Hallo Herr Hollmann, der Schädling wird erst aktiv, wenn der Link welcher sich in der Mail befindet angeklickt  oder die Anlage geöffnet wird. Diese Aktionen werden jedoch dann in der Regel von Virenscannern unterbunden. Wenn der Schädling dem Virenscanner noch nicht bekannt ist (Signaturen sind nicht aktuell oder erkennen den Virus/Trojaner noch nicht), dann wäre ihr System anschließend infiziert. Deswegen ist es wichtig die Signaturen stets aktuell zu halten und auch regelmäßige Prüfläufe der Systeme durchzuführen. Vorallem die Virescans werden oft vernachlässigt. Viele Grüße Usman Irshad VIWAS/DATEVnet Service DATEV eG ... Mehr anzeigen

Hallo Herr Windmann, nach Rücksprache mit meinen DATEVnet Kollegen wurden bei uns Logfiles ausgewertet. Darin konnte man gut sehen, dass unsere "selbstgebauten" Signaturen die Bewerbung  "Julian Heyne.zip" am 30.08 um 07:43:51 Uhr das erste mal erkannt und die Mail daraufhin auch geblockt hat. Seit diesem Zeitpunkt werden die Mails mit diesem Anhang auch permanent geblockt. Viele Grüße Usman Irshad VIWAS/DATEVnet Service DATEV eG ... Mehr anzeigen

Hallo Herr Windmann, wissen Sie zufällig ob der Kunde auch unter der McAfee VirusScan-Konsole die McAfee GTI aktiviert hat oder nicht? Das könnte ein entscheidender Faktor bei der Erkenunng des Schädlings sein. Viele Grüße Usman Irshad VIWAS/DATEVnet Service DATEV eG ... Mehr anzeigen

Hallo Herr Kolberg, vielen Dank für die Rückmeldung und dem Eintrag zu der Fehlerbehebung. Also waren wir an dem Tag innerhalb der Registry gar nicht mal so weit weg von der Lösung. Falls Ihnen 9 Euro berechnet wurden, werden diese natürlich gutgeschrieben. Mit freundlichem Gruß Usman Irshad VIWAS Service DATEV eG ... Mehr anzeigen

Hallo Herr Kolberg, danke für den Hinweis. Wie gestern mit Ihnen telefonisch besprochen, überprüfen wir dieses Phänomen bei uns intern und melden uns nochmals (Wie gewünscht) innerhalb dieses Newsgroup Beitrag. Mit freundlichem Gruß Usman Irshad VIWAS Service DATEV eG ... Mehr anzeigen

Hallo Herr Verwerich, ich vermute das Sie einfach das Updatefenster von VIWAS abschalten möchten, damit der Fokus während der Arbeit nicht auf das VIWAS Updatefenster springt. Der Haken muss, wie bei dem unten angefügten Bild, raus. (VIWAS öffnen, "Updates" in der linken Spalte doppelklicken und den Haken bei "Update-Fenster anzeigen" rausnehmen). Bitte vergessen Sie anschließend nicht den "Speichern" Button zu drücken. Danach poppt das Update nicht mehr auf. Ich hoffe das Sie diese Option gesucht haben. Ansonsten können Sie sich gern nochmals an uns wenden. Mit freundlichem Gruß Usman Irshad VIWAS Service DATEV eG ... Mehr anzeigen

