Hauptinhalt

Anleitung Sophos-Antivirus

Benutzeroberfläche von Sophos Anti-Virus

Benutzeroberfläche von Sophos Anti-Virus
Foto: Tim Romonath

Die Benutzeroberfläche (Abb. links) des Viren-Scanners kann gestartet werden über:

  • das Startmenü von Windows (Start -> Sophos -> Sophos Endpoint Security and Control)
  • das Kontext-Menü des Virenscanner-Symbols in der Task-Leiste von Windows (zu öffnen durch Rechts-Klick auf das Symbol im System-Tray (Abb. unten links))

Sophos Anti-Virus im Windows System-Tray
Foto: Tim Romonath
In der Benutzeroberfläche stehen verschiedene Einstellungs- und Prüfmöglichkeiten zur Verfügung, die in den folgenden Abschnitten beschrieben sind.


Automatisches Scannen nach Viren

Benutzeroberfläche des Quarantäne Managers von Sophos Anti-Virus.
Foto: Tim Romonath

Der Virenscanner überprüft automatisch alle Dateien, sobald z.B. über den Windows Explorer auf diese zugegriffen wird (On-Access-Scan). Wenn ein Virus in einer Datei entdeckt wird, stellt das Programm die Datei unter »Quarantäne«. D.h. die Datei kann weder ausgeführt (z.B. eine Programm-Datei) noch bearbeitet werden (z.B. ein Dokument).

Alle als infiziert geltenden Dateien sind in der Benutzeroberfläche von Sophos Anti-Virus im Quarantäne-Manager (Abb. oben) aufgelistet.

Der Quarantäne Manager wird über den Punkt "Objekte in Quarantäne verwalten" bzw. über den Link "Objekte in Quarantäne" angezeigt.

Ohne Administrator-Rechte lassen sich Dateien im Quarantäne-Manager normalerweise nicht bearbeiten (löschen oder bereinigen). Man kann die betroffenen Dateien aber z.B. im Windows Explorer löschen (ggf. nicht vergessen, den Windows-Papierkorb zu leeren).

Vgl. dazu auch Manuelles Überprüfen und Entfernen von Dateien.

Manuelles Überprüfen und Entfernen von Dateien

Starten der manuellen Überprüfung

Sophos Anti-Virus Eintrag im Kontext-Menü
Foto: Tim Romonath

Einzelne Dateien und Ordner können manuell über das Kontext-Menü des Windows Explorer (Rechts-Klick auf Datei) (Abb. links) auf Viren überprüft werden. Dort den Punkt "Mit Sophos Anti-Virus überprüfen" anwählen. Standardmäßig wird bei einem erkannten Virenbefall die Datei nur unter "Quarantäne" gestellt, d.h. Zugriffe auf die Datei werden gesperrt. Sophos Anti-Virus bietet aber die Option, die Dateien bei der Überprüfung automatisch zu bereinigen oder zu löschen.

Konfiguration der manuellen Überprüfung

Menü-Aufruf der Rechtsklick-Konfiguration
Foto: Tim Romonath

Die Überprüfung kann über die Benutzeroberfläche des Virenscanners konfiguriert werden. Das Einstellungsfenster wird über den Menüpunkt Konfigurieren -> Rechtsklick-Überprüfung (Abb. links) geöffnet.

Es gibt dort unter anderem die Möglichkeiten, die Dateien:

  • automatisch zu bereinigen (d.h. den Virus aus der Datei zu entfernen)

  • zu löschen

  • zu verschieben (Die Sicherheitseinstellung der HRZ-Installation erlaubt es Benutzern ohne Administratorrechte nicht, infizierte Dateien zu verschieben!) Das HRZ sieht diese Einstellung als nicht sinnvoll an

Eine genaue Beschreibung der Einstellungsmöglichkeiten finden Sie unter Konfiguration von Überprüfungen.

Computer- und Verzeichnis-Überprüfung

Benutzeroberfläche von Sophos Anti-Virus
Foto: Tim Romonath

Sophos Anti-Virus bietet die Möglichkeit, alle Dateien des Rechners oder ausgewählter Verzeichnisse auf Viren und andere Schädlinge zu überprüfen. In der Benutzeroberfläche (Abb. links) stehen diese Funktionen über die Links "Meinen Computer überprüfen", bzw. "Verfügbare Überprüfungen" zur Verfügung.

Meinen Computer überprüfen

Mit dieser Option werden alle lokalen Festplatten des Rechners auf Viren überprüft. Diese Prüfung dauert in der Regel sehr lange, da alle Verzeichnisse und Dateien (auch für Programme und das Betriebssystem) überprüft werden. Daher wird diese Option ausdrücklich nur in Ausnahmefällen und nach Rücksprache mit den zuständigen System-Administratoren bzw. PC-Saal-Aufsichten empfohlen. Stattdessen sollten Sie nur ausgewählte Verzeichnisse überprüfen, z.B. Ihr persönliches Benutzer-Verzeichnis, im Laufwerk H:. Dazu müss Sie zunächst eine "Neue Überprüfung" einrichten.

Neue Überprüfung einrichten

Konfiguration einer Verzeichnis-Überprüfung
Foto: Tim Romonath

Über den Link "Neue Überprüfung" einrichten wird das Einstellungsfenster für die Überprüfung (Abb. links) ausgewählter Verzeichnisse geöffnet. Die Verzeichnisse, die überprüft werden sollen, werden durch das Setzen des Häkchens links neben dem Verzeichnisnamen markiert. Unterverzeichnisse werden durch Anklicken auf das +-Symbol angezeigt.

Unter Überprüfungsname sollte ein aussagekräftiger Name stehen, z.B. "Meine Dateien prüfen - Infizierte Daten löschen"

Über den Link "Konfiguration dieser Überprüfung" wird das Einstellungsfenster Individuelle Überprüfungseinstellungen geöffnet. Dort kann eingestellt werden, wie Sophos Anti-Virus mit gefundenen infizierten Dateien umgeht. Die Voreinstellung ist, dass betroffene Dateien unter "Quarantäne" stehen, d.h. sie können nicht ausgeführt, geöffnet oder bearbeitet werden.

Es gibt dort die Möglichkeiten, die Dateien:

  • automatisch zu »bereinigen« (d.h. den Virus aus der Datei zu entfernen)

  • zu löschen

  • zu verschieben (Die Sicherheitseinstellung der HRZ-Installation erlaubt es normalen Benutzern nicht, infizierte Dateien zu verschieben, daher sollte diese Möglichkeit nicht gewählt werden). 

Die Überprüfung kann entweder gespeichert, gespeichert und gleich gestartet oder abgebrochen (alle Einstellungen werden verworfen) werden.
Gespeicherte Überprüfungen werden im Hauptfenster (siehe oben, Abb. Benutzeroberfläche) unter "Verfügbare Überprüfungen" aufgelistet. Dort können sie jederzeit gestartet, bearbeitet oder auch gelöscht werden.

Eine genaue Beschreibung der Einstellungsmöglichkeiten finden Sie unter "Konfiguration von Überprüfungen".

Beispiele

Eigene Dateien prüfen

Benutzer John Doe möchte regelmäßig seine Daten auf Virenbefall hin prüfen. John möchte aber nicht, dass das Programm versucht, seine Daten  ggf. zu bereinigen oder gar zu löschen. Es soll nur eventuell betroffene Dateien auflisten, damit John sie gegebenenfalls selbst löschen kann. John möchte daher seinen persönliches Home-Verzeichnis (Laufwerk H:) auf Virenbefall überprüfen . Dafür muss John folgende Schritte ausführen:

  1. Benutzer-Oberfläche von Sophos Anti-Virus öffnen. (Rechtsklick auf das Taskleisten-Symbol neben der Uhr. Linksklick auf "Sophos Anti-Virus öffnen")

  2. Mit Linksklick "Neue Überprüfung" einrichten öffnen

  3. Als Name gibt John "John's Daten prüfen" ein

  4. Häkchen bei Laufwerk H: setzen, alle anderen Häkchen durch Linksklick wegnehmen

  5. In der Voreinstellung macht Sophos Anti-Virus nichts, wenn es eine infizierte Datei findet, daher muss die Option "Konfigurieren dieser Überprüfung" nicht geöffnet werden

  6. Die Prüfung soll gleich starten, daher wird die Einrichtung mit dem Knopf "Speichern/Start" beendet.

Aus dem Internet geladene Dateien prüfen und bei Virenbefall gleich löschen

Benutzerin Jane Doe recherchiert regelmäßig für ihr Studium im Internet und läd sich digitale Zeitschriften-Artikel, Bilder und Audio-Dateien von verschiedensten Seiten herunter. Bevor sie jedoch die Dateien sichtet und in ihr persönliches Homeverzeichnis auf Laufwerk H: ablegt, speichert sie erstmal alles auf der lokalen Festplatte D: im Verzeichnis temp und dort im Unterverzeichnis ab. Diesen Ordner prüft sie nach fertiger Recherche erstmal auf Viren. Infizierte Dateien sollen sofort gelöscht werden.

  1. Benutzer-Oberfläche von Sophos Anti-Virus öffnen. (Rechtsklick auf das Taskleisten-Symbol neben der Uhr. Linksklick auf "Sophos Anti-Virus öffnen")

  2. Mit Linksklick "Neue Überprüfung einrichten" öffnen

  3. Als Name gibt Jane "Jane's Recherche-Material prüfen" ein

  4. Durch Klick auf das +-Symbol bei Laufwerk D: und D:\temp wird das Verzeichnis jadoe sichtbar, wo sie ein Häkchen macht.

  5. Gefundene infizierte Dateien sollen gelöscht werden, daher öffnet Jane "Konfigurieren dieser Überprüfung" und wählt im Register "Bereinigung" sowohl unter "Viren/Spyware", als auch unter "Verdächtige Dateien" die Option "löschen" an

  6. im Register "Optionen" setzt sie ggf. das Häkchen bei "Archivdateien", "Alle Dateien überprüfen", "Auf AdWare/PUAs überprüfen" und wählt bei Prüfungsintensität auf jeden Fall "Normal" an.

  7. Jane schließt das Fenster mit "OK".

  8. Die Prüfung braucht sie erst später, daher beendet Jane die Einrichtung mit dem Knopf "Speichern".

Konfiguration von Überprüfungen

Die Einstellungsmöglichkeiten für die manuelle Überprüfung von Dateien und Verzeichnissen über das Kontext-Menü und für angepasste eigene Computer- und Verzeichnis-Überprüfungen sind gleich. Das Einstellungsfenster für die manuelle Überprüfung wird über den Menüpunkt "Konfigurieren -> Rechtsklick-Überprüfung" geöffnet. Das Einstellungsfenster für eigene Überprüfungen über "Bearbeiten" im Listenfenster der Benutzeroberfläche. Genauere Informationen dazu gibt es in den jeweiligen Kapiteln.

Im Einstellungsfenster gibt es die beiden Register "Optionen" und "Bereinigung". Unter "Optionen" kann eingestellt werden, welche Dateien von Sophos Anti-Virus überprüft werden. Im Register "Bereinigung" wird festgelegt, wie der Viren-Scanner mit gefundenen infizierten oder verdächtigen Dateien umgeht.

Einstellungsmöglichkeiten im Register "Bereinigung":

Einstellungsfenster
Foto: Tim Romonath

Viren/Spyware

  • Objekte, die Viren/Spyware enthalten automatisch bereinigen
    Bereinigen heißt, dass versucht wird, die Datei vom Schadcode zu befreien.
    (Nur empfehlenswert, falls man keine saubere Sicherungskopie der Datei hat)

  • Löschen
    Mit dieser Option wird die infizierte Datei endgültig vom Rechner entfernt (Achtung: Es gibt keine weitere Sicherheitsabfrage).
    Alternativ können die Dateien auch einfach über den Windows Explorer gelöscht werden.

  • Verschieben nach
    Der Sophos Quarantäne-Modus belässt die Datei standardmäßig an ihrem Platz. Mit dieser Option kann man infizierte Datein z.B. in einen Sammel-Ordner verschieben.
    (Die Sicherheitseinstellung der HRZ-Installation erlaubt es normalen Benutzern nicht, infizierte Dateien zu verschieben, daher sollte diese Möglichkeit nicht angewählt werden).

Verdächtige Dateien

Verdächtige Dateien sind solche, die nicht als Virus/Spyware usw. klassifiziert werden, sondern nur als "potenziell unerwünscht" gelten. Darunter fallen neben Adware oder Dialer auch einige Systemverwaltungsprogramme z.T. obskurer Provenienz, die als Hacker-Tools eingestuft werden. Falls ein Programm, das Sie benötigen, so klassifiziert wird, wenden Sie sich bitte an Ihren System-Administrator bzw. EDV-Beauftragten Ihres Instituts oder Fachbereichs.

Die Optionen zur Bereinigung entsprechen denen zu Viren und Spyware.

Einstellungsmöglichkeiten im Register "Scannen"

Einstellungsfenster
Foto: Tim Romonath

  • Überprüfungsintensität
    Grundsätzlich sollte hier "Normal" ausgewählt sein.

  • Überprüfungsoptionen
    • Archivdateien überprüfen
      Legt fest, ob auch Dateien in z.B. .zip-Archiven gescannt werden (Empfohlen).

    • Auf Macintosh-Viren überprüfen
      Wenn man mit Apple-Computern zu tun hat, sollte diese Option ausgewählt sein.

    • Alle Dateien überprüfen
      Sophos prüft normalerweise nur eine Liste bekannter Datei-Typen, mit dieser Einstellung werden ausnahmslos alle gefundenen Dateien überprüft (empfohlen).

    • Auf Adware/PUAs überprüfen
      Prüft auch Dateien, die nicht als Virus gelten, aber potenziell unerwünschte Anwendungen sind (empfohlen).

    • Auf verdächtige Dateien und Rootkits überprüfen
      Diese Einstellung benötigt Administrator-Rechte und ist daher für normale Benutzer nicht empfohlen.

Automatische Updates

Sofern eine Verbindung mit zum Internet oder zum UMRNet besteht, wird Sophos Anti-Virus automatisch aktualisiert, d.h. das Programm und die Virensignaturen werden auf dem neuesten Stand gehalten. Dazu greift die Update-Komponente regelmäßig (Voreinstellung: stündlich) auf einen Server im HRZ zu und stellt fest ob dort neue Daten vorhanden sind. Sophos veröffentlicht mehrmals täglich neue Virensignaturen und bei Bedarf größere Programm-Updates, die automatisch installiert werden.

Den Einsatz eines Virenscanners ohne regelmäßige Updates ist nicht sinnvoll, da damit kein Schutz vor aktuellen Viren gewährleistet ist.

Überwachung des Zustands des Virenscanners

Der Zustand von Sophos Anti-Virus wird über ein Schild-Symbol im Info-Bereich der Taskleiste signalisiert:

  • On-Access-Überprüfung inaktiv
    Wenn die On-Access-Überprüfung inaktiv ist, wird ein gelbes Warn-Symbol über dem Virenschild-Symbol angezeigt.

  • AutoUpdate fehlgeschlagen
    Wenn der letzte Update fehlgeschlagen ist, wird ein rotes Fehler-Symbol über dem Virenschild-Symbol angezeigt.

Wird ein rotes Fehler-Symbol über dem Virenschild-Symbol angezeigt, kann das daran liegen, dass kein Kontakt zum Update-Server hergestellt werden kann, aber auch an Problemen mit der Installation des Updates. Leider bietet Sophos Anti-Virus für normale Benutzer (Benutzer ohne administrative Berechtigung) keine einfache Möglichkeit, den Grund des Fehlers herauszufinden. Daher können an dieser Stelle nur generelle Hinweise gegeben werden:

  • Vergewissern Sie sich, dass der Rechner mit dem Internet verbunden ist.

  • In Ausnahmefällen gibt es Probleme mit dem Update der Software. In diesem Fall empfiehlt es sich, die Aktualisierung zu einem späteren Zeitpunkt noch einmal zu starten (Rechtsklick auf das Virenschild-Symbol in der Taskleiste; im Kontextmenü "Jetzt aktualisieren" auswählen)

Fortgeschrittene oder neugierige Anwender können die Log-Dateien zu Rate ziehen, die sich auf vom HRZ installierten Rechnern im Verzeichnis C:\ProgramData\Sophos\AutoUpdate\Logs befindet. Die Dateinamen setzen sich aus der Form "ALUpdate<Erstellungs-Datum>T<Erstellungs-Uhrzeit>.<Interne Kennung>.LOG" zusammen, wobei die Datei mit dem jüngsten Datum die aktuelle ist. Das Log ist mit jedem Text-Editor (z.B. Notepad) lesbar. Aktuelle Einträge befinden sich jeweils am Ende der Datei.

Fehlalarme oder Viren, die keine sind

In seltenen Fällen erkennt der Virenscanner zu Unrecht einen Viren-Befall bei einer Datei und stellt diese unter Quarantäne, womit die Datei für die Benutzung gesperrt ist (sog. "false positive detection").
Wenden Sie sich in diesem Fall bitte an den System-Administrator Ihres Instituts oder Fachbereichs bzw. Einrichtung.