FAQs IKARUS anti.virus mit Cloud Interface

IKARUS anti.virus

1 Installation – Deinstallation

  • Wird der Windows Defender bei der Installation deaktiviert?

    Ja, IKARUS anti.virus interagiert mit der Windows Security Center API und deaktiviert den Windows Defender bei der Installation. Das genaue Verhalten hängt vom Windows, bzw. der Windows-Version ab.

  • Wie kann der Windows Defender durch eine Gruppenrichtlinie deaktiviert werden?

    Auf dem AD-Server in den Gruppenrichtlinien. Richtlinie -> Administrative Vorlage -> Windows Komponenten -> Windows Defender -> Windows Defender deaktivieren: Aktiviert

    Alternativ noch Echtzeitschutz -> Deaktivieren Echtzeitschutz: Aktiviert

  • Bei der Installation wird der Fehlercode 2502 bzw. 2503 angezeigt

    Ursache hierfür ist, dass bei der Wizard-Installation Windows Berechtigungen auf „C:\Windows\Temp“ und C:\Windows\Installer“ fehlen.

    Die Silent-Installation ist davon nicht betroffen und kann zur Installation genutzt werden.

  • Muss der Client nach der Installation neu gestartet werden?

    Nein, ein Neustart nach der Installation ist nicht notwendig.

  • Was wird als eindeutige Referenz für die Erkennung eines Gerätes verwendet?

    Für jedes Gerät wird eine GUID erstellt.

     

  • Muss der Client nach der Deinstallation neu gestartet werden?

    Ja, ein Neustart nach der Deinstallation ist zwingend notwendig.

  • Gibt es einen Remover, der alle Reste von IKARUS anti.virus entfernt?

    Der AV-Remover ist im Resellerportal unter Downloads -> Tools zu finden und entfernt alle Reste nach der Deinstallation.

2 Updates

  • Im AV-Portal wird unter Version als Neuste Version eine veraltete Version eingetragen (z.B. 2.14.98) und unter Aktuelle bereits eine aktuellere (3.0.14)

    Dies kann passieren wenn wir eine Neue AV Version verteilen. Die Rollouts werden über mehrere Tage verteilt. Erst wenn das reguläre Rollout beendet ist, wird die neue Version als Neueste Version in der Datenbank geführt.

3 Plattform / Kompatibilität

  • Gibt es für den AV-Client einen Unterschied zwischen Workstation und Server?

    Nein, der Client unterscheidet nicht zwischen den Systemen.

  • Auf welchen Betriebssystemen kann der Client installiert werden?

    Empfohlene Betriebssysteme

    • Windows 10 oder höher
    • Windows Server® 2016 oder höher
  • Kann IKARUS anti.virus auch auf einem Exchange Server verwendet werden?

    Ja – allerdings nur als File Antivirus, wie auf jedem Windows Server.
    Ein E-Mail Schutz innerhalb von Exchange bietet IKARUS anti.virus nicht.

  • Kann IKARUS anti.virus auf einem Terminalserver installiert werden?

    Der Client ist Terminalserver fähig.

4 Erkennung

  • Können Ausnahmen für Virenscans definiert werden?

    Ausnahmen können über das AV Portal und Lokal über den Client erstellt werden.

  • Gelten die Exklusionen von Dateien oder Ordnern für alle Überprüfungen oder wird diese Einstellung für bestimmte Überprüfungen, z.B. „gesamter Computer“, ignoriert?

    Die Exklusionen gelten immer, also auch bei einem Scanprofil.

  • Werden Netzlaufwerke bei einem Scan mitgescannt?

    Nein, IKARUS anti.virus wurde für die Überwachung und Absicherung von Endpoints ausgelegt.
    Zur Überprüfung von Netzlaufwerken kann IKARUS anti.virus auch auf File-Servern installiert werden und dort regelmäßige Scans durchführen.

  • Gibt es eine Maximalgröße für Dateien beim Scannen?

    Ja, die Größe bei On-Access Scans liegt bei den vordefinierten 128 MB, dieser Wert ist nicht veränderbar.

    Bei On-Demand Scans kann die Dateigröße der Dateien, die gescannt werden sollen, beschränkt werden. Z.B.: Scanne keine Dateien die größer sind als 1 MB.

    Diese Beschränkung kann in den Einstellungen unter Exklusionen auf bis zu 8 GB angepasst werden. Sollten keine Anpassungen passieren, liegt die Standardgröße bei 128 MB.

  • Gibt es Empfehlungen für den AV auf einem Exchangeserver?

    Bitte die Dokumentation und Informationen von Microsoft zu dem jeweiligen Server verwenden.

5 Virenfund

  • Ein Virus wurde als False-Positive erkannt, kann die Datei überprüft werden?

    Dateien können über die Quarantäne -> Rechtsklick auf den Virus und an IKARUS senden zur Analyse eingeschickt werden.

  • Ein Virus wurde nicht erkannt, wie kann dies überprüft werden?

    Bitte eine Mail mit der infizierten Datei an probe(at)ikarus(punkt)at schicken. Dort wird die Datei analysiert.
    Ein lokaler oder in der Firewall integrierter Virenscanner kann die Datei beim Versenden entfernen.

  • Was bedeutet "Liste löschen" in der Quarantäne?

    Dadurch werden die Einträge aus der Quarantäneliste entfernt.
    Einträge, welche älter als 7 Tage sind, werden automatisch aus der Liste entfernt.

  • Dateien in der Quarantäne werden immer wieder in die Quarantäne verschoben, auch wenn diese fälschlicherweise erkannt wurden. Wenn nun das korrigierte Virendatenbank-Update kommt, werden dann die falsch erkannten Dateien automatisch wiederhergestellt?

    Grundsätzlich werden von IKARUS anti.virus keine Dateien verschoben.
    Sobald auf einem Rechner eine verseuchte Datei gefunden wird, wird diese von IKARUS anti.virus blockiert (kopieren und ausführen der Datei sind dann nicht mehr möglich) und in der Quarantäne angezeigt.

    Ein Sonderfall ist ein korrigierter Fehlalarm: Die Quarantäne überprüft, sobald sie geöffnet wird, ob alle Einträge noch verifizierbar sind.
    Sollte in der Zwischenzeit ein Update der Virusdatenbank stattgefunden haben und die Einträge mit der aktuellen VDB nicht mehr verifizierbar sein, werden diese aus der Quarantäne entfernt und die Dateien wird wieder freigegeben.

  • Können Informationen zu Virenfunden Mail verschickt werden?

    Dieses Feature kann über das AV Portal konfiguriert werden. Siehe dazu Konfigurationsprofile

6 Authentifizierung / Lizenzierung

  • Proxy-Authentifizierung mit NTLM

    Der IKARUS anti.virus Client kann keine NTLM Authentifizierung am Client durchführen.
    Als Workaround kann eine Authentifizierungsausnahme im HTTP-Proxy eingerichtet werden.
    .*\.ikarus\.at
    .*\.mailsecurity\.at

  • Wie wird lizenziert?

    Eine Lizenz ist notwendig für eine Betriebssystem Instanz (Windows). Das gilt sowohl für Installationen direkt auf der Hardware (bare metal), wie auch für virtuelle Instanzen. Die Lizenzierung ist identisch für Client und Server Betriebssysteme. Eine weitere Unterscheidung existiert nicht.

  • Wie kann eine Aktivierung freigegeben werden?

    Bei der Deinstallation wird die Aktivierung im Portal entfernt.

  • Wofür ist die Aktion "Lizenz aktualisieren" im AV-Portal?

    Mit dem aktualisieren der Lizenz werden die Informationen zu der Lizenz und den Geräten neu geladen.

  • Können Benachrichtigungen für Aktivierungen erstellt werden?

    Ja, in der Lizenz können Benachrichtigungen für das Erreichen einer Anzahl an Aktivierungen eingerichtet werden.

7 Konfiguration

  • Wo kann der Passwortschutz aktiviert werden?

    Über das AV-Portal oder unter Extras -> Einstellungen -> Extras im Client.

  • Kann der AV über ein Server verwaltet werden?

    Nein, die Verwaltung erfolgt nur über das AV-Portal im Resellerportal.

  • Können USB-Ports gesperrt werden?

    USB-Ports können nicht gesperrt, aber beim Einstecken überprüft werden.

  • Wofür ist die Update Funktion?

    Siehe dazu Client Übersicht

  • Der Client kann keine Updates herunterladen

    Wenn im HTTP-Proxy der Transparente Modus aktiviert ist, müssen dieses Regexe im Virenscanner als Ausnahme eingetragen werden.

    ^[^:]*://[^\.]*\.ikarus\.at/

    ^[^:]*://[^\.]*\.mailsecurity\.at/

8 Debugging

  • Wie funktionieren Protokolle und Logs?

    Für den kompletten Log müssen unter

    Extras -> Einstellungen -> Protokolle

    alle vier Optionen aktiviert sein.

    • Protokolle
      Extras -> Protokolle

      • Jedes Scanprofil hat ein eigenes Protokoll
      • Protokoll für Update
      • Protokoll für Systemreinigung
    • Log
      C:\Program Files\IKARUS\anti.virus\log

      • guardx.log
  • Debugging – Logs im Client: Was bedeuten die mitgelieferten Informationen?

    info [ 870](compattelrunne,2,s)[s] on-access scan of "c:\Program Files (x86)\Mozilla
    Thunderbird\distribution\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\chrome.jar", size 1048196 B,
    CRC: 5188e7c97a1401c3 in 1.008 sec [B: 0.003 C1: 0.0000 C2: 0.0000 S: 1.005 A: 0.0000]

    1. [25.04.2019 08:08:27]
    2. info
    3. [ 870]
    4. (compattelrunne,2,s)
    5. „c:\Program Files (x86)\Mozilla
      Thunderbird\distribution\extensions\{e2fda1a4-762b-
      4020-b5ad-a41df1933103}\chrome.jar„
    6. size 1048196 B
    7. CRC: 5188e7c97a1401c3
    8. in 1.008 sec
      [B: 0.003 C1: 0.0000 C2: 0.0000 S: 1.005 A: 0.0000]

    Erklärung:

    1. Zeitstempel des Logeintrags
    2. Loglevel des Eintrags
    3. LogID, welche Logeinträge gehören zu einem Vorgang
    4. Dienst, der auf die folgende Datei zugegriffen hat
    5. Datei, auf die von dem Dienst zugegriffen wurde
    6. Größe der Datei in Byte
    7. Prüfwert, prüft ob die Datei Scanner bereits bekannt ist
    8. Zeit, die der Scan gedauert hat
      • B: Zeit vor dem Ausführen des Scan (Exlusionen etc.)
      • C1: Zeit um Informationen über die Datei zu holen
      • C2: Zeit um die Informationen aus C1 zu verarbeiten
      • S: Zeit der Scan Engine
      • A: Zeit um Daten wieder freizugeben
  • Debugging – Keine Verbindung

    AV_Registration: INFO: Using TID for registration: xxxx-xx-xx-xx-xxxxxx
    AV_Registration: INFO: No proxy will be used for connection.
    AV_Registration: INFO: Connecting to server: https://avitc.ikarus.at
    AV_Registration: ERROR: Could not establish connection to the server. Please check your internet connectivity.
    Ursache: Kein Verbindung zu den Backendservern.
    Lösung: Überprüfen der Internetverbindung.

  • Debugging – Neuinstallation

    CAQuietExec: Entering CAQuietExec in C:\Windows\Installer\MSIF3D9.tmp, version 3.11.2318.0
    CAQuietExec: “ C:\Program Files\IKARUS\anti.virus\bin\guardxservice_x64.exe“ -install
    CAQuietExec: Service already installed, but stopped. Starting it.
    CAQuietExec: Error: Starting service ‚Service starten : :(2) Das System kann die angegebene Datei nicht finden. ‚
    CAQuietExec: Error 0xffffffff: Command line returned an error.
    CAQuietExec: Error 0xffffffff: QuietExec Failed
    CAQuietExec: Error 0xffffffff: Failed in ExecCommon method
    CustomAction InstallService64 returned actual error code 1603 (note this may not be 100% accurate if
    translation happened inside sandbox)
    Ursache: Reste auf dem Betriebssystem vorhanden, nachdem der AV nicht korrekt installiert werden konnte.
    Lösung: Entfernen der Reste mit dem AV Remover.

  • Fehlermeldungen

    AV_Registration: INFO: Backend return code: 402
    AV_Registration: ERROR: An error occured while checking validity of License. Aborting!
    AV_Registration: ERROR: The server returned an error message: ‚License TID has reached usercount limit!‘
    Ursache: Keine weiteren Aktivierungen verfügbar, die Lizenz ist voll.
    Lösung: Die Lizenz muss überprüft werden.

    AV_Registration: INFO: Connecting to server: https://avitc.ikarus.at
    AV_Registration: ERROR: Could not establish connection to the server. Please check your internet connectivity.
    Returncode: 400 BAD_REQUEST
    Response:

    400 Bad Request


    No required SSL certificate was sent


    Ursache: SSL-Interception ohne Ausnahmen.
    Lösung: In der Firewall müssen Ausnahmen für die SSL-Interception eingetragen werden.

    Error: Starting service ‚Service starten : :(577) Die digitale Signatur dieser Datei kann nicht überprüft werden.
    Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um böswillige Software aus einer unbekannten Quelle handelt, installiert.

    Ursache 1:
    Betriebssystem ist Windows 7: Das Update KB3033929 fehlt (Support für SHA-2 Zertifikate)

    Lösung 1:
    KB3033929 installieren und Betriebssystem neustarten.

    Ursache 2:
    Betriebssystem ist nicht Windows 7: AV war bereits installiert und es sind noch Reste vom Dienst oder Treiber vorhanden.

    Lösung 2:
    Die Reste der Installation mit dem Remover entfernen und danach Installation durchführen.

9 Sonstige

  • Wie kann ich die neuesten Features vorab testen?

    Es ist möglich als verifizierter Reseller an der Reseller Preview teilzunehmen.
    Aktivierung im AV-Portal / Menü Konfigurationsprofile / entsprechendes Profil bearbeiten / Reiter Clientkonfiguration / letzter Eintrag: An Reseller Preview teilnehmen / aktivieren und Speichern & übertragen

  • Was sind PUPs oder auch PUAs genannt?

    Die Abkürzung steht für Possible Unwanted Program (oder Application) und bedeutet übersetzt ein möglicherweise unerwünschtes Programm.
    Unter diesen Begriff werden Programme und Applikationen definiert, welche dem User keinen Nutzen bringen oder von ihm nicht erwünscht sind.

  • Wie können PUA und PUPs aus der Virendatenbank entfernt werden?

    PUA- und PUP-Anwendungen werden nicht aus der Virendatenbank entfernt.
    Hier kann entweder eine Exklusion für die Dateipfade gesetzt werden oder die Überprüfung, auf potenziell unerwünschte Anwendungen, im Guard deaktiviert werden.

  • Wo liegen die Server für das AV Portal?

    Das Portal wird auf unseren georedundanten Servern in Deutschland gehosted.

  • In welchem Intervall meldet der AV Client den Status an das Portal?

    Der Client überprüft alle 60 Sekunden ob sich der Status geändert hat, wenn es eine Änderung gab wird dies an das Portal gemeldet.
    Infektionen werden direkt nach der Erkennung übermittelt.

  • Wann werden die Jobs zum übertragen als fehlgeschlagen markiert?

    Wenn der Client für 7 Tage keine Verbindung zum Backend aufgebaut hat, gilt der Jobs als fehlgeschlagen.
    Der Status im Portal im Aktionslog ändert sich dann von ausstehend in fehlgeschlagen.
    Gibt es eine Rescue-CD?
    Es gibt keine Rescue-CD von IKARUS anti.virus.

  • Kann der Name von Geräten, Gruppen und Lizenzen angepasst werden?

    Die Namen können über das AV Portal umbenannt werden.

  • Wie kann das Cache-Limit angepasst werden?

    Das Cache-Limit für alle Betriebssysteme unter Windows 10 kann über das folgende Script angepasst werden. Bei Fragen dazu bitte Rücksprache mit unserem Support.
    @echo off
    echo Detecting installation…
    for /f „tokens=2*“ %%a in (‚REG QUERY „HKEY_LOCAL_MACHINE\Software\Ikarus\guardx“ /v MainPath‘) do set „AppPath=%%~b“
    echo SPAV found in %AppPath%
    „%AppPath%\bin\guardxup“ -cfgwrite „%AppPath%\conf\guardx.conf“ cache/limit 4000000
    echo .
    echo The Limit for the Cache has been updated.

    pause.

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download