Arbeiten mit infizierten Computern

Wenn Client Security verdächtige oder als Malware bekannte Software findet, erfahren Sie von dieser Infektion durch Berichte, Warnungen, genaues Beobachten der Client Security-Ereignisse oder vielleicht durch einen aufmerksamen Benutzer, der Sie über eine Meldung des Client Security-Agents auf dem infizierten Computer informiert.

Wenn Client Security eine Instanz einer Malware findet, werden die in den Richtlinien zum Schutz des infizierten Computers angegebenen Aktionen ausgeführt. Wenn eine Warnung generiert wird, gibt diese an, ob Client Security die in den Richtlinien angegebenen Aktionen erfolgreich durchführen konnte. Da die angegebene Aktion auch ein Ausbleiben einer Reaktion oder eine Frage an den Benutzer (der möglicherweise antwortet, dass Client Security keine Aktion ausführen soll) sein kann, ist es sehr wichtig, dass jede Infektion untersucht und gelöst wird.

Es gibt die folgenden zwei Infektionswarnungstypen:

  • Computer infiziert – Fehler bei Reaktion
  • Computer infiziert – Reaktion erfolgreich

Mit Client Security können Sie die entdeckte Malware untersuchen.

Das protokollierte Malwareereignis wird auch dann auf dem Auflistungsserver angezeigt, wenn Client Security für die gefundene Malware keine Warnung erstellt hat. Zeigen Sie das Ereignis in der MOM-Operatorkonsole an, und öffnen Sie mit dem Link den entsprechenden Eintrag in der Microsoft Malicious Software Encyclopedia. Weitere Informationen zum Anzeigen von Ereignissen finden Sie unter Arbeiten mit Ereignissen.

Wenn Client Security eine Warnung für die gefundene Malware erstellt hat, führen Sie folgende Schritte aus:

  • Zeigen Sie die Informationen auf der Registerkarte „Eigenschaften“ an, um herauszufinden, welche Aktion ausgeführt wurde und ob sie erfolgreich war.
    Bei einer fehlgeschlagenen Reaktion sind die häufigsten Ursachen für den Fehler wie folgt:
    • Für das Ausführen der Reaktion ist ein Neustart oder ein vollständiger Scan notwendig.
    • Die infizierte Ressource befindet sich in einem schreibgeschützten freigegebenen Ordner auf einem anderen Computer als dem, der Client Security ausführt.
    • Die infizierte Ressource befindet sich in schreibgeschützten Medien auf dem Computer.
  • Zeigen Sie über den Link auf der Registerkarte Eigenschaften den Detailbericht über die Malware an, und informieren Sie sich über die gefundene Software und die durchgeführte Aktion. Je nach der in der Richtlinie angegebenen Aktion befindet sich die Malware möglicherweise auch weiterhin auf dem Computer.
  • Informieren Sie sich anhand des Links zum Computerdetailbericht über den Status des infizierten Computers (z. B. das Vorhandensein sonstiger Malware oder Sicherheitsrisiken).

Weitere Informationen über Warnungen finden Sie unter Arbeiten mit Warnungen.

  1. Informieren Sie sich über die gefundene Malware. Weitere Informationen finden Sie oben unter „Untersuchen der Malware“.

  2. Ist die Software akzeptabel, bearbeiten Sie die Richtlinie und legen auf der Registerkarte Außerkraftsetzungen eine andere Standardaktion für diese Software fest, sodass sie von Client Security nicht mehr zum Entfernen vorgesehen wird.

    Wenn die Software inakzeptabel ist, führen Sie nach Bedarf die folgenden Aktionen aus:

    • Wenn sich die infizierte Ressource in einer schreibgeschützten Freigabe auf einem anderen Computer befindet als dem, der die Infektion gemeldet hat, identifizieren Sie den Server, auf dem sich die Datei befindet, prüfen, warum dieser Server die Malware nicht entdeckt hat, vergewissern sich, dass der Echtzeitschutz aktiviert ist und dass für den Server regelmäßige vollständige Scans geplant sind.
    • Wenn sich die infizierte Ressource in schreibgeschützten Medien befindet, entfernen Sie diese Medien und vermeiden ihre Verwendung.
    • Stellen Sie sicher, dass der Client Security-Agent und die Signaturen auf dem infizierten Computer auf dem neuesten Stand sind.
    • Untersuchen Sie, wie der Computer infiziert wurde, und führen Sie die entsprechenden Schritte aus, um eine Neuinfektion auf die gleiche Weise zu verhindern.
    • Scannen Sie den Computer erneut.
    • Stellen Sie sicher, dass der betroffene Computer nicht beschädigt wurde. Wurde er beschädigt, müssen Sie ihn reparieren.
    • Wenn die Standardaktion für diese Option vorsieht, dass die Software auf dem Computer erhalten bleibt (indem sie z. B. unter Quarantäne gestellt wird), dies aber nicht akzeptabel ist, bearbeiten Sie die Richtlinie, und stellen Sie auf der Registerkarte Außerkraftsetzungen eine andere Standardaktion für die Software ein.
    • Scannen Sie das Netzwerk nach anderen Vorkommen dieser Malware.
  3. Senden Sie ein Beispiel für die Malware an Microsoft. Weitere Informationen finden Sie unter Übermitteln von Malwarebeispielen.

Anzeigen: