Druckversion des Themas

Geschrieben von: lotion 10.08.2011, 13:58

Man kann Norton 2012 Vorbestellen kommt am 6 September raus.

Geschrieben von: florian5248 10.08.2011, 14:09

@Lotion

hast du den Link gerade greifbar. Danke.

Geschrieben von: lotion 10.08.2011, 14:11

http://www.amazon.de/Norton-Internet-Security-2012-deutsch/dp/B005FVAF68/ref=sr_1_11?ie=UTF8&qid=1312981831&sr=8-11

Geschrieben von: florian5248 10.08.2011, 14:13

Geht doch, danke.

Geschrieben von: flexibel44 10.08.2011, 14:41

Letztes Jahr hatte Jens hier Ende August einen Downloadlink für die neue Version reingestellt. Vielleicht ja dieses Jahr auch wieder.

Geschrieben von: Deluxe 13.08.2011, 21:10

Ist Norton 2012 kompatibel zu Google Chrome?

Geschrieben von: SebastianLE 13.08.2011, 22:33

Ja. Chrome läuft auch wenn Norton installiert ist - also kompatibel.

Wenn du auf die Browseraddons abzielst: Auch hier wird Chrome ab der 2012 unterstützt.

Geschrieben von: Niro96 14.08.2011, 12:05

Hallo,

ich habe nun auch mal Norton getestet. Läuft sehr gut. Aber, wo kann man einstellen, das man von der FW gefragt wird, ob das Programm ins Internet darf. Irgendwie legt Norton die Regeln selber fest.

Niro96

Geschrieben von: Voyager 14.08.2011, 12:09

Ist das denn unbedingt nötig ein Programm vom Internet auszuschliessen ? Sollte man das Programm nicht komplett meiden...

Geschrieben von: Niro96 14.08.2011, 12:10

Richtig, war es nur gewohnt das man auch entscheiden konnte zwischen "Erlaube" und "Blockieren"

Geschrieben von: metabolit 14.08.2011, 19:02

Ja das geht auch weiterhin.

Geschrieben von: Niro96 15.08.2011, 09:59

Und wo?

Geschrieben von: NyteWysh 15.08.2011, 14:15

Ich meine mich zu erinnern, dass Du die automatische Regelerstellung ausschalten musst. Habe Norton gerade nicht drauf, sonst könnte ich Dir auch noch sagen, wo.

Aber wie Jens schon anmerkte, wieso willst Du das auf manuell stellen. Meine ureigene Erfahrung hat gezeigt, dass man eh das meiste erlaubt und i.d.R. handelt es sich auch um vertrauenswürdige Programme. Wenn ich genau bei diesen (vertrauenswürdigen) Programmen auf blockieren stelle, wird über kurz oder lang das eine oder andere nicht korrekt funktionieren. Malware sollte ohnehin auch im automatischen Modus blockiert werden. Mein Tipp - lass Norton einfach so wie es ist.

Geschrieben von: @ndreas 16.08.2011, 10:43

OT Wie lautet die aktuelle Versionsnummer der 2011?

Geschrieben von: Niro96 16.08.2011, 11:12

Mach ich auch. Hat mich nur interessiert...

Danke
Niro96

Geschrieben von: Enthusiast 25.08.2011, 14:35

Der Release der Retail-Version (also NICHT ESD-Version) ist, gem. Amazon, am 6. September. Naturgemäss wird die ESD-Version sicherlich früher erhätlich sein.

Hat da jemand bereits irgendwelche News darüber bzw. wann erscheint NIS 2012 als Download-Version?

Geschrieben von: Voyager 25.08.2011, 16:43

H:\80\Software\Norton 2011\NIS-ESD-18-1-0-37-GE.exe
on Microsoft Windows Vista, Workstation version 6.7601
File Version Information :
Version language : Englisch (USA)
CompanyName : Symantec Corporation
FileDescription : Norton Internet Security
FileVersion : 18.1.0.37
InternalName : Norton Internet Security
LegalCopyright : Copyright © 1997-2010 Symantec Corporation
OriginalFilename : NIS.exe
ProductName : Norton Internet Security
ProductVersion : 18.1.0.37
Product Date : 08/13/2010

Creation Date : 28/08/2010 01:21:32
Last Modif. Date : 27/08/2010 22:05:11
Last Access Date : 28/08/2010 01:21:32
FileSize : 95596904 bytes ( 93356.352 KB, 91.168 MB )
FileVersionInfoSize : 1812 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 18.1.0.37 / 18.1.0.37
Language : Englisch (USA) (0x409)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

in ein paar Tagen....

Geschrieben von: florian5248 25.08.2011, 18:24

Wusste das du antwortest, hatte damit aber gerechnet, das du uns schon den Link für die NIS2012 servierst.

Geschrieben von: flexibel44 30.08.2011, 17:27

Geschrieben von: Tiranon 30.08.2011, 19:50

Da scheint einer zu warten ;-)

Geschrieben von: dr.nebula 30.08.2011, 20:26

Ich auch...

Geschrieben von: hispeed 30.08.2011, 20:49

Wird auch MS Outlook 2010 64bit mit den entsprechenden Plugin (Spam etc.) unterstützt?

Geschrieben von: Voyager 30.08.2011, 21:11

Norton fällt aus wegen Bodennebel , mittlerweile häufen sich die Fehlermeldungen im Norton Forum. Sollte an den Fehlern was dran sein könnte das zu einer Verspätung der RTM führen.

Geschrieben von: Tiranon 30.08.2011, 23:03

Von welchen Fehlern wird da denn berichtet ? Und lieber den Release verschieben als sowas wie Bitdefender auf den Markt werfen!

Geschrieben von: Voyager 31.08.2011, 00:51

http://community.norton.com/t5/Norton-Internet-Security-Norton/bd-p/NISNAV2012_PB

Bei Amazon hätte sich das Release Datum um weitere 14 Tage verschoben , habs aber nicht nachgeprüft.

Geschrieben von: Tiranon 31.08.2011, 01:04

Wann war denn der Releass Termin vorher bei Amazon.de? Also bei mir steht immer noch 6. September.

Und bei mir läuft alles ohne Probleme ...

Geschrieben von: Hexo 31.08.2011, 07:52

Also da sind im Forum schon einige Fehler zu lesen....
Wenn Du aber in das Normale "Forum" schaust (Final 2011) da gibt es auch User mit Fehlern.

Geschrieben von: Steinlaus 31.08.2011, 10:16

Dann möge die Final erst im Januar kommen... dann stimmt das wenigstens mit der Jahreszahl (2012) überein.

Geschrieben von: @ndreas 01.09.2011, 18:16

Kommt die neue Version automatisch per Live Update oder muss separat installiert werden?

Geschrieben von: Solution-Design 01.09.2011, 18:35

Versionswechsel in Form Jahreszahl kamen nie per LiveUpdate.

Geschrieben von: @ndreas 01.09.2011, 20:32

Gut, dementsprechend könnte man ja dann wieder bequem zur Vorgängerversion switchen, falls die 12er tatsächlich noch zu buggy ist.

Geschrieben von: Voyager 01.09.2011, 21:11

Wieso zurück switchen ? es gab bisher noch nie eine Final die Symantec irgendwie verlassen hat, bisher waren alles nur Betas.

Geschrieben von: Tiranon 01.09.2011, 21:25

Und so buggy ist jetzt die aktuelle Beta auch nicht....

Geschrieben von: Voyager 01.09.2011, 21:47

Naja wenn da die OK Buttons in den Einstellungen fehlen ist das schon ziehmlich nachlässig und noch vor Wochen wollte bei Symantec keiner bemerkt haben das das Sonar nicht funktioniert ... langsam sollte man sich fragen was da für Junkies am Werk sind

Geschrieben von: Tiranon 01.09.2011, 21:55

Hups das hab ich gar nicht mitbekommen. Aber wo in den Einstellungen fehlen oder fehlten denn die OK Buttons ?

Geschrieben von: Voyager 01.09.2011, 22:06

In den tieferen Einstellungen wenn man zb. die Firewall Automatik abstellt und Popups zur Netzwerkfreigabe von Programmen beantworten muss , da gibts kein OK Button und man bekommt das Popup nichtmehr weg vom Schirm

Nachzulesen im US Forum.

Geschrieben von: Tiranon 01.09.2011, 22:23

Danke

aber das ist ja jetzt wohl Vergangenheit. Und dafür ist eben eine Beta da... Jetzt warten wir trotzdem alle auf die 2012er Version !

Geschrieben von: Tiranon 02.09.2011, 21:14

So bei Amazon.de wurde der Veröffentlichungstermin von 6. auf 12. September 2011 verschoben !

Geschrieben von: Enthusiast 06.09.2011, 15:02

Auf der US-Homepage von Symantec sind die 2012-er bereits zu haben.

Geschrieben von: jakop.p 06.09.2011, 16:15

wo genau? ich sehe nur die 2011-er? hast du einen direkten link?

Geschrieben von: Tiranon 06.09.2011, 17:18

wie wäre es http://buy.norton.com/estore/mf/landingProductFeatures?rdid=3c616a4a-759d-499e-a0d4-6b0ab92303671315325782645

Geschrieben von: flexibel44 06.09.2011, 17:49

Also der Link führt auf die deutsche Seite und zur Version 2011.

Geschrieben von: Tiranon 06.09.2011, 17:56

Dann stelle oben "United States" (wo sonst Deutschland steht) ein und schaue im Store!

Geschrieben von: flexibel44 06.09.2011, 18:08

Danke. Stimmt. Seltsam.

Geschrieben von: Tiranon 06.09.2011, 18:24

Was soll daran seltsam sein? Die englisch-sprachige Version kommt immer als erstes !

Geschrieben von: flexibel44 06.09.2011, 18:44

Okay, wußte ich nicht.

Geschrieben von: Paul12 06.09.2011, 18:52

Nun könnte aber Jens endlich den Link reinstellen,hat er doch mit der 2011er auch gemacht.

Geschrieben von: metabolit 06.09.2011, 19:40

Was nützt es wenn im US Store die Version 2012 zum Kauf angeboten wird aber der Download die 2011er ist ? Free Upgrade auf die 2012er Version habe ich auch in jedem anderen Land.

Geschrieben von: Paul12 06.09.2011, 22:08

So ist es.War so gar in meinem US-Account,dort hätte ich aber auch nur NIS 2011 runterladen könne.Zum Kauf angeboten wird die 2012er auch bei Amazon zum 7.9.bzw.12.9. .

Geschrieben von: methos2008 07.09.2011, 09:29

http://img827.imageshack.us/img827/5356/2012ja.jpg
http://img585.imageshack.us/img585/8701/nortoninternetsecurity2.jpg

Geschrieben von: Voyager 07.09.2011, 11:00

Sehen wir so aus als würden wir Russisch kennen ?

Geschrieben von: @ndreas 07.09.2011, 13:52

Nun aber los ... http://www.computerbase.de/downloads/sicherheit/norton-internet-security/

Geschrieben von: razer 07.09.2011, 18:57

Die Oberfläche von der 2012 sieht aus wie eine Baustelle, fast schon billig iwie.

Geschrieben von: Solution-Design 07.09.2011, 19:09

@razer

Und da gibt es sehr viele Nutzer, denen gefällt genau diese "Baustelle" besonders gut.

Geschrieben von: methos2008 07.09.2011, 19:14

http://buy-download.norton.com/downloads/CLT/NIS/US/2012/19.1/21219/ESD/NIS-ESD-19-1-0-28-EN.exe
http://buy-download.norton.com/downloads/CLT/NIS/US/2012/19.1/21219/ESD/NIS-TW-30-19-1-0-28-EN.exe
http://buy-download.norton.com/downloads/CLT/NIS/US/2012/19.1/21219/ESD/NIS-UPGRADE-ESD-NoDefs-19-1-0-28-EN.exe

http://buy-download.norton.com/downloads/CLT/NIS/GE/2012/19.1/21219/ESD/NIS-TW-30-19-1-0-28-GE.exe

Geschrieben von: @ndreas 07.09.2011, 19:25

Die GUI reagiert hier ziemlich träge, z.B. beim Aufruf der Einstellungen. Ansonsten sehr schick, aber eher unübersichtlich. Das Gadget finde ich noch schlimmer als bei der 2011; noch mehr sinnloser Werbemist --> Mobil

Geschrieben von: winchester 07.09.2011, 19:38

Das mit der Trägheit bei Einstellungen kann ich bestätigen,hatte da auch schon die Medung Prgramm reagiert nicht mehr und Norton hat sich dann verabschiedet.

Geschrieben von: @ndreas 07.09.2011, 19:39

Reißt insgesamt auch mehr RAM als früher, oder?

Geschrieben von: florian5248 07.09.2011, 19:42

Kann ich auf keinen Fall bestätigen. Läuft bei mir genauso geschmiert wie die NIS2012 Beta.

Der Virenscan ist etwas langsamer, was ich auf die Gründlichkeit zurückführe.

An der GUI habe ich auch nichts auszusetzen, da ich sie in der Beta ebenfalls kennengelernt habe. Mir ist viel wichtiger, das der Schutz gewährleistet ist.

Geschrieben von: @ndreas 07.09.2011, 19:44

Stimmt, das eine schließt das andere ja aus

Geschrieben von: Steinlaus 07.09.2011, 20:18

War auch mal neugirig, aber nach etwa zwanzig minütigen wartens wurde es mir dann zu bunt !
Beenden lies es sich ja nicht. Also Benutzer abmelden und neu starten.

http://www.abload.de/image.php?img=norton2012ncr7.png

Geschrieben von: Tiranon 07.09.2011, 20:21

Ich habe NIS 2012 drauf und im Google Chrome Browser fehlt mir die Leiste oben. Wie bekomme ich diese denn, habt ihr da ein Tipp?

Nachtrag: Nach erneuter Installation von Chrome hab ich jetzt die "Norton-Leiste"

Geschrieben von: Voyager 07.09.2011, 21:27

Kann ich so nicht nachvollziehen mit der trägen Oberfläche und mit der Speichernutzung gibt es auch kaum Unterschiede, auf die paar Bytes mehr oder weniger kommts doch bei über 2GB im PC auch nicht drauf an , was bestimmt jeder im PC hat.

Die Oberfläche von Norton wird über die Grafikkarte beschleunigt , da sollte es kein "träge" geben .
http://www.abload.de/image.php?img=unbenannt31uy3.jpg
http://www.abload.de/image.php?img=unbenannt31uy3.jpg

Bei Trojan.Fake.AV oder manch anderen Risiken liegt das an der Gründlichkeit der Entfernung , da wird die Registry durchgeackert ect. und das dauert unter Umständen mal 1min - 60min aber irgendwann war er immer fertig. Du hättest vll. nur noch 5min warten sollen, an deiner Stelle hätte ich das nicht mit Gewalt abgebrochen. Du kannst doch in der Zwischenzeit was anderes machen.
Ich teste sehr oft viel Malware aber das man bei einem bestimmten Risiko sehr lange warten musste kam nur sehr selten vor , du musst dir da also auch garkeine Platte das das immer so ist.

Geschrieben von: Deluxe 07.09.2011, 23:30

Wieso ist die deutsche Symantec HP noch nicht angepasst worden?

Geschrieben von: Rios 08.09.2011, 04:50

Guten Morgen,

hat sich erledigt, sie ist bereits aktuell.
http://de.norton.com/index.jsp

Geschrieben von: RuHe 08.09.2011, 08:11

moin,

nis 2012 ist jetzt anscheinend offiziell draussen...

durfte gerade die version > 19.1.0.28 laden und installieren!
sieht auf den ersten blick ganz gut aus.

Geschrieben von: Skandaloes 08.09.2011, 08:46

Und für die, die das Sicherheitspaket der Telekom mit NIS nutzen,
selbst dort ist die 2012er Version schon verfügbar.

Skanda...

Geschrieben von: Tiranon 08.09.2011, 09:02

Ich bin von NIS 2012 bisher auch begeistert. Läuft alles sehr gut ....

Geschrieben von: Garfield58 08.09.2011, 09:44

Ber Browser Schutz funktioniert nicht mit Browser Chrome . Sollte doch bei der 2012 er Version funzen

Geschrieben von: Krond 08.09.2011, 09:52

WLKIKIV.... http://www.rokop-security.de/index.php?s=&showtopic=21438&view=findpost&p=341305

Geschrieben von: Paul12 08.09.2011, 10:07

Ich habe Probleme mit Norton Insight.Nach einem Scan kommt ,Werte sind ungenau da keine Verbindung zum Symantec-Server besteht.
Angeblich besteht keine Internetverbindung?Update kommen aber normal rein.

Geschrieben von: J4U 08.09.2011, 10:22

Das sagt uns, dass Symantec mindestens über 2 Server verfügt.

Warte halt mal eine Zeit ab und versuche es noch einmal. Seit kurzem ist die neue Version draußen und da spielen halt alle ein bissel.

J4U

Geschrieben von: Paul12 08.09.2011, 10:29

Wird wohl so sein,hatte diese Erscheinung schon gestern gehabt.Da werden wir mal abwarten,da eine Neuinstallation von NIS auch nichts änderte.

Geschrieben von: flexibel44 08.09.2011, 11:17

War bei mir auch so.

Geschrieben von: Tiranon 08.09.2011, 11:19

Also gast du NIS 2012 über NIS 2011 gebügelt?

Geschrieben von: Hexo 08.09.2011, 11:21

NIS 2012 runtergeladen, NIS 2011 deinstalliert-> Neustart, NIS 2012 installiert, läuft alles wunderbar.

Geschrieben von: Steinlaus 08.09.2011, 11:47

Nutze seit kurzer Zeit Opera in der Version 11.51. Gibt es da auch einen Browser Schutz für, oder wird Opera algemein nicht unterstützt!

Geschrieben von: J4U 08.09.2011, 11:50

Ich nutze Opera seit Zeiten. als man den noch kaufen musste und ich wüsste nicht, was ein Fremdtool an Opera verbessern könnte.

J4U

Geschrieben von: Steinlaus 08.09.2011, 12:07

Wie ich gerade in Erfahrung gebracht habe, betrifft das nur die Norton Taskleiste. Der Datenstrom wird aber von Norton eh gescannt.

Geschrieben von: ciacomo 08.09.2011, 12:18

Warum erst die 2011er deinstalliert?
Einfach über "Auf neue Version prüfen" in der 2011er gehen, dann wird automatisch installiert.



VG

Geschrieben von: Hexo 08.09.2011, 12:29

Macht der Gewohnheit. Gibt sonst keinen anderen Grund.....

Geschrieben von: Deluxe 08.09.2011, 12:32

Bei mir funktionieren die Chrome-Plugins sehr gut...siehe Screenshots

Geschrieben von: @ndreas 08.09.2011, 12:32

Hat Symantec die Ikarus-Engine aufgekauft? FPs dieser Art habe ich zuletzt bei a² gesehen

http://img716.imageshack.us/my.php?image=fp1.gif
http://img843.imageshack.us/my.php?image=fp2.gif
http://img148.imageshack.us/my.php?image=fp3.gif
http://img714.imageshack.us/my.php?image=fp4.gif
http://img192.imageshack.us/my.php?image=fp5.gif
http://img233.imageshack.us/my.php?image=fp6.gif
http://img833.imageshack.us/my.php?image=fp7.gif
http://img703.imageshack.us/my.php?image=fp8.gif

Geschrieben von: Paul12 08.09.2011, 13:55

Mein Problem mit Norton Insight haben auch andere http://de.community.norton.com/t5/Norton-Internet-Security-Norton/NIS-2012-kein-Insight-Schutz/td-p/25463
Es ist also kein Serverproblem und trat schon in NIS 2012 Beta auf.In der Beta hatte ich aber damit keine Probleme.
An wie man die 2012 installiert kann es auch nicht liegen.Habe alle Möglichkeiten durchprobiert.

Geschrieben von: Schattenfang 08.09.2011, 14:23

das war doch schon immer so mit diesen sonar oder insight-dingens. versuche mal dateien von speziellen ftp-servern zu ziehen oder aus anderen quellen, die nicht von tausenden runtergeladen werden. da kommt dann immer der quatsch mit dem suspicious cloud etc. daher ist das für mich absolut nicht zu gebrauchen.

Geschrieben von: @ndreas 08.09.2011, 14:38

Die 2011 hat bei den oben genannten Dateien nicht gemeckert, abgesehen von der opera exe.

Geschrieben von: hispeed 08.09.2011, 19:12

Funktioniert NIS 2012 auch unter MS office 2010 64bit (Spamfilter etc.)?
gruss

Geschrieben von: Paul12 08.09.2011, 19:14

Jetzt habe ich die Nase voll von NIS 2012.Der Windows-Taskmanager zeigt NIS 2012 wird ausgeführt und eine Datei ccsvchst.exe lastet laut NIS meine CPU mit 70% aus.Das geht jetzt schon rund
20 Minuten .Was macht NIS da,ein System-bzw.Bewertungsscan ist es nicht. Norton Insight funktioniert auch nicht.

Habe noch ein Key von F-secure,da geht es ruhiger zu.

Geschrieben von: Julian 08.09.2011, 19:21

Wurde vorher irgendwas vom AV erkannt und dann entfernt?
Nach und während einer Bereinigung frisst Norton gerne mal bis zu einer Stunde für irgendwas viel CPU-Leistung, hat mich in der VM auch genervt.

Geschrieben von: Tiranon 08.09.2011, 19:44

Eben hat bei mir NIS 2012 ohne am PC irgendwas gemacht zuhaben über den AutoProtect ein Backdoor.Trojan gemeldet und entfernt.

http://imageshack.us/photo/my-images/705/niserkennung.png/

Wie geht das denn?

Geschrieben von: Voyager 08.09.2011, 19:44

Vll liegts ja an deiner VM ?

Geschrieben von: uweli1967 08.09.2011, 19:52

Das ist doch das "Gute" und "Schöne" an Norton Tiranon, du brauchst dich um nichts mehr zu kümmern während Norton alle Infektionen von deinem System löscht. Ob dir das nun gefällt oder nicht. Und wenn es mal ein FP war(oder gibt es das bei Norton nicht )und Norton löscht etwas was gar keine Infektion war

Geschrieben von: Steinlaus 08.09.2011, 19:52

Habe es nochmal probiert und gleiches Ergebnis. Nach dem Scan meiner Festplatte, bleibt es selbst nach über einer Stunde wartens, bei diesem Bild stehen.
Wird angehalten.. 1 Datei verbleibt! Es wurde aber kein Virus gefunden.

Geschrieben von: Tiranon 08.09.2011, 19:58

Ich finde das ja im Prinzip gut. Aber warum wurde das eben gerade gefunden? Weil es gerade ein neues Viren-Update gab? Weil AutoProtect von Zeit zu Zeit mein PC automatisch scannt ( er war zum Zeitpunkt der Entdeckung nicht im Leerlauf.... Will nur wissen warum gerade jetzt

Geschrieben von: Voyager 08.09.2011, 20:00

Schalte mal den Autoprotect ab , stell das Risiko nochmal wiederher aus der Quarantäne und dann scanne es bei VT ... dann sagste uns die Ergebnisse.

Geschrieben von: Tiranon 08.09.2011, 20:00

Und warum willst Du das Programm anhalten bzw. beenden ? Lass es doch einfach durchlaufen .

Geschrieben von: uweli1967 08.09.2011, 20:01

@Tiranon
Frag mich das nicht ich nutze ja Norton nicht aber mal angenommen Norton löscht wirklich bei dir eine Datei die sauber ist bzw zu einem sauberen Programm gehört und es war ein False Positive.......was dann wenn du Pech hast funktioniert danach das Programm ohne die gelöschte Datei micht mehr
Edit: wenn du die Datei aus der Qurantäne wiederherstellen kannst, dann ist es ja gut.

Geschrieben von: Tiranon 08.09.2011, 20:06

Hier das Ergebniss:

File name: nicht bestätigt 65055.crdownload
Submission date: 2011-09-08 18:49:43 (UTC)
Current status: finished
Result: 19/ 44 (43.2%)

http://www.virustotal.com/file-scan/report.html?id=988abd7d6969480867f5e08b135e82f0da8336184ceef5943f97f9598dcda25e-1315507783#

Geschrieben von: Paul12 08.09.2011, 20:08

Eigentlich nicht,habe nur mehrmals NIS 2012 installiert,da bei mir Norton Insight nicht geht.Da bin ich aber immer mit Acronis Image auf NIS 2011 zurückgegangen.
Von entfernen kann man da ja nicht sprechen.Mit NIS 2011 ging alles, auch Insight.

Habe jetzt erstmal F-Secure drauf.Eigenartig im Norton Forum hat @bibbes mit Insight das gleiche Problem wie ich,erhielt aber dort von @Susanne noch keine Antwort.

Geschrieben von: Steinlaus 08.09.2011, 20:09

Ich will es ja gar nicht anhalten, es tut sich dann einfach nichts mehr! Der Scan scheint abgeschlossen zu sein.
Das wird angehalten.. 1 Datei verbleibt steht von alleine da !!!

Geschrieben von: Voyager 08.09.2011, 20:10

Siehste und schon ist das Thema durch... es war kein Falscher Fund , eher ein falscher Fufziger.

Geschrieben von: Tiranon 08.09.2011, 20:12

Ob es ein Falscher oder ein Richtiger Fund war, war ja nicht die frage. Die Frage war ja warum es gerade eben gefunden wurde?

Geschrieben von: Voyager 08.09.2011, 20:18

Hintergrundscan , du hast den Ordner gerade geöffnet ? spielt das denn eine Rolle ?

Geschrieben von: Tiranon 08.09.2011, 20:22

Nein den Ordner habe ich nicht geöffnet gehabt. Schaue gerade was auf VOXnow und suche nebenher was in Google. Ich bin halt neugierig und deswegen würde ich es eben gerne wissen ...

Geschrieben von: Steinlaus 08.09.2011, 20:57

Norton Internet Security 2012 Final Prevention Test von MrXidus

http://www.youtube.com/user/MalwareGuru#p/f/0/9Yj2vm_cMyU

Geschrieben von: Tiranon 08.09.2011, 21:08

Danke für den Link...

Hat sich dein Problem denn mittlerweile behoben? Wenn nicht hast du schon eine komplette und saubere Neuinstallation probiert ?

Geschrieben von: Steinlaus 08.09.2011, 21:18

Daran wird es liegen.. versuch es später noch mal.

Geschrieben von: Tiranon 09.09.2011, 00:08

Hallo,

mal eine ernste Frage.

Wie viele Prozesse laufen bei euch im Windows Task-Manager von Symantec/Norton?

Im Leerlauf läuft bei mir nur ccSvcHst.exe (Symantec Service Framework) ist das bei euch auch so?

Vielen Dank für eure Antwort

Geschrieben von: Steinlaus 09.09.2011, 00:30

Glaube zwei sind es.
http://www.rokop-security.de/lofiversion/index.php/t21163-200.html

Geschrieben von: Tiranon 09.09.2011, 00:43

Danke,

bei mir läuft leider nur ein Prozess, muss ich mir jetzt Sorgen machen?

Geschrieben von: Hexo 09.09.2011, 05:41

Der Ramverbrauch wurde bei der Version 2012 noch mal reduziert :-)

http://www.abload.de/image.php?img=snap_2011.09.09_06h40m4ru0.png
und bei mir laufen zwei Prozesse....

Ich hab mal ne Frage zu der Toolbar, da ich die bis jetzt nicht genutzt hatte (wegen mangender Chrome unterstützung).
Die Toolbarleiste finde ich persönlich unschön. Das Nortonsymbol im Menubereich mit dem grünen Pfleil aber nicht.
http://www.abload.de/image.php?img=snap_2011.09.09_06h35mlr5q.png

Wenn ich aber jetzt die Toolbar schließe, wird im Nortonsymbol auch der grüne Pfeil nicht mehr angezeigt.
http://www.abload.de/image.php?img=snap_2011.09.09_06h36mxpir.png

Ist, wenn man die Toolbar schließt, der "sogenannte" Browserschutz deaktivert?

Dann noch was...
Kann das sein, dass Norton mehr scannt als überhaupt vorhanden ist? Irgendwie finde ich das ein wenig verwirrend
http://www.abload.de/image.php?img=snap_2011.09.08_17h21mv0c9.png http://www.abload.de/image.php?img=snap_2011.09.08_17h44mjwp4.png

Gruß Hexo

Geschrieben von: Anders L. 09.09.2011, 07:20

Norton (aber auch all anderen AVs die mir so einfallen) zählt die Objekte die in Archiven liegen mit. Speziell bei Installern kann das dann schon mal sein, das eine Exe-Datei mit tausenden gescannter Objekten gleich gesetzt wird.

Gruß Anders

Geschrieben von: SLE 09.09.2011, 08:10

Das was der Taskmanager anzeigt wurde reduziert...


Nein! Du kannst die Toolbar ruhig deaktivieren.


Anzahl der Objekte ist etwas anderes als Anzahl der Dateien. Gepackte Objekte, ADS etc. - da gibt es einiges mehr.

Geschrieben von: Krond 09.09.2011, 08:13

Wirklich zufrieden bin ich z.B. nicht mit dem Ding. Im Großen und Ganzen gibt es 2 Probleme auf meiner Maschine, weswegen ich wieder deinstalliert habe.

1. Norton auf Maschine installiert. VM (VMWare, nix VirtualPC oder Virtualbox) gestartet, die VM hat keinen Zugriff mehr aufs Internet (NAT und Bridged versucht). Dabei ist es auch egal, ob ich die NortonFirewall im Hostsystem abschalte oder nicht.
2. Ich kompiliere meine Programme runter, dabei wird natürlich eine .exe erzeugt (nein kein Virus! ). Bumm, schon ist sie wieder weg, weil Norton meinte, dass kein Mensch noch dieses Programm bewertet habe (dieses Reputationszeug behaupte ich mal). OK, Ausnahme gesetzt. Ein paar Zeilen geändert, compiliert, .exe erzeugt, Bumm weg (klar ist ja auch anders als die vorherige .exe). Somit helfen in diesem Fall die Ausnahmen nicht. Arbeiten so natürlich nicht möglich, da wird man ja mit Ausnahmen setzen nicht fertig.

Schmarrn, unter 2011 gabs das alles nicht. Und ja, ich habe zum Test gleich mal 2011 raufgespielt und siehe da, keine obigen Fehler.....

[Edit]: wusste gar nicht, dass es schon 10 Uhr vorbei ist.....Schöner Schreck.....da hätt ich einen Termin verpasst.....

Geschrieben von: Tiranon 09.09.2011, 08:17

Sorry für Doppelpost

Geschrieben von: Tiranon 09.09.2011, 08:18

Also bei mir fehlt der "System-Prozess" der "User-Prozess" ist da

http://imageshack.us/photo/my-images/195/prozesse.png/

Uploaded with http://imageshack.us

muss ich mir da jetzt Gedanken oder Sorgen machen?

Geschrieben von: SLE 09.09.2011, 08:26

Blöde Frage - UAC aktiv und die Anzeige der Prozesse aller Benutzer im Taskmanager aktiviert?

Geschrieben von: Tiranon 09.09.2011, 08:31

UAC ist an und wenn du mir verrätst wie man Das mit den Benutzern einstellt kann ich dir die zweite Frage auch noch beantworten !

und du weißt doch es gibt keine blöden Fragen...

Geschrieben von: SLE 09.09.2011, 08:32

Ganz unten im Tasmanager ist eine Schaltfläche.

Geschrieben von: Hexo 09.09.2011, 08:34

Wohl wahr. Aber der gesamte "frei" Ramspeicher ist auch ein größer.


Cool, danke. Kann man den "Browsershutz auch mal irgendwie testen? Hat mal jemand einen Link für mich, den ich in der Sandbox testen kann?


Ok, das klingt logich. Wusste ich nicht.
Aber dann verstehe ich nicht, warum Norton bei meinen "Fotos"
von 35286 vorhandenen Fotos-> 35792 Dateien scannt....
Das sind alles nur Jpg´s und Nef´s (Nikon RAW Format)

Gruß

Geschrieben von: Tiranon 09.09.2011, 08:37

Sorry hab die Schaltfläche gerade übersehen... Danke.

Und es lag wirklich daran, hatte mir schon Sorgen gemacht. Also mein Problem ist gelöst!

Danke

Geschrieben von: flexibel44 09.09.2011, 11:52

Dieser "Bewertungsscan" läuft heute bei mir übrigens durch. Keine Fehlermeldung mehr.

Geschrieben von: Paul12 09.09.2011, 12:16

Welcher Bewertungsscan(Quick Scan,Vollst.Bewertungsscan,Benutzerdef.Scan)?

Geschrieben von: flexibel44 09.09.2011, 12:47

Vollständiger.

Geschrieben von: razer 09.09.2011, 15:03

Beim vollständigen Bewertungsscan kommt am Ende das die Vertrauensstufe ungenau ist da Norton Insight keine Verbindung zum Symantec-Server herstellen kann o.O?

Geschrieben von: @ndreas 09.09.2011, 15:17

Ist hier auch so.

Geschrieben von: Paul12 09.09.2011, 15:47

Wenn man sich auf den Symantec-Server mit einem Bewertungsscan einwählt,läuft scheinbar eine Zeituhr mit.
Der Quick Scan läuft durch, der Benutzerdef.Bewertungsscan auch, wenn die Festplattenpartitionen nicht so groß sind bzw.mit wenig Daten belegt sind.
Beim vollständigen Bewertungsscan und bei einer größeren Festplattenpartition kommt bei mir immer der Hinweis,keine Internetverbindung zum Schluss.
Also werde ich vom Symantec-Server nach einer bestimmten Zeit rausgewippt.

Geschrieben von: Voyager 09.09.2011, 16:32

Nein da ist keine Uhr weils bei anderen zu einer anderen Zeit ja auch geht , die Serververbindung bricht nur sporadisch ab , auf Deutsch die Leitung auf der anderen Seite ist zu dünn .

Ich hatte Symantec aber gewarnt das sich das Problem der schlechten Insight Server Verbindung mit Norton 2012 verschlimmert , weil die Software viel häufiger die Cloud anruft.

Geschrieben von: Hexo 09.09.2011, 16:44

Das heißt im Endeffekt, dass evtl. Sonar auch nicht richtig arbeitet?

Geschrieben von: Schattenfang 09.09.2011, 16:45

was wird denn beim bewertungsscan an die cloud übermittelt? hash, md5?

Geschrieben von: Voyager 09.09.2011, 16:53

Wer kommt denn immer auf den Dreh das Sonar eine Abhängigkeit zum Insight Server hätte ? Sonar 2 im NIS2010 funktionierte doch auch schon einwandfrei und da gab es noch kein Download Insight. Auch das jetzige Sonar 4 ist eine Verhaltenserkennung die zwar in der Regel meist nur Online funktioniert (also mit dem Internet verbunden ist) aber das hat eher etwas damit zu tun weil die meisten Risiken eine verbotene Netzwerkaktion machen.
Ich hatte in der VM schon Sonarerkennungen mit ausgegrauten Insight Informationen zum Risiko, an der Stelle konnte diese Information nicht nachgeliefert werden aber Sonar hatts gekillt bei der Ausführung.


vermutlich beides, das Anfragen der Verbreitungs-Information beim Download einer exe Datei geht ja recht kurz also werden nur solche Informationen angefragt.

Geschrieben von: flexibel44 09.09.2011, 17:01

Hatte ich sonst auch, wie gesagt, heute nicht mehr.

Geschrieben von: Schattenfang 09.09.2011, 17:12

ok danke, dann macht das sinn. sollte aber die server eigentlich nicht zu sehr zu belasten.

wer von den otto-nutzern macht das denn so oft? oder wird das automatisiert ausgeführt? das wäre mal innovativ!

Geschrieben von: Voyager 09.09.2011, 18:00

wurde doch schon erklärt ?
Mach ein Ordner mit exe Dateien auf die Norton noch nicht gesehen hat (oder mit Norton2011 nicht erkannt wurden) und automatisch wird eine SSL Verbindung am ccsvchst.exe Prozess hier hin erstellt http://www.ip-adress.com/ip_lokalisieren/143.127.102.25 , wenn du Glück hast werden Funde ausgemacht mit Reputation oder Cloud in der Fundbezeichnung. Das bedeutet diese Innovation gibts schon .

Geschrieben von: Julian 09.09.2011, 18:30

Norton würfelt was bei der UAC durcheinander. In einer Win 7 x32-VM hatte ich ein paar Dutzend infizierte Dateien scannen und entfernen lassen (Autoprotect war aus, keine Malware war je aktiv). Während des Cleanens meldet sich dann auf einmal das Actioncenter, dass der PC neu gestartet werden müsste, damit Änderungen an den UAC-Einstellungen aktiv werden würden.
Nach dem Neustart war der UAC-Schieberegler zwar immer noch ganz unten in den UAC-Optionen, im Taskmanager zeigt er mir jetzt aber standardmäßig nur Prozesse vom aktiven User an.

Geschrieben von: ciacomo 09.09.2011, 18:32

So, nun auch auf die 2012er upgegradet.
Was mir momentan auffällt:
Es werden nicht alle Downloads geprüft.

Ich habe meine Schriftgröße in Windows auf 125% gestellt (siehe Foto).
Dadurch funktioniert der "Leistungs- Button" auf der Startseite nicht richtig. Das Fenster dreht sich dann nicht wie üblich, sondern es erscheint ein neues Fenster, wo dann auch der zurück Button fehlt.
Ist reproduzierbar. Stelle ich die Schriftgröße auf 100% ist alles easy. Ist mir aber zu klein

VG

Geschrieben von: Julian 09.09.2011, 18:43

Das ZeroAccess-Rootkit killt Norton, sofern es nicht per Signatur erkannt wird.
Sonar versagt in dem Fall, unschön.

Geschrieben von: Voyager 09.09.2011, 19:00

Julian will uns nur neugierig machen indem er sogut wie nichts über sein Fund erzählt aber meint das Sonar versagen würde ?
Da wäre dann nämlich die Frage wie kann Sonar versagen wenn Norton es schon so erkannt und gelöscht hatte ? Wenn man den Autoprotect abstellt geht Sonar immer mit aus, hat das Julian übersehen ? Was macht die Datei überhaupt wenn man sie ohne Virenschutz anklickt, ein Log auf Threatexpert wäre interessant.

Geschrieben von: Tiranon 09.09.2011, 19:04

Das kann ich bestätigen !

Geschrieben von: vomitator 09.09.2011, 19:09

Sehr unschön sind auch eine Vielzahl von FP bei libreoffice. Autoprotect legt die ganze Suite lahm, man muss 6 Dateien wiederherstellen und ausschließen...

Geschrieben von: Julian 09.09.2011, 19:13

Da gibts nicht viel zu erzählen. ZeroAccess ist sehr aggressiv gegenüber Programmen, die ihm gefährlich werden könnten.
Ich werd gleich mal versuchen, das Sample ausfindig zu machen. Es kam auch ein Norton Netzwerkscanner-Alarm wegen einer "ZeroAccess-Attacke".
Gerade warte ich aber darauf, dass das F-Secure Update in der VM mal fertig wird...


Na, so dusselig, dass ich den Guard nicht vorher wieder einschalte, bin ich auch nicht.
Das Sample wurde per Signatur nicht erkannt, blieb also von dem Sample-Set, dass ich gescannt hatte, übrig.
Nach dem Scan hatte ich den Guard wieder eingeschaltet und dann die On Execution-Erkennung überprüft.

Alles klar? Weitere Details folgen.

Geschrieben von: Voyager 09.09.2011, 19:18

ja machmal , fehlt nurnoch der Punkt wann es denn erkannt wurde und wann die VM infiziert wurde. Wie kann die VM infiziert worden sein wenn der Guard Eingeschaltet war ?

Geschrieben von: Julian 09.09.2011, 19:22

Soll das ne Scherzfrage sein?
Ich geb dir mal zwei Tipps:
1. Per Signatur nicht erkannt
2. Zusätzlich von Sonar nicht erkannt.

Und nach nem Neustart lief kein Norton-Prozess mehr. Klingelts?
HitmanPro wird auch abgewürgt. ZeroAccess-Infektion halt.

Geschrieben von: Voyager 09.09.2011, 19:40

Welche Version ist das die du verwendest, das Libreoffice von hier http://www.libreoffice.org/download/ in der VM installiert ergibt keinen Fund , Programmordner manuell gescannt und geöffnet um den Guard die DLL Dateien einlesen lassen zu können um nach Bedarf online vergleichen zu lassen.

Edit:
Ich muss mich korrigieren , ich hatte die falsche VM verwendet mit der letzten Norton Beta , ist mir erst aufgefallen.
Mit der richtigen VM mit NIS12RTM werden genau 6 DLL´s erkannt , Norton hat dafür den Ausschlussvorgang extrem erleichtert , man muss im Fundfenster nur unten auf Optionen gehen dann Wiederherstellung und dann OK der Ausschluss erfolgt automatisch weil das passende Häckchen vorgegeben ist, dann funktioniert Libreoffice. Man muss nicht erst in der Quarantäne fummeln und die Auschluss-Settings suchen gehen und alles per Hand fummeln.

Geschrieben von: @ndreas 09.09.2011, 19:41

Teste mal die LiberKey-Version
Könnte auch die PortableApps-Version gewesen sein.
Irgend eine updater exe oder so wird da rausgekloppt, meine ich mich erinnern zu können

Geschrieben von: Tiranon 09.09.2011, 20:01

Du meinst wohl dieses ....

http://imageshack.us/photo/my-images/838/libo2.jpg/

Uploaded with http://imageshack.us

Datei-Insight meinte aber auch das alles "GUT" sei...

http://imageshack.us/photo/my-images/143/libo.png/



und ja die Installationsdatei habe ich von http://www.libreoffice.org/download/

Geschrieben von: Julian 09.09.2011, 20:06

Der von mir beschriebene Bypass tritt offenbar nur auf, wenn ich zwei bestimmte Samples hintereinander starte.
Es sind die beiden hier:
http://www.virustotal.com/file-scan/report.html?id=0a26afbcfb8fafa3468bb7bf89a35b1d6527e123fb002e1d10f89ecd9af137b7-1315593569
http://www.virustotal.com/file-scan/report.html?id=8a843620784e8fd12e236a25ef4b7094e3560ef62cdd929e35e47a6e3f802d8b-1315559122

Wer es reproduzieren will -> PM.
Das sollte man allerdings auf gar keinen Fall mit einem echten Windows ausprobieren, was man dann später noch benutzen möchte.

Ich konnte es mehrmals hintereinander problemlos in VirtualBox reproduzieren. Erst verschwindet nur der GUI-Prozess, nach nem Neustart will dann auch der Dienst nicht mehr.
Norton tot, Rootkit aktiv.

Geschrieben von: Tiranon 09.09.2011, 20:10

Krasse Schei.... und wir dachten NIS 2012 ist so klasse ...

Ich hoffe Du sendest die Viecher an Symantec ins Labor !

Geschrieben von: Voyager 09.09.2011, 20:18

Na klasse...Ich krieg die nichtmal ausn Netz runter von hotvids 47-77 , wird immer Reputativ erkannt, hmm vll. hat der Julian auch gerade ein Sample erwischt was nicht erkannt wurde.... und jetzt isser backestolz drüber



Man sollte aber bedenken , die "meisten" User im Internet verwenden den regulären Weg zur Malware , also einzeln aus dem Netz geladen und dort schlägt Norton 2012 immer zu solange die Cloud verfügbar ist.

Geschrieben von: Steinlaus 09.09.2011, 20:18

@Julian, wie sieht es aus... gerade warte ich aber darauf, dass das F-Secure Update in der VM mal fertig wird...

Würde mich mal intressieren ob das viese Teil hier auch so wütet !!!

Geschrieben von: Tiranon 09.09.2011, 20:22

Ich bin auf deinen Bericht gespannt

Geschrieben von: Julian 09.09.2011, 20:29

Vielleicht ne Idee, an wen ich mich dort im Forum direkt wenden könnte?
Symantec's Labor springt ja bekanntlich auf Einsendungen/Emails nicht unbedingt so an...
Ich vermute mal, dass es auch nicht unbedingt an diesen zwei Samples liegen muss, sondern dass der Echtzeitschutz einen Bug oder ne Einschränkung hat, wenn mehrere Malware-Prozesse auf einmal aktiv sind.
Hatte dies in der Vergangenheit schon mehrmals beobachtet, dachte aber, es wäre gefixt worden oder die Samples wären einfach so nicht erkannt worden.

Hab die Samples übrigens nicht einzeln direkt von der Quelle geladen, sondern die stammen von m*lwares.pl.

Bezüglich F-Secure: Ich bräuchte ein aktuelles ZeroAccess-Sample, das nicht per Signatur erkannt wird.
Edit: Das zweite Sample ist zwar auch ZeroAccess, allerdings ist es nicht so aggressiv wie das erste, zumindest killt es HitmanPro während des Scans nicht.
F-Secure blockt dieses Sample auch ohne Signatur von Bitdefender mit Deepguard, aber ich vermute, es ist keine Verhaltenserkennung, da Deepguard einen Malware-Familiennamen ausspuckt und das Sample geblockt wird, bevor es überhaupt starten kann.
Also kein wirkklicher Test des Verhaltensblockers von Deepguard, aber immerhin besser als nichts.

Geschrieben von: Rios 09.09.2011, 20:42

Guten Abend,

Julian danke für deine Ausführungen, ist imer wieder schön zu lesen. Die Argumente die Voyager mit einbringt, natürlich auch. Es gibt immer wieder einen bösen, der die Möglichkeit besitzt den AV, oder Teile davon zu killen.
Hatte so ein ähnliches Problem, mit einem anderen AV, wo ein Backdoor es geschaft hatte, den Datei-Antivirus zu beenden, aber das AV zeigte trotzdem System OK.

Geschrieben von: Schattenfang 09.09.2011, 21:33

ne, aber nicht bei norton. das habe ich von voyager hier schon gelernt. entweder es ist kaputt, oder vom mond (daher nicht lesbar), oder sowieso nicht relevant, oder wäre niemals auf den pc gekommen, weil es ja nicht vom himmel regnet usw.
wenn so ein teil die suite komplett beenden und abschießen kann würde ich doch lieber der wahrheit ins auge blicken. was ein sample mit einer bestimmten methode kann, können andere natürlich auch. dann lieber konstruktiv rangehen.

Geschrieben von: Voyager 09.09.2011, 21:38

Wer Norton abschiessen kann schafft das auch bei jedem anderen , man sollte auch dieser Wahrheit ins Auge blicken. Bei Norton hast du wenigstens noch die Chance das der Download vor der Ausführung abgefangen und dank schlechter Bewertung gelöscht wird.

Geschrieben von: Schattenfang 09.09.2011, 21:43

ach komm
du weisst genau, dass nicht jedes selbstschutzmodul gleichgestrickt ist und die programme ganz unterschiedliche module und technologien verwenden, um malware abzufangen. auch in anderen suiten gibt´s sowas wie cloudabfragen beim download, nicht nur bei symantec

mich als möglicher norton-user interessiert das überhaupt nicht, ob auch noch ein anderes programm eventuell auch hier abgestürzt wäre. das hilft mir nicht wirklich.
schick es zu symantec und lass das abklären, aber diese laufende veräppelung von wegen nicht relevant oder nicht praxisnah oder für alle zutreffend ist doch doof und hilft keinem weiter.

Geschrieben von: Voyager 09.09.2011, 21:48

Willst du das etwa noch bestreiten das das Starten der Objekte aus Malwarepacketen kaum praxisnah ist , wenn ausgerechnet diese Objekte nicht wie Manna vom Himmel regnen sondern ganz klassisch aus dem Internet über Drive-By_Downloads kommen ?
Mach dich nicht lächerlich.

Geschrieben von: Schattenfang 09.09.2011, 21:53

ah ja und insight fischt natürlich alles ausnahmslos vorher weg .

es ist egal von wo ich so ein sample starte, es infiziert meinen pc und macht norton platt. ganz einfach. kann ja auch von einem usb-stick kommen oder per mail etc..
mir ist es egal ob symantec das fixt, aber aus einem fehler in der software noch einen vorteil für das produkt zu konstruieren ist natürlich clever!

Geschrieben von: Voyager 09.09.2011, 21:59

Du konstruierst aus einem Sample nicht nur ein Nachteil für das Produkt , du streitest immernoch alles ab wenn man dir das zeigen würde wie ein Download gelöscht wird.
Glaubste du bist besser ? Geh erstmal mit guten Beispiel vorran

Geschrieben von: Schattenfang 09.09.2011, 22:05

das sample hat norton gelöscht. mir mir hat das gar nichts zutun. und ich sehe da keine vorteile, tut mir leid. da bringen auch deine wahrscheinlichkeitsrechnungen über infektionswege nichts, von denen es mehr gibt als immer nur über drive-by-downloads. das sind totschlagargumente, die man nie beweisen, nie nachvollziehen oder reproduzieren kann.

aber das sample, das schießt norton ab. und das kann julian auch noch 20x machen, ändert daran nix.

Geschrieben von: Voyager 09.09.2011, 22:32

@Julian

Kannst du den Test mit der neuen Einstellung nochmal wiederholen.
Echtzeitschutz Systemstartschutz aktivieren.

Geschrieben von: Tiranon 09.09.2011, 23:53

Also ich würde im Forum von Symantec mal mit "Susanne" reden. Musst halt im Symantec Forum oder per PN alles nochmal erklären

Auch wenn Symantec nicht so auf Einsendungen anspringt würde ich die Malware auf jedem möglichen Weg an Symantec senden (über NIS + Email)

Vielen Dank für Dein Bericht

Geschrieben von: RuHe 10.09.2011, 07:33

moin,

bei mir findet nis 2012 auf einmal im ordner > Sent von Thunderbird irgendwas...
( 2011 hat nie was bemängelt!!)
es wird nur die möglichkeit > Löschen angeboten

Wenn aber Sent gelöscht wird, sind ALLE gesendeten Email weg !!

Geschrieben von: SLE 10.09.2011, 07:47

Die oft gehasste Reputation.Insight Erkennung knallt vereinfacht gesagt alles der NIS Cloud unbekannte, was unverschlüsselt/-verpackt aus dem Internet kommt weg - ja. Von daher ist das Argument von @Voyager schon ok.
Damit wird ein, bzw. der Hauptinfektionsweg normaler PCs schon ganz gut abgeschnitten, natürlich gibt es andere Infektionswege.

Und die ZeroAccess Dinger sind ja nun kein Symantec spezifisches Problem, da hatten und haben alle zu kämpfen. Einige reagierten halt etwas schneller um neben den Signaturen auch die proaktiven Mechanismen anzupassen.

Geschrieben von: J4U 10.09.2011, 09:21

Für eine Macke, die noch nie in Windows funktioniert hat, kann Symantec nun nichts, Schriftarten und -größe werden an anderer Stelle geändert.
...oder Du legst Dir halt einen Bildschirm in Windows-kompatibler Auflösung zu, d.h. 1024x768.

J4U

Geschrieben von: vomitator 10.09.2011, 10:20

Richtig, so habe ich es natürlich auch gemacht. War nur bei NIS 2011 unproblematisch! Ist auch blöd, dass die Dateien einfach erstmal ohne Nachfrage isoliert werden. Was passiert denn bei FP von Systemdateien...??

Geschrieben von: Hexo 10.09.2011, 10:41

Die Fragen stelle ich mir auch schon lange. Das hab ich im Norton Forum auch schon mal losgelassen, nur ohne richtige Antwort:
http://de.community.norton.com/t5/Norton-Internet-Security-Norton/Kurze-Frage-zum-L%C3%B6schverhalten/m-p/21795#M7235

Geschrieben von: @ndreas 10.09.2011, 10:43

Das alte Problem - Nortonnutzung nie ohne Systemplattenbackup.

Geschrieben von: Hexo 10.09.2011, 10:50

Gegenfrage... Auch wenn ich wie gesagt auch diese Bedenken teile... Wie oft ist das schon vorgekommen, dass Norton eine wichtige Systemdatei wegen FP gelöscht hat, dass das System nicht mehr nutzbar war???

Geschrieben von: @ndreas 10.09.2011, 10:57

Die Gegenfrage ist m.E. sinnlos, da dies nicht nachprüfbar ist/wäre. Nortons eigenmächtiges Handeln ist und bleibt ein Risikofaktor.

Geschrieben von: KasperskyFreaky 10.09.2011, 11:04

Nehmen wir mal an Symantec baut in den nächsten Produkt - Update eine Nachfrage Funktion ein. Was würde ein Dau machn wenn er sieht dass die Windows Datei "winlogon.exe" laut NIS infiziert sei? Viel mehr sollte man schauen dass solche FP's nicht passieren.
Eine Nachfrage - Funktion wäre definitiv von Vorteil, vorallem für die die Software benützen die nicht so ganz koscher ist.

Egal welches AV man hat, sollte man voher seine Daten sichern. Norton ist da kein Einzelfall

Gruß

Geschrieben von: SLE 10.09.2011, 11:08

Wann gab es denn den letzten FP bei einer Systemdatei seitens Symantec?
Meines Wissens gibt es spezielle Mechanismen um FPs bei diesen zu vermeiden, original MS-Dateien lassen sich ja i.d.R. recht leicht erkennen.

Und beim Rest: Ärgerlich, aber schnell zu beheben.

Geschrieben von: @ndreas 10.09.2011, 11:08

Es wird keine Nachfragefunktion kommen ....

Geschrieben von: Tiranon 10.09.2011, 11:14

Antwort von "Susanne" aus dem Symantec-Forum
Siehe auch http://de.community.norton.com/t5/Norton-Internet-Security-Norton/L%C3%B6schen-ohne-Nachfrage-f%C3%BCr-2012/td-p/16407/page/5

Geschrieben von: @ndreas 10.09.2011, 11:17

Möglicherweise ... ich wette dagegen. Volle Userkontrolle passt nicht zu Symantec.

Geschrieben von: J4U 10.09.2011, 11:29

Ist ein zweischneidiges Schwert. Ich wünsche mir seit Jahren die Nachfragefunktion, aber für den Großteil der DAUs wäre das tödlich. Wer es noch nicht einmal schafft, sich mit den grundlegendsten Programmfunktionen zu beschäftigen und damit eine Datei aus der Quarantäne wieder herzustellen, der wäre mit Nachfragen erst recht überfordert.
Ein gutes (Negativ-) Beispiel liefert auch Avira ab. Das Programm ist in den Grundeinstellungen ziemlich narrensicher, aber was steht in Computerblöd & Co. als erster Tip zu lesen? "Man schalte die Profifunktionen frei" Natürlich auch wieder, ohne diese Funktionen näher zu erläutern.

SAVCE hat vor ein paar Jahren mal einigen Windows-Schrott verursacht, seit dem haben Systemdateien wohl ihre Ruhe.

J4U

Geschrieben von: @ndreas 10.09.2011, 11:37

Exakt. Und die nochmals vereinfachte GUI weist den Weg Symantecs ein Rundum-Sorglos-Paket schaffen zu wollen, was ja auch gut gelungen ist.

Geschrieben von: Paul12 10.09.2011, 12:21

Genau,weil wenn ich mit Acronis ein Festplattenbackup auf meinem Rechner mache,NIS sofort gleichzeitig ein vollst.Systemscan durchführt.
Wollte immer schon mal Fragen ob ein Scan zu diesem Zeitpunkt gut ist.

Geschrieben von: Voyager 10.09.2011, 12:39

Dem kann ich mich anschliessen, durch das Reputationssystem was digitale Zertifikate Verbreitungsgrad und Bewertungen berücksichtigen sind "wichtige" False Positives so gut wie ausgeschlossen. Wenn jemand meint bei Norton bräuchte man Systemsicherungen , das halte ich doch schon für wenig überlegt.
Der Rest mit den 6 DLL´s bei dem Open Office Ableger sind ärgerlich aber waren durch 2 - 3 Klicks leicht zu beheben , man muss dazu nichtmal extra Fenster von Hand aufrufen weil man sich beim Virenfund einfach durchklickt .

Heute war übrigens wieder ein großer Tag bei Norton 2012 , aus meinen Virenordnern wurden weitere 600 Dateien erkannt, zum Großteil Cloud Erkennungen.
Darunter waren übrigens auch die verbliebenen Rootkits die durch Julian soviel Aufmerksamkeit erregt hatten

Geschrieben von: @ndreas 10.09.2011, 12:43

Welches "System" steckt eigentlich hinter der Wiederherstellung ...
einige Dateien werden direkt richtig in die Quelle zurückgeschrieben,
bei einigen wird man dagegen aufgefordert, das Ziel selbst festzulegen.

Geschrieben von: SLE 10.09.2011, 12:44

Bleibt man fair muss man aber sagen, dass es Julian einzig und allein um die Effizienz von Sonar als Verhaltensblocker ging. Und da zählen Signatur-/Clouderkennungen spezieller Samples dann nicht.

Wäre ja sonst fast so wie die damalige GData Debatte: Darauf hingewiesen, dass der BB bei TDSS schweigt, wird auf die kurz darauf zur Verfügung gestellten Signaturupdates für die verwendeten Testsamples verwiesen und so getan als wäre das Kernproblem gelöst.

Sicher spielt es in der Realität eine untergeordnete Rolle, da verschiedenste Schutzmechanismen ineinandergreifen. Mindestens mal interessant ist es dennoch...

Geschrieben von: Voyager 10.09.2011, 12:56

Was ich noch als ärgerlich empfinde , ich hab 267 Seiten im Norton Community Watch Verlauf als ausstehende zu sendende Informationen. Norton versendet es aber nur spärlich , wenn ich die Aufgabe Norton Community Watch anstosse beendet sich die Aufgabe immer genau nach einer Minute , dabei wird nichtmal ein Drittel einer Seite versendet. Insgesamt sind noch 220 Seiten unversendet. Irgendwie hätte ich mir gewünscht das das Log wesentlich mehr ausstehende Elemene versendet.

Erfreulich ist aber das die Cloud seit 30min immernoch im Virenordner kramt , weitere 400 Objekte erkannt und gelöscht.

Geschrieben von: Tiranon 10.09.2011, 13:14

Ja das mit dem Norton Community Watch Verlauf kenne ich nur zu gut und die Übertragung ist sehr sehr träge.

Na zu den Erkennungen muss man jetzt Norton aber auch mal loben ...

Geschrieben von: ciacomo 10.09.2011, 14:48

Ich denke nicht, das es sich um eine "Macke" handelt.
In Version NIS 2011 funktionierte dies auch tadellos mit 125%.
Auch mit allen anderen Programmen.
Ausserdem hat die Schriftgröße nix mit der Auflösung zu tun.

Interessant, das du weisst was ich fürn Monitor habe


VG

Geschrieben von: Virenwächter 10.09.2011, 17:58

Heise hat sich mit der 2012er Version von Norton beschäftigt:
http://www.heise.de/newsticker/meldung/Norton-2012-Schneller-Schutz-mit-Schoenheitsfehler-1340640.html

Anscheinend verschiebt Norton bei zip-Dateien die infizierten und nicht infizierten Dateien getrennt in die Quarantäne. Wird ein Teil der Quarantäne gelöscht, kann das Archiv nur unvollständig wiederhergestellt werden.

Geschrieben von: Tiranon 10.09.2011, 19:19

Danke für den Link. Fairerweise sollte man aber auch sagen das der Fehler schon bekannt ist, >>>>

Geschrieben von: Voyager 10.09.2011, 19:45

Ohje die Magdeburger , so genau scheinen Sie nicht hingesehen zu haben bei Norton2012 , das war wohl eher der Blick eines DAU der nur nach Mängeln und dem Haar in der Suppe gesucht hatte .
Symantec hat das AV Modul nochmals aufgepeppt und erkennt jetzt auf heuristischer Basis weit mehr Malware als noch mit Norton2011 , ich hatte dies vor ein paar Tagen hier geschrieben das ein erneuter Scan meines Virenordner mit Norton2012 weit über 1000 neuer Funde ausgemacht hatte die vorher noch mit Norton2011 abgescannt waren. Weiterhin ist den Magdeburger entgangen das der Autoprotect (der Guard) die Dateien jetzt auf Cloudbasis mitprüft , was vorher unter Norton2011 nur dem Dateidownload im IE und FF vorbehalten war.

Geschrieben von: Tiranon 10.09.2011, 23:30

Sagt mal ist das bei euch auch so?...

Ich mache als erstes einen Vollst.Systemscan (Bewertungsscan) alle Dateien sind dann Vertrauenswürdig oder Vertrauenswürdig (Benutzer)
Jetzt mache ich einen Benutzerdef. Scan (Bewertungsscan) > Ordnerscan > Computer > Lokaler Datenträger > Programme (x86) nach dem Scan werden mir dann wieder "nur" GUT bewertete Dateien angezeigt. Vertrauenswürdig (Benutzer) gibt es dort dann keine.

Geschrieben von: Tiranon 10.09.2011, 23:38

http://de.community.norton.com/t5/Norton-Internet-Security-Norton/NIS-2012-kein-Insight-Schutz/td-p/25463 gibt es übrigens eine Erklärung warum zZ beim Bewertungsscan immer eine Fehlermeldung kommt.

Geschrieben von: Voyager 10.09.2011, 23:55

Ich stosse oft auf Dateien deren Bewertung unbekannt ist, aber Verbreitungsgrad und Alter bekannt sind (zb. 5 User , eine Woche) , deshalb bricht die Verbindung zum Insight Server aber nicht ab . Die Verbindung bricht sporadisch ab zb. bei bekannten Risiken deren Bewertung als Schlecht oder Schwach bekannt ist, dann ist alles ausgegraut.

Ich wage zu bezweifeln das Dallas Meverick hier eine offizielle Information verbreitet, eine dünne Leitung bei Symantec kann man nicht einfach auf dem Client wegpatchen. So schlau ist Symantec sicher auch.

Geschrieben von: Tiranon 11.09.2011, 01:11

Danke Jens für deine Analyse !

Kannst es ja auch so im Symantec-Forum posten vielleicht kommen sie dann schneller zu einer Lösung

Könntest du mir so eine unbekannte Datei nenne und mir sagen wo man diese bekommt? Ich würde das gerne mal selbst testen.

Geschrieben von: J4U 11.09.2011, 06:15

Nein, natürlich nicht.
Wahrscheinlich kommt man zu dieser Weisheit, wenn man sich ständig auf die Birne haut.

J4U

Geschrieben von: @ndreas 11.09.2011, 08:15

http://www.youtube.com/watch?v=vevMayUWcwQ&feature=youtube_gdata!

Geschrieben von: @ndreas 11.09.2011, 08:39

Oh, oh ... straight between the balls

Geschrieben von: Rios 11.09.2011, 09:29

Guten Morgen,

Steinlaus war schon mal so nett!
http://www.rokop-security.de/index.php?s=&showtopic=21438&view=findpost&p=341404

Geschrieben von: Schattenfang 11.09.2011, 11:39

oder jemand der das das programm einfach mal so betrachten kann wie es ist. verbesserung am av-modul sind für mich auch keine umwälzenden neuerungen, sondern verbesserungen im detail wie beschrieben. umwälzende neuerung wäre für mich eine neue völlig einzigartige technologie, die norton aber nicht mehr braucht, weil es schon so viele einsetzt.

fehler in einer software finden ist positiv und nicht negativ. da sollte jeder froh drum sein. ob das positiv ist, dass die cloud 7/24 auf meiner festplatte rumrödelt ist sicherlich geschmackssache. ich persönlich finde das nicht toll. muss ich das wieder beweisen??

Geschrieben von: @ndreas 11.09.2011, 13:01

Gibt es schon ein Norton Removal Tool, mit dem man die Deinstallationsreste der 2012 säubern kann?

Geschrieben von: Steinlaus 11.09.2011, 13:09

Könnte funktioniere... http://techdows.com/2011/09/norton-removal-tool-2012.html

Geschrieben von: Hexo 11.09.2011, 13:14

Interesannt das bei diesem Languy99 Typ die Beta und die Final von NIS 2012 jeweils gekillt worden sind...

Hier noch das Video der Beta: http://www.youtube.com/watch?v=tCRf7V_VE0o wo Norton auch gekillt worden ist....

Geschrieben von: @ndreas 11.09.2011, 14:06

@Steinlaus
Danke!

Geschrieben von: Skandaloes 11.09.2011, 15:15

Die Geschichte mit den Rootkits und der damit verbundenen deaktivierung von NIS-2012 ist ganz sicher keine schöne Sache.
Allerdings frage ich mich in wie weit das ganze für den Ottonormal-User von belangen sein könnte?

Skanda...

Geschrieben von: ciacomo 11.09.2011, 16:32

Bleib doch einfach bei der Sache.
Wenn du eine Lösung hast teile sie einfach mit (dafür ist das Forum gedacht).
In meinen Posting steht eindeutig, das es um die Schriftgrösse in Verbindung mit NIS geht.
Nicht um die Auflösung eines Monitors.

Geschrieben von: Clap 11.09.2011, 16:38

Hallo,

passiert das eigentlich nur bei der 2012 oder ist die 2011 genau so betroffen?

Geschrieben von: SLE 11.09.2011, 17:00

Wovon betroffen? Von LanGuy? Wenn ich etwas suche was ich irgendwie an NIS 2012 vorbeibringe geht es auch mit der 2011.

Geschrieben von: Clap 11.09.2011, 17:02

Hi,

sorry, meine das mit den Rootkits
Und ob man eventuell noch bei der 2011 bleiben sollte.

Geschrieben von: RuHe 12.09.2011, 07:52

moin,

habe mal ne frage an die nis fachleute hier:

seitdem ich nis2012 drauf habe,
macht nis nach einem start zuerst immer "heimlich"
einen quickscan

wie kann ich denn nis das abgewöhnen?

DANKE

ruhe

Geschrieben von: Hexo 12.09.2011, 08:33

Der Quickscan ist... normal.....
war bei der Version 2011 auch schon so.

Geschrieben von: RuHe 12.09.2011, 08:37

okay danke,

aber bei der 2011 war mir das nie aufgefallen.
nur der leerlaufscan...



ruhe

Geschrieben von: Voyager 14.09.2011, 00:20

http://www.youtube.com/watch?v=Y8X2yovM6AQ
hier erklärt der Languy Bursche welcher Prozess seiner Meinung nach das tödliche Rootkit für Norton war und deshalb hab ich mir mal erlaubt einen Test mit derselben Datei zu machen.
Den Test hab ich extra für die engl. sprachige Community in englisch abgehalten , mehr oder weniger.

Norton 2012 Rootkit Retest
http://www.youtube.com/watch?v=yR0StxRXqfo

Geschrieben von: Hexo 14.09.2011, 07:58

Moin,
ich hab mir eben mal von Jens das Video angeschaut.
Interesannt.
Warum erkennt Norton eigentlich das Rootkit nicht per Signatur? Die info(1).exe sollte doch immer gleich sein, oder?

Geschrieben von: Skandaloes 14.09.2011, 13:39

Kann mir evtl. wer sagen was genau der Unterschied zwischen der Retail und der Version der Telekom ist?
Was mir z.B. aufgefallen ist, das ein Teil der Schlatflächen am unteren Rand des Hauptfensters fehlen, ist das wichtig oder zu vernachlässigen?

Telekom Fenster


Retail

Geschrieben von: Voyager 14.09.2011, 13:40

@Hexo
Weil es noch keine Signatur bei dem speziellen Objekt gibt ? Ich hatte eine zweite info.exe da (ohne (1) aber dasselbe File mit paar bytes unterschied) aber die wurde über die Cloud erkannt beim Rüberkopieren auf das Gast OS.

Geschrieben von: Hexo 14.09.2011, 15:03

Ich frag halt nur, weil zwischen dem "Languy99" test und deinem Test schon einige Zeit vergangen ist. Da hätte ich in der Zeit einige Signatur schon "fast" erwartet.

Hast Du das Ding in einer VM getestet? Weil das Video sieht fast nach einer "Produktivumgebung" aus...

Geschrieben von: StR@ng3r 14.09.2011, 15:47

Ich dachte mir ich schau mal, was Symantec für 2012 bereit hält und hab's mal kurzerhand installiert.

Wenn NIS eine Datei nicht "kennt" weil sie innerhalb der Norton Community zu selten verwendet wird, fällt sie automatisch bei der Reputationskontrolle durch und wird gelöscht. So weit so gut, aber wie gewöhne ich NIS das ab? Kann ich da irgendwie noch selbst entscheiden, ob ich der Datei trotzdem vertraue?

Ebenfalls interessant: Kann es sein, dass die Reputationskontrolle nur bei "Downloads" angewendet wird. Denn deaktiviert man Norton, lädt in der Zeit die Datei runter und installiert das Programm, um im Anschluss NIS wieder zu aktivieren, wird die Datei plötzlich in Ruhe gelassen.

Bei der fraglichen Datei handelt es sich übrigens um
http://code.google.com/p/infekt/

Eine geniale Neuentdeckung, so nebenbei erwähnt.

Geschrieben von: Voyager 14.09.2011, 19:13

Sämtliche Dateien innerhalb der iNFekt-v0.7.9-32bit-Portable.rar werden als nicht vertrauenswürdig eingestuft , dann kann man sehen wenn man den Autoprotect für 15min deaktiviert und die Rar öffnet und die EXE Dateien über das Kontextmenü mit Norton FileInsight betrachtet. 50 User , 6 Monate alt , Einstufung Schwach . Das ist jedenfalls eine Einstufung und nichts Unbekanntes.
Deshalb löscht der Autoprotect Anhand der Reputation die Datei und die Setup.

Du kannst das natürlich jederzeit in die Scan-Ausnahme setzen oder man klickt Rechts daneben dort wo "Schwach" steht auf "Jetzt Vertrauen" , dann ist auch Ruhe.

Geschrieben von: Hexo 14.09.2011, 19:22

Virustotal ist auch Sprachlos bei dem Tool:
http://www.virustotal.com/file-scan/report.html?id=ed65e7cf58aa79b71dd24ae8816c88c6f6a59c04c909e91abc34f9ba0383398c-1316023261

Geschrieben von: @ndreas 14.09.2011, 19:42

Hi,

mich nerven diese ständigen Leerlaufscans. Kann man die deaktivieren?
Kaum die Maus losgelassen und wenig später rödelt Norton los.

Geschrieben von: Voyager 14.09.2011, 21:08

Du meinst Leerlaufzeit Optimierer ? Musste mal die Settings durchgehen.

Geschrieben von: Paul12 14.09.2011, 22:04

Ja diese Scan nerven echt und besonders da sich NIS verhält als wenn er Alzheimer hat.Ich habe gerade einen Vollscan manuel durchgeführt,anschließend macht NIS einen QuickScan usw..
Ich mache einen Speedtest oder ein Festplattenbackup,NIS möchte einen Scan durchführen.Mehrmals festgestellt,NIS bekommt nicht mal mit,wenn er selbst eine Aktion einleitet.Oft versucht zur gleichen
Zeit ein anderes Teil von NIS eine Aktion durchzuführen.Ups abgebrochen,da läuft doch schon etwas.
Hier sollten die Herren von Symantec etwas nachbessern.

Geschrieben von: ciacomo 14.09.2011, 22:28

Das kann ich auch bestätigen. Oftmals wenn ich ein Backup einer Partition gemacht habe hat Norton fleissig angefangen zu werkeln.
Prinzipiell finde ich die Quickscanns nicht schlecht. Nur sollten sie auch wirklich bei Inaktivität des Systms anlaufen.
War aber auch schon in der 2011er Version so.
Heute einen Vollscann gemacht.
Norton war noch am werkeln, da plopte eine Fenster auf " Keine Bedrohungen gefunden".
Wie den das wenn der Scann noch läuft?
Im Verlauf nachgesehen: Es war ein gerade abgeschlossener Quickscann.
Während eines gerade aktiven Fullscanns.


VG

Geschrieben von: @ndreas 15.09.2011, 12:25

Genau das ist gemeint. Die Festplatten werden im Leerlauf permanent traktiert.

Geschrieben von: florian5248 15.09.2011, 13:06

Ja, ich kann machen was ich will, es rödelt und rödelt.

Müsste man doch auf die schnelle fixen können oder??

Geschrieben von: Tiranon 15.09.2011, 13:13

Apropos fixen: So langsam könnte dann auch mal der erste Patch kommen der die Probleme mit dem Bewertungsscan behebt !

Geschrieben von: Krond 15.09.2011, 16:37

Wirkt aber nur solange, solange man das Programm nicht verändert. Wie ich weiter oben schon ausgeführt habe, bewirkt eine schwache Reputation, wie in meinem Fall, wenn man eigene Programme programmiert und kompiliert, dass einem das eben erzeugte .exe "unter dem Hintern" weggelöscht wird und jedesmal eine neue Ausnahme gesetzt werden muss. So kann man in Entwicklungsumgebungen nicht wirklich arbeiten, das ist Horror. Da stelle ich mehr wieder her im Laufe eines Tages, als ich zum Programmieren komme. Ich habe bis jetzt noch keinen Weg gefunden, dies zu beheben....oder gibts den etwa doch und ich muss mir eine neue Brille besorgen?

Geschrieben von: Voyager 15.09.2011, 16:48

Du kannst einen Ordner für deine Entwicklungsumgebungen zu den Ausnahmen setzen, zb. c:\Test\ in Scan-Ausschlüsse und c:\Test\ in Autoprotect Ausschlüsse hinzufügen.

Was du in c:\Test\ direkt darin reinspeicherst aus deinem Exe-Builder wird ignoriert.

Deine Brille ist wahrscheinlich schon zu eng fokusiert das du das Einfachste nichtmehr siehst

Geschrieben von: Krond 15.09.2011, 17:27

Stimmt....danke

Geschrieben von: Voyager 15.09.2011, 21:29

Ich hab das mal rein zufällig gemeldet das der Norton Community Watch Verlauf nur sehr langsam versendet wird in zu geringen Mengen pro Tag , bei 233 Seiten im Norton Community Watch Verlauf dauert das mind. 2 Jahre um alle Informationen zu versenden hab ich gesagt , das wäre eben nicht schnell genug . Einer der Symantec Employee hatte damit geworben , man würde ja alle Informationen von Nutzern zu Funden ect. zurück bekommen ..

Für das Problem hat man offensichtlich kein Interesse... das heisst wenn denen die Community Watch Informationen doch schei??egal sind dann kann man den unversendeten Verlauf genausogut löschen . Ich hab das schon oft gemacht weil die Ansammlungen das Verlaufsfenster ausbremsen.

Geschrieben von: Paul12 16.09.2011, 10:04

Die Frage besteht aber,wo findet ein PC-Normalnutzer Daten an Community Watch,die lange auf Sendung warten? Auf meinem Rechner besteht keine Wartezeit,der anfallende Datenverlauf
für Community Watch wird täglich verschickt.

Geschrieben von: flexibel44 16.09.2011, 11:48

Bei mir auch.

Geschrieben von: Voyager 16.09.2011, 18:11

Naja bei 2 Seiten im Norton Community Watch Verlauf mit bis 5 Einträge pro Tag , die tangiert es nicht weil die paar Punkte werden täglich rausgeschickt.

Eins habt ihr aber übersehen , mit Norton2012 entstehen durch den Cloudabgleich ein paar mehr reputative Funde und da kommen schon einige Einträge mehr zustande . Wenn man dann eine Woche im Rückstand ist mit den zu sendenden Informationen können neuere Funde nichtmehr zeitnah gesendet werden.
Der letzte hier im Forum niko233 ist eine Woche im Rückstand , sprich seine zuletzt gesendeten Daten sind vom 9.9.2011 http://community.norton.com/t5/Norton-Internet-Security-Norton/Concerned-about-NIS-2012-efficiency/m-p/536704#M172724

Bei mir werden es ständig mehr und von den 300 Seiten sind erst knapp 13 Gesendet.
http://www.abload.de/image.php?img=1qu5c.jpg
http://www.abload.de/image.php?img=1qu5c.jpg

Geschrieben von: Paul12 16.09.2011, 22:19

Wir reden hier aber schon von NIS 2012.
Dieses Problem gab es aber schon beim NIS 2011 und die wenigsten nehmen ihren Rechner zum Malware testen.Da fallen natürlich sehr viel Daten an,die aber für die Community Watch keine Bedeutung haben
(ist jetzt meine Meinung,brauch nicht stimmen).
Außerdem kann man NIS so einstellen,dass automatisch durchgeführten Hintergrundaufträge in kürzeren Abständen ausgeführt werden. Wenn niko233 diese Einstellung vornimmt,würde sein Rechner bestimmt
diese Aufträge abgearbeitet haben.Na ja, eine Chance muss er NIS schon geben und seinem Rechner auch mal paar Minuten im Leerlauf betreiben.

Geschrieben von: Voyager 17.09.2011, 01:06

Die Verkürzung der Leerlauf Wartezeit und den Aufgaben Verzögerungszeiten bringt nur nichts weil in den Idle Zeiten tut Norton Community Watch nichts , die Daten werden nur ein oder zweimal täglich gesendet in geringen Mengen . Der Berg der Daten wäre hier schon längst abgearbeitet weil ich oft mal zwischendurch TV sehe oder sowas, nur ist der Berg an Daten bisher leider immernoch da.
Woher willst du denn wissen das diese Daten der Tester nicht von Bedeutung wären ? Es gibt darunter sicher einige unbekannte Dateien , Norton sendet dazu nicht nur die Hashwerte sondern erstellt gleichzeitig eine extra Signatur die mit zurück gesandt wird.
Hier ein Beispiel von hunderten...
http://www.abload.de/image.php?img=1xl0s.jpg
http://www.abload.de/img/1xl0s.jpg

Der Ordner \40\3\ beinhaltet die für Norton unbekannten Dateien , man sieht ganz unten das dazu eine Signatur erstellt ist , du bist also der Meinung das könnte man alles löschen ? Wozu bezahlt Symantec dann seine Programmierer...

Geschrieben von: Tiranon 17.09.2011, 02:25

Zur Zeit ist das Live-Update wieder stink langsam! Ist das nur bei mir so?

Geschrieben von: 240670 17.09.2011, 02:26

Bei mir auch!

Geschrieben von: Hexo 17.09.2011, 08:39

Hab gerade Google Chrome auf die Version 14 geupdatet und siehe da... Die Norton Browser Protection läuft noch.
Find ich gut.

Geschrieben von: Paul12 17.09.2011, 10:45

Zur Wichtigkeit der Daten möchte ich mich nicht äußern,kann ich auch nicht.So krass alles löschen habe ich auch nicht gemeint.Mir ging es mehr um die Datenflut,die du auf deinen Testrechner erstellst.
Diese fallen bei einem Normalanwender nicht an (hattest du aber auch schon gesagt) und dafür ist NIS praktisch ausgelegt.
Diese Daten werden mehrmals zur Community Watch gesendet und kann man schon mit der Verkürzung der Leerlauf-Wartezeit etwas beeinflussen.Die gesendete Datenmenge wird dabei aber
auch von deiner Upload-Bandbreite bestimmt.Es ist schon ein Unterschied ob man da gerade mal 0,5 Mbps besitzt oder 2-4 Mbps.

Ich denke ,mit der Datensendung zu Norton CW werden die meisten Anwender kaum Probleme haben.

Geschrieben von: metabolit 17.09.2011, 13:31

Doch. Die war ist bei mir immer aus. Das geht Norton nichts an.

Geschrieben von: Paul12 17.09.2011, 14:45

Da hast du jetzt aber gerade das Thema verfehlt,darum geht es nicht.

Geschrieben von: Tiranon 17.09.2011, 15:09

Jaja, selbst über die Erkennungsrate "motzen" aber zur Verbesserung nix beitragen wollen ...

Geschrieben von: metabolit 17.09.2011, 18:01

Ne,ne...Ich sagte in letzter zeit (Monate) immer das Norton eine sehr gute Erkennung hat auch wenn die FP Quote minimal steigt.
Aber Fakt ist das ich Norton nicht weitergeben. Ein US Unternehmen - Ein Land das auf Datenschutz "scheisst" im wahrsten Sinn des Wortes.

@Paul12

Das war gemeint: Ich denke ,mit der Datensendung zu Norton CW werden die meisten Anwender kaum Probleme haben.

Geschrieben von: RuHe 20.09.2011, 08:01

guten morgen,
ich habe mal eine "dringende" frage:

habe gerade mal nis 2012 geöffnet, und was sehe ich da?

die hälfte alle "schutzvorrichtungen" sind nicht mehr GELB,
sondern nur noch blass gelb .
betroffen sind u.a.:
int. firewall

man kann auch nicht aktivieren oder deaktivieren...

kann mir bitte jemand bestätigen, dass das jetzt normal ist?

eigentlich muß doch alles knall gelb sein...

danke

ruhe


PS: so, nach ienem neustart des systems wird wieder alles schön gelb angezeigt!!!
muß ich mir gedanken machen?

Geschrieben von: J4U 20.09.2011, 08:13

Füll einfach mal Farbe nach, bei meinem Drucker funktioniert das auch.

J4U

Geschrieben von: Voyager 20.09.2011, 08:18

Ich glaube im US Community Forum hatte ich dazu etwas gelesen wo im Hauptprogrammfenster die meisten Optionen ausgegraut waren , weiss die Lösung aber nichtmehr.
Dazu müsstest du mal dort nachsehen gehen, die Symantec Mitarbeiter hatten sich dem Problem angenommen.

Geschrieben von: RuHe 20.09.2011, 08:22

@j4u

so ist es recht. so kann man die zahl der beiträge auch schnell in die höhe schießen lassen...

kannst du nicht mal in deinem drucker nachsehen, ob da die gelbe farbe von meinem nis 2012 drin ist?

Geschrieben von: RuHe 20.09.2011, 08:22

DANKE

ruhe

Geschrieben von: winchester 20.09.2011, 08:41

Bei mir wird manchmal auch das grüne Häckchen in der Taskleste grau. Schalte dann Antivirus Auto aus und gleich wieder an und dann ist alles wieder OK.Hab mich schon daran gewöhnt.

Geschrieben von: J4U 20.09.2011, 08:59

Ist Deine Tastatur kaputt oder bist Du einfach unhöflich?Ich hatte schon mal mehr, mir ists egal.Sorry, ist eingetrocknet.

Mein Gott, nur weil einmal etwas Farbe weg ist. Vielleicht hat Dein Windows eine Macke, oder Deine Grafikkarte, oder Dein Monitor, oder Du hattest gerade was Schlechtes gegessen...
Wenn die Funktionalität gegeben ist, dann wäre mir die Farbe egal. Ich sehe sowieso nur einmal im Monat was von Norton - und das ist der Bericht.

J4U

Geschrieben von: Gerwin 20.09.2011, 19:09

Ich habe im März 2011 einen Norton 2011-Lizenzschlüssel (180 Tage) über eBay erworben. Den habe ich noch gar nicht benutzt. Kann ich den jetzt noch aktivieren, für die neue Version 2012?

Geschrieben von: Visitor 20.09.2011, 19:31

Darfst du wenn es ein legaler von eBay war.

Geschrieben von: Voyager 20.09.2011, 19:32

Das wird kein Sinn mehr haben, das klingt mir nach einem "benutzten" Jahres Key der ihn als 180 Resttage ins Ebay gesetzt hat. Das bedeutet, auch wenn er bei dir im Schrank rumliegt läuft diese Jahres Lizenz ab.
Symantec weiss ja nichts davon das der Key den Benutzer gewechselt hat und der neue Benutzer die Lizenz verfallen lässt.

Die 180 Resttage dürften abgelaufen sein.

Geschrieben von: markusg 20.09.2011, 19:41

warum lange auf antwort warten, probiers aus und du wirst es sehen.

Geschrieben von: @ndreas 20.09.2011, 19:55

Neues Video http://www.youtube.com/watch?v=mgpy7m1yjo8&feature=youtube_gdata

Geschrieben von: citro 20.09.2011, 21:10

Völlig kompromittiert, eigentlich ungewöhnlich mit Norton . (oder hätte er Norton vielleicht etwas mehr Zeit geben sollen)

Geschrieben von: Tiranon 20.09.2011, 21:18

So langsam könnte doch aber mal der erste Patch kommen, der die ersten Fehler, behebt ....

Geschrieben von: Voyager 20.09.2011, 21:46

Der hat ja nun vieles hintereinander angeklickt , einiges mindestens aber eins hätte einen Sonar Alarm auslösen müssen , davon hab ich nichts gesehen . Ich bezweifle daher ob das alles so in Ordnung war mit dem Video und dem Test.
Ich hab oft in der VM mehrere Malware Objekte immer Stück für Stück nacheinander getestet mit dem Ergebnis das Sonar oft angesprungen ist und hab dann ab und zu mal ein Bild vom Sonar-Log gemacht , aber das was der hier bringt ist gaga.. der hat noch nichmal bewiesen das ein Rootkit aktiv ist auch wenn im Netzwerk Verbindungen an Systemprozessen zu sehen sind. Das könnte genausogut von diesem Whitesmoke Rotz kommen...
Ich bin wenig überzeugt von dem Video... auf der anderen Seite hat das aber ein gutes , je mehr Geschrei im Norton Forum entsteht umso eher kann man Symantec bewegen sich mehr in die Rootkiterkennung zu vertiefen. Den Laden kann man leider auch immer nur erst dann bewegen wenns großes Geschrei gibt, wie bei anderen AV Buden sicher auch.

Geschrieben von: Voyager 21.09.2011, 01:12

Ich hab derweilen mal in der VM ein Nachtest zur Verdeutlichung gemacht , wie erhofft findet und erkennt SONAR den Großteil der vom Scan übrig gebliebenen Elemente die erstens funktionsfähig sind und zweitens eine schadhafte Routine besitzen , insgesamt 11 Stück . Es handelt sich zwar nicht um genau diesselben Objekte des MalwareGeek aber sie sind aktuell und man sieht das Sonar wenigstens etwas getan hat was man bei ihm und Anderen nicht sieht.
Wie man auch sieht verbleibt noch ein Rest Adware und ein leeres Trojaner Folder auf dem PC , die den PC aber nicht unbenutzbar machen. Ich hab auch nochmal rebootet um danach zu sehen ob das XP und Norton noch läuft , wie man sieht tut es das.
http://www.abload.de/image.php?img=1qjjn.jpg
http://www.abload.de/img/1qjjn.jpg

Kurzum wenn man in den Reviews keine Sonarmeldung sieht wenn die Buben hinterher noch 5 oder 10 Stück anklicken dann ist was Faul , ein richtiger Test erfordert aber auch das man sich von einem Trojaner zum nächsten Zeit lässt und nicht alles auf einmal anklickt, das ist kaum realitätsbezogen.

Geschrieben von: Solution-Design 21.09.2011, 05:01

Nun, da bin ich geteilter Meinng. Ein Schutzsystem darf nicht deshalb versagen, weil ich zwei oder drei Malware-Files innerhalb ein bis zwei Sekunden anklicke. Mein Autostart wartet auch nicht. Wenn dem wirklich so ist, dass der OnAccess-Teil, der Behaviour-Blocker (oder was auch immer) darüber stolpern, weil versch. Malware-Typen innerhalb kurzer Zeit ausgeführt werden, dann ist an diesem Schutz-Konstrukt irgendetwas nicht in Ordnung.

Emsisoft ballert die Meldungen sofort heraus. MSE tut sich schwer, Eset braucht da schon mal Minuten mit den Meldungen über dem Systray. Erkannt wird es aber. Kenne ich so auch von Symantec. Es dauert zwar, aber die Erkennung läuft folgerichtig ab. Unabhängig davon, ob es Sonar oder der Standard-Wächter war. Wenn dem nicht mehr so ist... wrong, incorrect, false...

Geschrieben von: brommer1 21.09.2011, 10:24

MINOR PRODUCT UPDATE: 19.1.1.3 for Norton Internet Security 2012 and Norton AntiVirus 2012 is Now Available.

http://community.norton.com/t5/Norton-Internet-Security-Norton/MINOR-PRODUCT-UPDATE-19-1-1-3-for-Norton-Internet-Security-2012/td-p/541342

How can I manually install these patches?

This update is currently only available through LiveUpdate. We will update this post when we have the update published in other venues.

What are the changes in this release?

19.1.1.3 contains only minor changes. These changes are focused around our Online Platform and Norton Confidential/Norton Toolbar and include:
- Corrected an issue where Product Name/Version was not properly passed through when navigating online help.
- Correct an issue with "Failed to login to your Norton Account" may display erroneously.
- Improved Norton Toolbar/NCO Functionality with Google Chrome.
- Fixed Sync issues with Norton Management and the Norton Product.
- Corrected an issue where Identity Safe may force you to change your password after an elapsed period of time.

Geschrieben von: Tiranon 21.09.2011, 14:46

Gibt es davon auch eine Quelle? Ansonsten vielen Dank für die Info

Geschrieben von: Voyager 21.09.2011, 14:50

Quellen Links kopieren ist doch viel zu viel Arbeit und voll Uncool . Wer etwas weiss und für sich behält ist viel cooler..

http://community.norton.com/t5/Norton-Internet-Security-Norton/MINOR-PRODUCT-UPDATE-19-1-1-3-for-Norton-Internet-Security-2012/td-p/541342

Geschrieben von: @ndreas 21.09.2011, 14:54

Muss noch mal auf das Removal-Tool zurückkommen. Nachdem ich Norton per Systemsteuerung deinstalliert habe, wollte ich das RT nach einem Reboot über den Rechnknecht jagen. Das RT wurde gestartet und es tat sich nichts. Der Prozess lief im Hintergrund, aber kein Fenster oder Sonstiges. Ist nicht normal, oder?

Geschrieben von: Tiranon 21.09.2011, 14:57

Danke hatte es mittlerweile auch ohne Quellenangabe gefunden. Aber bei so einem Post gehört einfach eine Quelle / Name dazu, meiner Meinung nach.

Geschrieben von: Voyager 21.09.2011, 15:05

@@ndreas

Soweit ich mich erinnere stand im Norton Forum das Removaltools noch nicht für 2012 gehen.

Ich glaube aber kaum das man ein Removaltool benötigt , die interne Deinstall Routine macht doch auch alles runter oder hast du Probleme nach der Deinstallation festgestellt ?

Geschrieben von: Enthusiast 21.09.2011, 15:13

Müsste eigentlich gehen, weil bei der "Produktauswahl zur Deinstallation" steht auch 2012.

Die neueste Version des Uninstallers bekommt man unter folgendem Link: www.symantec.com/nrt

"nrt" steht für Norton Removal-Tool.

Geschrieben von: @ndreas 21.09.2011, 15:14

Nein, die Deinstallation ging sehr schnell vonstatten. Ich wollte einfach verwaiste Registry-Einträge wegputzen lassen. Habe die Standard-URL http://www.symantec.com/nrt für den Download genommen.

Geschrieben von: Voyager 21.09.2011, 15:16

welche verwaiste Registry-Einträge hast du denn gefunden ?

