Norton Antivirus 2010, Ich bin enttäuscht Einstellungen

[Rene-gad]

Hallo,

nach dem, als mein KAV mich immer öfters vom Netz trennte (zum letzten mal - nach dem Systemstart hatte ich nicht mal den Zugriff auf den Router), wollte ich was Neues ausprobieren und der noch laufenden KAV-Lizenz zum Trotz habe den hochgelobten NAV 2010 (17.1.0.19) installiert.

Die Installation - super-schnell, kein Neustart notwendig. Beim KAV musste man schon viel mehr Zeit/Geduld haben.
Die Updates - merke ich nicht, wann und wo. Beim KAV - eine Katastrophe, am Besten - alles weg lassen und warten, bis die Updates heruntergeladen in installiert sind.
Die Hintergrundaktivitäten - kaum bemerkbar, auch an meinem nicht ganz neuen PC. Beim KAV - etwas mehr bemerkbar, aber nicht drastisch mehr.
Fullscan - dauerte fast 3 h für ca. 400.000 Dateien, etwa 2 mal so lang, als KAV, dafür aber viel weniger störend.

Warum bin ich enttäuscht, wenn alles so super läuft?
Ein Kater ist schön, niedlich, macht kein Scheiß... aber wer braucht den Kater, der keine Mäuse jagt?
11 Samples nagelneuen Schädlinge (darunter Backdoors und Rootkits - eine TDSS-Modifikation) , davon nur 4 erkannt?!
Ich frage mich: an welchen Samples wurden alle Tests durchgeführt, die Norton an die Tabellenspitzen geschoben haben?!
Reaktionszeit? Naja, Symantec- Analytiker lassen sich scheinbar etwas mehr davon (vgl. KL).

ich will hier keine (Anti-)Werbung machen, ich habe einfach viel mehr erwartet.

[xri12]

11 Samples nagelneuen Schädlinge (darunter Backdoors und Rootkits - eine TDSS-Modifikation) , davon nur 4 erkannt?!

Wegen 11 Samples würde ich jetzt keine AV-Software verteufeln. Es ist doch klar, dass es immer wieder Dateien gibt die nicht erkannt werden, schlieslich hat Norton auch keine 100% Erkennungsrate( genauso wie alle anderen Produkte).
Vll solltest du mehr Samples testen, also an die 100-1000 und die Ergebnisse mit anderen AVs vergleichen.

Btw. werden die 11 Dateien nur von Norton nicht erkannt?


EDIT: Du könntest auch noch die nicht erkannten Samples mal ausführen und schauen was Sonar2 alles durchlässt; denke dass da auch noch ein Teil geblockt wird.

Der Beitrag wurde von xri12 bearbeitet: 13.11.2009, 14:35

[Gast_Aymibien_*]

ich will hier keine (Anti-)Werbung machen, ich habe einfach viel mehr erwartet.

dafür gibt es sonar . ich teste nicht, aber der soll sehr gut sein

[Gast_Metabolit_*]

Sonar 2 wird es wegfressen - Bestimmt sogar.
Ansonsten würde ich (Werbetrommel rühren) immer A-Squared dazu machen. Beide Programme - ergänzen sich gut. Was der eine nicht findet, jagt der andere weg

[Gast_Aymibien_*]

Sonar 2 wird es wegfressen - Bestimmt sogar.
Ansonsten würde ich (Werbetrommel rühren) immer A-Squared dazu machen. Beide Programme - ergänzen sich gut. Was der eine nicht findet, jagt der andere weg

is was dran, habe diese kombi . vertragen sich auch gut, habe bei a-squared aber das ids und surfschutz aus, aber autoupdate an...

[Rene-gad]

Du könntest auch noch die nicht erkannten Samples mal ausführen

Ach danke, Du bist echt nett

Btw. werden die 11 Dateien nur von Norton nicht erkannt?

Lt. Virustotal: aus den Großen bleibt nur Norton stumm. Nur Avira und KAV haben dort alle erkannt.

Sonar 2 wird es wegfressen - Bestimmt sogar.

Nein, tut er nicht.

