Virenscannervergleich und ein Problem mit McAfee Einstellungen

[Marodeur]

Hallo ersteinmal, bin der Neue

Bin zufällig über dieses Board gestolpert (danke google) und dachte mir ich könnte hier 2 Fragen loswerden die mich brennend interessieren da hier anscheinend viele sind die sich mit Virenscannern auskennen.

Zum ersten:

Es war im vorletzten Jahr 2002, im ersten Halbjahr, da fing ich mir daheim einen Virus ein. Einer der damals eh grad rumging, ich glaub der Klez wars, egal geht ja ums Prinzip.

Jedenfalls suchte ich eine Möglichkeit den Störenfried loszuwerden. Im Internet fand ich allerlei kostenlose Scanner wie z.B. F-Prot. Alle diese Scanner hatten aber das gleiche Problem das in vielen Tests nicht erwähnt wird:

Sie fanden zwar alle brav den Virus, aber als Lösungsvorschlag für die hunderte infizierter .EXE-Dateien gab es immer nur LÖSCHEN. Ich fand und finde dies mehr als lachhaft, da brauch ich gleich keinen Scanner. Nur McAfee und Norton konnten damals auch wirklich die ganzen .EXE säubern so das alles hinterher noch funktionierte.

Nun stellt sich für mich die Frage:
Gibts einen Vergleich aktueller Scanner der nicht nur beleuchtet wie viele Prozent der getesteten Viren gefunden wurde sondern der auch darauf hinweist wieviele davon durch säuberung das system retteten und welche der Scanner infizierte Dateien auch gerne löschten? Irgendwie erschlagen sich die Tests nur immer mit "Erkennungserfolgsraten" was mich im Fall der Fälle aber bei weitem nicht als einziges interessiert.



Zum zweiten, meinem Problem:

Ich benutze in der Arbeit McAfee Virusscan Enterprise 7.0. An meinem lokalen Rechner habe ich da das Problem das irgendwann nach dem hochfahren, vornehmlich wenn ich in einem "Datei öffnen..."-Dialog stecke oder grad im Explorer was suche, plötzlich der Prozeß "McAfee.exe" für ca. eine oder zwei Minute(n) das System völlig auslastet. Ist das normal? Das geht mir schon ziemlich auf den Keks wenn ichs grad eilig habe. . So lahm ist das System mit dem Athlon 2200+ ja doch nicht und danach gehts ja auch wieder flott. Seltsam...



Das wars dann erstmal, ziemlich viel für ein erstes Posting, 'tschuldigung.

[Gast_Bo Derek_*]

Na dann: willkommen im Board!

Nun stellt sich für mich die Frage:
Gibts einen Vergleich aktueller Scanner der nicht nur beleuchtet wie viele Prozent der getesteten Viren gefunden wurde sondern der auch darauf hinweist wieviele davon durch säuberung das system retteten und welche der Scanner infizierte Dateien auch gerne löschten?...

Das ist mir nicht bekannt und ich halte das auch für äusserst schwierig. Die Säuberung von Dateien hängt einfach von zu vielen Faktoren ab. Dateityp, Version des Programms, mit dem die Datei erstellt wurde, Größe, Integrität, Art des Befalls/Schädlings etc.. Alleine diesen Umstand zu simulieren, stelle ich mir sehr schwierig vor. Stell Dir vor, man würde für diesen Test ein Testset an Files erstellen, die möglicherweise befallen werden könnten. Das würde in die hunderte, wenn nicht gar tausende Files gehen. Jedes dieser Files müsste nun einer Infektion zum Opfer fallen, wobei sämtliche Schädlinge des kompletten Testsets auf jede Datei losgelassen werden müssen. Danach müsste man jede Datei reinigen lassen und überprüfen, ob diese noch intakt ist.

Rechenbeispiel: nehmen wir an, wir haben ein Testset von 800 Dateien, die befallen werden könnten. Nehmen wir weiter an, wir haben ein sehr kleines Testset von 100 Schädlingen. Dann hätten wir insgesamt 80000 Kombinationen und genauso oft müsste man natürlich danach überprüfen, ob die Dateien wieder brauchbar sind und damit korrekt gereinigt wurden. Wenn Du noch keine Lebensaufgabe hast, solltest Du jetzt damit anfangen

Selbst wenn der Test durchführbar wäre, so ergäbe dieser wahrscheinlich keine Ergebnisse, die beim User zuhause reproduzierbar sind. Dazu benötigt der User genau die Files, die im Test infiziert und danach gereinigt worden sind.

Ich benutze in der Arbeit McAfee Virusscan Enterprise 7.0. An meinem lokalen Rechner habe ich da das Problem das irgendwann nach dem hochfahren, vornehmlich wenn ich in einem "Datei öffnen..."-Dialog stecke oder grad im Explorer was suche, plötzlich der Prozeß "McAfee.exe" für ca. eine oder zwei Minute(n) das System völlig auslastet. Ist das normal? Das geht mir schon ziemlich auf den Keks wenn ichs grad eilig habe. . So lahm ist das System mit dem Athlon 2200+ ja doch nicht und danach gehts ja auch wieder flott. Seltsam...

Eines ist schon einmal seltsam: der Prozess von McAfee nennt sich McShield.exe und nicht McAfee.exe. Schau doch mal in den "Eigenschaften des Scans beim Zugriff" nach, wie die maximale Scanzeit für alle Dateien ist.

[Joerg]

Teilweise lassen sich Viren garnicht entfernen, weil sie ihr Hostfile komplett zerstören.
Es wird hauptsächlich die Erkennungsrate getestet, weil ein AV-Scanner idealerweise eine Infektion verhindert, so dass eine Entfernung erst garnicht mehr notwendig ist. Ein weiteres Problem: Stell Dir vor, die Entfernungsroutine ist fehlerhaft und entfernt den Virus nicht komplett (aber immerhin soweit, dass der Scanner keinen Virus mehr entdecken kann), so dass schädlicher Code u.U. noch ausgeführt werden kann: Deswegen ist es sinnvoll, auch saubere Backups zu besitzen. Eine Virendesinfektion sollte also eher nur im Notfall notwendig sein.

Grüße Jörg

PS: Auch von mir Willkommen im Forum
PS2: Wieso hat mich keiner Willkommen geheißen?

[sPaCeLoRd]

Hallo,
im Vordergrund muß prinzipiell immer die Erkennungsrate, und die Fähigkeit, den Schädling nicht aktiv werden zu lassen, stehen, da Sinn und Zweck einer AV-Software (genauer: des Hintergrundwächters) die Verhinderung der Infektion ist.

Kein AV-Programm ist in der Lage, jede Malware (z.B. neue, noch unbekannte Malware, für die noch keine Signatur vorliegt) zu erkennen, also kann ein AV-Programm bestenfalls einen kleinen Beitrag beisteuern, nie aber vollständigen Schutz gewährleisten.

Nun, gehen wir mal davon aus, daß sämtliche Sicherungsmaßnahmen, und auch die letzte Barriere, der Hintergrundscanner, versagt haben.
Erstmal muß man anmerken, daß überhaupt nur ein sehr kleiner Teil aller Malware als Infektor tätig wird, d.h. Dateien infizieren kann.
I.d.R. ist die als "infiziert" gemeldete Datei der Schädling selbst, und in diesem Fall kann nur Löschung (oder auch Quarantäne + anschließende Löschung) die einzige Lösung sein.

Wenn man mal als Beispiel einen der wenigen "Infektoren", die in letzter Zeit einigermaßen verbreitet waren, hernimmt, nämlich PARITE, nuß man feststellen, daß viele AV-Programme Probleme bei der Desinfektion der von PARITE infizierten Dateien, und der vollständigen Entfernung des Schädlings, hatten und haben.

Die besten Ergebnisse gab es nach meiner Erfahrung mit den speziell für PARITE programmierten Entfernungs-Tools von Bitdefender und Panda.
Doch, wie gesagt, Infektor-Viren sind glücklicherweise nicht sehr weit verbreitet.

Zur 2. Frage kann ich leider nix sagen.

[Marodeur]

Erstmal danke für die flotten Antworten.

Hmm, ok so ein Test scheint dann doch etwas aufwändig zu sein. *seufz*
Aber hätte ja sein können das jemand zu viel Zeit hatte.


Wegen des Problems:
Tschuldigung, hatte das Posting in aller Eile verfasst weil ich weg musste. Natürlich ist es der Prozeß McShield.exe nicht McAfee...
Die max. Scanzeit habe ich nicht verändert, müsste also auf 45 Sekunden stehen.

[Gast_Bo Derek_*]

Hm, hast Du die Chipsatztreiber installiert?

[Marodeur]

Was an Treibern da ist habe ich installiert.

Wobei der SIS-Chipsatz recht pflegeleicht ist. Ist das Elitegroup (ECS) L7S7A2.

Hab mir das jetzt mal genauer im Task-Manager betrachtet.

Habe den Explorer aufgemacht, ein paar Verzeichnisse durchgeklickt und auf einmal gings los. McShield.exe hauts ein bissl bei der Speichernutzung rauf (ca. 19 MB), es wird ein wenig auf der HD gewerkelt (auslastung dann um die 10 %) und auf einmal steht er bei 99% und da bleibt er dann. Dann scheint der Prozeß neu gestartet zu werden den er steht auf einmal mit neuer Prozeß-ID drin, Speicherauslastung normal bei 13,9 MB und die CPU-Nutzung wieder weg. Seltsam.

Der Beitrag wurde von Marodeur bearbeitet: 16.01.2004, 08:23

[buchh@lter]

Ich kenn McAfee nicht genauer, aber kann es sein, dass in dem Moment, in dem das Problem auftritt, ein automatisches Update von McAfee läuft?

[Rene-gad]

hi Marodeur,
ich würde dir empfehlen , den rock per PM auf dein Problem aufmerksam zu machen. Er hat schon einige Erfahrungen mit dem McAfee gesammelt. Ich kenne mich mit dem McAfee nicht aus, vermute aber, dass das Problem mit den Eistellungen von Shell/On-Demand-Scanner zusammen hängen könnte.

[Marodeur]

@Buchhalter:
Mit dem Update hat es wohl nichts zu tun, das läuft bei Systemstart und das wars dann erstmal.

@Rene-gad:
Mal sehen was er sagt...

[Gast_rock_*]

Zum ersten:

ich glaub der Klez wars, egal geht ja ums Prinzip.

Jedenfalls suchte ich eine Möglichkeit den Störenfried loszuwerden. Im Internet fand ich allerlei kostenlose Scanner wie z.B. F-Prot. Alle diese Scanner hatten aber das gleiche Problem das in vielen Tests nicht erwähnt wird:

Sie fanden zwar alle brav den Virus, aber als Lösungsvorschlag für die hunderte infizierter .EXE-Dateien gab es immer nur LÖSCHEN. Ich fand und finde dies mehr als lachhaft, da brauch ich gleich keinen Scanner. Nur McAfee und Norton konnten damals auch wirklich die ganzen .EXE säubern so das alles hinterher noch funktionierte.

Zum zweiten

Ich benutze in der Arbeit McAfee Virusscan Enterprise 7.0. An meinem lokalen Rechner habe ich da das Problem das irgendwann nach dem hochfahren, vornehmlich wenn ich in einem "Datei öffnen..."-Dialog stecke oder grad im Explorer was suche, plötzlich der Prozeß "McAfee.exe" für ca. eine oder zwei Minute(n) das System völlig auslastet.

morgen,

also du solltest schon ziemlich genau wissen was da für ein ding am pc war, war's der klez, und /oder auch andere ableger, oder gar andere malware? mit welchen scannern hast du auf deinem PC die "versuche" gemacht, um dem ding herr zu werden? hast du die scanner die du zum reinigen genommen hast auch wieder richtig deinstalliert? wäre auch interessant zu wissen unter welchen bedingungen du die anderen scanner aufgespielt hast. war ja schon ein virus am system wie ich merke. da hättest du mit einer discette starten können, im abgesicherten modus versuchen zu elemenieren. ich geh davon aus, das du dir dein system ein bissl verhunzt hast, durch das installieren mehrerer scanner um den "klez" (wenn er's war) loszuwerden. jedenfalls solltest du einmal dein system defragmentieren, eventuell ändert sich etwas zum postiven, wenn alles daten und programme wieder richtig angeordnet sind.
wenn du programme wie den regcleaner hast, dann such einmal nach all den reg-einträgen der installierten scanner die du garnimmer hast, und entferne diese. das nimmt dir defrag nicht ab. nachdem dein system wieder einigermaßen zusammenfindet. vielleciht wäre ein ganz unabhängiger onlinecheck auch ncoh ganz gut, um einigermaßen sicher zu sein, das hier nix mehr maliziöses auf dem rechner ist.

weiters verfügt mc afee über einen onlinechat mit technikern, in deutsch/englisch...eigentlich werktags immer bis 18 uhr erreichbar.

zum anderen, wenn es sich um den firmen rechner handelt,...ist das problem neu, und was ist dem problem vorausgegangen??? kam ja nicht so plötzlich, oder. auch hier wäre ein aufräumen nicht schlecht...prüf mal was da alles mitläuft was den scanner bremsen könnte...und scheue bitte nicht den kontakt mit dem mc afee support.

voerst mal hoffe ich ein bissl informativ beigetragen zu haben.

gruss
rock

[Rene-gad]

hi rock

weiters verfügt mc afee über einen onlinechat mit technikern, in deutsch/englisch...eigentlich werktags immer bis 18 uhr erreichbar.

...du machst es doch viel besser .
Nee, im Ernst: IMHO ein erfahrener User, der mit diesem oder jenem Programm taglich arbeitet, weißt viel mehr davon, als ein Support-Mensch, der lediglich sein Zubrot damit verdient.

[Gast_rock_*]

schon klar,...die techniker raten meistens eh nur programm rauf/runter installieren....möglicherweise hilft es...jedenfalls solte der betroffene rechner mal "ausgelüftet" werden, sprich defrag, reg-säuberung...

gruss
rock

[übrigens hab mir gtada powerantivirus gerade online gekauft]...mal sehen was ich da wieder angerichtet habe] bei mc afee ist das problem mit diversen virulenten e-mails bekannt...das taugt mir nicht!

Der Beitrag wurde von rock bearbeitet: 16.01.2004, 11:46

[Marodeur]

Jo, der Klez wars.

Ich kann mich leider nicht mehr so genau daran erinnern welche es genau waren. F-Prot weis ich noch, dann waren da noch ein oder zwei andere. Natürlich hab ich immer den vorher deinstalliert bevor ein neuer Testkandidat dran kam. Am Ende brachte ein Kumpel den Norton vorbei der dann endlich die Dateien säuberte statt zu löschen.

-----
Das mit dem Onlinechat ist mir irgendwie neu. Habe davon noch nix gelesen, auch Kollegen in anderen Dienststellen hatten den noch nicht erwähnt.

Das Problem ist jedenfalls neu oder mir ist es nicht früher aufgefallen. In letzter Zeit installiert wurde eigentlich nur der Exchange 5.5 Administrator-Client und Image Composer 1.5. Könnt höchstens sein das noch ein paar Hotfixes dabei waren.

Das System an sich ist noch sehr frisch, erst Ende letzten Jahres installiert.

Der Beitrag wurde von Marodeur bearbeitet: 16.01.2004, 11:54

[Rokop]

[übrigens hab mir gtada powerantivirus gerade online gekauft]...mal sehen was ich da wieder angerichtet habe] bei mc afee ist das problem mit diversen virulenten e-mails bekannt...das taugt mir nicht!

Hallo Rock, wenn Du so weiter machst und dauernd irgend welche AV Programme kaufst, lebst Du irgendwann mal von der Sozialhilfe

[Gast_rock_*]

Das mit dem Onlinechat ist mir irgendwie neu. Habe davon noch nix gelesen, auch Kollegen in anderen Dienststellen hatten den noch nicht erwähnt.

http://de.trendmicro-europe.com/enterprise...call_launch.php hier kann man z.B sein system online auf viren/trojaner checken. vorher Ordner TEMP leeren, temp.internetfiles löschen incl.offlineinhalte, papierkorb leeren...PC neustart...den vorhandenen scanner beenden/deaktivieren...dann erst den onlinecheck ausführen lassen. am besten den link zum scan einfach am desktop verknüpfen, damit du ihn dann gleich anklicken kannst.

gruss
rock

[Gast_rock_*]

Hallo Rock, wenn Du so weiter machst und dauernd irgend welche AV Programme kaufst, lebst Du irgendwann mal von der Sozialhilfe 

holla, das posting hab ich wohl übersehen...also momentan geht's noch.
ich denk mir immer - es kann nicht so schlimm sein, wenn ich mir vostelle was powergamer für ihre spiele ausgeben, und für den ganzen hardwaremäßigen zubehör, wie dolbysourround, hochleistungsgraphikkarten, usw...da bin ich ja richtig harmlos mit meinen paar scannern...

gruss
rock

[Gast_rock_*]

kleine aktuelle Mc Afee Info:

The 4315 dat files have been released early due to false positive
identifications in the 4314 dat files of Exploit/Linux and of
Unix/Exploit-SSHiden on files which have been included with some
Linux distributions.

The 4315 dat files have been posted to the initial NAI servers as of
08:22 PST, on 01/16/2004. Please allow up to an hour from
this posting time for the dat files to be available on all download
servers worldwide.

gruss
rock