Home » Viren, Trojaner & Malware Forum » AntiVirenKit Client/Server (AVK) Erfahrungen » Themenansicht
AntiVirenKit Client/Server (AVK) Erfahrungen |
||
|---|---|---|
| #0
| ||
|
06.11.2003, 11:19
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
06.11.2003, 22:08
Member
Beiträge: 813 |
#2
Eigentlich sollte der AVK-Wächter wenigstens nach dem System-Start einmal alle Dateien, die gerade als Prozess aktiv sind, scannen - so machen dass afaik die meisten AV-Scanner.
Der Wächter wird als Dienst gestartet... bin mir aber nicht ganz sicher, ob andere Startmethoden (z.B. die run-Schlüssel der Registry) grundsätzlich früher oder später aktiv werden... Jedenfalls sollte imho der Wächter in der Lage sein, den Schädling zu finden und zu entfernen, _sofern_ der Wächter völlig intakt ist... und gerade hier könnte das Problem liegen: 'Elkern' kam ursprünglich in Verbindung mit dem Wurm 'Klez', und dieser besagte Klez deaktiviert/beschädigt/zerstört viele AV-Installationen...: http://securityresponse.symantec.com/avcenter/venc/data/w32.elkern.4926.html http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.h@mm.html Könnte also sein, dass der AVK-Wächter auf dem infizierten Client gar nicht mehr vernünftig läuft, und daher den Elkern-Virus nicht stoppen kann. Vielleicht solltest du das mal überprüfen (ist natürlich nur eine Vermutung...) Hast du schon mal an den GData-Support gewandt? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 06.11.2003 um 22:08 Uhr von forge77 editiert.
|
|
|
|
|
|
|
07.11.2003, 11:31
...neu hier
Themenstarter Beiträge: 2 |
#3
Danke für den Tipp, dass der Elkern bzw. Klez den Wächter beschädigen kann. Schau ich mir gleich mal an!
Ich hatte schon die Vermutung. Leider ist der Support bei Gdata nicht besonders kompetent ... zumindest hat mit gdata das noch nicht gesagt ... Hat jemand eine Idee, wie ich rückverfolgen könnte, von wo aus der Virus die Verseuchungen startet? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hat jemand Erfahrungen mit der Client/Server Version von AVK? Kann man irgendwie rausbekommen, von welcher Workstation aus im Netz eine Verseuchung am FileServer versucht wurde?
Ich sehe nämlich im Protokoll am Server nur, dass beim Schließen einer Datei ein Virus entfernt wurde - nicht aber, von wo aus der Befall durchgeführt wurde. Der angeführte Benutzer der Datei ist dabei leider nicht aussagekräftig. Dort steht immer der gleiche Username bzw. "n/z" drinnen ..
Z. B. der lästige Elkern-Virus ist so programmiert, dass er Dateien auf Netzwerkfreigaben verseucht. Der AVK-Wächter am Server entfernt den Virus zwar brav, aber ich kann die Quelle nicht rückverfolgen.
Wir betreiben rund 250 Workstations, die alle mit dem AVK-Wächter versehen sind. Lokal treten praktisch keine Verseuchungen auf - nur Dateien am Fileserver werden befallen. Meine Vermutung ist, dass es die eine oder andere Workstation geben muss, die einen verseuchten Prozess laufen hat, der dann versucht, die Netzlaufwerke zu verseuchen. Doch wie kann der Prozess überhaupt gestartet werden, wenn doch der AVK-Wächter installiert ist?
Ist der AVK-Wächter so dumm programmiert, dass er wirklich nur beim Öffnen und Schließen von Dateien scannt? Wird der Hauptspeicher nicht überprüft? Überprüft er überhaupt sich selbst? Wieviele Prozesse werden denn vor dem Wächter bereits vom OS gestartet?
Ich habe nicht wirklich Lust, alle 250 Workstations im abgesicherten Modus durchzuscannen, wenn ich dem Wächter nicht vertrauen kann ...