Securepoint Antivirus Pro: Hohe CPU-Auslastung und Erkennung der eigenen Quarantäne als Malware

Auf einem Windows Server 2016 Standard lastete der Virenschutz von Securepoint das System zu gut 50% und mehr aus. Im Dashboard wurde das System wahlweise mit 26 oder 129 erkannten Schädlingen angezeigt.

Vorausgegangen waren erfolgreiche Erkennungen von alten inaktiven Schädlingen die in archivierten Dateien vorhanden waren, sowie der eine oder andere Treffer beim Scannen des Mailserver-Verzeichnisses. Die Ergebnisse bzw. Meldungen wurden immer überprüft und meist der Empfehlung “Sichern und löschen” gefolgt. Zu keinem Zeitpunkt war Malware aktiv auf diesem System.

Soweit, so gut. Irgendwann fing allerdings der Virenschutz an, seine eigene Quarantäne als Malware-infiziert zu melden, das Anwenden der Empfehlung oder anderer Optionen half dabei nichts und die Auslastung ging hoch. In der lokalen GUI blinkte die Registerkarte “Quarantäne” nur noch, von dort aus konnte man gar nichts mehr unternehmen.

In der Zwischenzeit wurde der Support kontaktiert, noch bevor dieser Antworten konnte fand (s)ich ein erster Workaround:

  • NSudo herunterladen und ausführen.
  • Eine Eingabeaufforderung als Benutzer “Trusted Installer” (System reicht nicht aus!) ausführen:
  • Den Dienst anhalten mit
    net stop GuardX
  • Nun aus dem Pfad
    C:\Program Files\Securepoint Antivirus Pro\quarantine\files

    alle Dateien entfernen.

  • Den Dienst starten mit
    net start GuardX
  • Zuletzt gab es nur noch ein paar Phantome, die im AV-Portal und der lokalen GUI angezeigt wurden. Beide Listen waren allerdings unterschiedlich und mussten separat geleert werden.

Leider hilft dieser erste Workaround nicht auf die Dauer. Irgendwann geht die CPU-Auslastung wieder hoch, wenigstens ohne das es irgendeinen Treffer gibt.

In der Zwischenzeit meldete sich zudem der Support und schaute sich das Ganze an, offenbar gibt es seit den vergangenen ein-zwei Updates auf manchen Systemen Schwierigkeiten. Dabei spielt es keine Rolle ob es sich um z.B. Windows 10 oder eben Windows Server handelt. Auch sonst konnte man bislang keine Gemeinsamkeiten oder Rückschlüsse ziehen, das Ganze wird aktuell noch untersucht.

Als automatisierbare Lösung kann man beispielsweise eine Prozessüberwachung bauen, wenn “guardxservice_x64.exe” längere Zeit für CPU-Auslastung sorgt, kann der Virenschutz über die NSudo-CLI beendet werden:

NSudoLC.exe -U:T -P:E net stop GuardX

Ein (Neu-)Start des Dienstes gelingt ohne NSudo:

net start GuardX

Persönliche Bemerkung

Der bzw. die Workarounds sind nicht perfekt, aber sie helfen zumindest temporär. Der Support ist Securepoint-typisch gut und man schaut sich die Anliegen an. Im Großen und Ganzen bin ich mit Securepoint’s Antivirus Pro sehr zufrieden und Fälle wie dieser sind die absolute Ausnahme! Generell läuft dieser Virenschutz bei uns und unseren Kunden in der Regel völlig stressfrei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.