NOD32 im Umgang mit Archiven Einstellungen

[Solution-Design]

Habe mir mal erlaubt eine Support-Anfrage zu stellen

In Zip-Dateien werden Schädlinge zwar erkannt, aber leider besteht weder eine Lösch-/Desinfektion-/Umbenennmöglichkeit. Weder die der ZIP, noch der Datei innerhalb des Archivs. Ich empfinde das als Bug, oder soll das etwa so sein?

Vielen Dank für Ihre Antwort.

Mit freundlichen Grüßen / Yours sincerely

Uwe Kraatz

Zu scannende ZIP-Datei


Aktionen-Menü


Setup-Menü


Profile-Menü


Bedrohung entdeckt


Weiter infiziert


Ungepackte Datei

[Solution-Design]

Immer wieder überrascht über den überaus freundlichen und auch per Email schnell antwortenden Support, schien sich im ersten Augenblick, auch das Archiv-Problem in NOD32 zu lösen. Die Lösung, welcher der Support angeboten hat, schien mir aber dennoch… sage ich mal… nicht so ganz der Weisheit letzter Schluss zu sein (nicht bös gemeint ).

Aber erstmal die Antwort vom Support:

CODE

In den Fall gehen Sie am besten folgendermaßen vor:
Ich gehe es am Beispiel des Kontextmenüscanners durch. Wenn Sie im Scanner sind (also über rechten Mausklick auf einen Ordner/Datei und dann "NOD32 antivirus system"), klicken Sie auf den Karteireiter Aktion. Hier wählen Sie in den Dropdownfeld wo bei ihnen zuerst "Dateien" steht die weiteren Formate wie Archive, Laufzeitkomprimierte Dateien, etc. Wenn Sie hier z.B. für Archive löschen, bzw zuerst säubern und dann löschen anwählen wird bei einen Scan auch die Datei gelöscht. Danach beim "Beenden" des Fensters die geänderten Einstellungen bestätigen.

Bitte beachten Sie aber das es unterschiedliche Profile für das Aufrufen des Scanners aus den Kontextmenü, sowie starten über Control Center (mit versch.
Scantiefeneinstellungen) usw. gibt. Sie finden es dort im Scanner auf den Karteireiter Profile. Somit können Sie z.B. über das Kontextmenü eine andere Voreinstellung angeben als über das Aufrufen über das ControlCenter usw. Wählen sie dann immer erst ein Profil an, ändern z.B. im Reiter Aktion die Einstellungen und speichern es z.B. über "Beenden" dann ab. Wenn Sie mit eingeschränkten Nutzerrechten Änderungen vornehmen werden diese (ist so gewollt) nicht dauerhaft übernommen.

------------------Ihr Partner in Sachen Virenschutz-------------------

NOD32 Support Team                   web:          http://www.nod32.de
DATSEC Data Security e.K.            tel.:         +49 (0) 3641 6378-3
Talstr. 84                           fax.:        +49 (0) 3641 6378-59
D-07743 Jena                         mail:            support@nod32.de

----------------------------------------------------------------------

Nun, also bin ich ausnahmsweise mal lieb und befolge die Empfehlung der Konfiguration.

Beginnen wir wieder mit den üblichen Screenshots, denn, wie schrieb ich schon: Bilder sagen mehr…

Zuerst wird auf Löschen umgestellt


Jetzt noch die neue Konfiguration speichern


Tja, und wie zu erwarten, das gesamte Archiv und nicht der böse Bube im Archiv wurde gelöscht (Datei befand sich im rechten Fenster von SpeedCommander, links ist die Verzeichniskopie)


Also wird jetzt das Vorgehen geändert. Nix löschen, sondern umbenennen. Eigentlich ist es schon fast uninteressant, denn die Frage war und ist: Warum kann NOD32 in Archiven keine Viren/Malware löschen, wenn es diese schon scannt. F-Secure2005 hatte auch diesen Bug (neben einigen vielen anderen), aber Kasperskys KAV kann es, der böse schlechte Norton sowieso und viele andere auch. Über Sinn und Unsinn dieser Funktion möchte ich nicht streiten, Tatsache ist, da ist was nicht OK. Mal schaun was jetzt kommt:

Umgeschaltet auf: Umbenennen


Sicherheitshalber noch einmal das Setup geprüft


Auch die Profile-Einstellung geprüft


Die Einstellungen wie schon einmal gespeichert


Hier die Datei wieder zurück kopiert


Und im letzten Bild, wie zu erwarten (unten rechts), die Datei wurde umbenannt


Jetzt stellt sich nur die Frage, wofür der Archiv-Scan dann überhaupt gut ist. Um bei einem Scan die Scantime zu verlängern? Hämische Frage, aber spätestens beim Entpacken würde der böse Bube doch vom onAccess-Teil NOD32 erkannt. Eine ZIP-Containerdatei ist ja nun wirklich nicht gefährlich. Dann kann man den Archiv-Scan auch gleich weglassen. Zumal diese Prüfung (siehe anderer Thread) NOD32 bei einem größeren Download auch behindern kann.

Meine Herren, da gibt es meines Erachtens noch etwas zu tun.


Edit
PS: Zugegeben, in der Support-Anfrage hatte ich mich missverständlich ausgedrückt, doch das Archiv-Problem bleibt.


Der Beitrag wurde von Solution-Design bearbeitet: 13.12.2005, 00:29

[PcVersteher]

hallo zusammen

@ Solution Design

Ich weiss eine logisch Antwort auf deine Frage.

Wenn NOd32 keine Archive scannen würde, würden Leute wie du meckern, warum NOD32 nicht mal Archive scannen kann

Nehmen wir mal an, du hast ein Archiv mit für dich wichtigen Dateien.
Auf irgend eine Art und Weise ist in das Archiv eine Malwaredatei/Virus/Trojaner gekommen.
Dann hast du die möglichkeit, diese Datei zu finden und anschließend zu entfernen.
Deine restlichen Dateien sind dann gerettet und für dich nutzbar.
Ich finde das durchaus als recht praktisch.
Oder sehe ich da was falsch ?

mfg PcVersteher

[Voyager]

das problem ist ja gerade das NOD32 die archivdatei eben nicht desinfiziert wenn ich das richtig mitbekommen habe.

[Solution-Design]

@PcVersteher: Ja, da siehst du was falsch. So gerne meckere ich ja auch nicht.

Und, ich erwarte von dem Programm, dass es die Malware im Archiv löscht und das Archiv ohne Malware hinterlässt. Also das, was fast alle anderen AV-Programme auch können und tun. Denn so muss ich das ZIP-File erst entpacken, NOD32 löscht dabei den Virus und dann darf die Files wieder in ein Archiv packen. Das nix gut

@Bond7: Genauso ist es.

Der Beitrag wurde von Solution-Design bearbeitet: 13.12.2005, 18:01

[Gast_zipfelklatscher_*]

[quote=Solution-Design,13.12.2005, 17:59]
@PcVersteher: Ja, da siehst du was falsch. So gerne meckere ich ja auch nicht.

Und, ich erwarte von dem Programm, dass es die Malware im Archiv löscht und das Archiv ohne Malware hinterlässt. Also das, was fast alle anderen AV-Programme auch können und tun. Denn so muss ich das ZIP-File erst entpacken, NOD32 löscht dabei den Virus und dann darf die Files wieder in ein Archiv packen. Das nix gut

Ist ESET das Problem eigentlich so bekannt , oder nur DATSEC ?

[GMAX]

Ich empfinde das als Bug, oder soll das etwa so sein?

Sehe ich auch so. So langsam zeigt sich, daß NOD32 nur deshalb so ressourcenschonen und schnell ist, weil einige wesentlichen Dinge nicht so ganz genau von dem Programm gemacht werden.

Ist ESET das Problem eigentlich so bekannt , oder nur DATSEC ?

Meine Meiung: Es ist bestimmt beiden bekannt und beide Arbeiten nun an einer Lösung... und arbeiten und arbeiten.... und arbeiten, bis zur nächsten oder übernächsten Version.

Ist nicht böse gemeint - ich mag NOD32 ja von der Geschwindigkeit, etc. auch gerne, allerdings meine ich, daß die Ressourcenfreundlichkeit & Geschwindigkeit nur daher kommen kann, daß der Scanner einfach nicht gründlich genug arbeitet.
Außerdem mag ich den Support nicht: Ich hatte einmal mehrere Dateien, die KAV als Virus erkannte und NOD32 nicht.
Dazu habe ich ein paar nette Sätze in deutsch und englisch geschrieben. Die Mail wurde nie beantwortet und auch nicht das erneute Versenden der E-Mail half zu keinem Ergebnis.

Es dauerte über zwei Monate, bis plötzlich der NOD32 durch ein Update, plötzlich die Dateien als virenverseucht einstufte...

[Solution-Design]

Mir ist egal, wer sich darum kümmert. Es gibt ein Ticket und dieses ist wieder zurück an support@nod32.de. Vielleicht nutze ich nochmal das Support-Formular auf nod32.de. Falls ich nichts von ihnen höre, auf jeden Fall.

[Gast_zipfelklatscher_*]

Mir ist egal, wer sich darum kümmert. Es gibt ein Ticket und dieses ist wieder zurück an support@nod32.de. Vielleicht nutze ich nochmal das Support-Formular auf nod32.de. Falls ich nichts von ihnen höre, auf jeden Fall.
[right][snapback]122735[/snapback][/right]

Wobei ich denke, hier ist ausdrücklich ESET selbst gefordert. DATSEC hat doch mit der Entwicklung selbst nichts am Hut und muss alles erst mit ESET klären. Kostbare Zeit verinnt, innerhalb welcher man dann eben ESET Dampf machen muss. Leider reichen meine Englischkenntnisse lediglich dazu mir ein Eis bestellen zu können. Und dann auch nur Zitrone.

Der Beitrag wurde von zipfelklatscher bearbeitet: 13.12.2005, 18:29

[Domino]

So langsam zeigt sich, daß NOD32 nur deshalb so ressourcenschonen und schnell ist, weil einige wesentlichen Dinge nicht so ganz genau von dem Programm gemacht werden.
[right][snapback]122734[/snapback][/right]

Domino

[Gast_Poulsen_*]

Ich habe meine NOD-Lizenz gerade um ein Jahr verlängert und muss dann sowas lesen
Das heist dann wohl "warten auf den neuen KAV" oder besteht berechtigte Hoffnung, dass sich da bei NOD was tut.
AVK 2006-Lizenz habe ich zwar auch.........aber was da abläuft.....da lass ich lieber noch die Finger von.

Der Beitrag wurde von Poulsen bearbeitet: 14.12.2005, 09:31

[Gast_zipfelklatscher_*]

Bedauerlicherweise gibt es hierzu innerhalb unseres Forums " noch " kein offizielles ESET Statement. Sehr schade ! Auch ich denke, diese Neuigkeiten könnten manchen NOD32 doch sehr verunsichern, die für sich richtige Wahl getroffen zu haben. Also meine Lizenverlängerung steht in Kürze an. Insofern, warte ich jetzt auch ersteinmal ab.

Eine offizielle Info seitens ESET hier im Forum wäre somit sehr wünschenswert.

Der Beitrag wurde von zipfelklatscher bearbeitet: 14.12.2005, 09:47

[Visitor]

Und, ich erwarte von dem Programm, dass es die Malware im Archiv löscht und das Archiv ohne Malware hinterlässt. Also das, was fast alle anderen AV-Programme auch können und tun. Denn so muss ich das ZIP-File erst entpacken, NOD32 löscht dabei den Virus und dann darf die Files wieder in ein Archiv packen. Das nix gut

Eigentlich dreht es sich immer wieder um die gleiche alte Frage: nach dem Sinn ob man jedes Archiv checken sollte oder zu Gunsten besserer Performance erst beim gezielten Gebrauch eines Archives einen eventuell vorhandenen Virus zu killen.

So wie es im Moment scheinbar von NOD32 praktiziert wird, ist etwas irretierend (bösse Zungen sagen auch kleines Mogeln) und sollte abgeändert werden. Aber trotzdem hat es keine negative Auswirkung auf die Systemsicherheit und ist allenfalls ein "Designfehler". Ich bin mir sicher das es da von Eset bald eine Lösung gibt. Man könnte ja aber auch dieses Thema mal im Wilders-Forum anstoßen um für die Entwickler die Motivation ein wenig zu erhöhen eine mögliche Lösung schneller anzubieten.

Ich habe meine NOD-Lizenz gerade um ein Jahr verlängert und muss dann sowas lesen
Das heist dann wohl "warten auf den neuen KAV" oder besteht berechtigte Hoffnung, dass sich da bei NOD was tut.
AVK 2006-Lizenz habe ich zwar auch.........aber was da abläuft.....da lass ich lieber noch die Finger von.

Wovon reden wir hier eigentlich, etwa von einer großen Sicherheitslücke?
Wenn man bei jedem angesprochenen Problem gleich wieder "Programmhopping" macht, dann bleibt man nur am "hopsen" und vergeudet sein Geld unnötig in viele Lizenzen.
Bei KAV 5 Per.Pro z.b. hätte ich am Anfang auch mehrmals auf andere Programme wechseln müßen, so verbuggt lief es zumindest bei mir. Aber ich war geduldig und mittlerweile läuft es so wie es soll. NOD32 ist bekannt dafür das es in der Regel sehr gut weiter entwickelt wird und stabil läuft. Auch bei diesem "Problem" wird es bestimmt eine Lösung geben, denn dieser Status wie von @Solution-Design gut beschrieben ist verwirrend und etwas unglücklich.

So langsam zeigt sich, daß NOD32 nur deshalb so ressourcenschonen und schnell ist, weil einige wesentlichen Dinge nicht so ganz genau von dem Programm gemacht werden.
*

Diese Aussage kann man getrost unter Polemik ablegen. Kann es sein das du z.b. die Testergebnisse von AV-Comaratives nicht kennst? Dort kannst du dich eigentlich schön informieren wie sich die "Gründlichkeit" von NOD32 praktisch im Endergebnis auswirkt.

Es ist immer wieder interessant zu beobachten wie schnell hier manchmal Tools gelobt oder stark kritisiert werden. "Traditionell" betrifft das mittlerweile natürlich immer bevorzugt Symantec (mittlerweile zu Unrecht), aber nun auch andere renomierte Firmen. Tatsache ist das fast alle ihre kleinen "Problemchen" haben, ob nun KAV, Bitdefender oder GDATA, entscheidend ist mit welchen Fehlern jeder "Leben" kann, zum Glück ist die Auswahl ja nicht so klein, jeder findet für sich "seinen Fehler" mit dem er sich intensiv beschäftigen kann.

[Gast_zipfelklatscher_*]

Man könnte ja aber auch dieses Thema mal im Wilders-Forum anstoßen um für die Entwickler die Motivation ein wenig zu erhöhen eine mögliche Lösung schneller anzubieten.
[right][snapback]122810[/snapback][/right]

Wer übernimmt denn den Part ? Wie gesagt, mein Englisch reicht dafür nicht wirklich aus.

[Visitor]

Wer übernimmt denn den Part ? Wie gesagt, mein Englisch reicht dafür nicht wirklich aus.
[right][snapback]122811[/snapback][/right]

Meins leider auch nicht, sonst hätte ich es schon getan.

[Gast_zipfelklatscher_*]

Allein diese Tatsache ist für mich schon Grund genug, die Forderung nach einem deutschsprachigen NOD Forum zu äußern.

Immerhin gibt es allein hier im Forum mehr als zwei deutsche NOD-Kunden. Insofern finde ich sollte sich ESET hier unbedingt etwas überlegen. Wenn Support sprechen wir hier ja gar nicht. Den betreibt DATSEC. Gut oder schlecht, bleibt jedem selbst überlassen zu beurteilen.

Aber ein deutschsprachiges Forum sollte wirklich unbedingt geschaffen werden.

Der Beitrag wurde von zipfelklatscher bearbeitet: 14.12.2005, 11:13

[IBK]

Aber ein deutschsprachiges Forum sollte wirklich unbedingt geschaffen werden.

Gibt es seit heute unter http://nod32.malware-research.co.uk

[Gast_Poulsen_*]

Gibt es seit heute unter http://nod32.malware-research.co.uk 
[right][snapback]122889[/snapback][/right]

Habe im Forum Deutsches NOD32 Support Forum angeklickt
Ist aber ein merkwürdiges deutsch

[Gast_zipfelklatscher_*]

Nicht immer so hastig mit Kritik

Musst Dir erst ein Profil etc. anlegen. Die deutschen Inhalte müssen zudem ersteinmal folgen.

Laut IBK ist das Forum ja erst seit heute online.

btw. Really great Idea, Congratulations !

[Gast_Poulsen_*]

Nicht immer so hastig mit Kritik 

Musst Dir erst ein Profil etc. anlegen. Die deutschen Inhalte müssen zudem ersteinmal folgen.

Laut IBK ist das Forum ja erst seit heute online. 

btw. Really great Idea, Congratulations !
[right][snapback]122896[/snapback][/right]

Ach soooo
Ich dachte das ganze Drumherum wäre auch eingedeutscht.