Jump to content
Sign in to follow this  
martin.eichhorn

Kein Löschen bei Tasks

Recommended Posts

Hallo,

 

wir haben folgendes Problem: Vor kurzem ist es vorgekommen, dass unser Virenscanner auf unserem Fileserver die PST-Datei (Mail-Archiv von Outlook) aufgrund eines "verdächtigen Objekts" vollständig gelöscht hat. Im Ereignis-Protokoll wurden für den manuell angelegten Task "System-Scan" zwei Warnungen geloggt. Einmal wird die PST-Datei des Benutzers angemeckert (mit vollständniger Angabe der infizierten eMail: Virus Trojan-Spy.HTML.Fraud.gen) und einmal, dass die komplette PST-Datei gelöscht wurde.

 

Wir haben alle Einstellungen noch einmal gecheckt (Globale + lokale Tasks, Richtlinien). Überall steht, dass verdächtige oder infizerte Objekte maximal in die Quarantäne verschoben werden sollen. Nicht aber, dass sie gelöscht werden sollen.

 

Zumal ist es das erste mal, dass die komplette PST gelöscht wurde. Ansonsten wurde entweder (wie angegeben) eine Nachricht verschickt oder das infizierte Objekt wurde aus der PST-Datei gelöscht.

 

Wo könnte sich die Einstellung versteckt haben? Wie kam es zu diesem Fehler? Nirgendwo steht etwas von löschen (der kompletten PST-Datei).

 

Unsere KAV-Produkte:

- Kaspersky Administration Kit: 5.0.1151

- Kaspersky Anti-Virus 5.0 für Windows File Server: 5.0.77

- Kaspersky Administrationagent: 5.0.1152

 

Vielen Dank im Voraus.

 

Mit freundlichen Grüßen

 

M. Eichhorn

 

Share this post


Link to post

Ergänzung: Irgendwie muss sich das ja doch in den Richtlinien verstecken.

 

Es ist momentan schon zwei mal vorgekommen. Einmal bei dem manuell angelegten globalen Task "System-Scan" und einmal bei dem automatisch generierten lokalen Task "Untersuchung Meines Computers". Ich finde leider nur nicht den entsprechenden "Haken".

 

Mit freundlichen Grüßen

 

M. Eichhorn

Share this post


Link to post

Um die Suche einzugrenzen, setzt den lokalen Task auf manuell. Dann mußt Du nur an einer Stelle suchen.

 

Was hast Du in der Richtlinie unter dem Reiter "Scan auf Befekl" unter Aktion eingestellt?

 

Share this post


Link to post

Der lokale Task "Untersuchung meines Computers" ist bereits auf manuell gestellt. Das Löschen der PST-Dateien betrifft daher momentan nur den manuell angelegten globalen Server-Task, der jeden Samstag gestartet wird.

 

Allerdings ist/war auch der lokale Task "Untersuchung meines Computers" davon betroffen. Daher scheint es doch eher ein Richtlinienproblem zu sein...

 

Mittlerweile sind weitere PST-Dateien betroffen.

 

Alle Einstellungen und Richtlinien wurden noch einmal überprüft. Überall ist maximal eine Protokollierung des Vorfalls oder das Verschieben in die Quarantäne angegeben.

 

Merkwürdig ist, dass es sich (laut dem Log-File) nicht um infizierte Objekte, sondern lediglich um "verdächtige Objekte" in der PST-Datei handelt. Für diese Option wurde ebenfalls die Einstellung "Nur Protokollieren" gesetzt und trotzdem verschwindet die komplette PST-Datei!

 

Den Punkt Scan auf Befehl gibt es nicht in den Richtlinien für die Fileserver.

 

Ansonsten befinden sich in den Einstellungen für die Aktionen max. das Protokollieren des Vorfalls.

Share this post


Link to post

Kaspersky legt immer eine Kopie der gelöschten Datei im lokalen Backup Folder an wink.gif

Share this post


Link to post
Kaspersky legt immer eine Kopie der gelöschten Datei im lokalen Backup Folder an

Dem ist leider nicht (immer) so. Jedenfalls befinden sich gelöschten PST-Files nicht im Backup-Bereich.

Die Einstellungen hierfür sind aber korrekt: Aufbewahrungsfrist beträgt 90 Tage und es gibt keine Größenbeschränkung. Genug Speicherplatz steht dem Server zur Vefügung.

 

Hier ein Auszug aus dem Log-File für die besagten Dateien:

 

Samstag, 11. August 2007 14:30:28

Warnung Verdächtiges Objekt gefunden

Objekt F:\xxx\mail\postfach.pst/Wenkes Lokales Postfach/Junk-E-Mail/08 Aug 2007 11:31 from ebay.de:Nachricht wurde desinfiziert : ##.html enthält eventuell einen Virus  Trojan-Spy.HTML.Fraud.gen

 

Samstag, 11. August 2007 14:30:28

Warnung Verdächtiges Objekt gefunden

Objekt F:\xxx\mail\postfach.pst enthält eventuell einen Virus  Trojan-Spy.HTML.Fraud.gen

 

Samstag, 11. August 2007 14:31:19

Warnung Objekt wurde gelöscht

Objekt F:\xxx\mail\postfach.pst wurde gelöscht

Mir ist das ganze immer noch schleierhaft, wieso er die komplette PST-Datei löscht. Wenn überhaupt, dann bitte nur das jeweilige Objekt bzw. die infizierte/verdächtige eMail.

 

Da sowohl der globale Task für alle Server und die lokalen Tasks von dem problem betroffen sind, vermute ich nach wie vor das es an den Richtlinien liegt.

Ich habe die Server-Richtlinien einmal mit angehangen. Es wäre schön, wenn sich das jemand angucken könnte, um den Fehler nachzuvollziehen. Vielen Dank!

 

Anmerkung: Die Datei server_scan.klp.txt muss umbenannt werden in server_scan.klp

server_scan.klp.txt

Edited by martin.eichhorn

Share this post


Link to post

Hallo Martin,

 

generell wird immer ein Backup einer Datei angelegt, bevor eine Desinfektion oder die Datei gelöscht wird.

 

Der Scanner sieht eine Mail in einer PST-Datei immer als Teil der Datei an und kann daher nicht die infizierte Mail löschen sondern löscht die gesammte Datei.

 

In der Richtlinie hast Du kein Quarantäne oder Backup-Verzeichnis eingetragen.

 

Der "Scan auf Befehl" heisst in der Richtlinie "Benutzerdefinierte Untersuchung"

Share this post


Link to post

Hallo Helmut,

 

vielen Dank für die schnelle Antwort.

 

In der Richtlinie hast Du kein Quarantäne oder Backup-Verzeichnis eingetragen.

Die beiden Verzeichnisse Backup und Quarantäne waren bei mir aber merkwürdigerweise unter Server-X > Anwendungen > Kaspersky Anti-Virus 5.0 for Windows File Server > Quarantäne/Backup vorhanden. Der dort eingetragenen Pfade lauteten: "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\KAV for File Servers\5.0\Quarantine" bzw. "...\Backup"!

 

Ich habe die Einstellung soeben für die Richtlinie nachgetragen bzw. um zwei vernünftige Verzeichnisse ergänzt. Nach Übernahme der Richtlinie wurden die Verzeichnisse auch korrekt angezeigt.

 

Der Scan läuft am Samstag durch. Mal sehen ob das was gebracht hat, dass man zumindestens die gelöschten Dateiem wiederherstellen kann.

 

Der Scanner sieht eine Mail in einer PST-Datei immer als Teil der Datei an und kann daher nicht die infizierte Mail löschen sondern löscht die gesammte Datei.

Bei einer PST-Datei handelt es sich um nichts weiter als um ein komprimiertes Verzeichnis (ähnlich wie .zip). Was mir aber trotzdem unverständlich bleibt ist die Tatsache, dass bisher alle anderen infizierten PST-Files nicht gelöscht worden sind, sondern der Befall eben nur protokolliert wurde.

Share this post


Link to post

Hallo,

 

diesmal wurde das Objekt nicht gelöscht, sondern nur in die Quarantäne gestellt.

 

Eventuell könnte man das Problem andersweitig umgehen.

 

Ich würde gerne in unseren System-Scan (manuell angelegter Task / benutzerdefinierte Suche) die PST-Dateien ausschließen und für die Mail-Archive einen seperaten Task anlegen wollen, der wiederum ausschließlich nur die PST-Dateien scannt und die Ergebnisse nur protokolliert.

 

Ist dies möglich? Wo kann ich KAV angeben, dass wirklich nur PST-Dateien auf Laufwerk X:\ gescannt werden?

Edited by martin.eichhorn

Share this post


Link to post

Hallo Martin,

 

Du kannst erstmal in der Richtlinie den Haken bei Mailformatdateien rausnehmen. Den Punkt hast Du zusätzlich aktiviert.

 

Dann erstellst Du einen neuen Task wo Du nur die Maildatenbanken auswählst.

Share this post


Link to post

Hallo Helmut,

 

vielen Dank für deine Antwort. Das war nämlich genau das, was ich wissen wollte: ob PST-Dateien zu dem Punkt "Maildatenbanken" oder "Dateien im E-Mail-Format" zählen.

 

Ein Ausschluss von *.PST-Dateien in der ursprünglichen Richtlinie ist also nicht zusätzlich nötig?

