Virenbefall Dank Norton / Welche Lösung
- Ersteller mae-syn
- Erstellt am
Hallo mae-syn,
Bücher und Hardware zum Thema gibt es bei Amazon: Virenbefall Dank Norton / Welche Lösung
Bücher und Hardware zum Thema gibt es bei Amazon: Virenbefall Dank Norton / Welche Lösung
Zusätzlich frage ich mich, wie kommt man überhaupt auf die Idee mit einem Windows Tool etwas auf dem Server zu scannen?
Windows Tool soll die Linux Sachen inclusive sehr spezifische Synology Dateien beurteilen?
Mit der Heuristischen Algos von Windows?
Sorry, aber dann muss man sich nicht wundern wenn man plötzlich sehr viele Alarme bekommt. Da ist dan njeder absolut selber schuld.
Windows Tool soll die Linux Sachen inclusive sehr spezifische Synology Dateien beurteilen?
Mit der Heuristischen Algos von Windows?
Sorry, aber dann muss man sich nicht wundern wenn man plötzlich sehr viele Alarme bekommt. Da ist dan njeder absolut selber schuld.
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 4.050
- Punkte für Reaktionen
- 1.737
- Punkte
- 214
Ich bin auch kein Norton fan, (außer der guten alten Norton Commander) .
Aber der Client Scanner sollte natürlich keine Synology system datein scanen . Daher kommt mir das alles seltsam vor.
Vom Bauchgefühl her sind diese "Snapshots" nicht von Synology.
Aber ich bin nach wie vor der Meinung .Der TE sollte das vor Ort mit nem Profi oder auch Telefonisch mit jemaden klären der wirklich Ahnung hat.
Kann sich auch gern bei mir melden.
Hier muss man sich alles genau anschauen .Was wirklich passiert ist . Per Forum geht da zu viel unter an Informations die vielleicht wichtig sein könnten.
Aber der Client Scanner sollte natürlich keine Synology system datein scanen . Daher kommt mir das alles seltsam vor.
Vom Bauchgefühl her sind diese "Snapshots" nicht von Synology.
Aber ich bin nach wie vor der Meinung .Der TE sollte das vor Ort mit nem Profi oder auch Telefonisch mit jemaden klären der wirklich Ahnung hat.
Kann sich auch gern bei mir melden.
Hier muss man sich alles genau anschauen .Was wirklich passiert ist . Per Forum geht da zu viel unter an Informations die vielleicht wichtig sein könnten.
Das ufert hier wieder in eine Diskussion aus welche mit meiner Fragestellung stellenweise überhaupt nichts zu tun hat.
Die Fragestellung war konkret, jegliche Beiträge zur gelungene oder nicht gelungenen Überschrift, jegliche Tips wie alles löschen, keine Virenscanner einsetzten, wie funktioniert das mit SMB und "hast Du nicht gesehen" und die vielleicht nicht so gemeinte aber überheblich erscheinenden "wie kann man nur" helfen da genauso wenig weiter wie die tolle Information bei wem sich wann und wie die Fußnägel kräuseln....
Mein Dank @ctrlaltdelete @metalworker @patrickn für fragebezogene Beiträge. Die Überlegung fachliche Hilfe zu holen hatte ich ja schon und das werde ich machen.
Ich werde später mal berichten und werde mich an weiteren Diskussionen über meine spezielle Dummheit, die Dummheit von Amateuren im allgemeinen und welche Überschrift passend ist nicht weiter beteiligen.
Die Fragestellung war konkret, jegliche Beiträge zur gelungene oder nicht gelungenen Überschrift, jegliche Tips wie alles löschen, keine Virenscanner einsetzten, wie funktioniert das mit SMB und "hast Du nicht gesehen" und die vielleicht nicht so gemeinte aber überheblich erscheinenden "wie kann man nur" helfen da genauso wenig weiter wie die tolle Information bei wem sich wann und wie die Fußnägel kräuseln....
Mein Dank @ctrlaltdelete @metalworker @patrickn für fragebezogene Beiträge. Die Überlegung fachliche Hilfe zu holen hatte ich ja schon und das werde ich machen.
Ich werde später mal berichten und werde mich an weiteren Diskussionen über meine spezielle Dummheit, die Dummheit von Amateuren im allgemeinen und welche Überschrift passend ist nicht weiter beteiligen.
- Mitglied seit
- 30. Dez 2012
- Beiträge
- 15.218
- Punkte für Reaktionen
- 6.890
- Punkte
- 589
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 9.784
- Punkte für Reaktionen
- 4.415
- Punkte
- 389
- Mitglied seit
- 19. Feb 2014
- Beiträge
- 9.784
- Punkte für Reaktionen
- 4.415
- Punkte
- 389
sondern?
