Hallo Community,
möchte mal eine Erkenntnis bezüglich der aktuellen VIWAS-Version (Classic, 11.21; Service Releases vom 15.04.2021) teilen. Die Installation erfolgte am letzten WE (24.04.).
Erstmal scheint das Programm bisher fehlerfrei zu funktionieren (im Gegensatz zu kleineren Anlaufschwierigkeiten bei ersten VIWAS 11.XX Versionen), wobei eine belastbare Aussage dazu wohl noch ein paar Tage oder Wochen benötigt.
Aufgefallen ist mir aber (virtueller WTS, Server 2016, alles aktuell), dass nun wohl nach jedem Aktualisierungsdurchlauf der Virensignatur (egal ob neue Signatur installiert wurde oder nicht) ein leerer Ordner im Windows\Temp Verzeichnis verbleibt (Aktualisierung selbst scheint korrekt zu laufen – zumindest gemäß VIWAS-Anzeige und Log-Buch). Diese haben als Benennung jew. eine Hash-Nummer.
Das bedeutet, dass nun täglich 8 (alle 3 h) solche leeren Ordner das Verzeichnis bereichern (1 Monat -> 240 ….).
Interessant zu wissen wäre, ob dies bei anderen Anwendern nun auch so auftritt und dies ein gewünschtes oder fehlerhaftes Verhalten ist.
Bemerkung:
Bei den ersten VIWAS 11 Versionen gab es Fehlfunktionen bei Scan-Abschlussmeldungen (erste VIWAS 11.06 Version von letztem Jahr) oder die Notwendigkeit eines zweiten Neustarts (spätere Version 11.??). Letztlich ist für uns die Zuverlässigkeit des Programms schlechter und auch der Updateaufwand deutlich höher, als bei der früheren Version (VIWAS 10). Zusätzlich scheint eine argwöhnische Prüfung hinsichtlich potenzieller Fehlfunktionen nach jedem Programmupdate angezeigt. Bleibt zu hoffen, dass der Aufwand durch entsprechend erhöhten Virenschutz auch gerechtfertigt ist.
Hinweis an Datev (@ludwig_aulitzky):
Die Updates von VIWAS beinhalten aktuell wohl häufig sicherheitskritische Anteile und erfordern grundsätzlich einen Neustart. Beides sollte in der Gesamtübersicht der Releases (PDF in Software-Auslieferung) korrekt erwähnt werden (nicht „nur“ Fehlerbehebung und neue Funktion).
Viele Grüße
Ich meine das bestätigen zu können als ich gerade im %temp% Ordner eines Users war und den wegen einem anderen Fehler geleert hatte. Müsste aber nochmal schauen, wenn's eine 100% Aussage sein soll.
@Nutzer_8888: @ludwig_aulitzky muss unterstrichen sein, damit's oben in der Glocke bimmelt 😉.
Danke für die schnelle Rückmeldung und die Unterstützung zum Bimmeln.
Hallo Nutzer_8888,
Sie haben Recht, die letzten VIWAS Service-Releases benötigten meist einen Neustart.
Dies lag an den McAfee-Komponenten für welche nach der Installation von McAfee ein Neustart vorgegeben war.
Ich werde Ihren Vorschlag/Wunsch bezüglich der Dokumentation der Änderungen und der Notwendigkeit eines Neustarts weitergeben.
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
Hallo Herr Aulitzky,
danke für die Rückmeldung zum Thema "Neustart" und Sicherheitsrelevanz.
Was ist Ihre Meinung zu den ständig anwachsenden "verwaisten" Ordnern im TEMP-Verzeichnis? Können Sie dies bestätigen und ist mit einem Patch zu rechnen?
Vielen Dank vorab und freundliche Grüße
Hallo Nutzer_8888,
bitte entschuldigen Sie, dass ich Ihre eigentliche Frage überlesen habe.
Ich konnte zwischenzeitlich Ihr beobachtetes Verhalten auf einer Testmaschine nachstellen.
Nach dem Update auf die Version 11.21 wird nach jedem Virensignaturupdate ein leerer Ordner im "C:\Windows\Temp" angelegt. Teilweise wird er zwar wieder gelöscht, größtenteils aber bleiben die Ordner stehen.
Vielen Dank für den Hinweis! Wir werden uns den Sachverhalt näher anschauen und an dieser Stelle über Neuigkeiten diesbezüglich informieren.
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
Hallo Herr Aulitzky,
vielen Dank für das Feedback, womit erstmal klar zu sein scheint, dass es sich wohl nicht um einen individuellen Installations- oder Funktionsfehler handelt.
PS: Sie sind hier im Forum in meinen Augen sehr qualifziert, sachlich und motiviert präsent. Keinesfalls müssen Sie sich entschuldigen.
Nutzer_8888
Hallo Nutzer_8888,
vielen Dank für Ihr Feedback!
Kleines Update zum Sachverhalt
Es scheint an den Updatequellen (Einstellungen -> Allgemeingültig -> Quellsites) zu liegen. Ist eine Updatequelle aktiviert aber nicht erreichbar, wird ein Ordner erzeugt und nicht mehr gelöscht. Dies kann auch bei mehreren Quellen der Fall sein, d.h. es werden dann mehrere Ordner angelegt.
McAfee scheint hierbei die Quellen von oben nach unten durchzugehen und jede auszuprobieren. Ist eine Quelle erreichbar wird diese genutzt und die weitere Quellen nicht mehr kontrolliert. Das sind zumindest meine Beobachtungen.
Wir haben diesbezüglich Kontakt zu McAfee aufgenommen und das Verhalten weitergemeldet. Sobald es etwas Neues gibt werde ich hier berichten.
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
Hallo zusammen,
kurzes Update - noch nichts Neues:
Der Sachverhalt wird nach wie vor von McAfee analysiert.
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
Danke @ludwig_aulitzky! 😀
@Nutzer_8888: Da ich bei einer RD Farm sowieso das Problem hatte, dass sich der %temp%-Ordner nicht leert und dauerhaft anwächst, habe ich via GPO auf der Farm eingestellt, dass sich der %temp%-Ordner nach jedem Abmelden von der Farm leert inkl. aller Dateien und Unterordner.
Anbei die Befehle dazu:
del %temp%\* /s /f /q
for /D %%a in ("%temp%\*.*") do rd /q /s "%%a"
Das als *.bat abspeichern und via GPO plus Loopback an die OU der Farm hängen; Domänen-Admins die Übernahme der GPO verweigern (für die DATEV Installation) und man ist good to go 👍.
EDITH: Oder meinst Du C:\Windows\temp? Das wäre ja noch einfacher via GPO zu bauen oder als Windowsaufgabe 1x täglich um 23 Uhr. Was im Zugriff ist, wird entsprechend nicht gelöscht. Das Leben einfach und flexibel machen 😉.
Hallo zusammen,
McAfee konnte das Verhalten nachvollziehen und wird sich der Thematik annehmen.
Hier ist es für uns jedoch unmöglich einen zeitlichen Horizont zu nennen.
Folgendes sind wichtige Punkte im Umgang mit dem beobachteten Verhalten:
- die Quellsites kontrollieren und ggf. nicht erreichbare Sites bereinigen/deaktivieren
- das temporäre Windows-Verzeichnis regelmäßig bereinigen. @metalposaunist Danke für den Tipp
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
@ludwig_aulitzky schrieb:
- die Quellsites kontrollieren und ggf. nicht erreichbare Sites bereinigen/deaktivieren
Hallo @ludwig_aulitzky
d.h. als NICHT DATEVasp Kunde deaktiviere ich die beiden unteren Einträge??
NACHTRAG: Man kann hier nicht deaktivieren, nur löschen
Hallo siro,
genau, als NICHT DATEVasp-Kunde können Sie die beiden letzten Einträge (DATEVasp, DATEVaspVPN) deaktivieren. Hierzu müssen doppelt auf die Einträge klicken, dadurch gelangen Sie in einen Einstellungsdialog wo Sie die Quellsite deaktivieren können.
Ganz pragmatisch können Sie als nicht DATEVasp-Kunde die o.g. Einträge auch löschen.
Normale Clients welche über eine Onlineverbindung verfügen benötigen lediglich die "DATEVhttp"-Quelle.
Mit freundlichen Grüßen
L. Aulitzky
VIWAS Service | DATEV eG
Hallo,
somit scheint die Ursache klar und eine Lösung in Bearbeitung.
Besteht eigentlich die Notwendigkeit den Workaround anzuzwenden oder ist dies eher kosmeticher Natur?
Kann der Temp-Ordner eigentlich überlaufen, wenn genug leere Ordner dort liegen? Bereinigt das System dies von selbst? Was wäre da das Limit?
Der Vorschlag von Metalposaunist hinsichtlich Skript ist sicher ok, wird bei uns aber nicht umgesetzt (mangels Fachkompetenz). Somit wäre für uns das Deaktivieren der nicht erreichbaren Quellen (alles außer DATEVhttp) eine Lösung, die mich allerdings an jeden Client und Server zwingt.
Würde ich nur bei absoluter Notwendigkeit machen.
Viele Grüße