Prevx Edge erschienen Einstellungen

[Aasblume]

Wenn ich mir ein Video auf Youtube ansehen will, läd das Video, der "rotierende Ladekringel" im FF bleibt stehen, dann verschwindet das SafeOnline Symbol im Browser und.....FF ist abgestürzt und läßt sich nur per ProcessExplorer abschießen.
Wenn das das SafeOnline ist, das jetzt endlich auf 64bit läuft......sorry [attachment=5654:irre.gif]

[Xlice]

hab hier auf FF Probleme. Aüßert sich in Langen ladezeiten und abstürzen des Browser.

[Habakuck]

Wenn ich mir ein Video auf Youtube ansehen will, läd das Video, der "rotierende Ladekringel" im FF bleibt stehen, dann verschwindet das SafeOnline Symbol im Browser und.....FF ist abgestürzt und läßt sich nur per ProcessExplorer abschießen.
Wenn das das SafeOnline ist, das jetzt endlich auf 64bit läuft......sorry [attachment=5654:irre.gif]

Der Bug ist bekannt. Liegt an FireFox 3.5.6. Mit FireFox 3.5.5 gab es das Problem nämlich noch nicht und .6 ist ja erst gestern verteilt worden.

Joe wird das ziemlich schnell beheben können denke ich. Ein Scanlog hat er bereits von mir.

Der Beitrag wurde von Habakuck bearbeitet: 18.12.2009, 14:37

[markusg]

vor allem ist es die erste beta für 64 bit, da sollte man sich doch nciht beschweren denke ich. genauso wenig wie darüber, dass prevx final sich verzögert, wenn testbedarf ist und dieser genutzt wird, ist das doch gut. bei kaspersky zb frage ich mich, wann die überhaupt mal keinen beta test zu laufen haben. da war die version 2010 ja schon mitte 2009 da, da hätte man sich zeit nehmen sollen, und schön alle fehler ausmerzen können.
edit ist doch schon release. aber trotzdem hat man sich mehr zeit gelassen, als manch andere es tun würden bzw getan haben.

Der Beitrag wurde von markusg bearbeitet: 18.12.2009, 14:46

[Knuffi]

Im FF oben rechts
[attachment=5652:Unbenannt.PNG7.PNG]

Hallo
Das geht aber nur mit der Vollversion oder?
Bei der Testversion hatte ich das nicht

Gruß
Knuffi

[SLE]

Ich habe mich wirklich mit dem Prog beschäftigt Sebastian und war und bin sehr misstrauisch. Aber es wird wirklich eine Verhaltensanalyse vorgenommen!
Unbekannte Dateien werden nach einem Risiko Index bewerte (kommen aus dem Browser, vom PDF reader gestartet usw) und dann auf den Server geuppt. Dort wird die Analyse vorgenommen und ein Ergebniss zurückgeschickt.

Danke sowas hatte PrevxHelp bei Wilders ja auch schon zusammengereimt, ähm vermeldet.
Jedoch: Mir erschließt sich der Sinn so einer "in the cloud" Verhaltensanalyse absolut nicht - soll die gründlich sein, kann sie nicht schnell sein (wg. Hochladezeit, hashes reichen hier ja nicht) und sonstige mögliche Reaktionszeitvorteile einer Cloud greifen hier auch nicht wirklich.

Aber vor allem: Das alles sagt nur, dass PREVX online eine Art Verhaltensanalyse durchführt - ob diese stark ist wie behauptet etc. kann man nirgends sehen. Ich glaube nicht, dass PREVX da derzeit z.B. mit Sonar2, PDM & Co. mithalten kann.

Und was du als Antwort auf Aymibiens Kommentar erläutert hast ... Naja. Sinngemäß "wenn ich die Heuristik ganz hochstelle arbeitet PREVX mit einer Art Whitelist". Das entspricht genau meiner Beobachtung - was PREVX nicht kennt wird bemängelt und angemeckert - aber scheinbar unabhängig vom potentiellen Schadverhalten. Du brauchst zum Beispiel nur eine ganz einfache exe kompilieren (mein Bsp. damals war: aufrufen einer einfachen Funktion von ImgBurn per CLI) und in das Windows Verzeichnis packen - du wirst sehen wie PREVX meckert...

All das spricht für den Whitelist Ansatz aber nicht für starke Heuristiken oder Verhaltensanalysen.

[Aasblume]

@Knuffi
Oh....bei mir läuft die Kaufversion. Ob das bei der free anders ist....HABAKUCK !!!

[Aasblume]

Der Bug ist bekannt. Liegt an FireFox 3.5.6. Mit FireFox 3.5.5 gab es das Problem nämlich noch nicht und .6 ist ja erst gestern verteilt worden.

Joe wird das ziemlich schnell beheben können denke ich. Ein Scanlog hat er bereits von mir.

Das stimmt nicht so ganz. Die .6 gibt es jetzt schon 3 Tage ( http://www.rokop-security.de/index.php?s=&...st&p=295309 ), und somit hätte man noch 2 Tage Zeit gehabt die beta zumindest mit dem Hinweis zu versehen, dass es mit FF Probleme gibt.

Edit: Der link führt jetzt schon zur 3.6 beta

Der Beitrag wurde von Aasblume bearbeitet: 18.12.2009, 16:13

[rolarocka]

Macht es doch nicht so kompliziert. Prevx ist ein ganz gewöhnliches AV mit Verhaltenserkennung wie jedes andere Produkt auch. Die Signaturen liegen auf dem Server und die restliche Erkennung (heuristik usw) auch. Das gute an Prevx ist, das man es im Gegensatz zu anderen AVs, mit fast allen anderen AVs kompatibel ist. Also euer so geliebtes "traditionelles" AV mit Prevx. Was kommt dabei heraus? Ja eine super Erkennung. Außerdem wie kann man gegen ein Produkt etwas haben, daß 0% CPU verbraucht? Jetzt bitte keine Diskussion über Erkennungsraten. Das ist immer die selbe Schallplatte.

Der Beitrag wurde von rolarocka bearbeitet: 18.12.2009, 16:20

[Habakuck]

Danke sowas hatte PrevxHelp bei Wilders ja auch schon zusammengereimt, ähm vermeldet.
Jedoch: Mir erschließt sich der Sinn so einer "in the cloud" Verhaltensanalyse absolut nicht - soll die gründlich sein, kann sie nicht schnell sein (wg. Hochladezeit, hashes reichen hier ja nicht) und sonstige mögliche Reaktionszeitvorteile einer Cloud greifen hier auch nicht wirklich.

Aber vor allem: Das alles sagt nur, dass PREVX online eine Art Verhaltensanalyse durchführt - ob diese stark ist wie behauptet etc. kann man nirgends sehen. Ich glaube nicht, dass PREVX da derzeit z.B. mit Sonar2, PDM & Co. mithalten kann.

Und was du als Antwort auf Aymibiens Kommentar erläutert hast ... Naja. Sinngemäß "wenn ich die Heuristik ganz hochstelle arbeitet PREVX mit einer Art Whitelist". Das entspricht genau meiner Beobachtung - was PREVX nicht kennt wird bemängelt und angemeckert - aber scheinbar unabhängig vom potentiellen Schadverhalten. Du brauchst zum Beispiel nur eine ganz einfache exe kompilieren (mein Bsp. damals war: aufrufen einer einfachen Funktion von ImgBurn per CLI) und in das Windows Verzeichnis packen - du wirst sehen wie PREVX meckert...

All das spricht für den Whitelist Ansatz aber nicht für starke Heuristiken oder Verhaltensanalysen.

Es wird eine Voranalyse auf dem Host vorgenommen.

Wie effektiv das ist kann man in den von mir angesprochenen Tests sehen.
Warüber streiten wir hier eigentlich? Die Tests zeigen eindeutig das PrevX in der Lage ist neue Malware zuverlässig zu erkennen. Das ist auch meine Erfahrung.

Du drehst mir übrigens die Worte im Munde um denn ich sagte WENN man die Heuristik hochdreht arbeitet es nahezu als Whitelist Programm. Aber auch nur wenn. Denn wenn nicht werden unbekannte Anwendungen von der Heuristik bewertet und dann geblockt oder nicht. Dabei spielt es eine signifikante Rolle wo die Datei herkommt, was sie tut, wie alt sie ist, auf weivielen Rechner sie auftaucht wie schnell sie sich verbreitet usw.). Was soll daran denn bitte keine Verhaltensanalyse sein?
Wenn man die Heuristik hochschrabut wird sie halt so aggressiv das fast alles geblockt wird wofür keine "good" flagge vorhanden ist. Daher dann fast ein Whitlist Programm. Es bleibt aber trotzdem dabei, dass PrevX das Verhalten einer Anwendung analysiert.

PS:

Du brauchst zum Beispiel nur eine ganz einfache exe kompilieren (mein Bsp. damals war: aufrufen einer einfachen Funktion von ImgBurn per CLI) und in das Windows Verzeichnis packen - du wirst sehen wie PREVX meckert...

Meckert Kaspersky's PDM da nicht?
Weisst du mir ist es ganz lieb, dass PrevX meckert wenn eine völlig unbekannte Datei ohne digitale Signatur in meinem Windows Ordner versucht zu starten.


Der Beitrag wurde von Habakuck bearbeitet: 18.12.2009, 16:42

[Aasblume]

Da ich mich grade gefragt habe, warum Ihr alle von beta redet:
Wenn ich auf der homepage die 64bit Version von Prevx 3 runterlade ( http://info.prevx.com/downloadcsi.asp ), und nicht über http://www.rokop-security.de/index.php?s=&...st&p=295478 bekomme ich zwar "nur" die alte GUI, aber
[attachment=5656:Unbenannt.PNG8.PNG]

-selbe Version ( die 5.40)
-SafeOnline ist mit drin. Also nix beta
-Abspielen von Videos auf Youtube geht, FF .6 friert nicht ein
-Erstmal (!!!)

[Habakuck]

Da ich mich grade gefragt habe, warum Ihr alle von beta redet:
Wenn ich auf der homepage die 64bit Version von Prevx 3 runterlade ( http://info.prevx.com/downloadcsi.asp ), und nicht über http://www.rokop-security.de/index.php?s=&...st&p=295478 bekomme ich zwar "nur" die alte GUI, aber
[attachment=5656:Unbenannt.PNG8.PNG]

-selbe Version ( die 5.40)
-SafeOnline ist mit drin. Also nix beta
-Abspielen von Videos auf Youtube geht, FF .6 friert nicht ein
-Erstmal (!!!)

Das kann eigentlich nicht so ganz sein. Denn es ist nur die GUI eine andere.
Bei mir geht es bei einigen Videos übrigens auch, bei anderen nicht.

[Aasblume]

Leider hast Du Recht!!! Aber das schlimmste:
Habe jetzt mehrmals das selbe Video aufgerufen. Mal geht's, mal nicht
Dann das ALLERschlimmste:
SafeOnline deaktivieren bringt nicht's
Da es sich jetzt auch noch um die offizielle auf der homepage handelt, also es jetzt wohl einige runterladen und nicht Informationen über ein Forum bekommen, man also keine Chance hat.....

PREVX hat sich somit in meinen Augen selbst in's Knie gef.... [attachment=5657:wall_nut.gif]

[SLE]

Warüber streiten wir hier eigentlich? Die Tests zeigen eindeutig das PrevX in der Lage ist neue Malware zuverlässig zu erkennen. Das ist auch meine Erfahrung.

Wir streiten doch gar nicht
Ich habe nie bestritten, dass PREVX neue Sachen zuverlässigt erkennt. Die Frage ist wie - und da fehlen mir die Beweise für die behaupteten achso starken Heuristik und Verhaltensanalysefunktionen.

Dabei spielt es eine signifikante Rolle wo die Datei herkommt, was sie tut, wie alt sie ist, auf weivielen Rechner sie auftaucht wie schnell sie sich verbreitet usw.). Was soll daran denn bitte keine Verhaltensanalyse sein?

Für mich ist nur das markierte Verhaltensanalyse - der Rest sind Statistiken die zur Klassifizierung eingesetzt werden.

PS: Meckert Kaspersky's PDM da nicht?

Kommt auf den Kompiler an - aber Kaspersky ist da nicht so sensibel wie viele Mitbewerber denen der schon reicht um etwas als Bedrohung einzustufen. Meist hat die Heuristik nichts zu bemängeln und der PDM schlägt dann nur an wenn kritische Aktionen ausgeführt werden bei anderen Sachen greift zusätzlich das HIPS, je nach Einstellung. Verhaltensüberwachung halt

[rolarocka]

Warum sollen den sogenannte Statistiken zur Klassifizierung nicht zur Verhaltensbasierte Erkennung gehören? Nur weil das Kaspersky anscheinend anders macht? Oder etwa gar nicht? Versteh ich nicht...

Der Beitrag wurde von rolarocka bearbeitet: 18.12.2009, 17:33

[Habakuck]

Warum sollen den sogenannte Statistiken zur Klassifizierung nicht zur Verhaltensbasierte Erkennung gehören? Nur weil das Kaspersky anscheinend anders macht? Oder etwa gar nicht? Versteh ich nicht...

Ich auch nicht. Für mich gehört das ebenso dazu wie die Analyse dessen was die Datei auf dem Rechner treibt.

Sebastian wie würdest du dir denn erklären, dass sich PrevX mit einer (H) Flag meldete als ich versucht habe Vista Firewall Control zu installieren? Das (H) steht für einen Heuristischen Fund. Dabei wird die Analyse sogar auf dem Host vorgenommen, unabhänging von der Cloud. (Kann man auch nachvollziehen da kein "Analysing File..." Fenser erschien.)
(B) oder (BP) stehen für Files die von der Server Sandbox nach einer Verhaltensanalyse als schädlich markiert wurden oder manuell per Hand als schädlich eingestuft wurden.

Es wird also eine Verhaltensanalyse auf dem Host vorgenommen und auf dem Server ebenfalls falls die Px5 nicht bekannt ist.

Das System ist sehr verzahnt ineinander und schwierig zu durchdringen.

[Seeadler]

Nur eine kleine Anmerkung: Ich nutze und teste KIS mit PrevX zusammen seit mehreren Wochen problemlos miteinander. Da PrevX den Rechner nicht belastet und aufgrund eurer Ausführungen auch anders als KIS arbeitet, ist PrevX eine wunderbare Ergänzung. Einfach mal so ganz praktisch gedacht ...

[Habakuck]

Ich auch nicht. Für mich gehört das ebenso dazu wie die Analyse dessen was die Datei auf dem Rechner treibt. Es ist denke ich sogar äußerst wichtig den Gesamtzusammenhang zu sehen. Beispielsweise wenn eine Datei sich sprungartig in der Cloud vermehrt deutet das auf einen Wurm hin den PrevX recht schnell erwischn würde. Viel schneller als das ein AV kann (ob mit oder ohne BB denn auch die finden nicht alles).

Sebastian wie würdest du dir denn erklären, dass sich PrevX mit einer (H) Flag meldete als ich versucht habe Vista Firewall Control zu installieren? Das (H) steht für einen Heuristischen Fund. Dabei wird die Analyse sogar auf dem Host vorgenommen, unabhänging von der Cloud. (Kann man auch nachvollziehen da kein "Analysing File..." Fenser erschien.)
(B) oder (BP) stehen für Files die von der Server Sandbox nach einer Verhaltensanalyse als schädlich markiert wurden oder manuell per Hand als schädlich eingestuft wurden.

Es wird also eine Verhaltensanalyse auf dem Host vorgenommen und auf dem Server ebenfalls falls die Px5 nicht bekannt ist.

Das System ist sehr verzahnt ineinander und schwierig zu durchdringen.

[SLE]

Warum sollen den sogenannte Statistiken zur Klassifizierung nicht zur Verhaltensbasierte Erkennung gehören? Nur weil das Kaspersky anscheinend anders macht? Oder etwa gar nicht? Versteh ich nicht...

Mit KL hat es erstmal gar nichts zu tun (auch dort werden solche Daten über das KSN gesammelt und ZUSÄTZLICH herangezogen). Dies ist nicht der Grund - micht interessiert eseinfach.

Zur Entscheidung bei Unsicherheit und als Ergänzung sind sie gut und richtig - das habe ich nie bestritten.
Zur Verhaltensanalyse im engeren Sinne gehört es aber für mich nicht, denn es kann eine völlig harmlose Datei sein, die ganz neu ist und (für das Programm) erstmals und einzig auf dem Rechner vorkommt. (2 Prevx Kriterien erfült) Bei der Verhaltensanalyse geht es im Kern um die Frage "Was macht die Datei" - der Rest darf nur Beiwerk sein.

@Habakuck: In deinem Beispiel würde ich zur selben Argumentation wie du kommen. Nur: Ich sehe dabei nicht diese "starken Verhaltensblocker Fähigkeiten" - die sehe ich bisher nur im Marketing (da waren sie zu CSI Zeiten schon ganz groß). Das man jedoch selbst bei PREVX (ab Version 4 soll es ja noch etwas mehr werden) Richtung lokale Analyse geht ist eine erfreuliche Entwicklung. Generell würden mich mal explizitere Tests von PREVX freuen - ein guter Verhaltensblocker muss imo auch mit gekappter Internetverbindung funktionieren.

[Habakuck]

Nur eine kleine Anmerkung: Ich nutze und teste KIS mit PrevX zusammen seit mehreren Wochen problemlos miteinander. Da PrevX den Rechner nicht belastet und aufgrund eurer Ausführungen auch anders als KIS arbeitet, ist PrevX eine wunderbare Ergänzung. Einfach mal so ganz praktisch gedacht ...

Jo, so sieht sich PrevX ja auch.

Joe sagt immer: PrevX should be just one layer in your defence.

Ich erhoffe mir sehr viel von der Version 4 da man dann hoffentlich etwas bessere Einblicke in das bekommt was PrevX eigentlich tut.

Btw. Sonar arbeitet imho recht ähnlich zu PrevX. Denn auch Sonar ist so wie ich das verstanden habe sehr eng mit FileInsight verknüpft.
Und Sonar loben ja auch in den Himmel (zu Recht wie ich finde!).

Übrigens hat PrevX durchaus Erfahrung mit HIPS und BB und so. In Version 2 hatten sie ein HIPS mit dabei mussten aber feststellen, dass das die User absolut nicht beschützt hat. (Altes Thema mit dem KlickeFinger). Daher sind sie jetzt dazu übergegangen die Analyse automatisch auszuwerten und dann einfach zu sagen schädlich oder nicht.

Der Beitrag wurde von Habakuck bearbeitet: 18.12.2009, 18:56