Geschrieben von: @ndreas 21.09.2011, 15:18

Ich habe vorher nicht nachgeschaut Der Support hat mir mal zu dieser Deinstallationsmethode geraten. Und die sollten es ja eigentlich wissen?!

Geschrieben von: Voyager 21.09.2011, 16:04

Der Support hat geraten ? Ohh man die machen sich das extrem einfach zu glauben jeder hätte Probleme mit der Software Das ist keine gute Werbung was die machen...
Normalerweise benötigt man das NRT nicht, das ist wirklich nur für Härtefälle gedacht wo man schon versucht hat die Software zu deinstallieren und es zu Problemen gekommen ist. Aber mal erlich gesagt wer hatte denn die letzten Jahre Probleme gehabt nach der Deinstallation ?

Geschrieben von: Paul12 21.09.2011, 17:30

Du kannst natürlich auch in deinem PC schauen,da ist die Engine-Datei 19.1.1.3 schon drauf.

Geschrieben von: winchester 21.09.2011, 19:43

oder auch nicht
Trotz manuellen update immer noch 19.1.0.28

Geschrieben von: Paul12 21.09.2011, 20:16

Du hast mich falsch verstanden.Schau mal in den NIS-Dateien auf deinem Rechner nach,die neue Engine-Datei ist schon da.Die Aktivierung erfolgt in der deutsche Version aber immer etwas später.

Geschrieben von: winchester 21.09.2011, 20:20

Danke! Du hast Recht, da hätte ich nie nachgeschaut.

Geschrieben von: florian5248 21.09.2011, 20:21

Habe bei mir mal nachgesehen. hatte schon 11Std. kein Liveupdate bekommen. Selber manuell angestoßen und schon habe ich die 19.1.1.3 drauf.

Danke für die Info.....

Geschrieben von: Tiranon 21.09.2011, 20:24

So jatzt hab ich auch die 19.1.1.3 drauf ist sie wurde auch aktiviert ;-)

Geschrieben von: Hexo 21.09.2011, 20:24

Bei mir ist auch gerade die Version 19.1.1.3 eingespielt worden.
Und... ich merke keinen Unterschied. Gut, lief ja eh schon alles wunderbar.

Aber eins muss ich mal kritisieren... Wenn ich eine Datei runterlade, dauert das Scannen der Datei immer relativ lang, bis Norton die Datei analysiert hat.
Ist das bei euch auch so?

Schade, der Norton Bewertungs FULL Scan klappt immer noch nicht....

Geschrieben von: florian5248 21.09.2011, 20:27

Einfach ja, die 2012 ist einfach gründlicher und kann gut damit leben.

Du schreibst ja auch relativ.

Geschrieben von: Hexo 21.09.2011, 20:30

Nunja, bei der 2011 hat das auch schon lange gedauert. Ich frag mich nur, was Norton in der Zeit macht?

Geschrieben von: Voyager 21.09.2011, 20:34

Das liegt nicht am Norton Programm selbst, das liegt an der bedauerlich katastrophalen Insight Server Verbindung. Norton ruft ja erst die Bewertung ab.

Geschrieben von: diddsen 21.09.2011, 20:35

nabend.

@voyager oder wer es sonst weiss...

habe prozessexplorer laufen und der will irgendwie auf nav zugreifen bzw. prozess von dem und blockt das kontinuierlich.
leider finde ich keine einstellung wo ich nav sagen kann das das i.o. ist

edit: ok, so wie ich das sehe ist das einfach so und man kann es nicht definieren, da es der selbstschutz von nav ist.
da der prozessexplorer bei mir immer mitläuft ist das dann halt so.

Geschrieben von: Voyager 21.09.2011, 21:38

ignoriere die Verlaufseinträge einfach , anzeigen kann der Prozess Explorer den Symantec Prozess trotzdem.

Geschrieben von: diddsen 21.09.2011, 21:45

@voyager
ich ignoriere selten was und auch ungerne, aber in dem fall muss ich das wohl

ich denke mir halt das es belastend ist der dauernde datenverkehr, aber na gut... wenn man alles sehen würde das da so rumschwirrt

ps: und du hälts immer noch eisern dem gelben riesen die stange
bin mal gespannt wie lange ichs aushalte mit den bevormundungen dessen

Geschrieben von: Paul12 21.09.2011, 22:10

Hier habe ich aber seit gestern keine Probleme mehr.Angeblich soll eine Datei,die Norton nicht kennt diesen Fehler auslösen.Da hat wohl bei mir NIS dieses Problem
wieder einmal selbständig erledigt.

Geschrieben von: Hexo 23.09.2011, 16:53

Hey,
kann das sein, dass Sonar in der Version 2012 noch nicht so wirklich gut am arbeiten ist?
Ich lese immer wieder Fälle, wo Sonar zu spät oder gar nicht erst greift.
Der jüngste Test von http://www.rokop-security.de/index.php?showuser=9129 hier http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=342514 hat gezeigt, das zwar Norton schützt aber nicht Sonar sondern ein anderes Modul greift.
Gut im Endeffekt ist es egal was greift solange überhaupt was aktiv wird.
Ich bin aber noch im glauben, dass Sonar super sein soll. Aber irgendwie lese ich bei der 2012 aktuell vermehrt negatives.
Das geht über "nicht funktionieren", zu "sehr vielen Fehlalarmen" bis hin-> "Es löscht einfach Daten".
Was sind die Erfahrungen von den Fachleuten hier????

Gruß

Geschrieben von: Solution-Design 23.09.2011, 17:08

http://imageshack.us/photo/my-images/809/diddsen.png/

Jetzt wirst langsam sympathisch

Geschrieben von: diddsen 23.09.2011, 17:14

hab schon zwei jahre oder so dran stehen :-)
aber ist doch so... oder ;-)

Geschrieben von: Solution-Design 23.09.2011, 17:24

Ups, ok, war zwischenzeitlich mal länger nicht dabei, überfliege zwischenzeitlich auch nur die Beiträge... okay, keine Entschuldigung Und ja, ist so!

Geschrieben von: Tiranon 23.09.2011, 19:10

Apropos SONAR,

bei mir wurde die SystemCheck_deDE.exe von Blizzard (zum System-Daten auslesen für die Beta) über SONAR als böses Programm erkannt. Ich hoffe Symantec und andere Firmen stecken für die 2013er Version mal wieder bisschen mehr Geld in die Erkennung und Erkennungsmechaniken ...

Geschrieben von: citro 23.09.2011, 21:59

Etwas Video heute Abend...

Norton Internet Security 2012 vs Rootkit ZeroAccess

http://www.youtube.com/watch?v=rtRLUQfB-Jw&feature=channel_video_title

Geschrieben von: metabolit 23.09.2011, 23:42

Das nennt man dann wohl an Norton vorbeispaziert ...

Geschrieben von: Tiranon 24.09.2011, 00:08

Das ist ein schon krass... Da wird es wohl auch nix bringen den Systemschutz zu aktivieren.
Was lernen wir daraus ein Virenprogramm ist nie zu 100% sicher...

Geschrieben von: metabolit 24.09.2011, 00:26

Ein scharf eingestelltes HIPS wäre noch gut.
Ich glaube nicht das dies mit Comodo oder OA Premium passiert wäre. Ist aber eher nur ein Gefühl.

Geschrieben von: Voyager 24.09.2011, 00:37

Da ist wohl etwas am Norton Selbstschutz schief gelaufen , normalerweise schafft man das nichtmal mit "advanced process termination" Norton irgendwie zu kicken , das war aber schon ein oder zwei Jahre her.
Könnte man direkt mal retesten.

Was lernen wir daraus , denen gehört saftig einer in den Arssch getreten bei Symantec , ich könnte fast wetten die hatten während der Betaphase nicht nur das Sonar verpfuscht, die haben auch den Selbstschutz verpfuscht...
Naja Sonar geht wieder , bei Rootkitaktivitäten war aber schon Norton2010/2011 recht schwach , Zeroday Erkennung genauso Null. Damals hatte ich das aber auch schon öffentlich angemahnt das Sonar 2 keine Rootkit-Installation erkennt, das hat nur keine Sau interessiert.

Wenn der Virenschreiber sein Baby auf Comodo-Prozesse abstimmt kann der das genauso ausknipsen , da wette ich drauf. Da hilft kein noch so tolles Hips.

Geschrieben von: SLE 24.09.2011, 05:42

Auf Treiberebene ist jeder Selbstschutz irgendwo machtlos und das NIS bei ZeroAccess außer Signaturen&Reputation nichts entgegensetzen kann hat Julian doch auf Seite 7 (+8) in diesem Thread schon gezeigt. Da brauchen wir doch jetzt nicht wegen so einem Video schockiert sein. *** passiert.

Und natürlich kann ein gescheites HIPS helfen, wenn ein Nutzer es entsprechend bedienen kann (sig!). Ein Virus in dieser Form funktioniert ja nicht per se, sondern muss sich auch erst http://camas.comodo.com/cgi-bin/submit?file=a27944ab233975b0d36c8306dceeebeb1ceda67fd1bf50691ebcf61cc1f9445b&iframe= installieren. Und wie da vernünftige HIPSe durchaus Sachen erkennen wurde http://www.rokop-security.de/index.php?showtopic=21211&view=findpost&p=341857 in der Diskussion um das Sinnlos-Hips von ESET gezeigt.

Geschrieben von: SLE 24.09.2011, 09:55

Das ganze eben in einer XP-VM mit NIS 2012 und einem neueren http://www.virustotal.com/file-scan/report.html?id=506b635de5ab26034256a87d64f40d48020d132c0353fe8c2c0b1c1f076895bc-1316851391 Sample getestet. Gleiches Ergebnis.

- NIS kannte das Sample via Signaturen nicht.


- Beim auführen kommt noch die Sonar Meldung: "ZeroAccess Rootkit Activity blocked", sowie die Meldung über einen geblockten Eindringversuch. Soweit eigentlich erfreulich und gut für SONAR. Screenshots erzeugen oder Details öffnen war jedoch nicht mehr möglich - Norton war abgeschossen.

-Reboot: Der Verlauf zeigt nichts und ein Scan mit dem neuen TDSS-Killer nach Reboot zeigte die Infektion


Die elenden ZeroAccess Dinger liegen NIS derzeit überhaupt nicht.

Geschrieben von: Voyager 24.09.2011, 12:46

Bei Norton kann man die erweiterte Firewall genauso umstellen das die erweiterte Ereignisüberwachung so funktioniert wie ein Hips, hat das schonmal jemand mit einem ZeroAccess Rootkit getestet ?
Automatik erst AUS und dann kann man die Erweiterung die jetzt von AUS auf AN einstellbar ist einschalten.

Dann wäre Norton auf Augenhöhe mit den Anderen wo der User "richtig entscheiden" muss. Wir wissen doch, viele der Anderen funktionieren auch erst richtig wenn man die Entscheidung den User übergibt und das Sys dadurch virenfrei bleibt.

@SLE

Wiederholste den Test nochmal mit der Einstellung.

Geschrieben von: SLE 24.09.2011, 13:19

Kein Problem und zum Glück schneller als die Cloud.

Also - von dieser Einstellung ist die Rede, um Nortons Mini-Hips zu aktivieren
http://www.abload.de/image.php?img=nis1k8kt.jpg

Startet man dann das Sample erkennt NIS die Codeinjektion in die explorer.exe (Die Antwortvorlagen sind naja, aber egal)
http://www.abload.de/image.php?img=nis2pj3g.jpg
Wählt man "blockieren" oder "beenden" ist der Spuk vorbei und das System wird nicht infiziert.

Erlaubt man, kommt zwar noch eine Firewallabfrage und auch die Meldung vom AutoProtect (sollte nach meiner Interpretation darauf hinweisen, das der durchaus erkannt was hier gedroppt wurde - oder?)
http://www.abload.de/image.php?img=nis328fh.jpg
Aber egal was man dann hier klickt, dies ist das letzte Lebenszeichen von NIS. Ergo: Die Codeinjektion muss blockiert werden, was die manipulierte explorer.exe dann veranstaltet bekommt NIS scheinbar nicht mehr mit bzw. nur in Teilen. Ob Benutzer (wie bei anderen HIPS-Lösungen) hier richtig entscheiden würden? Ich hege Zweifel.

Geschrieben von: Voyager 24.09.2011, 13:59

Jetzt werden die Verfechter der Hipsprogramme bestimmt sagen "aber meins ist doch besser blabla..." , ja schei?? drauf der Test ist bestanden

Geschrieben von: diddsen 24.09.2011, 14:33

wie ist das eigentlich wenn z.b. was automatisch entfernt wird... das ist dann ja in quarantäne und dann kann man das wiederherstellen und aus der erkennung nehmen,
ABER da wird dann ja nicht nur die datei rausgenommen sondern eine ganze signatur?!

das ist doch schlecht oder

Geschrieben von: Voyager 24.09.2011, 14:36

Nein , natürlich wird da keine Signatur ausgenommen , nur die Datei oder Verzeichnis.

Geschrieben von: diddsen 24.09.2011, 14:44

bist dir das ganz sicher?
da steht dann aber das trojan soundso... von der signaturerkennung ausgenommen ist