Share this post


Link to post

Wenn Du in der Richtlinie die *.PST vom Scan ausnimmst, greift dies auch in dem Task für die Maildatenbanken. Es gibt ja noch weitere Extentions für Maildateien.

Share this post


Link to post
Wenn Du in der Richtlinie die *.PST vom Scan ausnimmst, greift dies auch in dem Task für die Maildatenbanken. Es gibt ja noch weitere Extentions für Maildateien.

Das ist mir schon klar. :-)

 

Habe jetzt einen seperaten (lokalen) Task für den Fileserver eingerichtet. Leider habe ich es noch nicht geschafft die Benachrichtigung via eMail für gefundene Objekte einzurichten. Unter Task > Benachrichtigungen > Über Ereignisse benachrichtigen ("Über alle Ereignisse" oder "Über Fehler").

 

Habe den Task mal auf ein Verzeichnis mit einer infizierten PST-Datei los gelassen. Ich erhalte maximal eine Benachrichtigung, dass der Task erfolgreich durchgelaufen ist. Nur im Event-Log (Ergebnisse) kann ich genau sehen, welche Objekte er gefunden hat.

 

Gibt es eine Möglichkeit, dass dies gleich per eMail versand wird?

 

Ich möchte nun nicht die Meldung (Typ: Warnung; Beschreibung: Verdächtiges Objekt gefunden) generell in den Richtlinien für alle Server verankern. Dies soll maximal für den einen Fileserver und auch nur für den Task zum Scannen der PST-Files eingestellt werden.

Share this post


Link to post

Hallo Martin,

 

Du kannst im Task unter dem Reiter Benachrichtigung einstellen, das eine Email beim Virenfund an eine bestimmte Adresse geschickt wird.

 

Warum steigst Du nicht auf die 6er um?

Share this post


Link to post
Du kannst im Task unter dem Reiter Benachrichtigung einstellen, das eine Email beim Virenfund an eine bestimmte Adresse geschickt wird.

Finde ich leider nicht. (siehe Screenshot)

 

Warum steigst Du nicht auf die 6er um?

Ich bin bei solchen Updates immer etwas vorsichtig. Wenn die Software gerade mal (nach reichlicher Konfiguration) stabil läuft, gibt es für mich keinen Grund wieder umzusteigen. Des Weiteren haben wir von KASPERSKY keinerlei Informationen darüber erhalten. Entstehen uns als Business-Customer für das "Update" weitere Kosten? Wo liegen die Vorteile?

post-33008-1188890487.gif

Share this post


Link to post

Hab die 5er hier schon lange nicht mehr am laufen, daher nicht alle Optionen mehr im Gedächnis.

 

Aber tl. Screenshot ist es der richtige Punkt.

 

Nein, es entstehen keine weiteren Kosten. Du kannst während der Laufzeit der Lizenz jederzeit auf die aktuelle Version updaten.

 

Es sind einige Verbesserungen in der 6er gegenüber der 5er.

Share this post


Link to post
Nein, es entstehen keine weiteren Kosten. Du kannst während der Laufzeit der Lizenz jederzeit auf die aktuelle Version updaten.

Hmmm...eventuell werde ich bei Gelegenheit das Update durchführen.

 

Ist denn überhaupt ein Update möglich, also ohne Deinstallation der alten Versionen? Oder muss das Produkt komplett deinstalliert, neuinstalliert und auch neukonfiguriert werden? Wie sieht es mit den Clients (Workstations) aus? Und wie stehts mit der Kompatibilität zwischen der 5er und 6er-Version (Sprich: Server mit Version 6.0 und Clients teilweise mit Version 5.0)? Unterstützt der Administrations-Server die unterschiedlichen Versionen?

 

Vielen Dank noch einmal für die Hilfe.

Share this post


Link to post

Man kann drüberinstallieren, ist aber nicht zu empfehlen.

 

Ja, es werden beide Versionen im 6er AdminKit unterstützt.

 

Am besten so vorgehen.

 

Datensicherung des Adminservers wie unter beschrieben

 

Neues AdminKit installieren.

 

Gruppen für die 6er Clients und 5er Clients erstellen.

 

Tasks zur Deinstallation erstellen.

Installationspakete erstellen und installieren.

 

 

Richtlinie kann nicht von der 5er auf die 6er übernommen werden.

Share this post


Link to post
Richtlinien können nicht von der 5er auf die 6er übernommen werden.

Auch nicht via Export als *.klp-Datei? Das wäre natürlich ein recht hoher Aufwand, da wir so einige Richtlinien eingerichtet haben (Server, Workstations, Notebooks, etc.).

 

Aber ich denke wir werden das Update demnächst durchführen.

 

Nochmals vielen Dank für die Hilfe!

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.