Hallo Community, zuerst eine wichtige Information zu einem Tipp der hier zu finden ist: Das Löschen (Umbenennen) des WMI-Repositories kann dazu führen dass ein System nicht mehr korrekt startet. Im TechNet Performance Team Blog https://blogs.technet.microsoft.com/askperf/2009/04/13/wmi-rebuilding-the-wmi-repository/ ) ist dazu folgendes zu finden: If you suspect WMI or repository corruption, rebuilding repository is the last thing you should do. Deleting and rebuilding the repository can cause damage to the system or to installed applications. Nun zum eigentlichen Thema des Thread Erstellers - "Performanceprobleme unter Windows Server 2008 R2 im Zusammenhang mit Viwas/McAfee" Performanceprobleme im Zusammenhang mit dem Windows-Verwaltungsinstrumentationsdienst und Windows Server 2008 (mit und ohne R2) sind Systembedingt und seit längerer Zeit existent. Das Problem kann durch viele Programme /Tools hervorgerufen werden. Bekannt sind hier u. a. der Microsoft eigene Windows System Ressource Manager (WSRM), eine installierte Ask-Toolbar, der Citrix Profile Manager (CPM) oder auch Antivirensoftware wie McAfee oder Avast. Wie macht sich der Fehler bemerkbar? Der Prozess wmiprvse.exe verursacht eine hohe CPU oder Arbeitsspeicher Auslastung auf meinem Windows 2008 Server (auch R2 und TerminalServer). Ursache: Wenn man genauer analysiert, ist in den meisten Fällen die tzres.dll als Verursacher zu finden. Die Datei tzres.dll (Time Zones Resource DLL) ist eine geteilte Bibliothek, die unabdinglich für das Funktionieren vieler Applikationen ist. Deshalb erscheint das gleiche Fehlerbild beim Einsatz diverser Programme und Tools. Besonders häufig auf virtualisierten Systemen, da hier bei jedem Start einer virtuellen Maschine ein Zeitabgleich zwischen Virtualisierern und Hostsystemen stattfindet und der Windows-Verwaltungsinstrumentationsdienst somit bereits beim Systemstart genutzt wird. Warum tritt das Problem erst seit dem letzten Viwas/McAfee-Update auf? Mit der ScanEngine 5800 hat McAfee die Funktion des Zugriffsscanners geändert um gefährdete Dateien besser zu überwachen. Speziell Dateien welche in der Vergangenheit missbraucht wurden um Schadsoftware zu installieren. Hierzu gehört u. a. die tzres.dll. Was passiert? Vereinfacht beschrieben wurde die tzres.dll bisher nur einmal geprüft und dann im Cache des Virenscanners gehalten. Damit konnten Angreifer die DLL später nutzen um Schadsoftware einzuschleusen. Jetzt wird jede Aktivität der tzres.dll überwacht. Im Fall des Performanceproblems bleibt die tzres.dll im Speicher "hängen" und arbeitet permanent. Diese Aktivität wird durch den McAfee Mcshield.exe ebenso dauerhaft überwacht und verursacht nun die hohe CPU-Auslastung. Abhilfe: Anhalten und Fortsetzen des Windows-Verwaltungsinstrumentationsdienstes. Dadurch wird die Aktivität der tzres.dll beendet und somit auch die Überwachung durch die McAfee "McShield.exe". Da Seitens Microsoft hier kein Fix mehr zu erwarten ist, empfehlen wir als Workaround bei virtualisierten Systemen einen Task in der Aufgabenplanung zu hinterlegen und täglich den Dienst kurz anzuhalten und fortzusetzen. Z. B. mit Hilfe eines PowershellSkriptes mit folgenden Inhalt: #------Code Anfang--------------------------------------------------- Get-Service -DisplayName Windows-Verwaltungsinstrumentation Suspend-Service -DisplayName Windows-Verwaltungsinstrumentation # kurz warten $svc = Get-Service -DisplayName Windows-Verwaltungsinstrumentation while($svc.Status -ne "Paused") {                Start-Sleep -Seconds 5 } Get-Service  -DisplayName Windows-Verwaltungsinstrumentation Resume-Service  -DisplayName Windows-Verwaltungsinstrumentation Get-Service -DisplayName Windows-Verwaltungsinstrumentation #------Code Ende---------------------------------------------------------- Die Funktion kann geprüft werden in dem die Datei lokal als Administrator ausgeführt wird. Im Systemlog der Windows - Ereignisanzeige müssen dann 2 Einträge stehen: Event ID: 7036 Dienst "Windows-Verwaltungsinstrumentation" befindet sich jetzt im Status "Angehalten". Event ID: 7036 Dienst "Windows-Verwaltungsinstrumentation" befindet sich jetzt im Status "Ausgeführt". Nach unserem derzeitigen Kenntnisstand tritt das Verhalten nur auf virtualisierten Windows Server 2008R2 Systemen auf. Zum Thema Pingfiletest: Selbstverständlich hat der Virenscanner Einfluss auf das Ergebnis mit dem Pingfiletest. In diesem Beitrag wurde auf das Dokument 0908365 verwiesen, hier steht unter Punkt 13: „Die Antivirenprogramme selbst ermöglichen eine Steuerung der Performance durch die Festlegung von Ausschlusslisten oder der Auslastungsstufe." Pingfile ist nicht zu einer richtigen Performancemessung geeignet. Es kann bei korrekter Nutzung aber Anhaltspunkte liefern. Echte Performancemessungen müssen, um Aussagekräftig zu sein, immer unterschiedliche Konstellationen berücksichtigen und mit geeigneten Tools durchgeführt werden. Es müssen definierte Basiszustände geschaffen werden. Ein System muss vor einer Messung erst „eingependelt" sein, d. h. nach dem Systemstart muss ein Zeitraum definiert werden (bis alle Startvorgänge und Prozesse im Leerlauf sind) der abgewartet wird, bevor eine Messung erfolgen kann. Die Cachegröße aller Hardwarekomponenten (CPU/Harddisk/Raid) muss bekannt sein, damit die zu messenden Datenmengen bestimmt werden können. Hierbei müssen Messungen mit Datenmengen erfolgen die in den Cache passen und welche, die die Cachegröße überschreiten. Messungen mit und ohne aktiven Virenscanner müssen erfolgen. Die Konfiguration der Auslagerungsdateien in Windows muss berücksichtigt werden, etc. etc. Die so ermittelten unterschiedlichen Messwerte müssen gegenübergestellt und analysiert werden. Deshalb wird im Dokument auch darauf hingewiesen, dass DATEV Ihnen anbietet Ihre Systeme im Rahmen des IT-Dienstleistungsangebots per Fernbetreuung online zu analysieren. Mit freundlichem Gruß Usman Irshad VIWAS Service DATEV eG ... Mehr anzeigen

