objekte nur am lokalen Computer behandelt werden.
13. Ausstehende Alarme (beispielsweise Viren in Freigaben auf anderen Computern) entfernen Sie, indem Sie auf den Computer in Enterprise Console rechtsklicken, "Alarme und Fehler bereinigen" auswählen, unerwüschte ausstehende Objekte auswählen und diese per Klick auf "OK" beseitigen.

Die geringfügige Infektion sollte damit behoben sein.

Hinweis: Durch die automatische Bereinigung werden Dokumente mit Makroviren sowie Programmviren bereinigt. Manche Makrovieren können Daten in Dokumenten modifizieren. Sehen Sie in der Virenanalyse nach, ob dies passieren könnte und ersetzen Sie nach der Desinfektion alle betroffenen Dokumente durch Sicherungskopien.

Verfahren Sie zum Beheben von schwerwiegenden Infektionen anhand der folgenden Anweisungen.

3. Verhindern einer weiteren Infektion

• Netzwerkfreigaben
  Wenn ein Virus, der sich über Netzwerkfreigaben verbreitet, auf andere Weise als per E-Mail oder in einem Internet-Cache-Ordner gemeldet wird, schalten Sie Überprüfung beim Schreiben ein, bis Sie sich sicher sind, dass sich der Virus nicht intern verbreitet.

Wiederholen Sie ggf. die vollständige Systemprüfung bei betroffenen Computern (siehe Abschnitt 2).

Machen Sie die Änderungen, die nach der Infektion an ihrer Antiviren-Richtlinie vorgenommen wurden, rückgängig. Die zusätzliche Prüfung kann Ihr Netzwerk verlangsamen, ist jedoch unter normalen Umständen nicht erforderlich.

Hinweis: Durch die automatische Bereinigung werden Dokumente mit Makroviren sowie Programmviren bereinigt. Manche Makrovieren können Daten in Dokumenten modifizieren. Sehen Sie in der Virenanalyse nach, ob dies passieren könnte und ersetzen Sie nach der Desinfektion alle betroffenen Dokumente durch Sicherungskopien.

4. Lokal zu lösende Probleme

Einige Würmer und Viren ändern Computer-Betriebssysteme, so dass der Computer nicht mehr verwendet werden kann, wenn der Virus entfernt wird, ohne dass diese Änderungen rückgängig gemacht werden. Mit Sophos Anti-Virus für Windows 2000+ (ab Version 6) lassen sich die meisten derartigen Bedrohungen über Enterprise Console beheben.

• Sehen Sie in den Anweisungen zur Wiederherstellung in der Virenanalyse nach, ob sich der Virus mit Sophos Anti-Virus für Windows 2000+ (ab Version 6) beheben lässt.
• Überprüfen Sie das Datum im Feld "Schutz ab" in der Virenanalyse. Liegt es vor Juni 2006?

Wenn eine der genannten Bedingungen zutrifft, können Sie jeden Computer unter Windows 2000/XP/2003/Vista mit Sophos Anti-Virus (ab Version 6) in Enterprise Console desinfizieren. Andernfalls muss die Desinfizierung lokal erfolgen.

Computer mit Windows NT oder mit älteren Versionen von Sophos Anti-Virus, bei denen die Registrierung durch die Virusinfektion so verändert wurde, dass der Virus vor allen ausführbaren Dateien (z.B. W32/Yaha-T) ausgeführt wird, müssen lokal desinfiziert werden.

Führen Sie die Desinfizierung mit einem Resolve Tool durch (falls vorhanden). Wenn nicht, befolgen Sie die Anweisungen zur Wiederherstellung in der Virenanalyse.

Mit den Resolve Tools und Sophos Anti-Virus für Windows 2000+ (ab Version 6) werden von Viren befallene Dateien entfernt bzw. desinfiziert und die durch den Virus entstandenen Änderungen an der Registrierung werden zudem rückgängig gemacht. Bei einem Großausbruch eines bestimmten Virus kann es effizienter sein, das Netzwerk mit Hilfe der Netzwerk-Desinfizierungsanweisungen, die mit dem Resolve Tool geliefert wurden, zu desinfizieren, anstatt dafür Enterprise Console zu verwenden. Sehen Sie in der Virenanalyse nach, ob dies der Fall ist.

5. Entfernen von Viren mit Enterprise Console ab Version 2

Hinweis:

• Eine vollständige Bereingiung (Registrierungseinträge, gelöschte Dateien usw.) ist nur in Sophos Anti-Virus (ab Version 6) für Windows 2000 und höhere Versionen verfügbar. Bei anderen Versionen bzw. Betriebssystemen sind eventuell weitere Maßnahmen erforderlich. Details können Sie der Bedrohungsanalyse entnehmen.
• Diese Anweisungen benötigen Sie in Sophos Anti-Virus für Windows 2000 (ab Version 7) nur in Ausnahmefällen. In der Regel schafft eine vollständige Systemprüfung mit Bereinigung in Enterprise Console Abhilfe.

Es empfiehlt sich immer, Viren zu desinfizieren, obwohl es auf lange Sicht sicherer ist, die reparierten Dateien durch Sicherungskopien zu ersetzen. Trojaner- und Wurm-Dateien sowie irreparable Virus-infizierte Dateien müssen entfernt werden.

• Manche Viren greifen eine Datei mehrmals an. Stellen Sie sicher, dass Sie die Konsole nicht darauf einstellen, Dateien zu löschen, die möglicherweise desinfiziert wurden.

Verschieben Sie infizierte Computer vorübergehend in eine spezielle "Desinfizierungs"-Gruppe. Führen Sie einen der folgenden Schritte durch:

• Erstellen Sie die Gruppe im Hauptverzeichnis des Konsolenstamms.
• Erstellen Sie die Gruppe als Unterordner einer bestehenden Gruppe.

Ihre Vorgehensweise hängt ganz von der Größe des Netzwerks ab.

Es empfiehlt sich, eine (oder mehrere) gesonderte Desinfizierungs-Antiviren-Richtlinie(n) für die neue Gruppe zu erstellen.

Verfahren Sie zum Erstellen der gesonderten Richtlinie wie folgt: Bearbeiten Sie eine Kopie Ihrer aktuellen Antiviren-Richtlinie und richten Sie eine zeitgesteuerte Überprüfung der infizierten Computer ein.

A. Erstellen der Richtlinie und Vornahme der Überprüfungseinstellungen

1. Erstellen der Richtlinie
   Öffnen Sie Enterprise Console.
   Verfahren Sie zum Erstellen der neuen Richtlinie wie folgt:
   • Rechtsklicken Sie im Feld "Richtlinien" auf die aktuelle Antiviren-Richtlinie.
   • Wählen Sie die Option "Richtlinie kopieren".
   • Geben Sie der Richtlinie die Bezeichnung "Desinfizierung".
   • Rechtsklicken Sie auf die erstellte Desinfizierungsrichtlinie.
   • Wählen Sie die Option "Richtlinie ansehen/bearbeiten".
   • Klicken Sie auf "On-Access-Überprüfung".
   • Stellen Sie sicher, dass im Feld "Verhalten der On-Access-Überprüfung" alle drei Optionen (Beim Lesen, Beim Schreiben, Beim Umbenennen) ausgewählt sind.
   • Klicken Sie auf die Registerkarte "Bereinigung".
   • Wählen Sie die Option "Objekte, die einen Virus/Spyware enthalten, automatisch bereinigen".
   • Stellen Sie sicher, dass die Option "Nichts" ausgewählt ist. (Dateien werden bei einer zeitgesteuerten Überprüfung gelöscht oder verschoben.)
   • Klicken Sie auf "OK".
2. Einstellen einer Überprüfung
   Erstellen Sie dann eine zeitgesteuerte Überprüfung (bzw. Überprüfungen).
   • Klicken Sie im Dialogfeld "Antivirus- und HIPS-Richtlinie - Desinfizierung" unter "Zeitgesteuerte Überprüfung" auf "Hinzufügen".
   • Geben Sie der Überprüfung einen Namen, z.B. "Desinfizierung" und wählen Sie einen Zeitpunkt in nächster Zeit.
   • Klicken Sie auf "Konfigurieren", um die Überprüfungs- und Desinfektionseinstellungen zu ändern.
   • Klicken Sie auf die Registerkarte "Bereinigung".
   • Wählen Sie die gewünschten Desinfizierungsoptionen aus.
     • Desinfizieren Sie die Datei über die Option "Automatische Bereinigung von Objekten, die einen Virus/Spyware enthalten".
     • Wählen Sie zum Entfernen der Dateien die Option "Löschen".
   • Klicken Sie drei Mal auf "OK", um die zeitgesteuerte Überprüfung und die Antiviren-Richtline zu bestätigen.

Hinweis:

• Bei manchen Infketionen sind mehrere zeitgesteuerte Überprüfungen erforderlich. Bei den ersten Überprüfungen werden die Dateien desinfiziert. Bei weiteren Prüfungen werden dann ausstehende infizierte Dateien gelöscht. Hierfür können Sie Überprüfungen mit unterschiedlichen Bezeichnungen (z.B. "Desinfizierung", "Löschen") vorsehen.
• Wenn die Option "Löschen" ausgewählt wurde, werden Dateien automatisch gelöscht. Sie können Ihre Auswahl nicht nochmals bestätigen.
• Alle Computer mit dieser Richtlinie werden in der zeitgesteuerten Überprüfung erfasst.
• Wenn sehr viele Dateien infiziert sind, sind unter Umständen mehrere Desinfizierungsüberprüfungen erforderlich, bevor die verbleibenden Dateien im Rahmen einer gesonderten Überprüfung entfernt werden können.
• Dateien, die vom Betriebssystem eines infizierten Computers gesperrt sind, können nicht extern entfernt werden.
• Eventuell müssen die Computer neu gestartet werden, um die Desinfizierung abschließen zu können.
• Das Entfernen ist nur in der Enterprise Console sichtbar. Der Benutzer sieht dies nicht.

Planen Sie Ihre Überprüfung entsprechend.

B. Ausführen der Überprüfung

Führen Sie die Überprüfung nun durch.

1. Übertragen Sie die Richtlinie auf Ihre neue(n) Gruppe(n).
2. Verschieben Sie infizierte Computer in die neue Gruppe. Die zeitgesteuerte Überprüfung wird zum geplanten Zeitpunkt durchgeführt.
3. Bestimmen Sie nach Abschluss der Überprüfung, ob weitere infizierte Dateien vorhanden sind bzw. Dateien, die durch Sicherheitskopien ersetzt werden sollen.
   • Rechtsklicken Sie auf den Computer und wählen Sie "Computer-Details öffnen".
   • Blättern Sie durch das Protokoll.
   • Ausstehende Virenberichte sind fett hervorgehoben.
     • Befindet sich der Virus auf dem betroffenen Computer, entfernen Sie ihn lokal.
     • Befindet sich der Virus auf einem anderen Computer, muss er von dort entfernt werden.
4. Übertragen Sie nach dem Entfernen aller Viren die ursprüngliche Antiviren-Richtlinie erneut auf Ihre Benutzer und Gruppen.

C. Nach der Desinfizierung

Nachdem Sie die Viren entfernt haben, können Sie die noch ausstehenden Alarme löschen.

1. Rechtsklicken Sie auf den Computer und wählen Sie "Alarme und Fehler bereinigen".
2. Löschen Sie auf der Registerkarte "Alarme" diejenigen, die Sie bearbeitet haben.
3. Nicht erfolgreiche Versuche, Dateien zu entfernen (z.B. auf Remote-Computern), werden auf der Registerkarte "Sophos Anti-Virus-Fehler" aufgeführt. Löschen Sie sie gegebenenfalls.

Jetzt sollten sich keine offenen Viren- oder Fehleralarme mehr in der Konsole befinden.

Verschieben Sie Ihre Computer wieder in die ursprünglichen Gruppen.

Entfernen von Viren mit Enterprise Console

Es empfiehlt sich immer, Viren zu desinfizieren, obwohl es auf lange Sicht sicherer ist, die reparierten Dateien durch Sicherungskopien zu ersetzen. Trojaner- und Wurm-Dateien sowie irreparable Virus-infizierte Dateien müssen entfernt werden.

• Manche Viren greifen eine Datei mehrmals an. Stellen Sie sicher, dass Sie die Konsole nicht darauf einstellen, Dateien zu löschen, die möglicherweise desinfiziert wurden.

Verschieben Sie infizierte Computer vorübergehend in eine "Infektions"-Gruppe. Wenn das Problem sich über weite Bereiche erstreckt, sollten alle vorhandenen Gruppen behandelt werden. Richten Sie anschließend eine zeitnahe zeitgesteuerte Überprüfung ein, die die Viren desinfizieren bzw. entfernen soll.

1. Heben Sie die zu desinfizierende Computergruppe hervor und wählen Sie "SAV-Richtlinie".
2. Klicken Sie im Bereich "Zeitgesteuerte Überprüfung" auf "Hinzufügen".
3. Geben Sie der Überprüfung einen Namen, z.B. "Desinfizierung" und wählen Sie einen Zeitpunkt in nächster Zeit.
4. Klicken Sie auf "Konfigurieren", um die Überprüfungs- und Desinfizierungseinstellungen zu ändern.
5. Klicken Sie auf die Registerkarte "Desinfizieren".
6. Wählen Sie die gewünschten Desinfizierungsoptionen aus.
   • Desinfizieren Sie die Dateien über die Option "Objekte desinfizieren, die einen Virus enthalten".
   • Wählen Sie unter "Andere Vorgänge bei infizierten Dateien" die Option "Löschen", um Dateien zu entfernen.
7. Klicken Sie drei Mal auf "OK", um Ihre zeitgesteuerte Überprüfung zu bestätigen.

Bei manchen Infektionen sind mehrere zeitgesteuerte Überprüfungen erforderlich. Bei den ersten Überprüfungen werden die Dateien desinfiziert. Bei weiteren Prüfungen werden dann ausstehende infizierte Dateien gelöscht. Hierfür können Sie Überprüfungen mit unterschiedlichen Bezeichnungen (z.B. "Desinfektion", "Löschen") vorsehen.

Hinweis:

• Dateien werden automatisch gelöscht. Sie können Ihre Wahl nicht nochmals bestätigen.
• Alle Computer dieser Gruppe werden in der zeitgesteuerten Überprüfung erfasst.
• Wenn sehr viele Dateien infiziert sind, sind unter Umständen mehrere Desinfizierungsüberprüfungen erforderlich, bevor die verbleibenden Dateien entfernt werden können.
• Dateien, die vom Betriebssystem eines infizierten Computers gesperrt sind, können nicht extern entfernt werden.

• Das Entfernen ist nur in der Enterprise Console sichtbar. Der Benutzer sieht dies nicht.

Planen Sie Ihre Überprüfung entsprechend.

Bestimmen Sie nach Abschluss der Überprüfung, ob weitere infizierte Dateien bzw. Dateien, die durch Sicherheitskopien ersetzt werden sollen, vorhanden sind.

1. Rechtsklicken Sie auf den Computer und wählen Sie "Computer-Details öffnen".
2. Blättern Sie durch das Protokoll.
3. Ausstehende Virenberichte sind fett hervorgehoben.
   • Befindet sich der Virus auf dem betroffenen Computer, entfernen Sie ihn lokal.
   • Befindet sich der Virus auf einem anderen Computer, müssen er von dort entfernt werden.
4. Deaktivieren Sie die zeitgesteuerte Überprüfung, sobald alle Viren entfernt wurden.

Nachdem Sie die Viren entfernt haben, können Sie die noch ausstehenden Alarme löschen.

1. Rechtsklicken Sie auf den Computer und wählen Sie "Alarme löschen".
2. Löschen Sie auf der Registerkarte "Virenbenachrichtigungen" diejenigen, die Sie bearbeitet haben.
3. Nicht erfolgreiche Versuche, Dateien zu entfernen (z.B. auf Remote-Computern), werden auf der Registerkarte "Sophos Anti-Virus-Fehler" aufgeführt. Löschen Sie sie gegebenenfalls.

Jetzt sollten sich keine offenen Viren- oder Fehleralarme mehr in der Konsole befinden.

Verschieben Sie die betroffenen Computer wieder in die ursprünglichen Gruppen.