scanactvm
Die von OfficeScan durchgeführte Suchaktion hängt vom Viren-/Malware-Typ und dem Suchtyp ab, der den Virus bzw. die Malware entdeckt hat. Sobald OfficeScan beispielsweise bei der manuellen Suche (Suchtyp) einen Trojaner (Viren-/Malware-Typ) entdeckt, wird diese infizierte Datei gesäubert (Aktion).
Informationen über die verschiedenen Viren-/Malware-Typen finden Sie unter Viren und Malware.
Beim Folgenden handelt es sich um Aktionen, die OfficeScan für Viren/Malware durchführen kann:
|
Aktion |
Beschreibung |
|
OfficeScan löscht die infizierte Datei. |
|
|
Die infizierte Datei wird umbenannt und anschließend in den temporären Quarantäne-Ordner auf dem Client unter <Installationsordner des Clients>\Suspect verschoben. Der OfficeScan Client sendet anschließend die Dateien in der Quarantäne an den vorgesehenen Quarantäne-Ordner. Einzelheiten finden Sie unter Quarantäne-Ordner. Der Quarantäne-Ordner liegt standardmäßig auf dem OfficeScan Server unter <Installationsordner des Servers>\PCCSRV\Virus. OfficeScan verschlüsselt Dateien in Quarantäne, die an dieses Verzeichnis gesendet wurden. Mit dem VSEncrypt-Tool können Sie beliebige Dateien in der Quarantäne wiederherstellen. Informationen zur Verwendung des Tools finden Sie unter Server Tuner. |
|
|
OfficeScan säubert die infizierte Datei, bevor es den vollständigen Zugriff erlaubt. Lässt sich die Datei nicht säubern, führt OfficeScan zusätzlich eine der folgenden Aktionen durch: Quarantäne, Löschen, Umbenennen und Übergehen. Um die zweite Aktion zu konfigurieren, wechseln Sie zu Netzwerkcomputer > Client-Verwaltung > Einstellungen > {Suchtyp} > Aktion. Diese Aktion kann auf alle Arten von Malware angewendet werden, außer wahrscheinliche Viren/Malware. |
|
|
OfficeScan ändert die Erweiterung der infizierten Datei in "vir". Der Benutzer kann die umbenannte Datei erst öffnen, wenn sie mit einer bestimmten Anwendung verknüpft wird. Beim Öffnen der umbenannten, infizierten Datei wird der Virus/die Malware möglicherweise ausgeführt. |
|
|
OfficeScan kann diese Suchaktion nur dann durchführen, wenn bei der manuellen Suche, der zeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" ein Viren-Typ entdeckt wird. OfficeScan kann diese Suchaktion während der Echtzeitsuche nicht verwenden. Beim Versuch, eine infizierte Datei zu öffnen oder auszuführen, könnte bei fehlender Suchaktion der Virus oder die Malware ausgeführt werden. Alle anderen Suchaktionen können bei der Echtzeitsuche verwendet werden. |
|
|
Diese Suchaktion kann nur bei der Echtzeitsuche durchgeführt werden. Entdeckt OfficeScan einen Versuch, eine inifizierte Datei zu öffnen oder auszuführen, wird dieser Vorgang umgehend gesperrt. Die infizierte Datei kann manuell gelöscht werden. |
Unterschiedliche Viren-/Malware-Typen erfordern unterschiedliche Suchaktionen. Unterschiedliche Suchaktionen benutzerdefiniert festzulegen, setzt jedoch grundlegendes Wissen über Viren/Malware voraus und kann äußerst zeitaufwändig sein. OfficeScan verwendet ActiveAction, um diesem Problem entgegenzuwirken.
In ActiveAction sind mehrere bereits vorkonfigurierte Aktionen für die Suche nach Viren/Malware zusammengefasst. ActiveAction sollten Sie verwenden, wenn Sie mit der Konfiguration von Suchaktionen nicht vertraut sind oder nicht genau wissen, welche Suchaktion sich für einen bestimmten Viren-/Malware-Typ am besten eignet.
Welche Vorteile bietet die Verwendung von ActiveAction?
ActiveAction verwendet von Trend Micro empfohlene Suchaktionen. Der zeitliche Aufwand für die Konfiguration der Suchaktionen entfällt dadurch.
Die Angriffsstrategien der Viren/Malware ändern sich permanent. Die ActiveAction Einstellungen werden aktualisiert, um vor den neuesten Bedrohungen und Methoden von Viren-/Malware-Angriffen zu schützen.
ActiveAction ist nicht für die Suche nach Spyware/Grayware verfügbar.
Die folgende Tabelle zeigt, wie ActiveAction mit den jeweiligen Viren-/Malware-Typen verfährt:
|
Von Trend Micro empfohlene Suchaktionen gegen |
|
Viren-/ |
Echtzeitsuche |
Manuelle Suche/Zeitgesteuerte Suche/Jetzt durchsuchen |
||
|
|
Erste Aktion |
Zweite Aktion |
Erste Aktion |
Zweite Aktion |
|
Scherzprogramm |
Quarantäne |
Löschen |
Quarantäne |
Löschen |
|
Trojaner |
Quarantäne |
Löschen |
Quarantäne |
Löschen |
|
Virus |
Säubern |
Quarantäne |
Säubern |
Quarantäne |
|
Testvirus |
Zugriff verweigern |
n. v. |
Übergehen |
n. v. |
|
Packer |
Quarantäne |
n. v. |
Quarantäne |
n. v. |
|
Andere |
Säubern |
Quarantäne |
Säubern |
Quarantäne |
|
Wahrscheinlich Viren/Malware |
Zugriff oder Benutzer- |
n. v. |
Übergehen oder Benutzer- |
n. v. |
Die Standardaktion bei Viren-/Malware-Verdacht ist "Zugriff verweigern" während einer Echtzeitsuche und "Übergehen" während einer manuellen Suche, einer zeitgesteuerten Suche und bei der Funktion "Jetzt durchsuchen". Sind das nicht Ihre bevorzugten Aktionen, können Sie sie ändern in Quarantäne, Löschen oder Umbenennen.
Wählen Sie diese Option, wenn dieselbe Aktion auf alle Viren-/Malware-Typen ausgeführt werden soll, außer bei Viren-/Malware-Verdacht. Wenn Sie "Säubern" als erste Aktion auswählen, wählen Sie eine zweite Aktion, die OfficeScan ausführt, wenn die Säuberung nicht erfolgreich verläuft. Wenn es sich bei der ersten Aktion nicht um "Säubern" handelt, kann keine zweite Aktion konfiguriert werden.
Wenn Sie als erste Aktion "Säubern" wählen, führt OfficeScan die zweite Aktion durch, wenn mögliche Viren/Malware entdeckt werden.
Wählen Sie manuell eine Suchaktion für jeden Viren-/Malware-Typ aus.
Für alle Arten von Viren/Malware sind alle Suchaktionen verfügbar, außer für mögliche Viren/Malware. Wenn Sie "Säubern" als erste Aktion auswählen, wählen Sie eine zweite Aktion, die OfficeScan ausführt, wenn die Säuberung nicht erfolgreich verläuft. Wenn es sich bei der ersten Aktion nicht um "Säubern" handelt, kann keine zweite Aktion konfiguriert werden.
Für mögliche Viren/Malware sind alle Suchaktionen außer "Säubern" verfügbar.
Wenn es sich bei der Aktion für eine infizierte Datei um "Quarantäne" handelt, wird die Datei vom OfficeScan Client verschlüsselt und in den temporären Quarantäne-Ordner verschoben, die sich im Ordner <Installationsordner des Servers>\SUSPECT befindet. Anschließend wird die Datei in den vorgesehenen Quarantäne-Ordner verschoben.
Sie können die verschlüsselten Dateien in der Quarantäne wiederherstellen, falls Sie zu einem späteren Zeitpunkt darauf zugreifen möchten. Einzelheiten finden Sie unter Verschlüsselte Dateien wiederherstellen.
Übernehmen Sie den Quarantäne-Ordner, der sich standardmäßig auf dem OfficeScan Server-Computer befindet. Das Verzeichnis ist im URL-Format und enthält den Host-Namen oder die IP-Adresse des Servers.
Verwaltet der Server sowohl IPv4 als auch IPv6 Clients, verwenden Sie den Host-Namen, damit alle Clients Quarantäne-Ordner an den Server senden können.
Hat der Server nur eine IPv4 Adresse oder wird über sie identifiziert, können nur reine IPv4- und Dual-Stack-Clients Quarantäne-Dateien an den Server senden.
Hat der Server nur eine IPv6 Adresse oder wird über sie identifiziert, können nur reine IPv6- und Dual-Stack-Clients Quarantäne-Dateien an den Server senden.
Sie können auch einen alternativen Quarantäne-Ordner festlegen, indem Sie den Speicherort als URL, UNC-Pfad oder absoluten Dateipfad eingeben. Clients sollten eine Verbindung zu diesem alternativen Verzeichnis aufbauchen können. Das alternative Verzeichnis sollte beispielsweise eine IPv6-Adresse haben, wenn es Quarantäne-Dateien von den Dual-Stack-Clients und den reinen IPv6 Clients empfangen soll. Trend Micro empfiehlt die Benennung eines alternativen Dual-Stack-Verzeichnisses, die Identifizierung des Verzeichnisses nach seinem Host-Namen und die Verwendung eines UNC-Pfads bei Eingabe des Verzeichnisses.
In der folgenden Tabelle finden Sie eine Anleitung zur Verwendung von URLs, UNC-Pfaden oder absoluten Dateipfaden:
|
Quarantäne-Ordner |
|
Quarantäne-Ordner |
Kompatibles Format |
Beispiel |
Hinweise |
|
Ein Verzeichnis auf dem OfficeScan Server-Computer |
URL |
http:// |
Dabei handelt es sich um das Standardverzeichnis. Sie können die Einstellungen für dieses Verzeichnis konfigurieren, z. B. die Größe des Quarantäne-Ordners. Einzelheiten finden Sie unter Quarantäne-Manager. |
|
UNC-Pfad |
\\<osceserver>\ |
||
|
Ein Verzeichnis auf einem anderen OfficeScan Server-Computer (falls sich in Ihrem Netzwerk andere OfficeScan Server befinden) |
URL
|
http://
|
Vergewissern Sie sich, dass Clients eine Verbindung zu diesem Verzeichnis aufbauen können. Bei Angabe eines ungültigen Ordners behält der OfficeScan Client die unter Quarantäne gestellten Dateien im Ordner SUSPECT, bis ein gültiger Quarantäne-Ordner angegeben wird. Im Viren-/Malware-Protokoll des Servers lautet das Suchergebnis "Die Datei konnte nicht in den vorgesehenen Quarantäne-Ordner verschoben werden". Wenn Sie einen UNC-Pfad verwenden, stellen Sie sicher, dass der Quarantäne-Ordner für die Gruppe "Alle" freigegeben ist und dass Sie dieser Gruppe Lese- und Schreibberechtigungen zugewiesen haben. |
|
UNC-Pfad |
\\<osceserver2>\ |
||
|
Anderer Computer im Netzwerk |
UNC-Pfad |
\\<computer_ |
|
|
Ein anderes Verzeichnis auf dem Client-Computer |
Absoluter Pfad |
C:\temp |
Wenn OfficeScan so konfiguriert ist, dass eine infizierte Datei gesäubert werden soll, kann zunächst eine Datensicherung der Datei erstellt werden. Auf diese Weise können Sie die Datei wiederherstellen, falls Sie sie zu einem späteren Zeitpunkt benötigen. OfficeScan verschlüsselt die Sicherungsdatei, um zu verhindern, dass sie geöffnet werden kann, und sichert die Datei anschließend im Ordner <Installationsordner des Clients>\Backup.
Informationen zur Wiederherstellung verschlüsselter Sicherungsdateien finden Sie unter Verschlüsselte Dateien wiederherstellen.
Damage Cleanup Services beseitigt dateibasierte und Netzwerkviren sowie Überreste von Viren und Würmern (Trojanern, Registrierungseinträgen, Virendateien) auf Computern.
Je nach Suchtyp löst der Client Damage Cleanup Services vor oder nach der Viren-/Malware-Suche aus.
Während einer manuellen Suche, einer zeitgesteuerten Suche oder der Funktion "Jetzt durchsuchen" löst der Client Damage Cleanup Services zuerst aus und fährt anschließend mit der Viren-/Malware-Suche fort. Während der Viren-/Malware-Suche löst der Client möglicherweiser Damage Cleanup Services nochmals aus, wenn ein Cleanup erforderlich sein sollte.
Während der Echtzeit-Suche führt der Client zuerst die Viren-/Malware-Suche durch und löst dann Damage Cleanup Services aus, wenn ein Cleanup erforderlich sein sollte.
Sie können den Cleanup-Typ auswählen, den Damage Cleanup Services durchführt:
Standard-Cleanup: Der Client führt jede der folgenden Aktionen während eines Standard-Cleanups durch:
Entdeckt und entfernt aktive Trojaner
Beendet durch Trojaner ausgelöste Prozesse
Repariert von Trojanern geänderte Systemdateien
Löscht von Trojanern hinterlassene Dateien und Anwendungen
Erweitertes Cleanup: Außer den Standard-Cleanup-Aktionen, beendet der Client Aktivitäten, die von einer bösartigen Sicherheitssoftware, auch bekannt als FakeAV, ausführt werden. Der Client setzt ebenfalls erweiterte Cleanup-Regeln zur proaktiven Erkennung und zum Beenden von Anwendungen ein, die ein FakeAV-Verhalten zeigen.
Das erweiterte Cleanup bietet zwar proaktiven Schutz, löst aber auch viele Fehlalarme aus.
Damage Cleanup Services führt kein Cleanup bei Viren-/Malware-Verdacht durch, außer Sie wählen die Option Cleanup bei Viren-/Malware-Verdacht durchführen. Sie können diese Option nur auswählen, wenn die Aktion bei Viren-/Malware-Verdacht nicht Übergehen oder Zugriff verweigern ist. Wenn der Client beispielsweise mögliche Viren/Malware während der Echtzeitsuche entdeckt und die Aktion Quarantäne gewählt wurde, verschiebt der Client die infizierte Datei zuerst in den Quarantäne-Ordner und führt dann das erforderliche Cleanup durch. Die Wahl des entsprechenden Cleanup-Typs (Standard oder erweitert) ist Ihnen überlassen.
Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche Viren/Malware erkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer über die Löschung informiert.
Um die Benachrichtigung zu ändern, navigieren Sie zu Benachrichtigungen >Benutzerbenachrichtigungen > Registerkarte "Viren/Malware".
Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche mögliche Viren/Malware erkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer über die Löschung informiert.
Um die Benachrichtigung zu ändern, navigieren Sie zu Benachrichtigungen >Benutzerbenachrichtigungen > Registerkarte "Viren/Malware".
Siehe auch: