zFP-GOOGLE

  • Artikel-ID: 118377
  • Aktualisiert: 17 Dez 2012

Problem

In Ihrer Konsole werden zum Computer, der als Sophos Management Server fungiert, einer oder mehrere Alerts zu verdächtigem Verhalten ("zFP-GOOGLE") angezeigt.  

Die Meldung weist nicht auf eine Bedrohung auf dem Computer hin. Die Meldung weist auf mögliche Probleme in Ihren Softwareanwendungen hin, die umgehend behoben werden müssen.

Mit der Meldung möchten wir Sie darüber informieren, dass Produkte anderer Hersteller (nicht von Sophos) in Ihrem Netzwerk von dem False Positive-Problem betroffen waren. Sofern Sie die Produkte noch nicht repariert haben, befinden sie sich unter Umständen nicht mehr auf dem aktuellen Stand und könnten in Zukunft anfällig für Sicherheitslücken sein. Mit der Bezeichnung "verdächtiges Verhalten" wollten wir auf die Dringlichkeit des Problems hinweisen.

Unten finden Sie ein Alert-Beispiel.

Des Weiteren werden in den Computerdetails des Management Servers einer oder mehrere Alerts zu verdächtigem Verhalten ("zFP-") angezeigt. Die Meldungen enthalten Namen von Anwendungen anderer Anbieter (nicht von Sophos).

Festgestellt in Version

Nicht produktbezogen

Ursache

Mit diesem Alert weisen wir darauf hin, dass Sie Anwendungen auf Windows-Endpoints installiert haben, die aufgrund des  Shh/Updater-B False Positive-Problems nicht ordnungsgemäß funktionieren.

Der Alert wird angezeigt, wenn Folgendes zutrifft:

  • Ihre Virenschutzrichtlinie war zum Verschieben oder Löschen von aufgrund des False Positive-Problems vom On-Access-Scanner als schädlich erkannten Dateien konfiguriert.
  • Einer oder mehrere Computer haben an die Konsole gemeldet, dass zu Anwendungen anderer Anbieter gehörige Dateien von der lokalen Anti-Virus-Software verschoben oder gelöscht wurden.
  • Sie haben die Alerts in der Konsole zum Verschieben oder Löschen von Dateien nicht entfernt.
  • Bei dem Computer, auf dem die Maßnahme "Verschieben" oder "Löschen" gemeldet wird, handelt es sich um einen Windows-Computer.

Hinweis: Auch wenn Sie bereits einige Anwendungen repariert haben, sind unter Umständen weitere Anwendungen betroffen, die Ihnen nicht bekannt sind.

Möchten Sie Ihre Anti-Virus-Einstellungen überprüfen?

Vorgehensweise

Erforderliche Schritte im Überblick:

  1. Ausführen einer Batch-Datei zur Erstellung einer Liste der Computer, auf denen (nicht gelöschte) Alerts zu betroffenen Anwendungen angezeigt wurden.
  2. Reparatur aller Anwendungen, bei denen Dateien verschoben wurden (Abschnitt 2).
  3. Wenn Dateien gelöscht wurden: Reparieren von Anwendungen, wenn entsprechende Dateien gelöscht wurden (Abschnitt 3).

1. Ermitteln betroffener Computer

Sie müssen eine Batch-Datei ausführen, die eine Textdatei erstellt. In der Textdatei werden sämtliche Computer aufgelistet, auf denen möglicherweise von der "Shh/Updater-B"-False Positive-Meldung betroffene Anwendungen installiert sind.

Öffnen Sie den Artikel auf dem Management Server oder dem Server, auf dem die Sophos SQL Server-Instanz gehostet wird, und führen Sie Schritt eins bis vier unten aus.

  1. Rechtsklicken Sie auf den Link fpdf.bat, wählen Sie "Link speichern unter..." (bzw. "Ziel speichern unter..." o.Ä. je nach Browser) aus und speichern Sie die Datei auf dem Desktop des Servers.
  2. Öffnen Sie eine Befehlszeile (klicken Sie auf "Start" > "Ausführen", geben Sie cmd.exe ein, und klicken Sie auf "OK") und wechseln Sie zum Desktop des Servers (Verzeichnis wechseln: cd).
  3. Geben Sie folgenden Befehl ein, um die Batch-Datei auszuführen und eine Ausgabetextdatei zu erstellen.

    fpdf.bat > FpActionedFiles.txt

    Wenn der Befehl ausgeführt wurde, wird eine neue Textdatei auf dem Desktop des Servers mit der Bezeichnung "FpActionedFiles.txt" angezeigt.
  4. Öffnen Sie "FpActionFiles.txt": Auf allen betroffenen Computern verschobene bzw. gelöschte Dateien werden aufgeführt.

    Wenn keine Computerliste vorhanden ist, haben Sie die Datei möglicherweise auf dem falschen Computer ausgeführt.  Anhand der Anweisungen im Support-Artikel 113030 können Sie feststellen, ob auf dem Server SQL installiert ist und ob darauf die wichtigsten Sophos Datenbanken gehostet werden.

Sie finden jetzt eine Textdatei mit der Bezeichnung "FpActionFiles.txt", in der Arbeitsplatzrechner aufgeführt werden.  Bei Bedarf können Sie die Liste in Abschnitt 2 oder 3 verwenden.

2. Reparieren von Anwendungen, wenn entsprechende Dateien verschoben wurden

Führen Sie zur Reparatur von Anwendungen anderer Anbieter (nicht Sophos) auf den Endpoints die Schritte eins bis drei unten durch.

Die Schritte müssen lokal auf allen Endpoints ausgeführt werden, die in der Datei "FpActionFiles.txt" aufgelistet werden.  Bei Bedarf können Sie das Tool und die entsprechenden Anweisungen auf einem USB-Stick (oder ähnlichen Gerät) speichern.  Wenn viele Computer betroffen sind, klicken Sie auf die Links zu den anderen Artikeln mit Informationen zur Bereitstellung des Tools im gesamten Netzwerk.

Hinweis: Führen Sie das Tool mit Administratorrechten aus.

  1. Rechtsklicken Sie auf den Link FixIssues.exe, wählen Sie "Link speichern unter..." (bzw. "Ziel speichern unter..." o.Ä. je nach Browser) aus und speichern Sie die Datei auf dem Desktop des Endpoints.
  2. Doppelklicken Sie auf das Tool, um es auszuführen.
  3. Überprüfen Sie, ob die Anwendungen jetzt funktionieren.  Wenn Probleme auftreten, überprüfen Sie die Protokolldateien des Tools "FixIssues".  Diese werden im lokalen Temp-Verzeichnis des Benutzers gespeichert, der das Tool ausführt.  Um darauf zuzugreifen, suchen Sie die Protokolldateien.
    1. Öffnen Sie das Temp-Verzeichnis des angemeldeten Benutzers (klicken Sie hierzu auf "Start" > "Ausführen", geben Sie %temp% ein und drücken Sie die Eingabetaste).
    2. Öffnen Sie das Hauptprotokoll des Tools in einem Texteditor: Sophos Fix Script log.txt
    3. Darüber hinaus sollten Sie Folgendes prüfen: Sophos Fix Log_[TIMESTAMP].txt

Wenn Sie sich an den technischen Support von Sophos wenden müssen, empfiehlt sich, die Protokolle beizufügen, da sich das Problem damit schneller beheben lässt.

Wenn die Bereinigungseinstellungen in der Anti-Virus-Software nicht zum Löschen von Dateien konfiguriert worden waren (Anweisungen finden Sie bei Bedarf im Abschnitt "Möchten Sie Ihre Anti-Virus-Einstellungen überprüfen?"), besteht kein weiterer Handlungsbedarf.

Tipp: In den folgenden Artikeln werden unterschiedliche Methoden zur Bereitstellung der Tools in Ihrem Netzwerk behandelt:

  • Anweisungen zu Enterprise Console entnehmen Sie bitte dem Support-Artikel 118351.
  • Anweisungen zu "PsExec" entnehmen Sie bitte dem Support-Artikel 118337.
  • Anweisungen zu Gruppenrichtlinienobjekten in Active Directory (GPO) entnehmen Sie bitte dem Support-Artikel 118338.

Vorgehensweise, wenn Anwendungen von anderen Anbietern weiterhin nicht funktionieren

Sollten Sie feststellen, dass Anwendungen anderer Anbieter nach wie vor nicht ordnungsgemäß funktionieren, Sie jedoch die Anweisungen oben bereits befolgt haben, wurden die Alerts wahrscheinlich nicht in der Datenbank aufgelistet.  Das bedeutet, dass in der Datei "FpActionFiles.txt" nicht alle betroffenen Computer aufgeführt werden.

In diesem Fall empfehlen wir, das Tool "FixIssues.exe" auf allen Endpoints auszuführen.  Im Abschnitt oben werden die unterschiedlichen Methoden zur Bereitstellung aufgeführt.

3. Reparieren von Google-Anwendungen, wenn entsprechende Dateien gelöscht wurden

Die Anweisungen in diesem Abschnitt sind nur für Kunden relevant, deren Bereinigungseinstellungen in der Anti-Virus-Software zum Löschen von Dateien konfiguriert worden waren. Im Zweifelsfall empfiehlt sich, das Video im Abschnitt "Möchten Sie Ihre Anti-Virus-Einstellungen überprüfen?" anzusehen, sofern Sie dies noch nicht getan haben.

Wenn Dateien durch Ihre Virenschutzeinstellungen gelöscht wurden: Über die Links unten können Sie Anweisungen zur Wiederherstellung aller ermittelten Anwendungen aufrufen.

Hinweis: Wenn Sie bereits das FixIssues-Tool ausgeführt haben, wurden sämtliche verschobenen Dateien wiederhergestellt. Die folgenden Anweisungen sind nur für Kunden relevant, deren Bereinigungseinstellungen in der Anti-Virus-Software zum Löschen von Dateien konfiguriert worden waren.

Anwendung Google Chrome und Google Updater
Hersteller Google
Auswirkung
  • Die meisten zur Google Update-Funktion gehörigen Dateien sind betroffen, einschließlich der Folgenden:
    • %Programme%\Google\Update\GoogleUpdate.exe
    • %Programme%\Google\Update\<Versionsnummer>\<alle Dateien (65 Dateien)>
  • Google Update ist für Updates mehrerer Produkte (einschließlich Chrome und Google Earth) zuständig. Es sind also möglicherweise unterschiedliche Produkte betroffen. Unter http://support.google.com/installer/bin/answer.py?hl=en&answer=146158 werden alle Produkte aufgeführt, die Google Update verwenden.
  • Unter Umständen sind Dateien mehrerer Versionen von Google Update betroffen. In der Regel muss jedoch nur die aktuelle Version repariert werden.
  • Der Browser "Google Chrome" funktioniert weiterhin, und es werden keine Fehlermeldungen angezeigt. Die Update-Funktion und -Suche ist jedoch defekt.
  • Wenn Sie die Option "About Google Chrome" im Browser öffnen, wird folgende Fehlermeldung angezeigt, wenn die Update-Komponente defekt ist:
    • 'Update failed (error: 3) An error occurred while checking for updates: Update check failed to start (error code 3: 0x80070002 - system level)'
Lösung
  • Installieren Sie Chrome mit dem Chrome Installer erneut. Dadurch werden verschobene Dateien der Google Update-Software wiederhergestellt.
  • Der Online-Installer steht unter www.google.com/chrome zum Download bereit. Als Alternative hierzu können Sie den Standalone Installer zu "ChromeStandaloneSetup.exe" unter http://www.google.com/chrome/eula.html?system=true&standalone=1 bzw. den msi-Installer unter https://www.google.com/intl/en/chrome/business/browser herunterladen.
  • Wenn die Fehlermeldung "Installation failed. The Google Chrome installer failed to start." angezeigt wird, rufen Sie die Links von Google im gleichen Fenster auf, um das Problem zu beheben.
  • Für eine Installation im Hintergrund verwenden Sie entweder den Einzelplatz-Installer mit dem Befehl "ChromeStandaloneSetup.exe /silent /install" oder die msi-Installerdatei mit dem Befehl 'msiexec /q /f <Pfad zur msi-Datei von Chrome>'. Wenn Sie die msi-Datei verwenden, muss die Chrome-Version der bereits installierten Version entsprechen.
  • Das Dienstprogramm "Software" in der Systemsteuerung bzw. die Option zum Entfernen/Hinzufügen von Programmen in Windows bieten keine Reparaturoption.
Getestet Für die folgende Version getestet
  • Google Chrome Version 22.0.1229
Ausführung auf den folgenden Betriebssystemen: 
  • Windows XP Professional SP3
  • Windows 7 Professional SP1
  • Windows 7 Enterprise SP1 (64-Bit)

Weitere Informationen

Unter Umständen werden auch folgende Alerts in der Konsole angezeigt.

zFP-ADOBE zFP-OTHER zFP-ORACLE zFP-SMARTTECHNOLOGIES
zFP-APPLE zFP-MOZILLA zFP-REALNETWORKS  

Wenn weiterhin Probleme auftreten oder Sie die Anwendung nicht anhand der genannten Schritte reparieren können, finden Sie in folgender Diskussion auf unserem SophosTalk-Forum (im englischer Sprache) weiterführende Hinweise: Shh/Updater-B: remediating third party applications.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen