F-Secure + Eicar Einstellungen

[Mont]

Hallo

Habe als Laie mal das hochgelobte "F-Secure AV Client 5.41" in der Testversion
heruntergeladen und getestet.

Das Programm kommt mit einem gezippten "Eicarcom.zip" nicht zurecht.

Will heißen: Das File wird zwar als Virus erkannt. Es kann aber weder desinfiziert, umbenannt oder gelöscht werden.
Der Grund dafür ist lt. Programmmeldung, weil es gezippt ist.

Ist das ein Bug oder versteh ich irgendwas nicht richtig?

Mont

Der Beitrag wurde von Mont bearbeitet: 08.10.2003, 19:05

[Catweazle]

...ich kenn das AV nicht weiter.

Aber es handelt sich dabei nur um einen TEST Virus der stellt bei dir auf deinem System überhaupt nichts an, die Leute wo das ERFUNDEN haben den Test Virus, sind davon ausgegangen das jedes AV Programm bei diesen Testvirus anschlagen soll, aber wie du schon geschrieben hast hat dein Av Programm angezeigt das er ihn erkennt, aber mit der beseitigung haberrt es, vieleicht ein Fehler vom AV Programm ?

Vielleicht wissen da andere noch weiter als ich....


Catweazle

[Rokop]

Hallo Mont,

gibt es in den Programmoptionen irgendwo die Einstellung, daß auch in Archiven / komprimierten Dateien gescannt werden soll? Wenn ja, aktiviere es mal und prüf dann bitte nochmals.

[Gast_Bo Derek_*]

Nein nein, es wird ja erkannt, also ist auch das Scannen in Archiven aktiviert, sonst würde er es ja nicht erkennen

Grundsätzlich sind gepackte Archive ja kein Problem. Kein Virus kann aus einem ZIP File heraus aktiv werden, dazu muss es erst entzipped werden. So gesehen halte ich diese Vorgehensweise für in Ordnung. Ob es so sein muss, kann Dir sicher jemand hier beantworten, der das Programm selbst schon ausprobiert hat bzw. benutzt.

[Rokop]

Oh, hatte nicht richtig gelesen ....

[Mont]

Hello

Ich glaube, ich hab es selbst herausgefunden. Ziemlich banal.

"F-Secure" erkennt diesen File als "Eicar-Testfile" und löscht ihn
nicht, da es ja definitiv kein Virus ist. Ist so programmiert.

Untenstehend ein Zitat aus der Supportdatenbank von "F-Secure"


"Naturally, the file is not a virus. When executed, EICAR.COM will display the text 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!' and exit. "

Außerdem hat das Programm einen sehr seltenen Wurm bei mir gefunden
(eigentlich ein potentieller Wurm) der nach meinen Recherchen im Netz
nur von den wenigsten Programmen erkannt wird.

Der kleine Nachteile, für mich, bei diesem Programm ist der meiner Meinung
nach relativ hohe Ressourcenverbrauch bei der Performance.
Aber mit 512MB ARbeitsspeicher und einem schnellen P4 ist es erträglich.

@ BoDerek
Da kann ich Dir teilweise rechtgeben. "Gezippte Viren" können keinen Schaden anrichten; ABER: Wenn der Virenscanner keine Archive scannt und mich daher nicht auf den "gezippten Virus" aufmerksam macht könnte ich den Zipfile ja versehentlich entpacken und dann den Virus aktivieren. So gesehen ist die Virensuche und Desinfektion von Viren in Archiven schon sinnvoll.



Mont

Der Beitrag wurde von Mont bearbeitet: 08.10.2003, 20:37

[sPaCeLoRd]

F-Secure AV 2003 (gleiche Engine) verhält sich bei Archiven (also bei z.B. .zip, .rar, nicht etwa laufzeitkomprimierter Malware) generell so wie beschrieben, d.h. es wird nur gemeldet und der Bericht angezeigt.

Darüber kann man sicher geteilter Meinung sein, da solche Archiven aber, wie schon von Bo beschrieben, nicht direkt ausführbar sind, d.h. der schädliche Code bei Öffnen der Datei nicht aktiviert werden kann, finde ich das schon OK so.

[Mont]

@sPaCeLoRd

Also bei gepackten Viren (keinen eicar Testfiles) bin ich geteilter Meinung

Wenn es den "gezippten Virus" erkennt, könnte das Proggy ihn auch für mich löschen. Denn wer will sich schon so einen File auf der Platte behalten.

Warum das in F-Secure so gelöst ist könnte ich mir nur so erklären, daß das Löschen (Desinfizieren) von Files ja manchmal die Programme unbrauchbar machen kann.
Und wenn der Virus dann in gezippter Form vorliegt und keinen Schaden anrichtet, muß man ja kein Risiko eingehen

Mont

Der Beitrag wurde von Mont bearbeitet: 08.10.2003, 20:44

[sPaCeLoRd]

Der kleine Nachteile, für mich, bei diesem Programm ist der meiner Meinung nach relativ hohe Ressourcenverbrauch bei der Performance

Huh ?!?
Gerade der, im Vergleich zu KAV und AVK, geringe Ressourcenverbrauch, und die geschmeidige Performance der Hintergrundwächters haben mich bei F-Secure überzeugt.

Naja, jeder macht halt so seine Erfahrungen, und die decken sich nicht immer mit denen anderer User.

Vielleicht könntest du mal vergleichsweise F-Secure AV 2003 testen:
http://www.f-secure.com/download-purchase/list.shtml

[Mont]

@sPaCeLoRd

"KAV" kenn ich auch ansatzweise und da gebe ich Dir vollkommen recht.
Das Proggy verbraucht meiner Meinung nach überdimensional viel Ressourcen.

Eine sehr gute Scanengine mit extremem Performanceverbrauch ist "nicht" schwer zu programmieren. Die Kunst ist eine sehr gute Scanengine mit geringem Performanceverbrauch.
Und "NOD32" ist auf dem Weg dorthin!

Meiner Erfahrung nach verbrauch aber auch Norton AV weniger Performance als F-Secure. Aber die Scanergebnisse sind für mich (auch bei Version 2004) bei weitem nicht befriedigend. Aber ist nur subjektiv und laienhaft.

Werde deinen Programmvorschlag mal aufnehmen und diese Version von F-Secure mal testen.

Mont

Der Beitrag wurde von Mont bearbeitet: 08.10.2003, 20:56

[JFK]

Huh ?!?
Gerade der, im Vergleich zu KAV und AVK, geringe Ressourcenverbrauch.

Ober-Huh ?!?
Der Hintergrundwächter von KAV, auf meinem System macht sich so gut wie nicht bemerkbar

JFK

[Mont]

@sPaCeLoRd

Uuups, habe gerade gesehen, daß du auch NOD32 v2 verwendest. Wollte aber wirklich nicht schleimen.

Verwendest du NOD32 als Hintergrundwächter (weil sehr schnell) und das "noch gründlichere" F-Secure für`s manuelle Scannen deines Systems? Oder warum 2 Scanner?

Mont

[Mont]

@JFK

Ehrlich? Da widersprechen Dir aber viele Tests.
(inclusive meinem

Welche Version verwendest du?

Mont

Der Beitrag wurde von Mont bearbeitet: 08.10.2003, 21:02

[Rokop]

Auf meinem Notebook (1800er Celeron, 256 MB RAM) ist der KAV 4.5 Wächter auch nicht zu bemerken. Ich wunder mich immer wieder über 3 Ghz Kisten, die dabei angeblich in die Knie gehen.
Auch auf dem Test PC (Duron 1200) hat bisher noch kein AV Wächter wirkliche Probleme gemacht.

[Gast_Andreas Haak_*]

Wenn es den "gezippten Virus" erkennt, könnte das Proggy ihn auch für mich löschen. Denn wer will sich schon so einen File auf der Platte behalten.

Ein Archiv enthält ja meist mehr als eine Datei. Und wenn F-Secure das Archiv einfach löscht, sind diese sauberen Dateien mit vernichtet. Daher ist das schon intelligent was F-Secure da macht *g*.

Spätestens dann, wenn Du mal deine Platte mit KAV scannst und KAV einen Virus in deinem Posteingang findet (der Vergleichbar mit einem Archiv ist) und Du den Virus dort löschen lässt und dabei so nebenbei alle anderen Mails ebenfalls verllierst, bist Du dankbar, daß F-Secure sowas nicht zulässt *g*.

[JFK]

Welche Version verwendest du?

Mont

Die 3.5.133.0

JFK

[sPaCeLoRd]

@ JFK
Nun, wie gesagt, es gibt halt die unterschiedlichsten Erfahrungsberichte bzgl. KAV Ressourcenverbrauch.
Bei mir (Pentium IV/2 GHz, 1024 MB RAM, XP Pro) war es definitiv so, daß KAV 4.5 in Defaultkonfiguration sämtliche Aktionen deutlich verlangsamte, und auch verschiedenste Konfigurationsversuche letzlich erfolglos waren.

Warum das so war und ob das an meiner Systemkonfiguration lag ?
Ich weiß es nicht...


@ Mont
NOD32 benutze ich nur zum Gegenchecken und Rumprobieren (Heuristik tsten )

[Gast_Rudi Carrera_*]

Ich bastle gerade an der PSS von uns(T-COM) und am Original rumm und stelle signifikante Unterschiede fest!
Unsere Version ist bei weitem nicht auf dem neusten Stand. Unsere Version ist nicht so übersichtlich gestaltet und ich hab beim PSS nicht die Möglichkeit der Konfiguration, Scxannen bei ausgeheder Email, eingehender Email.
Ich habe auch nicht die Möglichkeit, in Archiven zu automatisch zu scannen, jedenfalls zeigt mir das Dingen das nich an....ich glaub, ich werde PSS mal zu Roman beamen, ob denn wirklich der Schutz genauso ist, wie bei F-Secure direkt, ich hab da Zweifel, leider.....
Oder hat da jemand persönlich Erfahrung mit dem PSS von der T-COM?????
Ich meine, wenn unser Produkt für den Normaluser gut funzt, dann isses iO. Wenn ich aber schon Bedenken habe.....
Shitttttttttttttttttttt
Rudi

[Gast_Bo Derek_*]

Auf meinem Notebook (1800er Celeron, 256 MB RAM) ist der KAV 4.5 Wächter auch nicht zu bemerken. Ich wunder mich immer wieder über 3 Ghz Kisten, die dabei angeblich in die Knie gehen.
Auch auf dem Test PC (Duron 1200) hat bisher noch kein AV Wächter wirkliche Probleme gemacht.

Darüber hatten wir ja auch schon mal diskutiert. Ich habe ja auch immer wieder Performanceunterschiede von Hintergrundwächtern teilweise sehr deutlich bei der Arbeitsgeschwindigkeit gespürt, Du jedoch damals bei dem Wächtertest gar nicht. Es wäre echt mal interessant, wodurch dies beeinflusst wird.

[sPaCeLoRd]

Falls auf dem Gebiet mal getestet werden soll, wäre imho auch TrendMicros PC-cillin 2003 ein interessantes Testobjekt.

Installation -> Neustart (mit laufendem Wächter) verlangsamte jeden Arbeitsschritt derartig extrem, daß das Ausschalten des Hintergrundwächters allein ca. 30-40 Minuten (!) dauerte.

Danach erstmal den kalten Schweiß abgewischt und das Teil restlos von der Platte gekratzt.