scanactvm

Viren-/Malware-Suchaktionen

Die von OfficeScan durchgeführte Suchaktion hängt vom Viren-/Malware-Typ und dem Suchtyp ab, der den Virus bzw. die Malware entdeckt hat. Sobald OfficeScan beispielsweise bei der manuellen Suche (Suchtyp) einen Trojaner (Viren-/Malware-Typ) entdeckt, wird diese infizierte Datei gesäubert (Aktion).

Informationen über die verschiedenen Viren-/Malware-Typen finden Sie unter Viren und Malware.

Beim Folgenden handelt es sich um Aktionen, die OfficeScan für Viren/Malware durchführen kann:

Viren-/Malware-Suchaktionen

Aktion

Beschreibung

Löschen

OfficeScan löscht die infizierte Datei.

Quarantäne

Die infizierte Datei wird umbenannt und anschließend in den temporären Quarantäne-Ordner auf dem Client unter <Installationsordner des Clients>\Suspect verschoben.

Der OfficeScan Client sendet anschließend die Dateien in der Quarantäne an den vorgesehenen Quarantäne-Ordner. Einzelheiten finden Sie unter Quarantäne-Ordner.

Der Quarantäne-Ordner liegt standardmäßig auf dem OfficeScan Server unter <Installationsordner des Servers>\PCCSRV\Virus. OfficeScan verschlüsselt Dateien in Quarantäne, die an dieses Verzeichnis gesendet wurden.

Mit dem VSEncrypt-Tool können Sie beliebige Dateien in der Quarantäne wiederherstellen. Informationen zur Verwendung des Tools finden Sie unter Server Tuner.

Säubern

OfficeScan säubert die infizierte Datei, bevor es den vollständigen Zugriff erlaubt.

Lässt sich die Datei nicht säubern, führt OfficeScan zusätzlich eine der folgenden Aktionen durch: Quarantäne, Löschen, Umbenennen und Übergehen. Um die zweite Aktion zu konfigurieren, wechseln Sie zu Netzwerkcomputer > Client-Verwaltung > Einstellungen > {Suchtyp} > Aktion.

Diese Aktion kann auf alle Arten von Malware angewendet werden, außer wahrscheinliche Viren/Malware.

Umbenennen

OfficeScan ändert die Erweiterung der infizierten Datei in "vir". Der Benutzer kann die umbenannte Datei erst öffnen, wenn sie mit einer bestimmten Anwendung verknüpft wird.

Beim Öffnen der umbenannten, infizierten Datei wird der Virus/die Malware möglicherweise ausgeführt.

Übergehen

OfficeScan kann diese Suchaktion nur dann durchführen, wenn bei der manuellen Suche, der zeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" ein Viren-Typ entdeckt wird. OfficeScan kann diese Suchaktion während der Echtzeitsuche nicht verwenden. Beim Versuch, eine infizierte Datei zu öffnen oder auszuführen, könnte bei fehlender Suchaktion der Virus oder die Malware ausgeführt werden. Alle anderen Suchaktionen können bei der Echtzeitsuche verwendet werden.

Zugriff verweigern

Diese Suchaktion kann nur bei der Echtzeitsuche durchgeführt werden. Entdeckt OfficeScan einen Versuch, eine inifizierte Datei zu öffnen oder auszuführen, wird dieser Vorgang umgehend gesperrt.

Die infizierte Datei kann manuell gelöscht werden.

ActiveAction verwenden

Unterschiedliche Viren-/Malware-Typen erfordern unterschiedliche Suchaktionen. Unterschiedliche Suchaktionen benutzerdefiniert festzulegen, setzt jedoch grundlegendes Wissen über Viren/Malware voraus und kann äußerst zeitaufwändig sein. OfficeScan verwendet ActiveAction, um diesem Problem entgegenzuwirken.

In ActiveAction sind mehrere bereits vorkonfigurierte Aktionen für die Suche nach Viren/Malware zusammengefasst. ActiveAction sollten Sie verwenden, wenn Sie mit der Konfiguration von Suchaktionen nicht vertraut sind oder nicht genau wissen, welche Suchaktion sich für einen bestimmten Viren-/Malware-Typ am besten eignet.

Welche Vorteile bietet die Verwendung von ActiveAction?

Die folgende Tabelle zeigt, wie ActiveAction mit den jeweiligen Viren-/Malware-Typen verfährt:

Von Trend Micro empfohlene Suchaktionen gegen
Viren und Malware

Viren-/
Malware-Typ

Echtzeitsuche

Manuelle Suche/Zeitgesteuerte Suche/Jetzt durchsuchen

 

Erste Aktion

Zweite Aktion

Erste Aktion

Zweite Aktion

Scherzprogramm

Quarantäne

Löschen

Quarantäne

Löschen

Trojaner

Quarantäne

Löschen

Quarantäne

Löschen

Virus

Säubern

Quarantäne

Säubern

Quarantäne

Testvirus

Zugriff verweigern

n. v.

Übergehen

n. v.

Packer

Quarantäne

n. v.

Quarantäne

n. v.

Andere

Säubern

Quarantäne

Säubern

Quarantäne

Wahrscheinlich Viren/Malware

Zugriff oder Benutzer-
konfigurierte Aktion verweigern

n. v.

Übergehen oder Benutzer-
konfigurierte Aktion

n. v.

Die Standardaktion bei Viren-/Malware-Verdacht ist "Zugriff verweigern" während einer Echtzeitsuche und "Übergehen" während einer manuellen Suche, einer zeitgesteuerten Suche und bei der Funktion "Jetzt durchsuchen". Sind das nicht Ihre bevorzugten Aktionen, können Sie sie ändern in Quarantäne, Löschen oder Umbenennen.

Gleiche Aktion für alle Arten von Viren/Malware

Wählen Sie diese Option, wenn dieselbe Aktion auf alle Viren-/Malware-Typen ausgeführt werden soll, außer bei Viren-/Malware-Verdacht. Wenn Sie "Säubern" als erste Aktion auswählen, wählen Sie eine zweite Aktion, die OfficeScan ausführt, wenn die Säuberung nicht erfolgreich verläuft. Wenn es sich bei der ersten Aktion nicht um "Säubern" handelt, kann keine zweite Aktion konfiguriert werden.

Wenn Sie als erste Aktion "Säubern" wählen, führt OfficeScan die zweite Aktion durch, wenn mögliche Viren/Malware entdeckt werden.

Bestimmte Aktion für jede Art von Viren/Malware

Wählen Sie manuell eine Suchaktion für jeden Viren-/Malware-Typ aus.

Für alle Arten von Viren/Malware sind alle Suchaktionen verfügbar, außer für mögliche Viren/Malware. Wenn Sie "Säubern" als erste Aktion auswählen, wählen Sie eine zweite Aktion, die OfficeScan ausführt, wenn die Säuberung nicht erfolgreich verläuft. Wenn es sich bei der ersten Aktion nicht um "Säubern" handelt, kann keine zweite Aktion konfiguriert werden.

Für mögliche Viren/Malware sind alle Suchaktionen außer "Säubern" verfügbar.

Quarantäne-Ordner

Wenn es sich bei der Aktion für eine infizierte Datei um "Quarantäne" handelt, wird die Datei vom OfficeScan Client verschlüsselt und in den temporären Quarantäne-Ordner verschoben, die sich im Ordner <Installationsordner des Servers>\SUSPECT befindet. Anschließend wird die Datei in den vorgesehenen Quarantäne-Ordner verschoben.

Übernehmen Sie den Quarantäne-Ordner, der sich standardmäßig auf dem OfficeScan Server-Computer befindet. Das Verzeichnis ist im URL-Format und enthält den Host-Namen oder die IP-Adresse des Servers.

Sie können auch einen alternativen Quarantäne-Ordner festlegen, indem Sie den Speicherort als URL, UNC-Pfad oder absoluten Dateipfad eingeben. Clients sollten eine Verbindung zu diesem alternativen Verzeichnis aufbauchen können. Das alternative Verzeichnis sollte beispielsweise eine IPv6-Adresse haben, wenn es Quarantäne-Dateien von den Dual-Stack-Clients und den reinen IPv6 Clients empfangen soll. Trend Micro empfiehlt die Benennung eines alternativen Dual-Stack-Verzeichnisses, die Identifizierung des Verzeichnisses nach seinem Host-Namen und die Verwendung eines UNC-Pfads bei Eingabe des Verzeichnisses.

In der folgenden Tabelle finden Sie eine Anleitung zur Verwendung von URLs, UNC-Pfaden oder absoluten Dateipfaden:

Quarantäne-Ordner

Quarantäne-Ordner

Kompatibles Format

Beispiel

Hinweise

Ein Verzeichnis auf dem OfficeScan Server-Computer

URL

http://
<osceserver
>

Dabei handelt es sich um das Standardverzeichnis.

Sie können die Einstellungen für dieses Verzeichnis konfigurieren, z. B. die Größe des Quarantäne-Ordners. Einzelheiten finden Sie unter Quarantäne-Manager.

UNC-Pfad

\\<osceserver>\
ofcscan\Virus

Ein Verzeichnis auf einem anderen OfficeScan Server-Computer (falls sich in Ihrem Netzwerk andere OfficeScan Server befinden)

URL

 

http://
<osceserver2>

 

Vergewissern Sie sich, dass Clients eine Verbindung zu diesem Verzeichnis aufbauen können. Bei Angabe eines ungültigen Ordners behält der OfficeScan Client die unter Quarantäne gestellten Dateien im Ordner SUSPECT, bis ein gültiger Quarantäne-Ordner angegeben wird. Im Viren-/Malware-Protokoll des Servers lautet das Suchergebnis "Die Datei konnte nicht in den vorgesehenen Quarantäne-Ordner verschoben werden".

Wenn Sie einen UNC-Pfad verwenden, stellen Sie sicher, dass der Quarantäne-Ordner für die Gruppe "Alle" freigegeben ist und dass Sie dieser Gruppe Lese- und Schreibberechtigungen zugewiesen haben.

UNC-Pfad

\\<osceserver2>\
ofcscan\Virus

Anderer Computer im Netzwerk

UNC-Pfad

\\<computer_
name>\temp

Ein anderes Verzeichnis auf dem Client-Computer

Absoluter Pfad

C:\temp

Dateien vor dem Säubern sichern

Wenn OfficeScan so konfiguriert ist, dass eine infizierte Datei gesäubert werden soll, kann zunächst eine Datensicherung der Datei erstellt werden. Auf diese Weise können Sie die Datei wiederherstellen, falls Sie sie zu einem späteren Zeitpunkt benötigen. OfficeScan verschlüsselt die Sicherungsdatei, um zu verhindern, dass sie geöffnet werden kann, und sichert die Datei anschließend im Ordner <Installationsordner des Clients>\Backup.

Informationen zur Wiederherstellung verschlüsselter Sicherungsdateien finden Sie unter Verschlüsselte Dateien wiederherstellen.

Damage Cleanup Services

Damage Cleanup Services beseitigt dateibasierte und Netzwerkviren sowie Überreste von Viren und Würmern (Trojanern, Registrierungseinträgen, Virendateien) auf Computern.

Je nach Suchtyp löst der Client Damage Cleanup Services vor oder nach der Viren-/Malware-Suche aus.

Sie können den Cleanup-Typ auswählen, den Damage Cleanup Services durchführt:

Damage Cleanup Services führt kein Cleanup bei Viren-/Malware-Verdacht durch, außer Sie wählen die Option Cleanup bei Viren-/Malware-Verdacht durchführen. Sie können diese Option nur auswählen, wenn die Aktion bei Viren-/Malware-Verdacht nicht Übergehen oder Zugriff verweigern ist. Wenn der Client beispielsweise mögliche Viren/Malware während der Echtzeitsuche entdeckt und die Aktion Quarantäne gewählt wurde, verschiebt der Client die infizierte Datei zuerst in den Quarantäne-Ordner und führt dann das erforderliche Cleanup durch. Die Wahl des entsprechenden Cleanup-Typs (Standard oder erweitert) ist Ihnen überlassen.

Bei Viren-/Malware-Fund Benachrichtigung anzeigen

Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche Viren/Malware erkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer über die Löschung informiert.

Um die Benachrichtigung zu ändern, navigieren Sie zu Benachrichtigungen >Benutzerbenachrichtigungen > Registerkarte "Viren/Malware".

Bei Viren-/Malware-Verdacht Benachrichtigung anzeigen

Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche mögliche Viren/Malware erkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer über die Löschung informiert.

Um die Benachrichtigung zu ändern, navigieren Sie zu Benachrichtigungen >Benutzerbenachrichtigungen > Registerkarte "Viren/Malware".

Siehe auch: