Toggle sidebar

Virenbefall Dank Norton / Welche Lösung

M

mae-syn

Benutzer
Contributor
Mitglied seit
06. Feb 2013
Beiträge
263
Punkte für Reaktionen
66
Punkte
28
Hallo,

ist mir bekannt, daß viele Profis "Norton 360" für "suboptimal" halten, aber es ist halt auch für Amateure wie mich eine Zeitfrage in jedes wichtige Thema tiefer einzusteigen.

Bisher war ich mit Norton auch zufrieden und das Programm hat einiges rausgefischt. Nun gestern zufällig auf den GAU gestoßen: Auf einem PC war noch das Icon aber es war nicht aufgefallen, daß es das alte Icon ist und das Programm nicht mehr aktiv war (obwohl installiert). Mutmaßlich ist da etwas schief gelaufen bei dem Versionswechsel.

Ich glaube auf der Synology selbst habe ich nichts installiert, damit sich die Lösungen nicht in die Quere kommen.

Nun der Gau, tatsächlich ist über diesen PC Schadlösungen auf den Server gelangt. Scan lief über Nacht - was auch immer 25.585.82 Dateien für eine Zahl sein soll (2.558.582 ?). Zuerst tobt sich der Scanner bei den Snapshots aus und bringt eine Vielzahl von Meldungen (nach erstem Eindruck immer wieder der gleichen Dateien) das mußte ich abbrechen - führt so zu nichts:

2025-02-20_112251.jpg

2025-02-20_112306.jpg

Es wird aber nicht näher ausgeführt wie das zu beheben wäre. Mir ist unklar, ob die Dateien tatsächlich in dieser Vielzahl vorhanden sind, oder ob dies nicht vielmehr daran liegt, daß Snapshot die gleiche unveränderte Datei immer wieder aufführt.

Bevor ich Norton kontaktiere suche ich zuerst mal hier nach Hilfe. Das Thema "Synology-Virenschutz" scheint sich (letzter Forumseintrag 10.07.23) nicht allzugoßer Beliebtheit zu erfreuen und die Suchfunktion bringt mich nicht weiter.

Erst wenn ich das Thema mit den Snapshots geklärt habe kann ich die weitere Suche starten (wird vermutlich nicht meine letzte Frage in diesem Thread sein). Folgende Möglichkeiten sehe ich bisher:
- Installation und Bereinigung durch das Paket "Antivirus Essential" oder "Antivirus by MC Affee".
- Kontakt Symanec/Norton ob die eine Idee haben
- Löschen aller Snapshots (in der Hoffnung da nichts dabei zu haben).

Ich möchte nach Möglichkeit Schritt für Schritt vorgehen und die Fragen was ggf. mit HyperBackup etc. ist erst im weiteren klären. Wenn das nicht sinnvoll ist dann bitte Hinweis.

Vielen Dank.
 
Jetzt muss ich mal blöd fragen: Du arbeitest am PC (mit SMB) mit dem Synology Admin und hast auch noch den Zugriff auf den Ordner Snapshots sichtbar gemacht??? Ist das richtig?

Und sind das auch noch Firmendaten???
 
  • Like
Reaktionen: Kachelkaiser und *kw*
Lösche doch alle dise 'Suppertools', dann hast du Ruhe
 
Ronny1978 schrieb:
Jetzt muss ich mal blöd fragen: Du arbeitest am PC (mit SMB) mit dem Synology Admin und hast auch noch den Zugriff auf den Ordner Snapshots sichtbar gemacht??? Ist das richtig?
Zum Vergrößern anklicken....
Sehe da kein Problem. Noch nicht mal mit Adminkonto kann man die Snapshots bearbeiten oder löschen per SMB.
 
Danke für schnelle Reaktion.
Ronny1978 schrieb:
Jetzt muss ich mal blöd fragen: Du arbeitest am PC (mit SMB) mit dem Synology Admin und hast auch noch den Zugriff auf den Ordner Snapshots sichtbar gemacht??? Ist das richtig?

Und sind das auch noch Firmendaten???
Zum Vergrößern anklicken....
Ehrlich gesagt habe ich keinen Schimmer (und nur eine Ahnung) worauf Du hinaus möchtest. Wie stelle ich fest, ob der PC mit / via SMB zugreift? Zugriff auf die Ordner sieht so aus wenn das weiterhilft:

2025-02-20_115349.jpg
Ja es handelt sich um Firmendaten auf der Synology?

ottosykora schrieb:
Lösche doch alle dise 'Suppertools', dann hast du Ruhe
Zum Vergrößern anklicken....
Meinst Du :
- Löschen aller Snapshots
(in der Hoffnung da nichts dabei zu haben was mir dann fehlt).
?
 
@patrickn und @mae-syn : Für mich bilden Snapshot einen Teil (bitte Teil - nicht Hauptbestandteil) einer Backup- bzw. Strategie gegen Trojaner. Diese mache ich nicht sichtbar und schon gar nicht per SMB. Der Angreifer kommt meinst über ein PC oder Gerät, was auf die Synology zugreift. Verschlüsselt der Trojaner diese Ordner/Dateien, ist ja schon einmal ein Teil der Sicherheitsstrategie weg. Kann natürlich jeder anders sehen - ich sehe es so, wie von mir beschrieben.

Ebenso wird immer wieder geraden, im Netzwerk mit einem Nutzer statt einem Adminuser der Synology zu arbeiten.
mae-syn schrieb:
Ehrlich gesagt habe ich keinen Schimmer (und nur eine Ahnung) worauf Du hinaus möchtest. Wie stelle ich fest, ob der PC mit / via SMB zugreift?
Zum Vergrößern anklicken....
Naja, was soll ich jetzt sagen? Ich würde das als Netzlaufwerk sehen und somit ja zu SMB.

Wie gesagt: Sicherheitstechnisch kann das jetzt sehen, wie er will. Bei mir sind Snapshots Ordner nicht im Netzwerk sichtbar und auch nur über den Admin und DSM Oberfläche konfigurierbar.
 
  • Like
Reaktionen: Kachelkaiser
Ronny1978 schrieb:
Der Angreifer kommt meinst über ein PC oder Gerät, was auf die Synology zugreift. Verschlüsselt der Trojaner diese Ordner/Dateien,
Zum Vergrößern anklicken....
Wie ich bereits sagte: das ist nicht möglich. Man kann auch als Admin die Dateien weder bearbeiten noch löschen - sie gehören "root", man kann sie einzig über DSM im Snapshots Manager löschen.
 
Ronny1978 schrieb:
Wie gesagt: Sicherheitstechnisch kann das jetzt sehen, wie er will. Bei mir sind Snapshots Ordner nicht im Netzwerk sichtbar und auch nur über den Admin und DSM Oberfläche konfigurierbar.
Zum Vergrößern anklicken....

Danke @Ronny1978 Das mag wichtiger Bestandteil bei der Überarbeitung der Sicherheitsstrategie sein, ich kann aber nicht erkennen, wie mir das konkret im Moment bei meiner Fragestellung weiterhilft.
 
Was sagt der Administrator der Firma dazu?
Wieviele Clients hängen an der NAS?
Die Trojaner in den Snapshots sind irrelevant, die Clients müssen sauber sein.
1. Clients säubern, AV auf dem Client ausführen
2. Die freigebenen Ordner säubern, entweder mit AV vom Client aus oder einmalig mit einem AV Paket auf dem NAS, danach wieder deaktivieren
2. Snapshots löschen
3. Neue Snapshots anlegen
 
  • Like
Reaktionen: mae-syn und *kw*
mae-syn schrieb:
Hallo,

ist mir bekannt, daß viele Profis "Norton 360" für "suboptimal" halten, aber es ist halt auch für Amateure wie mich eine Zeitfrage in jedes wichtige Thema tiefer einzusteigen.
...
Zum Vergrößern anklicken....

mae-syn schrieb:
...
Ja es handelt sich um Firmendaten auf der Synology?
...
Zum Vergrößern anklicken....
Bei der Kombination von "Zeitfrage für Amateure" und "Firmendaten" kräuslen sich mir immer die Fussnägel... :eek:
 
Zuletzt bearbeitet:
  • Like
Reaktionen: *kw*, Kachelkaiser, Ronny1978 und eine weitere Person
Ich würde das erst mal mit einem anderen Scanner, z.B. Windows Defender, gegenprüfen. Nicht, dass Norton Blödsinn verzapft.

Außerdem müssten dann ja auch die Produktivdateien verseucht sein, und nicht nur die Snapshots.

Und was für Dateien sollen das überhaupt sein?
 
patrickn schrieb:
Man kann auch als Admin die Dateien weder bearbeiten noch löschen - sie gehören "root", man kann sie einzig über DSM im Snapshots Manager löschen
Zum Vergrößern anklicken....
Bist du dir da sicher? Ich hätte wieder was dazu gelernt. Aber warum hat Synology dann "unveränderliche Snapshots" eingeführt? Ich dachte auch als Trojanerschutz???
 
Die Frage ist eher was das denn genau für Snapshots sind?
Synology eigene solltest per SMB gar nicht sehen.

Allgemein würde ich aber sagen hole dort erstmal den IT Admin eurer Firma ran.
Da sollte jetzt kein Amateur dran rum fummeln wenn es um Firmendaten geht
 
  • Like
Reaktionen: Ronny1978 und ctrlaltdelete
Danke @ctrlaltdelete für den ersten Beitrag zur konkreten Fragestellung.

Was sagt der Administrator der Firma dazu?
der schreibt hier ... (anscheinend für viele nicht vorstellbar, daß es Firmen ohne eigene IT-Abt. gibt...)
Wieviele Clients hängen an der NAS?
bis zu 6
Die Trojaner in den Snapshots sind irrelevant, die Clients müssen sauber sein.
prima
1. Clients säubern, AV auf dem Client ausführen
O.K. der PC ohne Norton wurde ergebnislos getestet, die anderen haben Norton aktiv, werden aber sogleicht geprüft
2. Die freigebenen Ordner säubern, entweder mit AV vom Client aus oder einmalig mit einem AV Paket auf dem NAS, danach wieder deaktivieren
Ich werde im nächsten Schritt die Ordner ohne Snapshot prüfen
3. Snapshots löschen
4. Neue Snapshots anlegen
Darauf komme ich dann wieder zurück.

metalworker schrieb:
Die Frage ist eher was das denn genau für Snapshots sind?
Synology eigene solltest per SMB gar nicht sehen.

Allgemein würde ich aber sagen hole dort erstmal den IT Admin eurer Firma ran.
Da sollte jetzt kein Amateur dran rum fummeln wenn es um Firmendaten geht
Zum Vergrößern anklicken....
Danke. Die Idee mit dem Profi habe ich auch schon, unabhängig davon zuerst die oben genannten Schritte welche keinesfalls schaden.
 
Das Ihr keine eigene IT habt ist nicht schlimm.
Aber ihr solltet dann nen externen IT Betreuer haben.
Eigeninitiative in allen ehren .
Aber gerade in so nem Fall ist die spanne weit .
Von war nur Fehlalarm bis zu alle Daten verloren .
 
  • Like
Reaktionen: *kw*, Kachelkaiser und Ronny1978
ottosykora schrieb:
Virenbefall Dank Norton
Zum Vergrößern anklicken....
Mich stört die Überschrift total!

Ich wusste gar nicht, dass Norton Schuld ist, wenn Mann nicht bemerkt, daß Norton nicht mehr aktiv ist. Norton arbeitet bis zu einem gewissen Punkt in Sachen AV länger weiter.
Zudem muß der Administrator des Laptops darauf achten ob alles passt.

Ich nutze Norton seit mind 6 od. 7 Jahren, hatte nie Probleme.
 
ich denke vor 15-20 Jahren habe ich definitiv solches Zeug von mir ferngehalten und damit bin ich von solchen Alarmen und nachfolgendem Stress mit upload zu Virustotal oder so was befreit.
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten