Ergänzende AV-Produkte, Welches? Wieso? Vorteile/Nachteile? Einstellungen

[M.Richter]

Hallo Zusammen,

meines Wissens verstehen sich die genannten Vertreter alle als ergänzende Produkte zum bestehenden AV-Programm. Ich würde gerne wissen welche Ihr am liebsten nutzt und wieso? Und Interessieren würden mich auch eure Erfahrungen damit, ggf. Vorteile bzw. Nachteile oder sogar eine Empfehlung zu einem ergänzenden Produkt, welches nicht hier in der Umfrage vertreten ist. Ansonsten bin ich einfach mal aufs Voting gespannt.

Schönen Gruß und vielen Dank

[Gast_Nightwatch_*]

Hi
Der Vergleich bzw. die Abstimmung hinkt ein wenig, da A-squared Anti-Malware und Prevx 3.0 auch als vollständige Einzel-Lösungen gebraucht werden. Man kann sie natürlich auch ergänzend einsetzen, muss dabei aber unter Umständen mit Komplikationen rechnen.

Bei a-squared liegt das wohl in erster Linie an dem Malware-IDS, welches an einigen Stellen im System Hooks setzt. Das verträgt sich nicht allzu gut mit anderen Programmen, die das ebenfalls tun. Aber auch der on-execution-Guard kann dem on-access-Wächter eines anderen AV´s schonmal in die Quere kommen, was die Rechte-Policy anbelangt.
Prevx hat vor allem dann Probleme mit anderer Software, wenn man das maximale Selbstschutz-Modul aktiviert, welches erst nach einem Neustart übernommen wird. Ansonsten gestaltet es sich relativ konfliktarm, wenn man nicht einen weiteren Verfechter dieser Branche verwendet.

Die Konzepte der genannten Programme sind sehr unterschiedlich, so dass man den Einsatz sehr speziell wählen sollte.

Ich kann leider nicht zu allen etwas sagen, da ich sie nicht komplett genutzt habe.
A-Squared besitzt eine hohe Erkennung, die allerdings manchmal noch mit einigen FP´s erkauft wird. Doch das hat sich schon gebessert. Das IDS ist wirklich gut, obwohl es trotzdem noch so ein paar Lücken aufweist, da es recht "grob" eingestellt ist. Insgesamt betrachtet, stören mich hier nur zwei Dinge: Die lahme on-demand-Scangeschwindigkeit und das Update-Verhalten.
PrevX scheint besonders stark im Rootkit-Sektor, da es eines der wenigen Programme ist, welches auch MBR´s erkennen und löschen kann. Außerdem war es das erste und einzige Programm, welches alle Conficker-Varianten in Zero-Hour erkannt und blockiert hat. Die aktive Desinfektion genießt einen exzellenten Ruf, die Scangeschwindigkeit ist atemberaubend (Full-Scan in 2 Minuten). Aber auch hier hinkt der Vergleich, weil beide Programme zwei ganz unterschiedliche Konzepte zur Malware-Abwehr verfolgen.

Nach dem, was ich in den letzten 24 Stunden so auf meinem PC gesehen und getestet habe, muss ich wirklich eine Empfehlung für PrevX aussprechen. Das Programm hat momentan wohl alles unter der Haube, was die innovative Technologie zu bieten hat: Cloud-Computing, Verhaltensanalyse, drei verschiedene Heuristik-Emulatoren, komplettes System-/File-Monitoring, Active Desinfection, MBR-Detection und Schutz vor "Zero-Day-Malware".
Und das ganze ohne die Belastung von System-Ressourcen und ohne jeglichen Update-Zwang von Definitonen.

Die neue Version 3.0 geht in die gleiche Richtung, die Emsisoft mit a-squared schon letztes Jahr gegangen ist: Stand-Alone-Produkt. Und als solches verstehe ich beide mittlerweile.

Liebe Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 19.05.2009, 01:21

[scu]

"Zero-Day-Abwehr" <- ist der Ausdruck ernst gemeint?

[Gast_Nightwatch_*]

"Zero-Day-Abwehr" <- ist der Ausdruck ernst gemeint?

Ähm ja *hust*, es ist wohl schon zu spät für mich . Danke, ich werde das mal ausbessern.

EDIT: erledigt

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 19.05.2009, 01:23

[scu]

Mein Bett schreit auch schon nach mir
Gute Nacht!

[achtsam 01]

Ja, es ist nicht einfach -

4000 Arbeitsplaetze, 6000 Menschen...

Sicherheit: Kontinuierlich von aussen beeinflusset durch die Gesetzeslage - durchdrueckend in Unternehmen.
Das ist nun mal Fakt.

Stillweigen durch Vertraege.
Was glaubt ihr eigentlich ....

Das ist die Lage.

Cu.

[M.Richter]

Hi Nightwatch, danke für die Mühe und die ausführliche Beschreibung.... mich interessiert Prevx auch sehr, gehen zumindest wie du schon beschrieben hast sehr innovative Wege. Bin aber von A-Squared voll überzeugt und habe mich dafür entschieden, wahrscheinlich auch auf Grund des schnellen Supports und da es auf deutsch ist.... obwohl die englische Prevx Oberfläche wohl jeder der mal irgendwann einen Grundkurs Englisch in der Schule hatte verstehen kann ... ansonsten glaube ich dass das Team mit und um emsi eine Top Arbeit macht!

Prevx und A-Squared zusammen verstehen sich nach meinen erfahrungen nicht so gut, gerade bei Programmstarts verlangsamt es das System enorm und da ich mich von A-squared nicht trennen wollte, habe ich Prevx vorerst mal wieder deinstalliert und wird in Beobachtung bleiben!

Edit: bezüglich möglicher Komplikationen kann ich nur sagen dass A-Squared neben GData Antivirus und Online Armor bestens läuft. Gruß

Der Beitrag wurde von M.Richter bearbeitet: 19.05.2009, 01:33

[Gast_Nightwatch_*]

[...] ... ansonsten glaube ich dass das Team mit und um emsi eine Top Arbeit macht!

Das denke ich genauso. Besitze von beiden (von mir) genannten Programmen eine Lizenz und teste gerade mal munter durch. Es haben beide so ihre Stärken und Schwächen in bestimmten Bereichen. Aber wie ich finde, auf einem recht hohen Niveau. Zumindest sind das meine persönlichen Einschätzungen.

Gute Nacht!

Das wünsche ich auch


Gruß,
Nightwatch

[Peter 123]

Schade, dass in der Liste Programme wie "Sandboxie" (bzw. vergleichbare Sandbox-/Virtualisierungslösungen) fehlen. Dann hätte ich auch abstimmen können. (Aber vielleicht wurden sie vom Themeneröffner bewusst weggelassen, weil es keine AV-Produkte im engeren Sinn sind.)

Ach so!!! Jetzt lese ich gerade:

[...] oder sogar eine Empfehlung zu einem ergänzenden Produkt, welches nicht hier in der Umfrage vertreten ist.

Na, dann spreche ich einmal eine Empfehlung für Sandboxie aus (http://www.sandboxie.com/). Die Begründung in Kurzfassung:

1. Sehr einfach in der Bedienung (man muss die Sandbox eigentlich nur ein Mal konfigurieren; oder nicht einmal das, wenn man mit den Standardeinstellungen zufrieden ist).

2. Nach allem, was man hört und liest (und was einem auch die eigene Logik sagt), ist es ein sehr zuverlässiges Mittel gegen Bedrohungen. (Ich behaupte: zuverlässiger als der Echtzeitschutz durch jedes herkömmliche Virenschutzprogramm.)

Firewall und Virenschutzprogramm laufen bei mir zwar weiterhin; aber Sandboxie ist mittlerweile zu meinem zentralen Sicherheitsinstrument geworden - also schon viel mehr als bloß ein ergänzendes Produkt. Ich bin im Internet nur mehr unter Benützung der Sandbox unterwegs. (Von Ausnahmen wie der Vornahme der Browser-Aktualisierung abgesehen.)

Nachteile von Sandboxie? Da fällt mir eigentlich kaum etwas ein. Die Funktionsbeschreibungen und -bezeichnungen in den Sandboxeinstellungen sollten logischer und verständlicher formuliert sein. Aber man gewöhnt sich daran. Und die Benutzeroberfläche könnte ansprechender und etwas übersichtlicher gestaltet sein. Aber weil man mit ihr - abgesehen von der allfälligen Erstkonfiguration - ohnedies kaum zu tun hat, ist das eigentlich auch egal.

Und ergänzend zu Sandboxie sei das Programm Returnil erwähnt (http://www.returnilvirtualsystem.com/), auch wenn es (auf meinem Rechner) nur eine Hilfsfunktion hat. Mit Returnil wird (mit einem Mausklick) die ganze Festplatte (genau genommen: die Systempartition) virtualisiert. D.h.: Alles, was nach dem Aktivieren von Returnil am Rechner geschieht, ist rückgängig gemacht, sobald ich ihn herunterfahre und neu starte. Das Programm wird von mir fallweise zum Testen von Software verwendet. Man kann es aber klarerweise auch primär als Schutzmaßnahme gegen Schädlinge verwenden.

[Voyager]

2. Nach allem, was man hört und liest (und was einem auch die eigene Logik sagt), ist es ein sehr zuverlässiges Mittel gegen Bedrohungen. (Ich behaupte: zuverlässiger als der Echtzeitschutz durch jedes herkömmliche Virenschutzprogramm.)

Hab ich gerade ausprobiert und Scareware welches sich als Videoplugin getarnt hatte über den IE unter Sandboxie (in einer VM) installiert/ausgeführt , ein AV oder der Windows Defender haben keinen Zugriff auf die Malware innerhalb des Sandbox-Containers und diese Malware läuft dann immer fröhlich in der Sandboxie mit, einmal drauf Pech gehabt . Bei der eher schlechten Aktionsbeschreibung was mit dem Download passiert wird der User immer auf OK drücken damit er weitersurfen kann. Man kann hier so wie ich das sehe nur den gesamten SandboxContainer löschen aber nichts geziehltes . Solange Malware in der Sandbox mitläuft (wenn der normale User irgendwas im Netz anklickt oder böse Seiten besucht) kann ich kein zuverlässiges Mittel gegen Bedrohungen erkennen , immerhin kann dort eine Bedrohung genausogut Daten stehlen da ein ganz normaler Lesezugriff auf das physische Laufwerk besteht. Es werden ja nur Schreibzugriffe in die Sandbox bearbeitet.
Wenn Sandboxie ein Mittel gegen Bedrohungen sein will dann sollten Ausführungen von Downloads und Programinstallationen konsequent unterbunden werden, übrig bliebe dann eine gängige Browsersandbox aber unter Vista ist Sandboxie dann auch schon wieder hinfällig .

Der Beitrag wurde von Voyager bearbeitet: 19.05.2009, 04:26

[Solution-Design]

Virtuallisierungsprogramme schützen das System, aber nicht den Nutzer
PS: Zusatzprogramme nutze ich nicht gerne. Sehe da auch nur AntiBot in Front, obwohl das Programm bald Vergangenheit ist. a-squared ist hier auf diesem PC neben NAT das einzig laufende Schutzprogramm. Die anderen Gimmicks wie Desktop-Firewall oder Defender sind abgeschaltet. Jetzt darf der PC auch mal wirklich zeigen, wie schnell er sein kann

[Peter 123]

@ Voyager:
Das kann man diskutieren, aber wohl besser nicht in diesem Thread, der ja ein anderes Thema zum Gegenstand hat als eine detaillierte Debatte über Sandboxie. Ich nehme an, M.Richter wäre nicht glücklich, wenn man das hier macht. Ich werde mir den großen Sandboxie-Thread heraussuchen. Vielleicht sollte man dort die diesbezügliche Diskussion fortsetzen.

Nachtrag: Fortsetzung siehe hier

Der Beitrag wurde von Peter 123 bearbeitet: 19.05.2009, 11:13

[Julian]

Ab dem 26. Mai wird es keine Updats mehr für BOClean geben, das Programm ist also tot. Ich hatte es aber auch vorher nie benutzt, einfach überflüssig IMO...
Ich würd kein Programm aus dieser Liste nehmen, erst recht nicht als Zusatz für irgendwas, auf solche Frickellösungen hab ich keine Lust...

[subset]

..., ein AV oder der Windows Defender haben keinen Zugriff auf die Malware innerhalb des Sandbox-Containers und diese Malware läuft dann immer fröhlich in der Sandboxie mit, einmal drauf Pech gehabt .

Das liegt dann wohl an deinem AV oder am Windows Defender.
Bei mir haben sowohl Avira als auch Online Armor Zugriff auf die Dateien in der Sandbox.





Sandboxie soll in der Standardeinstellung auch weder die Ausführung von Downloads noch von Programminstallationen verhindern, es ist ja eine Sandbox und nicht Faronics Anti-Executable.
Man kann aber eine Sandbox sehr einfach dahingehend konfigurieren, wenn man das so will, da das Programm sehr viele Einstellungen dafür anbietet.

MfG

[Voyager]

@subset

Das Bild sagt nicht aus das die Malware auch gelöscht wurde , der Windows Defender hat 3x versucht die Scareware zu löschen ohne Erfolg.

[subset]

Das Bild sagt nicht aus das die Malware auch gelöscht wurde , der Windows Defender hat 3x versucht die Scareware zu löschen ohne Erfolg.

Avira löscht auch in der Sandbox.



Und um der nächsten Frage zuvorzukommen - ja, die Datei wurde wirklich gelöscht.



MfG

[drei-finger-joe]

Der AntiVir Guard kann den "Schädling" (Eicar) in der Sandbox blocken, löschen oder aus der Sandbox heraus in Quarantäne verschieben. Der AntiVir WebGuard kann den "Schädling" in der Sandbox blocken oder in Quarantäne verschieben.

Gruß

EDIT: Oh, da war subset schneller.

Der Beitrag wurde von drei-finger-joe bearbeitet: 19.05.2009, 16:31

[Voyager]

Mal ganz davon abgesehen dürfte auf der anderen Seite aber auch die Frage sein ob das für eine Sandbox optimal ist wenn Hostprozese in die Sandbox schreiben dürfen ? Ich sehe da schon ein Sicherheitsrisiko. Eigentlich sollte der Zugriff erst erlaubt sein wenn die Sandbox inaktiv ist so das der AV erst bei Reboots die Dateien in dem Container löscht.

[M.Richter]

@ Voyager:
Das kann man diskutieren, aber wohl besser nicht in diesem Thread, der ja ein anderes Thema zum Gegenstand hat als eine detaillierte Debatte über Sandboxie. Ich nehme an, M.Richter wäre nicht glücklich, wenn man das hier macht. Ich werde mir den großen Sandboxie-Thread heraussuchen. Vielleicht sollte man dort die diesbezügliche Diskussion fortsetzen.

Nachtrag: Fortsetzung siehe hier

Hi Peter 123...genau so meinte ich das, sehr gerne Empfehlungen zu anderen Programmen, sowie die Erfahrungen damit.... trotz dessen würde ich gerne beim Thema bleiben... aber so eine Diskussion ist immer unausweichlich denke ich, sowie man in einem Thread "etwas Neues" anstoßt, von daher auch nicht weiter schlimm!

Aber nochmal zum Thema... was ist eigentlich mit den 3 Programmen die noch nicht einmal ein Voting bekommen haben, sprich BOClean (wusste nicht dass es zur aussterbenden Rasse jetzt gehört @ Julian, danke für den Hinweis) , Viruskeeper 2009 Pro und der Spyware Terminator mit ClamAV... die letzten beiden scheinen ja auch sehr kontroverse Produkte zu sein, wenn man mal so im Internet stöbert, dann findet man kaum Tests und mindestens genauso viel positive wie negative Äußerungen zu!

Ich kann nur sagen, ich hatte den Spyware Terminator auch mal, wegen dem Hips, aber seit ich Online Armor nutze ist das Geschichte und den Viruskeeper hatte ich auch mal ausprobiert auf Grund der Verhaltensanalyse, da konnte mich dann aber A-Squared mehr überzeugen.

Sonstige Erfahrungen vielleicht?

Nächtliche Grüße

Matthias

[ube]

Je mehr ich mit der Thematik beschaeftige, gewinne ich den Eindruck, zusaetzliche Sicherheitsprogramme sind ueberfluessig.

Fuer den technisch unbedarften und uninteressierten User existiert keine Alternative zu Norton Internet Security 2009 bzw Norton 360 3, der verspielte User greift zu Kaspersky Internet Security 8 (und Nachfolgeprodukten) oder a-squared Anti-Malware (das von Release zu Release immer besser wird), dem erfahrenen, abgeklaerten User reicht Avira AntiVir free als on demand Scanner.

Und von der gehypten Cloud Technologie haben nur User mit leistungsfaehigem Internet Zugang etwas.