G Data Antivirus Business – Sehr viele Sicherheitsmeldungen entfernen

Eine etwas merkwürdige Situation trug sich dieser Tage bei einem Kunden zu: Server-Eye meldete Fehler bei der E-Mail-Archivierung mittels MailStore. Ein Blick auf den Server bzw. das Ergebnis der Archivierungsaufgaben zeigte Schwierigkeiten mit einer oder mehreren Mails. Leider relativ nichtssagend mit vielen Fragezeichen im Ergebnis

Der Verdacht war schnell naheliegend, das es um infizierte Mails ging und folglich der Virenschutz, in diesem Fall G Data Antivirus Business, seine Finger mit im Spiel hat. Im G Data Administrator fielen gleich über 300.000 Sicherheitsmeldungen, verursacht von gerade Mal drei PCs, auf. Seltsamerweise hat diese Virenalarme Server-Eye nicht „gesehen“.

Das nächste Kuriosum war zudem, das in den Virenalarme Mails „angemeckert“ wurden, die im aktuellen Posteingang der Postfächer oder in MailStore nicht gefunden werden konnten. Kurzerhand wurde das gemeinsam genutzte Info-Postfach nach dem Betreff „[ VIRUS ]“ durchsucht, prompt gab es ein paar wenige Treffer. Diese Mails waren allerdings bereits Jahre alt und bereits gelöscht (Papierkorb/Deleted Items).

Vermutlich kamen die aktuellen Alarme dadurch zustande, da ein neuer PC eingebunden wurde. Zeitlich passt der erste Alarm mit der Erstsynchronisation von Outlook mittels KerioConnect’s Outlook Connector zusammen. Dabei stolperte das System wohl über die alten Mails. Wie oder warum dann abgesehen von diesem neuen PC auch von zwei Bestandssystemen Alarme ausgelöst wurde, konnte spontan nicht ganz nachvollzogen werden.

Jedenfalls nachdem die Mails endgültig gelöscht waren, kamen keine neuen Alarme mehr hinzu. Über den G Data Administrator die über 300.000 Alarme zu löschen schlug selbst nach mehreren Versuchen fehl, besser ausgedrückt es passierte außer langem „rumgerödel“ nichts. Daraufhin wurde der G Data-Support kontaktiert, der um das Problem wusste und per Mail eine Lösung sandte.

delete_reports.sql:

USE [GDATA_AntiVirus_ManagementServer]
GO

DELETE FROM [dbo].[report]
 WHERE MachineName = 'PC01'
GO

Anpassen muss man den Datenbanknamen und den Computernamen, dessen Reports gelöscht werden sollen. Die Datenbankangaben findet man unter „C:\Program Files (x86)\G DATA\G DATA AntiVirus ManagementServer\config.xml“.

Das SQL-Skript muss dann als Administrator ausgeführt werden:

sqlcmd -S .\GDATASQLSRV2K8 -i "C:\delete_reports.sql"

Bei diesem Befehl muss der Servername angepasst werden. Im Beispiel wurde das Skript direkt auf dem Server ausgeführt. Es gibt übrigens keine Ausgabe. Im G Data Administrator muss man auf „Aktualisieren“ klicken. Im Erfolgsfall sollten vom angegebennen PC alle Sicherheitsberichte/Alarme gelöscht sein.

Abschließend kann man wohl sagen, dass das Monitoring so oder so, wenn auch nicht wie gedacht, funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.