Norton Internet Security 2008 vs. Kaspersky 7.0 Einstellungen

[hispeed]

Muss auch sagen teste jetzt seit 4 Tagen NIS 2008 und bin sehr zufrieden. Die ersten 2 Tage hatte ich Probleme mit dem Liveupdate. Ständig Meldung
das der Computer nicht geschützt ist. Muss auch sagen KIS und NIS sind momentan für mich die besten ISS. GDATA funktioniert auch gut aber die starke
Belastung ist mühsam. Habe meine GDATAAV-lizenz zurückgeben und das Geld erstattet bekommen. Ohne lästige Probleme, guter Service. Werde aber trotzdem Totalcare weiterverfolgen.
gruss

[freedom1]

Hallo Leute,


Also, das mit der Oberflaeche, Scanleistung usw. zwischen Kaspersky 7.x und Norton Internet Securety 2007 ist eigentlich nebensache. Es kommt auf die Erkennung an.

Kleiner Tipp von mir. Wer die Absicht hat, Norton Internet Security aufd em Rechner laufen zu lassen, dem kann ich nur davon abraten. Ich habe lange Zeit Kasperscy 6 und dann die Version 7 auf meinem Rechner gehabt. Bin nun auf Norton Internet Securety 2008 umgestiegen um es zu testen.

Also: Die Scannleistung ist wirklich enorm, das kann ich nur unterstreichen. Auch der Bootvorgang meines Rechners geht entschieden flotter. Aber trotzdem werde ich Norton wieder runter schmeissen, weil er etwas nicht mitbringt, das jede halbwegs gute Sicherheitssoftware haben sollte. Und zwar die Ueberwachung der Registry. Kaspersky und z.B. Bitdefender haben diese Funktion. Und die ist Lebenswichtig!!!! Selbst wenn mal eine Virus oder Trojander bei der Scannung durch rutscht, sobald der sich aber versucht in der Registry zu verewigen, ist er wenn man aufpasst, schon entlarft. Fakt ist nun mal, das sich Viren und Trojaner fast immer in die Registry eintragen, damit diese bei Rechner Start geladen werden, und daher darf die Funktion, der Registry Ueberwachung nicht fehlen!!!!!! Fehlt diese, stellt das in meinen Augen eine massive Sicherheitsluecke dar.

Als naechstes, machte ich mal einen Test, mit einer speziellen crack-Webseite, von der ich genau wusste, das dort bei download von irgend einem crack, versucht wird ein schad-script zu starten, um dem Nutzer einen Trojaner unter zu jubeln. Nun, was soll ich sagen, Kaspersky hat das bemerkt, und mich darauf aufmerksam gemacht, das hier etwas schaedliches gestartet werden soll. Somit konnte ich das verhinden. Tja, bei Norton Internet Security sah das ganz anders aus. Hier wurde alles anstandslos und ohne jegliche Meldung geladen.

Somit steht fuer mich fest, Norton wird runtergeschmissen!!! Mit so einem Schrott gebe ich mich nicht ab.


Da warre ich lieber etwas laenger beim Rechnerstart, und warte auch laenger beim scannen der Platte auf Viren usw.
Aber ich bin auf der sicheren Seite!!!!!!



Ich verstehe auch nicht, wehalb Norton Internet Security 2008 in der akuellen Chip-Zritschrift auf Platz 2 gelandet ist, wenn die Software eine "Lebenswichtige" Funktion, wie die Registry Ueberwachung nicht besitzt.

Der Beitrag wurde von freedom1 bearbeitet: 23.11.2007, 19:23

[Voyager]

http://www.pcwelt.de/start/sicherheit/antivirus/news/129927/ ein interesannter Test. Der "Schrott" liegt übrigens direkt hinter Kaspersky und ich denke da kann man einen durchgerutschten Virus bei wesentlich besserer Performance auch schonmal verkraften.

Der Beitrag wurde von bond7 bearbeitet: 23.11.2007, 19:32

[Gast_Xeon_*]

Mit so einem Schrott gebe ich mich nicht ab.

Wenn du meinst..

[devaletin]

Ich mag den gelben Schrott

[Gast_Jacomofive_*]

Tja NIS 2008 noch um AntiBot ergänzt und auch diese Lücke ist geschlossen (wenn man von Lücke sprechen kann)

Der Beitrag wurde von Jacomofive bearbeitet: 23.11.2007, 21:07

[chris30duew]

Antibot überwacht aber keine registryveränderungen in der art wenn sich was in den autostart einträgt etc oder die registry ändert. nur in verbindung, wenn n unbekannter prozess gefunden oder gestartet wurde......und darum gings ja glaub ich demjenigen der den "schrott" nicht leiden kann..
also bliebe diese "Lücke" bestehen

Der Beitrag wurde von chris30duew bearbeitet: 23.11.2007, 21:19

[Gast_Jacomofive_*]

> booooooooond7 !!!!!!

Eine Auskunft vom Norton Experten ?

Der Beitrag wurde von Jacomofive bearbeitet: 23.11.2007, 21:24

[Julian]

Ich würde mir lieber um die Update-Zickerei Sorgen machen.

Die hier im Board oft auftauchenden Probleme mit Norton in Sachen Updates sind wohl kaum Einzelfälle.
Da zieht auch nicht das Argument, dass es an der Verbreitung von Norton läge - Kaspersky verkauft sich im Einzelhandel als AV besser als alle anderen und hier stöhnen damit nicht alle paar Tage Leute über solche Probleme rum.

Möchte nicht wissen, wie das aussähe, wenn Symantec alle 1-2 Stunden neue Updates releasen würde.
Der fehlende XP 64 Support nervt auch.

Es besteht also noch Verbesserungspotenzial...

[Solution-Design]

Antibot überwacht aber keine registryveränderungen in der art wenn sich was in den autostart einträgt etc oder die registry ändert. nur in verbindung, wenn n unbekannter prozess gefunden oder gestartet wurde.

Das ist fast richtig. Die Registrierdatei wird dagegen auch schon von der NIS/Sonar selbst überwacht und im Sicherheitsverlauf "Überwachung verdächtige Aktivitäten" lassen sich solche Änderungen recht leicht rückgängig machen. Aber wer eine vollständige Überwachung der Registry benötigt, nutzt andere Tools wie Winpatrol und lässt dann Scotty bellen. Ich persönlich halte dies für überflüssig.

Hier ein Beispiel, wie NAB den Scanner Avira in die Quarantäne packt. Also eine Anwendung, welche keine Code-Injektion durchführt.



Auch wenn es nichts zum Thread-Titel beiträgt, hier mal die Funktionsweise von NAB (und vielleicht auch der Grund, warum es so viele Nutzer gerne in NIS2008 integriert hätten:



NAB überwacht folgende Prozesse:

Schreibt in das Programmverzeichnis
Der Prozess erstellt eine andere ausführbare Datei im Programmverzeichnis, in dem die meisten normalen Programme standardmäßig installiert sind. Dies deutet darauf hin, dass es sich höchstwahrscheinlich um ein normales Installationsprogramm handelt, obwohl sich einige schädliche Programme in diesem Verzeichnis selbst installieren.

Registriert ausführbare Dateien, um einen Neustart zu vermeiden
Der Prozess ändert die Registrierung, so dass diese bei jedem Windows-Start neu gestartet wird. Dieses Verhalten kann verdächtig sein, obwohl legale Programme dieses Merkmal ebenfalls aufweisen können.

Ändert die Zuordnung von ausführbaren Dateien
Dieser Prozess ändert den Mechanismus, mit dem ausführbare Dateien von Windows gestartet werden. Dieses Verhalten ist äußerst verdächtig.

Überwacht Registrierungsschlüssel
Dieser Prozess überwacht bestimmte Registrierungsschlüssel auf Änderungen. Dieses Verfahren wird häufig von Malware angewendet, um Löschaktionen zu verhindern. Malware überwacht Schlüssel und schreibt diese zurück, sobald sie geändert werden.

Kleine ausführbare Datei
Die ausführbare Datei ist klein. Schädliche Programme schleichen sich ein, indem sie die Auswirkungen auf das zu Grunde liegende System minimieren. Viele normale ausführbare Dateien, wie zum Beispiel einige Systemprozesse und Dienstprogramme, sind jedoch ebenfalls klein.

Ordnungsgemäß installiert
Die Installation der ausführbaren Datei scheint ordnungsgemäß zu sein. Dies deutet in der Regel auf ein normales Programm hin, obwohl sich einige Adware- und Spyware-Programme ebenfalls ordnungsgemäß selbst installieren.

Signierte ausführbare Datei
Die ausführbare Datei ist digital signiert. Dies bedeutet nicht, dass die ausführbare Datei auch vertrauenswürdig ist. Stellen Sie sicher, dass auch das Installationsprogramm explizit als vertrauenswürdig gekennzeichnet ist. Dies bedeutet, dass Symantec die Signatur bestätigt und die ausführbare Datei als vertrauenswürdig eingestuft hat.

Systemdienst
Dieser Prozess ist ein vom Windows-Dienststeuerungs-Manager verwalteter Systemdienst.

Versteckt eine ausführbare Systemdatei
Dieser Prozess hat den gleichen Namen wie eine legale ausführbare Datei. Malware wendet diesen Mechanismus häufig an, um sich auf einem Computer zu verstecken - sie wird unter demselben Namen wie eine legale ausführbare Datei ausgeführt, befindet sich jedoch in einem anderen Teil des Dateisystems. Im Task-Manager werden diese beiden Dateien als legale Prozesse angezeigt.

Eine ausführbare Datei mit diesen Merkmalen ist verdächtig. Die echte SERVICES.EXE-Datei (der legale Windows-Dienststeuerungs-Manager) beispielsweise wird unter C:\WINDOWS\SYSTEM32\SERVICES.EXE ausgeführt. Ein Trojanisches Pferd kann die Bezeichnung SERVICES.EXE aufweisen, wird jedoch als C:\WINDOWS\SERVICES.EXE. installiert. Bei Anzeige im Task-Manager, der den gesamten Pfad der ausführbaren Dateien nicht einblendet, werden beide Dateien als legale SERVICES.EXE-Prozesse dargestellt. Die einzige legale ausführbare Datei, die dieses Merkmal gelegentlich aufweist, ist die Java SDK und JRE. Java wird häufig an vielen verschiedenen Speicherorten auf einem Computer abgelegt, und häufig werden mehrere Versionen installiert. Dies kann dazu führen, dass bestimmte Java-Prozesse dieses Merkmal aufweisen.

Weist eine doppelte Dateierweiterung auf
Die ausführbare Datei hat die Form MALWARE.JPG.EXE mit Erweiterungen bestehend aus zwei oder drei Buchstaben. Bei der standardmäßigen Windows-Konfiguration werden bekannte Dateierweiterungen nicht angezeigt, so dass die Datei auf dem Bildschirm als MALWARE.JPG angezeigt wird. Ein nichts ahnender Benutzer geht daher davon aus, anstelle einer ausführbaren Datei eine JPG- oder Bilddatei zu öffnen. Dieses Verhalten ist äußerst verdächtig.

Ausführbare Datei wurde geändert
Die ausführbare Datei wurde auf der Festplatte geändert, da Norton AntiBot zur Überwachung dieser ausführbaren Datei gestartet wurde. Diese Änderung hat möglicherweise stattgefunden, da die ausführbare Datei als Teil eines normalen Updateprozesses aktualisiert oder von einem schädlichen Programm zur Ausführung von schädlichem Code aktualisiert wurde.

Versteckt im Dateisystem
Die ausführbare Datei ist mit dem Kennzeichen Ausgeblendet im Dateisystem markiert. Diese Markierung wird normalerweise für Systemprozesse verwendet, bietet jedoch Malware die Möglichkeit, sich selbst auszublenden.

Mehrere Möglichkeiten, eine Neustart zu vermeiden
Die ausführbare Datei hat mehrere Methoden, einen Neustart zu vermeiden (sie ist beispielsweise an mehreren Stellen in der Registrierung registriert). Dieses Verhalten ist verdächtig.

Fenster nicht sichtbar
Der Prozess verfügt nicht über ein Fenster, dass auf dem Desktop angezeigt wird. Dies deutet darauf hin, dass das Programm versucht sich einzuschleichen und für den Benutzer nicht sichtbar ist. Die Mehrheit der schädlichen Programme weist dieses Merkmal auf, wobei auch bei vielen Systemprozessen keine entsprechenden Fenster angezeigt werden.

Ausgeblendete Prozesse
Der Prozess ist für den Benutzer nicht sichtbar, was möglicherweise auf Technologie zurückzuführen ist, die Rootkits ähnelt. Die einzigen legalen Prozesse, die nicht angezeigt werden, sind diejenigen, die mit Sicherheitssoftware verknüpft sind. Dieses Verhalten ist äußerst verdächtig.

Prozessspeicher ist gefährdet
Der Speicher für diesen Prozess ist gefährdet, da durch einen anderen Prozess Code eingeschleust wurde. Codeeinschleusung dieser Art wird auch als DLL-Einschleusung bezeichnet. Die durch diesen Prozess ausgeführten Aktionen weichen möglicherweise von ihrer ursprünglichen Programmierung ab, da der Prozess den eingeschleusten Code ausführt. Einige Sicherheitssoftwareprogramme schleusen Code in aktive Prozesse ein, so dass nahezu alle Prozesse diese Merkmale aufweisen.

Ein Notepad-Prozess kann beispielsweise Code ausführen, der ihn veranlasst, einen bestimmten Netzwerkport abzuhören und Remotezugriff auf den Computer zu gewähren. Diese Verhalten liegt außerhalb der normalen Aktionen eines einfachen Texteditors. Ein Prozess mit diesen Merkmalen ist verdächtig. Die Änderung ist nicht dauerhaft, da die ausführbare Datei nicht auf der Festplatte geändert wird. Wenn der Computer neu gestartet wird, wird der Prozess wieder normal ausgeführt, es sei denn, er wird erneut gefährdet.

Network Facing Stdio
Die In- und Out-Standardhandles eines Prozesses sind mit einem Netzwerkport verbunden. Dies kann bedeuten, dass der Prozess das Ergebnis einer Ausnutzung ist.

Verwendet das Netzwerk
Der Prozess verwendet das Netzwerk entweder als Clientszugriffsdienste auf anderen Computern oder zum Abhören an einem bestimmten Netzwerkport. Schädliche Programme müssen das Netzwerk zur Kommunikation mit ihren Controllern, zum Senden von Informationen bzw. zum Empfangen von Softwareupdates verwenden. Viele legale Programme verwenden ebenfalls das Netzwerk.

Ungewöhnliche Netzwerkverwendung
Der Prozess verwendet das Netzwerk auf ungewöhnliche Weise.

Beendet Prozesse
Bestimmte schädliche Programme versuchen, Sicherheitsprogramme (z.B. Antivirus- oder Spyware-Programme) zu beenden, um nicht erkannt zu werden. Es ist sehr selten, dass Programme durch normale Programme vorsätzlich beendet werden. Ausnahmen stellen Sicherheitsprogramme und Dienstprogramme wie z.B. Task-Manager dar.

Installiert ein Kernelmodul
Die ausführbare Datei hat versucht, den Betriebssystemkernel zu zwingen, ein Kernelmodul zu laden, mit dem das Verhalten des Betriebssystems geändert werden soll. Dieses Merkmal kann auf den Versuch hinweisen, ein Rootkit auf Kernelebene zu installieren. Mehrere normale Programme installieren Kernelmodule, wie z.B. Antivirus-Software, Firewalls und Tools wie Process Explorer, Regmon und Filemon (über http://www.sysinternals.com).

Deaktiviert die Windows-Firewall
Der Prozess deaktiviert die Windows-Firewall. Dieses Verhalten ist verdächtig.

Ändert die Hostdatei
Der Prozess hat die Datei hosts geändert, die für die Konfiguration von Netzwerken auf dem Computer verwendet wird. Durch Hinzufügen oder Ändern von Einträgen in dieser Datei, können schädliche Programme Netzwerkverbindungen ohne Kenntnis des Benutzers an bestimmte Sites umleiten.

Ändert die Datei "config.sys"
Der Prozess hat die Datei config.sys geändert, die die Liste der Standardlaufwerke enthält, die vom System beim Start geladen werden. Dies kann auf den Versuch hinweisen, ein schädliches Kernelmodul als Teil einer Rootkit-Installation zu laden.

Ändert die Datei "autoexec.bat"
Der Prozess hat die Datei autoexec.bat geändert, die den Windows-Start steuert. Schädliche Programme können versuchen, die Datei autoexec.bat so zu ändern, dass sie bei jedem Windows-Start geladen werden.

Geänderte Browsereinstellungen
Der Prozess hat Webbrowsereinstellungen wie die Startseite oder die Sucheinstellungen geändert. Obwohl bestimmte legale Installationsprogramme diese Einstellungen ändern können, ist dies ein typisches Merkmal für Adware, Spyware und Browser-Hijacker.

Gestartete Systemdienste
Der Prozess hat einen Systemdienst unter Verwendung der Datei net.exe der Helper-Anwendung gestartet.

Beendete Systemdienste
Der Prozess hat einen Systemdienst unter Verwendung der Datei net.exe der Helper-Anwendung gestoppt.

Vermeidet einen Neustart
Bei jedem Neustart führt Windows automatisch dieses Programm aus. Schädliche Programme vermeiden in der Regel einen Neustart, um die Effizienz des Datendiebstahls zu erhöhen. Für viele legale Programme ist ein Neustart ebenfalls nicht erforderlich.

Vermeidet wahrscheinlich einen Neustart
Die Vermeidung eines Neustarts ist für die ausführbare Datei nicht explizit registriert, sie wird jedoch direkt nach dem Systemstart ausgeführt und erweckt den Eindruck, einen Neustart zu vermeiden. Schädliche Programme vermeiden in der Regel einen Neustart, um die Effizienz des Datendiebstahls zu erhöhen. Für viele legale Programme ist ein Neustart ebenfalls nicht erforderlich.

Macht sich andere Prozesse zu Nutze
Der Prozess macht sich untergeordnete Prozesse zu Nutze.

Wird über den Cache ausgeführt
Programme, die über den Cache ausgeführt werden, sind verdächtig. Entweder wurden sie heruntergeladen und direkt in einem Browser oder E-Mail-Client ausgeführt, oder es handelt sich um Programme, die über den Cache ausgeführt werden, um sich zu verstecken.

Protokolliert Tastatureingaben mit einem Windows-Hook
Der Prozess installiert einen Windows-Hook zur Protokollierung von Tastatureingaben (Keylogger). Schädliche Programme installieren Keylogger, um Anmeldeinformationen, Kennwörter oder Kreditkartennummern zu stehlen. Einige legale Programme wie Instant Messaging-Programme verwenden Keylogger zum Überwachen von Benutzeraktivitäten, um den Status eines bestimmten Benutzers anzuzeigen.

Ausführung über das Windows-Verzeichnis
Der Prozess wird über das Windows-Verzeichnis im Dateisystem ausgeführt. Viele schädliche Programme werden über das Windows-Verzeichnis ausgeführt, um unter den wichtigen ausführbaren Windows-Dateien und Dienstprogrammen, die dort gespeichert sind, nicht erkannt zu werden.

Ausführung über das Programmverzeichnis
Der Prozess wird über das Programmverzeichnis im Dateisystem ausgeführt. Dies ist das Standardverzeichnis für die Installation legaler Software, bestimmte Adware-Programme werden jedoch auch über dieses Verzeichnis ausgeführt.

Protokolliert Tastatureingaben
Das Programm hat versucht, Tastatureingaben zu protokollieren, und ist wahrscheinlich schädlich.

Wird über das Dateisystem ausgeführt
Der Prozess wird über einen Bereich des Dateisystems ausgeführt, der vom Windows-, Programm- oder Cache-Verzeichnis getrennt ist.

Registriert COM-Objekte
Der Prozess hat ein COM-Objekt registriert, bei dem es sich um ein Codemodul handelt, das zum Erweitern der Windows-Funktionalität verwendet wird. Legale Installationsprogramme installieren häufig COM-Objekte, bestimmte Spyware-Programme tun dies jedoch auch.

Registriert Protokollerweiterung
Der Prozess hat eine Protokollerweiterung registriert, die zur Verbesserung der Netzwerkleistung unter Windows verwendet wird. Dieses Verhalten ist verdächtig.

Registriert eine Symbolleiste
Der Prozess registriert eine Internet Explorer-Symbolleiste. Neben legalen Symbolleisten ist eine erhebliche Anzahl an schädlichen Symbolleisten vorhanden.

Registriert "appinit_dlls"
Der Prozess registriert eine dll-Datei (ausführbares Modul), die in jeden Windows-Prozess geladen wird. Neben schädlichen Programmen, die diese Methode zur Implementierung von Rootkit-ähnlichen Funktionen verwenden, wird diese Methode auch von Sicherheitsprodukten angewendet.

Registriert eine Winlogon-Erweiterung
Dieser Prozess hat eine Winlogon-Erweiterung registriert. Hierbei handelt es sich um Code, der auf Systemereignisse wie Starten und Herunterfahren des Systems sowie An- und Abmelden von Benutzern reagiert. Der Winlogon-Prozess ist einer der ersten Prozesse, der gestartet, und einer der letzten, der beendet wird. Bestimmte Sicherheitsanwendungen verwenden diese Erweiterungen, schädliche Software allerdings auch.

Registriert ein Browserhilfsobjekt
Der Prozess hat ein Browserhilfsobjekt oder BHO registriert. Hierbei handelt es sich um Code, der die Funktionalität der Windows-Shell (explorer.exe) sowie von Internet Explorer erweitert. Diese Objekte sind häufig verdächtig.

Registriert einen LSP
Der Prozess fügt einen LSP (Layered Service Provider) im Netzwerkstapel des Systems ein. Hiermit wird die Art und Weise geändert, in der bestimmte Netzwerkereignisse vom Netzwerkstapel verarbeitet werden. Trotz der legalen LSP-Instanzen ist diese Methode äußerst verdächtig.

Wird beendet
Der Prozess wird beendet.

Schreibt in das Windows-Verzeichnis
Der Prozess hat eine andere ausführbare Datei im Windows-Verzeichnis erstellt. Obwohl bestimmte legale Installationsprogramme ausführbare Dateien in dieses Verzeichnis kopieren, verwenden auch schädliche Programme dieses Verzeichnis, um nicht erkannt zu werden.

Schleust Code ein
Der Prozess hat Code in andere aktive Prozesse eingeschleust und zwingt diese, fremden Code auszuführen. Dieser Vorgang wird auch als DLL-Einschleusung bezeichnet und weist häufig auf eine schädliche Aktivität hin. Sicherheitsprogramme wie Antivirus- und Anti-Spyware-Programme sind die einzigen legalen Programme, die Code in andere Programme einschleusen.

Vertrauenswürdig
Die ausführbare Datei ist eine vertrauenswürdige Symantec-Datei.

Registriert einen URL-Suchhook
Der Prozess registriert einen URL-Suchhook, der die Art und Weise ändert, in der Suchläufe von Internet Explorer verarbeitet werden. Dieses Verfahren ist in der Regel mit Malware verbunden.

Installiert Malware neu
Der Prozess installiert Malware neu. Dieses Verhalten ist eindeutig äußerst verdächtig.

Schreibt in das Dateisystem
Der Prozess schreibt eine ausführbare Datei in das Dateisystem. Dieses Verfahren wird in der Regel bei Installationsprogrammen durchgeführt.

Sichtbares Fenster
Der Prozess wird in einem Fenster sichtbar. Dies deutet in der Regel auf normale und nicht auf schädliche Programme hin.

Deaktiviert den Windows-Dateischutz
Der Prozess hat versucht, den Windows-Dateischutz zu deaktivieren, der wichtige ausführbare Windows-Dateien vor Fälschung schützt. Diese Aktion ist äußerst verdächtig.

Stellt ein Kernelmodul dar
Die ausführbare Datei ist als Kernmodul registriert.

Registriert einen Filtertreiber
Der Prozess hat einen Filtertreiber registriert, der die Leistung des Windows-Kernels erhöht.

Stellt einen LSP dar
Die ausführbare Datei ist als Layered Service Provider (LSP) registriert. Hierbei handelt es sich um ein Codemodul, das die Art und Weise ändert, in der der Computer Netzwerkereignisse verarbeitet.

Ändert den allgemeinen Startbereich
Dieser Prozess ändert das Verzeichnis, in dem die Dateien gespeichert sind, die beim Systemstart automatisch ausgeführt werden. Dieses Verhalten ist äußerst verdächtig.

Vertrauenswürdiges Installationsprogramm
Die ausführbare Datei ist von einem Unternehmen digital signiert, das von Symantec als vertrauenswürdig eingestuft wird. Die Signatur wurde überprüft, und die ausführbare Datei wird als vertrauenswürdig eingestuft.

.
COM-Objekt
Die ausführbare Datei ist als COM-Objekt registriert.

Protokollhandler
Die ausführbare Datei ist als Netzwerkprotokollhandler registriert.

Winlogon-Erweiterung
Die ausführbare Datei wird als Winlogon-Erweiterung registriert.

Browserhilfsobjekt
Die ausführbare Datei wird als Browserhilfsobjekt (BHO) registriert.

URL-Suchhook
Die ausführbare Datei wird als URL-Suchhook registriert.

Symbolleiste
Die ausführbare Datei wird als eine Internet Explorer-Symbolleiste registriert.

Appinit dll
Die ausführbare Datei wird zum Laden in alle Windows-Prozesse unter Verwendung des Registrierungsschlüssels appinit_dlls registriert.

Über IM installiert
Die ausführbare Datei wird über ein Instant Messaging-Programm installiert.

Über E-Mail installiert
Die ausführbare Datei wird über ein E-Mail-Programm installiert.

Über einen Browser installiert
Die ausführbare Datei wird über einen Browser installiert.

Die ausführbare Datei ist gepackt
Die ausführbare Datei ist gepackt (komprimiert oder verschlüsselt). Im Allgemeinen wird hierdurch die Größe einer ausführbaren Datei reduziert. Viele schädliche Programme sind gepackt, um von Mechanismen, die auf Signaturen beruhen, nicht erkannt zu werden.

Versteckter Dienst
Die ausführbare Datei ist als Systemdienst registriert, der für den Benutzer nicht sichtbar ist. Dieses Rootkit-ähnliche Verhalten ist äußerst verdächtig.



/OT

Edit: Nachtrag

Der Beitrag wurde von Solution-Design bearbeitet: 23.11.2007, 22:40

[Voyager]

Wer sagt das Norton 2008 würde die Registry nicht überwachen ? Man kann das sogar so einstellen das eine Tray Info erscheint.
Bild anschauen -> in die Ecke stellen mit dem Gesicht zur Wand und Schämen !

Der Beitrag wurde von bond7 bearbeitet: 23.11.2007, 22:50

Angehängte Datei(en)

 11.jpg ( 176.84KB ) Anzahl der Downloads: 65

 

[Gast_Xeon_*]

^^.....und zusätzlich könnte man das betroffene Programm,das die Registry verändert hat,auch gleich direkt über einen "Entfernen" Button im Sicherheitsverlauf ins Jenseits schicken.

Der Beitrag wurde von Xeon bearbeitet: 23.11.2007, 23:04

[hypnosekroete]

Hab sowohl KIS07 und NIS08 ausprobiert und mein Favorit ist ganz klar die NIS und zwar der Performance wegen...
Ich bin ja von GData IS 07 auf KIS07 umgestiegen und hab gedacht, der Performancegewinn war so enorm, daß mehr nicht gehen würde und hatte vor der NIS immer ein wenig Manschetten, da meine letzten Erfahrungen (mit der 06) nicht die besten waren...
Nach den vielen positiven Berichten hier hab ich die NIS dann mal probiert und war schwer begeistert, Systemstart mehrere Sekunden schneller, Outlook und die MSO-Programme sind schneller einsatzbereit und merkwürdigerweise geht auch das runterfahren schneller.

Ein weiterer Punkt an der NIS der mir besser gefällt als an der KIS ist die Benutzerführung.
Zwar bietet Kaspersky da mehr Möglichkeiten ein "Feintuning" vorzunehemen, die NIS ist da vom Gefühl her erstmal beschränkter, in etwa so das man bei der KIS Einstellungen im Sinne von 0%-100% vornehmen kann, wo bei der NIS nur "An"-und "Aus" möglich sind - aber mehr will ich persönlich gar nicht...

Und die 0,XX% bessere Erkennungsleistung der KIS hol ich einfach mit Bräin wieder raus, so ist zumindest mein Plan.
Ich möchte schon ein AV und eine FW, am liebsten eine Suite, laufen haben - aber halt nur als zweite Verteidigungslinie nach Bräin.

Deshalb hab ich mich für die für die in meinen Augen weniger Arbeits- und Interaktionsintensive entschieden...

[freedom1]

Mmm, wenn Norton IS 2008 die Registry ueberwacht, dann frage ich mich, weshalb er mir, als ich zu testzwecken Eintraege im Run-Schluessel der Registry geloescht oder hinzugefuegt hatte, nicht gemeldet hat. Bei Kaspersky bekomme ich den Zugriff sofort gemeldet. Und ohne entsprechende Bestaetigung (zulassen), kann ich da nichts aendern.
Dann bleibt noch das Problem, das Norton IS 2008 anstandslos ActiveX Steuerelemente ohne entsprechende Meldung ausfuehren laesst. Dazu braucht man nur auf einige bestimmte Webseiten zu gehen, um das zu testen. Mehr will ich hier nicht sagen. Wie schon mal erwaehnt, Kaspersky oder Bitdefender meldet mir, das hier im Hintergrund was ausgefuehrt werden soll, und zeigt mir eine Meldung, in der ich zulassen oder verbieten kann. Was die Performance und die Zugriffsgeschwindigkeit auf Dateien betrifft, ist Norton IS 2008, dem Kaspersky natuerlich weit voraus, das kann ich nur unterstreichen. Das ist auch ein Punkt, der mich an Kaspersky wirklich nerft. Aber man kann halt nicht alles haben. In der Regel ist es auch so, das die Geschwindigkeit meist auch immer mit "weniger" Sicherheit erkauft wird. Und das ist nicht nur bei Software so.


Mir faellt da noch was anderes zu dem Bild etwas weiter oben (Registry Ueberwachung) bei Norton IS 2008.
Die Funktion an sich ist ja schon interesant, wenn man von Norton angezeigt bekommt, das z.B. irgend eine bestimmte Exe-Datei eine Aenderung der "Windows-Start-Parameter" vorgenommen hat. Fuer mich persoenlich stellt das aber keine "Sicherheit" dar. Denn die Meldung bekommt man ja, nachdem etwas geaendert wurde. Wenn man hier von "Sicherheit" sprechen will, muesste aber eine entsprechende Meldung kommen, das z.B. "xxx.exe" versucht eine Aenderung in der Registry, bevor die Aenderung in die Registry geschrieben wird. Denn in der Regel ist es so, wenn sich z.B. ein Vireneintrag in der Registry verewigt hat, laesst der sich zwar von Hand loeschen (wenn man ihn denn findet), aber unmittelbar nach dem Loeschen, oder auch beim Runterfahren des Rechners wird der entsprechende Registry-Eintrag sofort wieder vorgenommen. Das zeigen jedenfalls meine Erfahrungen mit einigen Anti-Virenprogarmmen (darunter auch Norton Internet Security 2006). Wenn aber der Registry-Einrag erst einmal unterbunden wird (wie z.B. bei Kaspersky IS 2006 oder 2007) der Fall, und erst auf entsprechende Bestaetigung geschrieben wird, dann rede ich hier von "Sicherheit". Vorausgesetzt, man hat die Registry-Ueberwachung z.B. in Kaspersky IS 2007 ueberhaupt eingeschaltet. Denn die Entfernung solcher "boeser" Regsitry-Eintraege von Hand, ist oft sehr muehsam und zeitaufwendig, da oft noch sogenannte "Backup-Registry-Eintraege" durch die "Viren" vorgenommen werden. Schliesslich soll eine "Sicherheitssoftware" den Anwender ja vor etwas bestimmtes "schuetzen", und nicht nur Meldungen ausgeben, die ihm sagen, das was geaendert wurde. Denn die meisten PC-Nutzer, und das ist Fakt, kennen sich mit dem System und im speziellen, der Registry nicht aus, und wuessten dem entsprechend gar nicht, Wie oder Wo sie was in der Registry aendern oder loeschen muessten, um den "schaedlichen" Eintrag zu beseitigen.

Nichts desto trotz ist natuerlich klar: JEDE Sicherheitssoftware, egal von welchem Hesteller diese stammt, hat seine Vor und Nachteile bzw. Schwachstellen!!! Nichts was der Mensch erschafft oder je erschaffen hat, ist wirklich perfekt oder wirklich sicher!!!!! Somit muss sich jeder von uns PC-Nutzern mit diversen Dingen mehr oder weniger "rumaergern".

Der Beitrag wurde von freedom1 bearbeitet: 24.11.2007, 08:08

[Voyager]

Dann gib mal ein Beispiel damit man das nachvollziehen kann .

[Julian]

Denn die Entfernung solcher "boeser" Regsitry-Eintraege von Hand, ist oft sehr muehsam und zeitaufwendig, da oft noch sogenannte "Backup-Registry-Eintraege" durch die "Viren" vorgenommen werden.

Mit KIS ist das nicht allzu mühselig
Der proaktive Schutz verfügt über eine Rollback-Funktion, welche bei mir bei Testzwecken noch wieder alle zugelassenen Registryänderungen von Malware rückgängig gemacht hat

Der Registry-Guard von KIS ist zwar konkurrenzlos, allerdings heisst das nicht, dass andere Produkte ohne ein solches Feature gleich eine "Lücke" haben.

[maxos]

Mit KIS ist das nicht allzu mühselig
Der proaktive Schutz verfügt über eine Rollback-Funktion, welche bei mir bei Testzwecken noch wieder alle zugelassenen Registryänderungen von Malware rückgängig gemacht hat

Wo finde ich in KIS diese Rollback Funktion bzw. wie kann ich sie verwenden.
Finde da nichts.

[Gast_J4U_*]

Wer sagt das Norton 2008 würde die Registry nicht überwachen ?

freedom1

Diese Funktion ist für mein Empfinden noch nicht ganz ausgereift. Auf einem eigenen Rechner kann ich auf diese Art der Überwachung gut verzichten, mir fehlt dafür die permanente Überwachung und Abfrage von Autostarteinträgen. Bei neuen Einträgen erscheint für gewöhnlich keine Meldung und permanent keine Abfrage, ob ich dies zulassen will. In einer zukünftigen Version hätte ich diese Funktion gern implementiert.
Genau genommen ist diese Funktion auch keine Überwachung, sie entspricht eher einer Protokollierung. Änderungen werden wohl aufgelistet, sie lassen sich aber weder rückgängig machen noch verhindern. Auf einem Fremdrechner ist diese Überwachung natürlich oftmals eine grosse Hilfe. Wenn die Urschreie eines DAUs "Ich weiss auch nicht, was der heute wieder macht", gefolgt von "Ich habe überhaupt nichts gemacht" ertönen, dann lässt sich oftmals nachweisen, dass er/sie eben doch etwas gemacht hat.
Um nicht missverstanden zu werden: Für diese Funktion gibt es ein eindeutiges Plus, da sie neu ist. Ein Minus würde sich Symantec bei der nächsten Version verdienen, wenn dieser Programmteil nicht weiterentwickelt würde.

Noch etwas an Solution-Design: Ich habe Deinen Screenshot bezüglich der Mailüberwachung begriffen.

Servus
J4U

[Julian]

Wo finde ich in KIS diese Rollback Funktion bzw. wie kann ich sie verwenden.
Finde da nichts.

Nachdem z.B. malware.exe als Invader vom proaktiven Schutz klassifiziert wurde und du die App killst, erscheint ein weiteres Fester vom proaktiven Schutz welches dir anbietet, die von der Malware gemachten Änderungen rückgängig zu machen.
Du kannst dies auch mit manchen Leaktests ausprobieren.

Dieses Feature gibt es nur für XP 32 und W2k.

[maxos]

@evil religion

Thanks.

Generell weil ich hier immer wieder lese, NIS ist deutlich besser in Sachen Performance.
Also Kaspersky mit den Standardeinstellungen + Hakerl noch bei potentiell gefährlicher Software dürfte sicherlich nicht langsamer sein.
Und da läuft der proaktive Schutz bereits in Echtzeit teilweise lt. Werkseinstellung mit.

Kaspersky macht mittels Datei-Antivirus nach jedem booten einen kleinen Scan 2-4 Minuten lang hinsichtlich ISwift was zu 7-30% Systemauslastung führt, aber ansonsten kann ich nichts beanstanden.