Zum Inhalt

Warnhinweise von Threat Protection

Hierbei handelt es sich um Warnhinweise zu Threat Protection.

Es gibt die folgenden Typen von Warnhinweisen beim Schutz vor Bedrohungen.

Für weitere Informationen zu einer Bedrohung und für den richtigen Umgang mit dieser klicken Sie auf den Namen im Warnhinweis.

Oder gehen Sie auf der Website von Sophos auf die Seite Bedrohungsanalyse. Klicken Sie unter Bedrohungsanalyse durchsuchen auf den Link des Bedrohungstyps und führen Sie eine Suche nach der Bedrohung aus oder sehen in der Liste der zuletzt aufgetretenen Elemente nach.

Möglicherweise werden Malware-Erkennungen in der Ereignisliste auch als ML/PE-A angezeigt (siehe unter Ml/PE-A-Erkennung erklärt).

Hoch

Art des Warnhinweises Beschreibung
Echtzeit-Schutz deaktiviert Der Echtzeit-Schutz wurde auf einem Computer für länger als 2,5 Stunden deaktiviert. Der Echtzeit-Schutz sollte stets eingeschaltet sein. Der Sophos Support rät Ihnen zur Durchführung einer Untersuchung eventuell, den Schutz für einen kurzen Zeitraum zu deaktivieren.
Malware nicht entfernt

Es kann passieren, dass manche der gefundenen Malware-Programme nach 24 Stunden nicht entfernt wurden, obwohl die automatische Bereinigung verfügbar ist. Die Malware wurde vermutlich über einen Scan erkannt, für den keine automatische Bereinigung zur Verfügung steht, zum Beispiel bei On-Demand-Überprüfungen, die lokal konfiguriert werden. Diese Malware können Sie folgendermaßen behandeln:

  • Zentrale Bereinigung durch Planung eines Scans in der Richtlinie (für welche die automatische Bereinigung aktiviert ist).
  • Lokale Bereinigung über den Quarantänen-Manager.
Manuelle Bereinigung erforderlich

Manche der gefundenen Malware-Programme können nicht automatisch entfernt werden, da die automatische Bereinigung nicht verfügbar ist.

Klicken Sie auf „Beschreibung“ im Warnhinweis. Der Link führt Sie zur Sophos Website, auf welcher Sie Informationen dazu finden, wie Sie die Bedrohung entfernen.

Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Ausgeführte Malware nicht bereinigt

Ein auf dem Computer ausgeführtes Programm, das bösartiges oder verdächtiges Verhalten zeigt, konnte nicht entfernt werden.

Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen.

Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Siehe Arten schädlichen Verhaltens.

Bösartiger Traffic erkannt

Es wurde bösartiger Traffic im Netzwerk erkannt, der möglicherweise zu einem Command-and-Control-Server führt, der an einem Botnet oder einem anderen Malware-Angriff beteiligt ist.

Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Bedrohung und darüber zu erfahren, wie Sie mit dieser umgehen.

Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.

Wiederkehrende Infektion

Nachdem Sophos Central versucht hat, die Bedrohung zu entfernen, wurde ein Computer erneut infiziert. Dies ist eventuell auf versteckte Komponenten der Bedrohung zurückzuführen, die nicht erkannt wurden. Eine tiefgehende Analyse der Bedrohung kann erforderlich sein.

Bitte kontaktieren Sie den Sophos Support für Hilfe.

Ransomware erkannt

Wir haben Ransomware entdeckt und deren Zugriff auf das Dateisystem blockiert. Handelt es sich bei dem Computer um einen Arbeitsplatzrechner, wird die Ransomware automatisch entfernt. Unternehmen Sie folgende Schritte:

  • Falls weiterhin eine Bereinigung erforderlich ist: Binden Sie den Computer vorübergehend in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).

    Sie können Sophos Clean über Sophos Central auf einem Server ausführen. Siehe Alarme.

  • Ist der automatische Sampleversand nicht aktiviert, schicken Sie uns ein Sample der Ransomware. Wir werden sie klassifizieren und unsere Regeln aktualisieren: Ist sie schädlich, wird Sophos Central sie in Zukunft blockieren.
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Alarm als behoben.
Es wurde Ransomware erkannt, die einen Remote-Rechner angreift

Wir haben festgestellt, dass dieser Computer versucht, Dateien auf anderen Computern zu verschlüsseln.

Wir haben den Schreibzugriff des Computers auf die Netzwerkfreigaben blockiert. Wenn der Computer ein Arbeitsplatzrechner ist und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt.

Unternehmen Sie folgende Schritte:

  • Stellen Sie dann sicher, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Sophos Central-Richtlinie aktiviert ist. Damit werden weitere Informationen bereitgestellt.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Alarm als behoben.

Mittel

Art des Warnhinweises Beschreibung
Potenziell unerwünschte Anwendungen (PUA) erkannt Es wurde Software erkannt, bei der es sich um Adware oder eine andere potentiell unerwünschte Anwendung handeln könnte. Potentiell unerwünschte Anwendungen werden standardmäßig blockiert. Sie können die Anwendung genehmigen, wenn Sie sie als nützlich empfinden, oder bereinigen.
PUAs genehmigen

Sie können eine PUA auf zwei Arten genehmigen, je nachdem, ob Sie sie auf allen oder nur einigen Computern erlauben möchten:

  • Wählen Sie auf der Seite Alarme den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA autorisieren. Die PUA wird auf allen Computern erlaubt.
  • Fügen Sie die PUA zu den Scan-Ausschlüssen in der Malware-Schutzrichtlinie hinzu. Die PUA wird nur auf Computern genehmigt, für welche diese Richtlinie gilt.
PUAs bereinigen

You can clean a PUA up in one of two ways:

  • Wählen Sie auf der Seite Alarme den Warnhinweis und klicken Sie oben rechts auf der Seite auf die Schaltfläche PUA(s) bereinigen
  • Entfernen Sie die Anwendung im Quarantänen-Manager der Agent-Software des betroffenen Computers.

Eventuell ist die Bereinigung nicht verfügbar, wenn die PUA in einem gemeinsam genutzten Netzwerk entdeckt wurde. Das ist darauf zurückzuführen, dass der Sophos-Agent nicht über die Berechtigung zur Bereinigung der Dateien an diesem Ort verfügt.

Potenziell unerwünschte Anwendung nicht bereinigt Die potentiell unerwünschte Anwendung konnte nicht entfernt werden. Die manuelle Bereinigung kann erforderlich sein. Klicken Sie auf „Beschreibung“ im Warnhinweis, um mehr über die Anwendung und darüber zu erfahren, wie Sie mit dieser umgehen. Wenn Sie Hilfe benötigen, kontaktieren Sie den Sophos Support.
Computer-Scan erforderlich, um Bereinigung abzuschließen

Die Bereinigung von Bedrohungen erfordert einen vollständigen Computer-Scan. Um einen Computer zu scannen, gehen Sie zur Seite Computer, klicken auf den Namen des Computers, um die Detailseite zu öffnen, und anschließend auf die Schaltfläche Jetzt scannen.

Der Scan kann einige Zeit in Anspruch nehmen. Nach Abschluss sehen Sie die Bestätigung „Scan „Meinen Computer scannen“ abgeschlossen“. Erfolgreiche Bereinigungen werden auf der Seite Protokolle & Berichte > Ereignisse angezeigt. Für nicht erfolgreiche Bereinigungen sehen Sie auf der Seite Alarme einen Warnhinweis.

Wenn der Computer offline ist, wird er gescannt, sobald er wieder online ist. Wenn aktuell bereits ein Computer-Scan durchgeführt wird, wird die neueste Scan-Anforderung ignoriert und der frühere Scan weiter ausgeführt.

Alternativ können Sie den Scan lokal über die Sophos Agent-Software auf dem betroffenen Computer durchführen. Verwenden Sie für Windows die Option Scannen in Sophos Endpoint und für Mac die Option Diesen Mac scannen in Sophos Anti-Virus.

Neustart erforderlich, um die Bereinigung abzuschließen Die Bedrohung wurde teilweise entfernt, der Endpoint-Computer muss aber neu gestartet werden, um die Bereinigung abzuschließen.
Remote ausgeführte Ransomware erkannt

Wir haben Ransomware entdeckt, die auf einem Remote-Computer ausgeführt wird und versucht, Dateien in Netzwerkfreigaben zu verschlüsseln.

Wir haben den Schreibzugriff auf die Netzwerkfreigaben von der IP-Adresse des Remote-Computers gesperrt. Wenn der Computer mit dieser Adresse ein Arbeitsplatzrechner ist, der von Sophos Central verwaltet wird, und Dokumente vor Ransomware schützen (CryptoGuard) aktiviert ist, wird die Ransomware automatisch entfernt

Unternehmen Sie folgende Schritte:

  • Suchen Sie den Computer, auf dem die Ransomware ausgeführt wird.
  • Wird der Computer von Sophos Central verwaltet, achten Sie darauf, dass Dokumente vor Ransomware schützen (CryptoGuard) in der Richtlinie aktiviert ist.
  • Falls die Bereinigung nicht automatisch erfolgt: Binden Sie den Computer in ein Netzwerk ein, wo er kein Risiko für andere Computer darstellt. Gehen Sie dann zu dem Computer und führen Sie Sophos Clean aus (sofern nicht installiert, laden Sie das Tool auf unserer Website herunter).
  • Gehen Sie in Sophos Central zu Alarme und markieren Sie den Alarm als behoben.