Prevx Edge erschienen Einstellungen

[Habakuck]

Weitere Fragen:

Wie schützt mich Prevx vor Exploits oder anderen Agriffen die nur über den Browser oder vertrauenswürdige Apps laufen? Ich blicke durch die Schutzmechanismen noch nicht ganz durch...

Denn so wie ich das Prog bisher sehe ist es "nur" ein Dateienscanner bzw. Analysator. Das allerdings ziemlich gut! Und verdammt schnell.
Aber wenn keine neue Datei vorhanden ist, also zum Beispiel im Internet eine verseuchte pdf über das Adobe Plugin im FireFox angeguckt wird wie schützt mich Prevx dann? Oder stößt das Prog da an seine Grenzen?

[Gast_Nightwatch_*]

Bzw. kann man irgendwie sehen ob evtl. auch alle drei oder nur zwei der Komponenten anschlagen?

Hi
Meines Wissens nach leider nicht.

Wie schützt mich Prevx vor Exploits oder anderen Agriffen die nur über den Browser oder vertrauenswürdige Apps laufen? Ich blicke durch die Schutzmechanismen noch nicht ganz durch...
[...]
Aber wenn keine neue Datei vorhanden ist, also zum Beispiel im Internet eine verseuchte pdf über das Adobe Plugin im FireFox angeguckt wird wie schützt mich Prevx dann?

Prevx erkennt Exploits auch dann, wenn sie direkt eine Apllikation "exploiten". Also nicht nur per Installationsfile und Datei auf dem PC.
Siehe dazu hier:
http://www.wilderssecurity.com/showpost.ph...mp;postcount=44

Gruß,
Nightwatch

[Draco]

Ich habe heute PrevX mit Eset getestet. Nach einem Neustart startet PrevX nicht mehr und es lässt sich auch nicht deinstallieren, da die Anwendung ständig abstürzt.

Auf einem Testsystem mit NOD 32, PrevX unter Windows 2000 konnten 34 Dateien aus dem 500 Malware-Sample-Thread nicht gelöscht werden.

Macht also 93,2 %. Ich teste jetzt PrevX und Eset unter Windows Vista x64 und schaue mal, was da so übrig bleibt. Dieses Ergebis hier, finde ich jedoch nicht so überragend, besonders da PrevX auf dem Produktivrechner nur noch Fehlermeldungen erzeugt.

[Gast_Nightwatch_*]

Ich habe heute PrevX mit Eset getestet. Nach einem Neustart startet PrevX nicht mehr und es lässt sich auch nicht deinstallieren, da die Anwendung ständig abstürzt.

Ist ja schade . Habe die Kombination nicht ausprobiert. Prevx läuft bei mir stand-alone unter Vista 32. Hier habe ich keinerlei Schwierigkeiten.
Hast Du unter dem Reiter "Self-Protection" die maximale Schutzstufe eingestellt? Wenn ja, kann das zu Problemen mit anderen Sicherheitsprogrammen führen.

Auf einem Testsystem mit NOD 32, PrevX unter Windows 2000 konnten 34 Dateien aus dem 500 Malware-Sample-Thread nicht gelöscht werden.

Bei mir blieben 28 Dateien im Ordner ohne Fehlermeldung. Von diesen Dateien wurden 26 beim Ausführen geblockt. Macht 2 nicht erkannte Samples. Eigentlich schon ein recht gutes Ergebnis: http://www.rokop-security.de/index.php?s=&...st&p=274701
Was gibt es bei Dir für Fehlermelungen?

Gruß,
Nightwatch

[Draco]

PrevX Computer Security Investigator funktioniert nicht mehr.

Danach sucht Windows nach einer Problemlösung.

Versuche das Programm mal neu aufzusetzen. Habe den Scan mit NOD32 ohne PrevX ausgeführt. Es wurden dabei 23 Dateien nur noch übergelassen. Da haben sich wohl PrevX und NOD in die Haare bekommen?!

Es war der minimale Schutz eingestellt und alles lief auch über 2 Tage bis heute nichts mehr geht. Sehr seltsam. Einzige Änderung am System war die Installation von VMWare. Das sollte aber PrevX egal sein?!

Der Beitrag wurde von Draco bearbeitet: 22.05.2009, 12:11

[Gast_Nightwatch_*]

Habe den Scan mit NOD32 ohne PrevX ausgeführt. Es wurden dabei 23 Dateien nur noch übergelassen. Da haben sich wohl PrevX und NOD in die Haare bekommen?!
[...]
Einzige Änderung am System war die Installation von VMWare. Das sollte aber PrevX egal sein?!

Prevx scannt keine Dateien on-access. Wenn Du mit NOD32 den On-demand-Scan des Ordners machst, sollte Prevx dort nicht in die Quere kommen.
Zum Kontext-Scan mit Prevx: Die Heuristik und Erkennung beim Ausführen der Dateien ist wesentlich präziser und höher. Daher konnten auch 26 Dateien zusätzlich abgegriffen werden. Beispiel: http://www.rokop-security.de/index.php?s=&...st&p=274895
Hier erkennt Prevx das Sample erst einmal nicht. Nur dann,. wenn es ausgeführt wird.

Die Installation von VMWare sollte ebenfalls nicht stören.
Komisch, dass es davor problemlos lief. Vielleicht bringt ja die Neu-Installation was.

Gruß,
Nightwatch

[Habakuck]

Beispiel: http://www.rokop-security.de/index.php?s=&...st&p=274895
Hier erkennt Prevx das Sample erst einmal nicht. Nur dann,. wenn es ausgeführt wird.

Gruß,
Nightwatch

Hattest du dort auch das "Problem", dass sich Prevx nicht komplett ausschalten lies?

[Gast_Nightwatch_*]

Hattest du dort auch das "Problem", dass sich Prevx nicht komplett ausschalten lies?

Hi
Jepp. Zunächst schon, bis ich dann gemerkt hatte, dass ich mich hier verklickt hatte:

Bin versehentlich auf die "24 Stunden-Begrenzung" gekommen und nicht auf die letzte Option.
Damit lässt sich der Schutz vollkommen anhalten. Bis zum nächsten Neustart zumindest.

Gruß,
Nightwatch

[Habakuck]

=) Sowas hab' ich mir schon gedacht.
Aber sollte nicht eigentlich auch bei den anderen Optionen alles abgeschaltet werden? Iwie blick ich das noch nicht so ganz. Ich dachte bei der ersten Option "Installations Modus" bleibt die Heuristik an. Bei allen anderen sollte doch eigentlich alles ausgehen oder net?

Wie werden Kritiken eigentlich vom Prevx Support aufgenommen? Lohnt es sich denen zu schreiben?

Ich habe nämlich zwei Punkte die mich stören:

- Ich kann nicht sehen wann ein Fund "in the Cloud" gefunden wurde. Auch wäre es schön wenn man unterscheiden könnte wann ein Fund überhaupt heuristisch gefunden wurde oder wirklich per Signaturen. Wenigstens im log könnte das auftauchen... Tut es das evtl. sogar? Da steht ab und an in Eckingen Klammer was..

- Und der Schutz sollte sich wirklich komplett beenden lassen. Auch mehr als einen Reboot lang...
Wenn ich zum Bleistift Combofix laufen lassen muss würde ich wetten dass sich die beiden spätestens nach dem Reboot ins Gehege kommen..

Der Beitrag wurde von Habakuck bearbeitet: 23.05.2009, 09:19

[Gast_Nightwatch_*]

- Ich kann nicht sehen wann ein Fund "in the Cloud" gefunden wurde. Auch wäre es schön wenn man unterscheiden könnte wann ein Fund überhaupt heuristisch gefunden wurde oder wirklich per Signaturen.

Hi
Prevx ist fast gänzlich eine Cloud-Anwendung. Deswegen ist die Installationsdatei nur wenige MB´s groß und die Speicherauslastung mit 8 MB (im Arbeitsspeicher) so gering. Und: Der komplette System-Scan dauert rund 2 Minuten. Das sind die ganzen Vorteile daran, wennman alles auslagert und nur über solche Monitoring-Technologien Malware aufspürt. Natürlich gibt es aber auch Nachteile.
Im Wilder´s Security Forum wurde das alles vor wenigen Tagen ganz gut erklärt:

Frage von einem Anwender:

Does Prevx still detect malware even if your PC is Offline?
Or do you have to stay connected to the Internet to be protected?

Antwort des Supports:

Prevx blocks known threats (ones you've encountered before) and mutations of them but to block new threats you do need to be online... for now We are adding adding functionality to block malware when offline/clean a system from a boot disk via a miniature copy of our database and we're adding functionality to heuristically block USB infections.

http://www.wilderssecurity.com/showpost.ph...mp;postcount=47

Es ist leider nicht möglich im Detail einzusehen, welches Modul den Fund generiert hat, da die drei Heuristik-Emulatoren sehr eng zusammen arbeiten. Mit der option "Apply before..." erzwingst Du die Anwendung aller Mechanismen für die Analyse neuer Dateien oder Prozessvorgänge. Somit kannst Du es häufig an den Infektions-Namen erkennen, ob etwas heuristisch gefunden wurde. Steht dort z.B. "Medium Risk Malware" oder "High Risk Worm" etc., dann ist es eine Signatur-Erkennung. Wobei man das so auch nicht ganz sagen darf, weil Prevx eigentlich nicht mit klassischen Signaturen arbeitet.
Steht dort aber "Community.Outer.Edge-Malware", ist schon wieder klarer, worher dieser Fund kommt.

- Und der Schutz sollte sich wirklich komplett beenden lassen. Auch mehr als einen Reboot lang...

Das fände ich auch sehr nett. Allerdings bin ich das schon von F-Secure gewöhnt. Die Software lässt sich auch nur bis zum nächsten Neustart deaktivieren. Der Support im Wilder´s Forum ist ziemlich schnell, freundlich und kompetent. Über E-Mail habe ich es bislang noch nicht versucht.
Zum Installationsmodus: Ja. Hier ist nur die Heuristik ausgeschaltet. Der Rest läuft, damit sich keine bereits bekannten, schädlichen Programme installieren lassen.

Gruß,
Nightwatch

[Habakuck]

Danke für die wie immer ausführlichen Erörterungen!

Prevx blocks known threats (ones you've encountered before) and mutations of them but to block new threats you do need to be online... for now We are adding adding functionality to block malware when offline/clean a system from a boot disk via a miniature copy of our database and we're adding functionality to heuristically block USB infections.

Verstehe ich das richtig?
Prevx findet Malware im offline Modus nur wenn sie mal bei mir selbst auf dem Rechner gelaufen ist? Das wäre ja nicht sonderlich prickelnd... Denn bei mir lief noch nie Malware.
Oder war das so gemeint, dass Prevx Malware im offline Modus findet wenn diese während ich noch online war schonmal "in the cloud" gefunden wurde?
Das wäre für mich verständlich und kein Problem denn ein Siganturen Scanner braucht ja auch aktuelle Signaturen um gut zu funktionieren.

Ich hoffe allerding sehr, dass sie noch was gegen USB Viren machen! Gibt es da im Moment überhaupt keinen Schutz wenn ich offline bin? Das kann ich mir grade nicht wirklich vorstellen... Bei mir ist der Autorun eh komplett deaktiviert aber trotzdem..

Medium Risk Malware" oder "High Risk Worm" etc., dann ist es eine Signatur-Erkennung. Wobei man das so auch nicht ganz sagen darf, weil Prevx eigentlich nicht mit klassischen Signaturen arbeitet.
Steht dort aber "Community.Outer.Edge-Malware", ist schon wieder klarer, worher dieser Fund kommt.

O.k. das reicht mir. Damit kann ich gut leben. Hatte bisher noch keinen Community.Outer.Edge Fund...

liebe Grüße

[Gast_Nightwatch_*]

Prevx findet Malware im offline Modus nur wenn sie mal bei mir selbst auf dem Rechner gelaufen ist? Das wäre ja nicht sonderlich prickelnd... Denn bei mir lief noch nie Malware.

Fast
Prevx findet und blockt im Offline-Modus die Malware, die sich schon einmal auf dem Rechner befand (oder noch befindet) plus Varianten und/oder ähnliche Programme.
Das ist nicht sonderlich prickelnd, aber für eine reine Cloud-Lösung völlig normal. In der neuen Version, die in wenigen Wochen erscheinen wird, gibt´s laut Prevx sehr viele Veränderungen.
Man muss halt wissen, worauf man sich bei solchen Lösungen einlässt. Schon allein der Name sagt ja, worum es sich hierbei handelt. Ich habe eine 24/7 DSL-Standleitung und wähle mich nicht manuell ein. Für solche PC´s gibt es fast nicht besseres, als soche Konzepte, weil man alle Ressourcen einspart und neuer Malware intelligent begegnen kann.
Wie ich schon schrieb, wird auch bei Symantec und & Co an solchen Programmen für die Zukunft gearbeitet, weil man davon ausgeht (ob richtig oder nicht), dass sich alles nur noch Online abspielt.

Ich hoffe allerding sehr, dass sie noch was gegen USB Viren machen! Gibt es da im Moment überhaupt keinen Schutz wenn ich offline bin?

Siehe oben. Hier nochmal eine kleine Übersicht von dem, was zeitnah kommen wird:

This updated version of Prevx 3.0 includes significantly better malware cleanup, additional layers of protection and much more extensive behavioral monitoring and reporting for corporate and consumer techies, but as quiet as the current release
[...] the secure browser functionality is built directly on top of the new behavior monitoring engine which is built on top of the current protection engine. There won't be any additional system impact (most likely less impact actually) but stability and ease of use are always our top concern

Zusammenschnitt aus: http://www.prevx.com/blog/130/Prevx---PCMa...ors-Choice.html / http://www.wilderssecurity.com/showpost.ph...mp;postcount=71 )

Offline-Änderungen:
Hinzu kommt die Auslagerung einer Basic-Datei mit den gängigsten "Signaturen" verschiedenster Infektionsmethoden für den Offline-Modus. Auch die Heuristik wird schärfer laufen und somit USB/PDF-Infektionen zuverlässiger erkennen können, wenn keine Internet-Verbindung besteht.
Aber ich bezweifle, dass Prevx (oder andere ähnliche Programme) offline genauso zuverlässig arbeiten können, wie gängige AV-Programme. Dafür gibt´s im Online-Status wieder viele Vorteile.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 23.05.2009, 13:45

[Habakuck]

Wie sieht das denn in folgendem Fall aus:

Ich lade mir das schädliche Programm X aus dem Internet herunter. Trenne die Internet Verbindung und führe die Datei dann aus.

Springt Prevx an oder nicht?

[Draco]

Wie sieht das denn in folgendem Fall aus:

Ich lade mir das schädliche Programm X aus dem Internet herunter. Trenne die Internet Verbindung und führe die Datei dann aus.

Springt Prevx an oder nicht?

Ich denke, dass da durchaus das Problem liegen könnte. Wobei ich noch nicht dazu gekommen bin das zu testen. Ich werde das jetzt in meiner VM testen.

Schätze aber, dass man PrevX in so einem Modus nur mit Internet benutzen kann oder als Zusatz für den AV.

[Gast_Nightwatch_*]

Ich lade mir das schädliche Programm X aus dem Internet herunter. Trenne die Internet Verbindung und führe die Datei dann aus.

Springt Prevx an oder nicht?

Hi
Es ist in diesem Fall egal, woher Du die Datei hast. Wichtig ist nur, dass während des Ausführens/oder des Scannens eine Internet-Verbindung besteht. Prevx ist nur dann wirklich stark, wenn es im Erkennungsfall auf eine permanente Internet-Leitung zurückgreifen kann. Das bezieht sich ebenso auf alle anderen Programme, die auf einer Cloud-Technologie basieren (z.B. Artemis von McAfee/ Deepguard von F-Secure/ Panda/ etc.)

Gruß,
Nightwatch

[Habakuck]

Hi
Es ist in diesem Fall egal, woher Du die Datei hast. Wichtig ist nur, dass während des Ausführens/oder des Scannens eine Internet-Verbindung besteht. Prevx ist nur dann wirklich stark, wenn es im Erkennungsfall auf eine permanente Internet-Leitung zurückgreifen kann. Das bezieht sich ebenso auf alle anderen Programme, die auf einer Cloud-Technologie basieren (z.B. Artemis von McAfee/ Deepguard von F-Secure/ Panda/ etc.)

Gruß,
Nightwatch

Hm, das ist ein bischen Schade... Ich hoffe inständig, dass das mit dem Update auf Q3 verbessert wird! Denn ich mag eigentlich nicht mehr als ein AntiViren Programm auf meinen Rechnern installiert haben...

Sagt mal ist es normal, dass prevx standardmäßig mit zwei prevx.exe im TM läuft?

Und bilde ich mir das ein oder ist der Speicherverbrauch bei mir um mehr als das Vierfache angestiegen nachdem ich zusätzlich Avast installiert habe?

Der Beitrag wurde von Habakuck bearbeitet: 23.05.2009, 18:40

[Gast_Nightwatch_*]

Hm, das ist ein bischen Schade... Ich hoffe inständig, dass das mit dem Update auf Q3 verbessert wird!

Ich denke schon, dass sich hier in der nächsten Version etwas tut und positiv verändert.
Habe eben noch einmal ein wenig offline getestet. Die Erkennungsrate sinkt schon merklich, aber es werden trotzdem noch viele Bedrohungen gefunden. Im Online-Status ist keines meiner ~5000 Samples durchgekommen, was ein absoluter Spitzenwert ist, den ich hier noch mit keiner anderen Lösung reproduzieren konnte. Hierfür standen alle Regler auf "Maximum", was aber im Gegenzug zu einigen FP´s führen kann.

Bei mir laufen ebenfalls 2 Prevx-Prozesse mit einer Speicherbelegung von je ca. 4MB. Warum beide laufen, kann ich leider nicht beantworten.
Mit avast habe ich nicht getestet.

Gruß,
Nightwatch

[Voyager]

@Nightwatch

Bei 6 Monate alten Samples ist das vll. uninteressant ob das mit oder ohne Cloud erkannt wird . Interessanter wäre es wenn die Clouderkennung bei 1 Stunde alten Samples greift , nur dafür ist das Wölkchen gemacht ! Teste das mal
Wo du die Dinger herbekommst ist dir bekannt.

Der Beitrag wurde von Voyager bearbeitet: 23.05.2009, 19:37

[Habakuck]

Ich denke schon, dass sich hier in der nächsten Version etwas tut und positiv verändert.
Habe eben noch einmal ein wenig offline getestet. Die Erkennungsrate sinkt schon merklich, aber es werden trotzdem noch viele Bedrohungen gefunden. Im Online-Status ist keines meiner ~5000 Samples durchgekommen, was ein absoluter Spitzenwert ist, den ich hier noch mit keiner anderen Lösung reproduzieren konnte. Hierfür standen alle Regler auf "Maximum", was aber im Gegenzug zu einigen FP´s führen kann.

Bei mir laufen ebenfalls 2 Prevx-Prozesse mit einer Speicherbelegung von je ca. 4MB. Warum beide laufen, kann ich leider nicht beantworten.
Mit avast habe ich nicht getestet.

Gruß,
Nightwatch

Danke für das Feedback. Wenn sie die offline Erkennung und die USB Stick Problematik bis zur nächsten Version händeln können dann werde ich für meine Familie und mich ein paar Lizenzen anschaffen. Ich bin nämlich schon länger auf der Suche nach einem guten aber stillen Begleiter für die DAUs....
Bisher läuft AntiVir aber das ist mir eher ein Dorn im Auge.
Avast finde ich eigentlich echt gut aber ein Vollscan dauert leider Jahrhunderte...

PS: Das Steuererklärungsprogramm Elster wird als Schädling erkannt. Heuristik alles maximal. In der Free Version wird nichts geblockt sondern ich kann nur auf Cleanup now drücken. Daraufhin startet ein Vollscan. Bei dem wird aber nichts gefunden.

PPS: Was ist eigentlich der Unterschied zwischen einem "Scan my PC now" einem Advanced Scan "Deep Scan" und einem Advanced Scan "Full Scan*"?

* nicht in der Free enthalten aber ich sehe die grau hinterlegte Option


Und was ist eigentlich das Prevx Edge Modul? Also was wird da noch mehr freigeschlatet wenn man das Prog aktiviert?

Der Beitrag wurde von Habakuck bearbeitet: 23.05.2009, 20:14

[Gast_Nightwatch_*]

PS: Das Steuererklärungsprogramm Elster wird als Schädling erkannt. Heuristik alles maximal. In der Free Version wird nichts geblockt sondern ich kann nur auf Cleanup now drücken. Daraufhin startet ein Vollscan. Bei dem wird aber nichts gefunden.

Ja, bei mir wird das Programm leider auch fälschlicherweise geblockt. Das sind die FP´s die ich meine, wenn alle Emulatoren auf "Maximum" stehen. Der System-Scan hinterher zeigt nur, dass die angebliche Malware keine weiteren Spuren im System hinterlassen hat und die Blockierung vollständig und lückenlos ausgeführt wurde. Bei einem FP ist das natürlich unnötig, bei richtiger Malware allerdings notwendig. Prevx greift bei der Ausführung der Dateien auf zusätzliche Heuristiken zurück. Daher gibt´s kein on-demand-Fund für Elster.

PPS: Was ist eigentlich der Unterschied zwischen einem "Scan my PC now" einem Advanced Scan "Deep Scan" und einem Advanced Scan "Full Scan*"?

Der "Deep Scan" ist ein gründliches Profil, das Rootkits, aktive und inaktive Malware und verdächtige Programme findet. Diese Profil ist identisch mit dem, welches unter dem Befehl "Scan my PC now" angestoßen wird. Also: Deep Scan = Scan my PC now.
Der Full-Scan unterscheidet sich vom oberen Profil nur in der Hinsicht, dass er nicht nur das Laufwerk der Systempartition scannt, sondern auch weitere Laufwerke bzw. Partitionen. Wenn die Festlatte beispielsweise in C:\, D:\, E:\ partitioniert wurde und auf C:\ das Betriebssystem liegt, würde der DeepScan ausschließlich C:\ scannen. Der Full-Scan hingegen auch die anderen beiden.

Und was ist eigentlich das Prevx Edge Modul? Also was wird da noch mehr freigeschlatet wenn man das Prog aktiviert?

Prevx 3.0 ist ein Zusammenschluss der früheren Versionen CSI und Prevx Edge. Die Vollversion beinhaltet beide Module.
Es gibt mittlerweile drei Ausführungen von Prevx 3.0 : Eine kostenlose Variante, eine Variante mit zusätzlichen Removal-Fähigkeiten (~20€) und eine Variante, die dazu noch in Realtime vor Bedrohungen schützt (das Edge-Modul)/ ~25€).
Hier gibt es eine schöne Übersicht über die Funktionen der einzelnen Module:
http://www.prevx.com/freescan.asp
(etwas weiter runterscrollen)

Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 24.05.2009, 00:11