Norton wird durch das BSI, im öffentlichen Dienst, Bundeswehr usw., eingesetzt.
Solange es nur die Daten sind und von einem Windowssystem kommen geht das auf jeden Fall in Ordnung und das würde ich auch in diesem Fall als erste Maßnahme empfehlen.
Die Grafik aus Post #27 ist dein Haupt-NAS DS423+ und die Snapshots werden zur DS224+ repliziert, korrekt? Die Scans von Norton "meckern" auf der DS423+, auf der DS224+ oder beiden???
Schon mal mit Snapshots gearbeitet? Falls nein, mal machen: dann stellt man nämlich fest, dass das ganz normale Dateien sind, wie sie 1:1 in der Freigabe vorkommen, der einzige Unterschied ist, dass sie im Ordner #snapshots in der Freigabe liegen, mit einem Zeitstempel als Ordner. Ansonsten sind das ganz normale Dateien, und nix Linux System
Danke. Zur Klarstellung
(1) Lokaler Schnappschuss (D423+) ist worum es (bisher) geht. Wie das im Explorer aussieht siehe mein Post # 5
(2) Die 224+ ist nur Nachts für Sicherungsaufgaben an. Ob diese auch betroffen ist kann ich noch nicht sagen, vermute es aber.
Kleines Update "Erstens kommt es anders und zweitens als man denkt....."
Die hohe Zahl der gefundenen Einträge in Post 01 (2.233) ohne das etwas behoben wurde führte zu dem Fehlschluß, daß Norton die Risiken nicht beheben kann. Beim Scannen der Verzeichnisse (ohne Snapshot) hat er dann auch mit der Behebung gestartet, geht etwas zeitverzögert. Unklar ist [19:39] ob das auch für die Snapshots gilt.
Außerdem scheint es so, daß es sich um unerkannte Altlasten handelt. Meine Datensammlung geht so ab ca. 2005 incl. der alten Server und (Platz ist da
) der damaligen Sicherung der ursprünglich noch Outlook-Express Maildaten. Im Moment scheint es so, als seien diese Uraltdaten betroffen und damit auch die davon erstellen Snapshots.
Berichte erneut, vermute die Scans werden irgendwann morgen abgeschlossen werden.
[EDIT 19:32 H / Bei den Snapshots wurde bisher nur erkannt und nichts bereinigt / Ursprungseintag wie folgt:
Die hohe Zahl der gefundenen Einträge in Post 01 (2.233) ohne das etwas behoben wurde führte zu dem Fehlschluß, daß Norton die Risiken nicht beheben kann. Tatsächlich ist es offenbar nur eine Frage der Rechengeschwindigkeit. Beim Scannen der Verzeichnisse (ohne Snapshot) hat er dann auch mit der Behebung gestartet, ist etwas zeitverzögert. Gleiches gilt auch für die reinen Snapshots ohne die Verzeichnisse.]
Die hohe Zahl der gefundenen Einträge in Post 01 (2.233) ohne das etwas behoben wurde führte zu dem Fehlschluß, daß Norton die Risiken nicht beheben kann. Beim Scannen der Verzeichnisse (ohne Snapshot) hat er dann auch mit der Behebung gestartet, geht etwas zeitverzögert. Unklar ist [19:39] ob das auch für die Snapshots gilt.
Außerdem scheint es so, daß es sich um unerkannte Altlasten handelt. Meine Datensammlung geht so ab ca. 2005 incl. der alten Server und (Platz ist da
) der damaligen Sicherung der ursprünglich noch Outlook-Express Maildaten. Im Moment scheint es so, als seien diese Uraltdaten betroffen und damit auch die davon erstellen Snapshots.Berichte erneut, vermute die Scans werden irgendwann morgen abgeschlossen werden.
[EDIT 19:32 H / Bei den Snapshots wurde bisher nur erkannt und nichts bereinigt / Ursprungseintag wie folgt:
Die hohe Zahl der gefundenen Einträge in Post 01 (2.233) ohne das etwas behoben wurde führte zu dem Fehlschluß, daß Norton die Risiken nicht beheben kann. Tatsächlich ist es offenbar nur eine Frage der Rechengeschwindigkeit. Beim Scannen der Verzeichnisse (ohne Snapshot) hat er dann auch mit der Behebung gestartet, ist etwas zeitverzögert. Gleiches gilt auch für die reinen Snapshots ohne die Verzeichnisse.]
Zuletzt bearbeitet:
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 4.050
- Punkte für Reaktionen
- 1.737
- Punkte
- 214
Na das kann natürlich sehr gut sein .
Es empfiehlt solche Ordner vom Scan auszuschließen.
Aber erklärt nicht warum das Programm weg war wie du im 1. Post beschrieben hast
Es empfiehlt solche Ordner vom Scan auszuschließen.
Aber erklärt nicht warum das Programm weg war wie du im 1. Post beschrieben hast
Wie bereits mehrmals gesagt, wird Norton den Snapshot Ordner auch nicht bereinigen können, weil man schlicht keinen Zugriff schreibend darauf hat - auch nicht als Admin per SMB.
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 4.050
- Punkte für Reaktionen
- 1.737
- Punkte
- 214
Naja, wenn Viren in den echten Dateien sind, sind sie halt auch in den Snapshots
Würde denn jetzt überhaupt mal ein anderer Scanner verwendet, nicht dass das alles viel Theater von Norton und nur Falschmeldungen sind
Würde denn jetzt überhaupt mal ein anderer Scanner verwendet, nicht dass das alles viel Theater von Norton und nur Falschmeldungen sind
Vermtl. gibt es unterschiedliche Einstellungen für die Snapshots? Also bei mir sind die ganz klar im Zugriff. Zuweilen hole ich damit eine Datei in früherer Ausfertigung zurück, was ich sehr praktsich finde (und für mich der Grund für die Einrichtung ist):
Jedoch ist auch festzustellen, daß Norton anlässlich des auf dem einen PC laufenden Scan der Verzeichnisse OHNE die Snapshots die erkannten Sicherheitsrisiken bereinigt (der Prozess läuft noch).
Die laufende Prüfung eines Snapshots hat bisher 744 Risiken gefunden und noch nicht eines bereinigt. Da hat Norton evtl. keinen Zugriff.
Wie schon wieter oben geäußert - die Risiken sind soweit bisher erkennbar über die Snapshots der Uralt-Daten in diese gelangt. Da Norton wie geschrieben fleissig bereinigt glaube ich nicht an eine Fehlmeldung.
Als nächsten Schritte hatte ich die Prüfung des Servers durch "Synology Antivirus Essential" vorgesehen. Starte den mal gezielt auf einen Snapshot.
Jedoch ist auch festzustellen, daß Norton anlässlich des auf dem einen PC laufenden Scan der Verzeichnisse OHNE die Snapshots die erkannten Sicherheitsrisiken bereinigt (der Prozess läuft noch).
Die laufende Prüfung eines Snapshots hat bisher 744 Risiken gefunden und noch nicht eines bereinigt. Da hat Norton evtl. keinen Zugriff.
Wie schon wieter oben geäußert - die Risiken sind soweit bisher erkennbar über die Snapshots der Uralt-Daten in diese gelangt. Da Norton wie geschrieben fleissig bereinigt glaube ich nicht an eine Fehlmeldung.
Als nächsten Schritte hatte ich die Prüfung des Servers durch "Synology Antivirus Essential" vorgesehen. Starte den mal gezielt auf einen Snapshot.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.262
- Punkte für Reaktionen
- 2.207
- Punkte
- 259
Spannende Diskussion. Jetzt sortiere ich das mal für mich: Es befindet sich ein Trojaner/Virus in alten Datenbeständen auf einer DS. Die sind dort abgelegt, werden nicht benutzt. Jetzt laufen Snapshots auf der DS, und ziehen (natürlich) den Trojaner mit ab. Für das Snapshot-Tool sind das nur 0en und 1en, egal was die logisch ausmachen.
Damit steckt der Trojaner jetzt in den originalen Altdateien, und in den Snapshots. Es ist immer noch nichts passiert, die Schadsoftware liegt einfach nur so herum.
Und das könnte das Ende der Geschichte sein, denn niemand wird diese Schadsoftware ausführen. Es gibt keinen Mechanismus, der die Schadsoftware aus heiterem Himmel ausführt, auf einer DS unter DSM, einem Linux-Derrivat. Die ist in dieser Umgebung einfach inaktiv.
Jetzt kommt ein Virenscanner von einem der Clients und sagt sich, ich schaue auch mal auf den Netzlaufwerken nach. Wenn er das darf, dann macht er das, und findet die Schadsoftware. Er findet sie überall, worauf er Zugriff hat. Und schreit „Alarm, ich habe was gefunden (ach, was bin ich nützlich)“.
Dort, wo seine Zugriffsrechte* ausreichen, löscht er die Schadsoftware jetzt, oder schiebt sie in Quarantäne. (*) mit welchem Benutzer, mit welchen Benutzerrechten wird die Antivirus-Software eigentlich ausgeführt ? Die darf nur, was der Benutzer selbst darf. Bei einem Netzlaufwerk würde ich erwarten, dass es der Benutzer für den SMB-Zugriff ist, dessen Rechte hier relevant sind. Hoffentlich kein Admin, was die Rechte der AV Software natürlich einschränkt.
Wo er nicht heran kommt, schlägt er weiter munter Alarm. Das sind die Snapshots.
Wie bewerte ich das jetzt ? Ich gehe davon aus, dass die Schadsoftware weder auf dem Client vorhanden noch dort ausgeführt wird. Sonst liegt ein akuter Befall vor, der entsprechend zu behandeln wäre.
Wenn sie nur auf dem Netzlaufwerk herumliegt, dann kann man sie dort liegen lassen. Sie wird dort nicht ausgeführt. Man kann auch einfach diese Dateien bereinigen, entweder löschen oder sperren. Die Snapshots halte ich derzeit für irrelevant. Solange man sie nicht benutzt, um etwas zurück zu setzen, sind Daten in Snapshots in keiner Weise im Zugriff, damit ist auch der Schädling verkapselt und inaktiviert.
Das alles ist für mich normales Handling einer relativ einfachen Situation, und keineswegs etwas, das ich mit GAU oder ähnlich beschreiben würde. Bei mir liegt seit vielen Jahren in einer alten PST-Datei so ein Trojaner herum. Der steckt in irgendeinem Mailanhang drin, in einer der Mails, die in der PST verpackt sind. Der AV wollte immer die ganze PST-Datei killen, weil da ja Schadsoftware drinsteckt.
Das ist aber Unfug, denn diese üble Software ist 2x eingepackt und kann so überhaupt nicht ausgeführt werden. Ich müsste die PST öffnen, dann genau die infizierte E-Mail, und dann den Trojaner ausführen. Das passiert nie, da bin ich mir sicher. Vermutlich werde ich dieses alte Archiv mit beruflichen Mails nach Zeitablauf ungeöffnet im Ganzen löschen. Also bitte keine Panik !
Oder übersehe ich etwas ?
Damit steckt der Trojaner jetzt in den originalen Altdateien, und in den Snapshots. Es ist immer noch nichts passiert, die Schadsoftware liegt einfach nur so herum.
Und das könnte das Ende der Geschichte sein, denn niemand wird diese Schadsoftware ausführen. Es gibt keinen Mechanismus, der die Schadsoftware aus heiterem Himmel ausführt, auf einer DS unter DSM, einem Linux-Derrivat. Die ist in dieser Umgebung einfach inaktiv.
Jetzt kommt ein Virenscanner von einem der Clients und sagt sich, ich schaue auch mal auf den Netzlaufwerken nach. Wenn er das darf, dann macht er das, und findet die Schadsoftware. Er findet sie überall, worauf er Zugriff hat. Und schreit „Alarm, ich habe was gefunden (ach, was bin ich nützlich)“.
Dort, wo seine Zugriffsrechte* ausreichen, löscht er die Schadsoftware jetzt, oder schiebt sie in Quarantäne. (*) mit welchem Benutzer, mit welchen Benutzerrechten wird die Antivirus-Software eigentlich ausgeführt ? Die darf nur, was der Benutzer selbst darf. Bei einem Netzlaufwerk würde ich erwarten, dass es der Benutzer für den SMB-Zugriff ist, dessen Rechte hier relevant sind. Hoffentlich kein Admin, was die Rechte der AV Software natürlich einschränkt.
Wo er nicht heran kommt, schlägt er weiter munter Alarm. Das sind die Snapshots.
Wie bewerte ich das jetzt ? Ich gehe davon aus, dass die Schadsoftware weder auf dem Client vorhanden noch dort ausgeführt wird. Sonst liegt ein akuter Befall vor, der entsprechend zu behandeln wäre.
Wenn sie nur auf dem Netzlaufwerk herumliegt, dann kann man sie dort liegen lassen. Sie wird dort nicht ausgeführt. Man kann auch einfach diese Dateien bereinigen, entweder löschen oder sperren. Die Snapshots halte ich derzeit für irrelevant. Solange man sie nicht benutzt, um etwas zurück zu setzen, sind Daten in Snapshots in keiner Weise im Zugriff, damit ist auch der Schädling verkapselt und inaktiviert.
Das alles ist für mich normales Handling einer relativ einfachen Situation, und keineswegs etwas, das ich mit GAU oder ähnlich beschreiben würde. Bei mir liegt seit vielen Jahren in einer alten PST-Datei so ein Trojaner herum. Der steckt in irgendeinem Mailanhang drin, in einer der Mails, die in der PST verpackt sind. Der AV wollte immer die ganze PST-Datei killen, weil da ja Schadsoftware drinsteckt.
Das ist aber Unfug, denn diese üble Software ist 2x eingepackt und kann so überhaupt nicht ausgeführt werden. Ich müsste die PST öffnen, dann genau die infizierte E-Mail, und dann den Trojaner ausführen. Das passiert nie, da bin ich mir sicher. Vermutlich werde ich dieses alte Archiv mit beruflichen Mails nach Zeitablauf ungeöffnet im Ganzen löschen. Also bitte keine Panik !
Oder übersehe ich etwas ?
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
