Warnhinweise von Threat Protection

Es gibt die folgenden Typen von Warnhinweisen beim Schutz vor Bedrohungen.

Für weitere Informationen zu einer Bedrohung und für den richtigen Umgang mit dieser klicken Sie auf den Namen im Warnhinweis.

Oder gehen Sie auf der Website von Sophos auf die Seite Bedrohungsanalyse. Klicken Sie unter Bedrohungsanalyse durchsuchen auf den Link des Bedrohungstyps und führen Sie eine Suche nach der Bedrohung aus oder sehen in der Liste der zuletzt aufgetretenen Elemente nach.

Eventuell werden Malware-Funde in der Ereignisliste als ML/PE-A angezeigt. Weitere Informationen hierzu finden Sie im Support-Artikel 127331.

Hoch

Real-time protection disabled

Der Echtzeit-Schutz wurde auf einem Computer für länger als 2,5 Stunden deaktiviert. Der Echtzeit-Schutz sollte stets eingeschaltet sein. Der Sophos Support rät Ihnen zur Durchführung einer Untersuchung eventuell, den Schutz für einen kurzen Zeitraum zu deaktivieren.

Malware not cleaned up

Es kann passieren, dass manche der gefundenen Malware-Programme nach 24 Stunden nicht entfernt wurden, obwohl die automatische Bereinigung verfügbar ist. Die Malware wurde vermutlich über einen Scan erkannt, für den keine automatische Bereinigung zur Verfügung steht, zum Beispiel bei On-Demand-Überprüfungen, die lokal konfiguriert werden. Diese Malware können Sie folgendermaßen behandeln:

  • Zentrale Bereinigung durch Planung eines Scans in der Richtlinie (für welche die automatische Bereinigung aktiviert ist).
  • Lokale Bereinigung über den Quarantänen-Manager.

Manuelle Bereinigung erforderlich

Manche der gefundenen Malware-Programme können nicht automatisch entfernt werden, da die automatische Bereinigung nicht verfügbar ist. Klicken Sie auf „Beschreibung“ im Warnhinweis. Der Link führt Sie zur Sophos Website, auf welcher Sie Informationen dazu finden, wie Sie die Bedrohung entfernen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Running malware not cleaned up

Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt, konnte nicht entfernt werden. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Bösartiger Traffic erkannt

Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Wiederkehrende Infektion

Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneut infiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nicht erkannt wurden. Eine tiefgehende Analyse der Bedrohung kann erforderlich sein. Bitte kontaktieren Sie den Sophos Support für Hilfe.

Ransomware detected

Wir haben Ransomware entdeckt und deren Zugriff auf das Dateisystem blockiert. Handelt es sich bei dem Computer um einen Arbeitsplatzrechner, wird die Ransomware automatisch entfernt. Unternehmen Sie folgende Schritte:

  • Falls weiterhin eine Bereinigung erforderlich ist: Binden Sie den Computer vorübergehend in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).

    Sie können Sophos Clean über Sophos Central auf einem Server ausführen. Sehen Sie hierzu Warnhinweise.

  • Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware. Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird Sophos Central sie in Zukunft blockieren.
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.

Ransomware attacking a remote machine detected

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zu verschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Handelt es sich bei dem Computer um einen Arbeitsplatzrechner und Dokumente vor Ransomware schützen (CryptoGuard) ist aktiviert, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  • Stellen Sie sicher, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Sophos Central-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.

Mittel

Potenziell unerwünschte Anwendungen (PUA) erkannt

Es wurde Software erkannt, bei der es sich um Adware oder eine andere potentiell unerwünschte Anwendung handeln könnte. Potentiell unerwünschte Anwendungen werden standardmäßig blockiert. Sie können die Anwendung genehmigen, wenn Sie sie als nützlich empfinden, oder bereinigen.

PUAs genehmigen

Sie können eine PUA auf zwei Arten genehmigen, je nachdem, ob Sie sie auf allen oder nur einigen Computern erlauben möchten:

  • Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA autorisieren. Die PUA wird auf allen Computern erlaubt.
  • Fügen Sie die PUA zu den Scan-Ausschlüssen in der Malware-Schutzrichtlinie hinzu. Die PUA wird nur auf Computern genehmigt, für welche diese Richtlinie gilt.

PUAs bereinigen

Sie können eine PUA auf zwei Arten entfernen:

  • Wählen Sie auf der Seite Warnhinweise den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA(s) bereinigen.
  • Entfernen Sie die Anwendung im Quarantänen-Manager der Agent-Software des betroffenen Computers.
Hinweis: Eventuell ist die Bereinigung nicht verfügbar, wenn die PUA in einem gemeinsam genutzten Netzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt.

Potentiell unerwünschte Anwendung nicht bereinigt

Die potentiell unerwünschte Anwendung konnte nicht entfernt werden. Die manuelle Bereinigung kann erforderlich sein. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Anwendung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Computer-Scan erforderlich, um Bereinigung abzuschließen

Die Bereinigung von Bedrohungen erfordert einen vollständigen Computer-Scan. Um einen Computer zu scannen, gehen Sie zur Seite Computer, klicken auf den Namen des Computers, um die Detailseite zu öffnen, und anschließend auf die Schaltfläche Jetzt scannen.

Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan ‚Meinen Computer scannen‘ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle und Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Warnhinweise einen Warnhinweis.

Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt.

Alternativ können Sie den Scan lokal über die Sophos Agent-Software auf dem betroffenen Computer durchführen. Verwenden Sie für Windows die Option Scannen in Sophos Endpoint und für Mac die Option Diesen Mac scannen in Sophos Anti-Virus.

Neustart erforderlich, um die Bereinigung abzuschließen

Die Bedrohung wurde teilweise entfernt, der Endpoint-Computer muss aber neu gestartet werden, um die Bereinigung abzuschließen.

Remote ausgeführte Ransomware erkannt

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht, Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computers gesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Central verwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  • Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.
  • Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Warnhinweis als behoben.