Hallo liebe Newsgroup Mitglieder, mit der bereitgestellten ExtraDat vom 19.02.2016 werden Locky-Varianten durch VIWAS erkannt. Allerdings ist uns derzeit nicht bekannt, ob und wie schnell sich geänderte Varianten verbreiten. Aktuell werden nicht mehr nur Office-Dokumente manipuliert, sondern auch JAVA-Skripte ausgeliefert. Wie auf diversen Internet Plattformen zu lesen war, hatten sehr viele AV Hersteller mit diesem Problem zu kämpfen. Wir arbeiten an einem Informationsdokument zum Umgang mit -durch Verschlüsselungs Trojaner - infizierten Systemen. Dieses wird von uns in kürze online gestellt und auch hier verlinkt werden. Das folgende Dokument http://www.datev.de/lexinform-infodb/1012978 (Maßnahmen zum Schutz vor Computerviren) beschreibt grundlegend, wie man sein System möglichst sicher machen kann. Eine 100%ige Sicherheit gibt es leider nicht, der Benutzer muss auch beim Umgang mit z.B. Öffnen von E-Mail-Anhängen sensibilisiert werden. Mit freundlichem Gruß Usman Irshad VIWAS Service DATEV eG ... Mehr anzeigen

Hallo Herr Görtz, sind Sie schon fündig geworden? Meine Vorgänger haben soweit alle möglichen Szenarien beschrieben. Grundsätzlich sollte eine Intensivprüfung keine 25 Stunden dauern, es sei denn man hat zusätzlich etliche .ZIP/.RAR Archive welche beim "Scanvorgang" entpackt werden müssen um überprüft werden zu können. Das würde bei der großen Datenmenge die lange Laufzeit erklären. Ausserdem könnte auch ein Defekt in Ihrer HDD (Festplatte) vorliegen (Defekte Sektoren z.B.) die ebenfalls einen Scanvorgang in die länge ziehen können. Diese Fehler sind meist im laufenden Betrieb nicht zu erkennen. Die DATEV erlaubt es natürlich während des Virenprüflauf weiter zu arbeiten, empfehlen tun wir dies jedoch nicht, da sich in diesem Fall 1. die Performance des PC verschlechtert (Langsamer wird) und 2. der Scanvorgang über die 25 Stunden hinaus laufen wird. Eine Virenprüfung können Sie nur beschleunigen, wenn eine sogenannte "Eigene Prüfung" vorgenommen wird. Hier besteht die Möglichkeit selbst aus zu wählen welche Dateien/Ordner/Laufwerke gescannt und ob z.B. "Komprimierte Dateien" oder "Alle Dateien" durchsucht werden sollen Viele Grüße Usman ... Mehr anzeigen