Ansonsten würde ich....immer A-Squared dazu machen. Beide Programme - ergänzen sich gut. Was der eine nicht findet, jagt der andere weg

Um Gottes Willen - kein 2. Schutzprogramm an meinem System. Es ist doch kein Kampfpanzer, der dafür geschaffen ist, sondern ein PKW

[Voyager]

Lt. Virustotal: aus den Großen bleibt nur Norton stumm. Nur Avira und KAV haben dort alle erkannt.

zeigmal .

Nein, tut er nicht.

Du hast das doch sowieso nicht getestet.

[Rene-gad]

zeigmal .

http://www.virustotal.com/de/analisis/1c22...f920-1258112606
http://www.virustotal.com/de/analisis/c9e4...644c-1258113134
http://www.virustotal.com/de/analisis/aefe...678f-1258121033
http://www.virustotal.com/de/analisis/6e81...ed9a-1258121007
http://www.virustotal.com/de/analisis/f500...cf68-1258120983
http://www.virustotal.com/de/analisis/fcd6...3a69-1258114143
http://www.virustotal.com/de/analisis/484f...48cb-1258094382

Wenn Du noch brauchst - finde mich per PM

Du hast das doch sowieso nicht getestet.

Was heißt denn Nicht getestet? Wie soll ich das Deiner Meinung nach testen?

[Voyager]

In der VM ? Wo sonst...

Ich glaube das können wir uns sowieso schenken , die Dateien sehen nach Müll aus der aus irgendwelchen Sammlungen stammt , das sehe ich an den Dateiendungen.
Symantec ist in der Regel nicht an alten Samples interessiert , neue Samples die ich beispielsweise Heute direkt von der Malware URL lade werden relativ schnell erkannt dank der Insight Technik.
Ich sprach hier schonmal im Forum davon das ich Tag für Tag neue Samples in einen Virenordner ablege der seit Monaten gleichgroß bei 200 Objekten bleibt weil Norton in der Regel nur das Neue Zeugs erkennt. Der Ordner ist derzeit 182 Objekte groß.

Der Beitrag wurde von Voyager bearbeitet: 13.11.2009, 15:20

[Rene-gad]

In der VM ? Wo sonst...

Hab keine Lust! Hast Du? Schicke mir Deine E-Mail, Du bekommst 2-3 Samples und kann damit alles mögliche tun. Aber dann bitte die Ergebnisse hier posten. OK?

[xri12]

Hab keine Lust! Hast Du? Schicke mir Deine E-Mail, Du bekommst 2-3 Samples und kann damit alles mögliche tun. Aber dann bitte die Ergebnisse hier posten. OK?

Testet man Samples nicht immer in einer VM?
Egal, mir kannst du die gerne schicken und ich teste sie dann nach der Arbeit.
-PN-

[Heike]

In der VM ? Wo sonst...

auf einer VM zu testen halte ich mittlerweile für sinnfrei, die VMWare-Detection nicht zu vernachlässigen. Ich halte nur einen Test auf einem "richtigen" PC für aussagekräftig.

[Julian]

Backup machen, PC vom Netz trennen...
Ich kann mich leider nicht zum Testen anbieten, da TDSS nicht auf Seven läuft (zumindest nicht auf x64).

Der Beitrag wurde von Julian bearbeitet: 13.11.2009, 17:18

[Voyager]

@Heike

Ich will dir garnicht groß wiedersprechen aber das scheint nicht bei jedem angekommen zu sein , ich finde täglich wenig Objekte die in der VM nicht laufen. Wenn Sonar anspringt dann tun die Objekte auch etwas .

Hier hätten wir unerkannte Trojaner / Backdoors ect. der letzten 3 Tage . Only 2 Objekte tun "nichts" . Der Rest wird vom Sonar gekillt.


http://www.abload.de/img/2ljc6.jpg

Der Beitrag wurde von Voyager bearbeitet: 13.11.2009, 15:48

[Rene-gad]

Liebe Leute,
wollen wir nicht das Thema Virtual Machine: Pro & Contra in einem anderen Thread besprechen? Danke für BTT

[Rene-gad]

Ich glaube das können wir uns sowieso schenken

Wer sind wir??? Du bist Deutschland ©.

die Dateien sehen nach Müll aus der aus irgendwelchen Sammlungen stammt

Also: Die Dateien sind absolut lebendig und wurden bei einem Forum gesammelt. Einige davon sind einfach beim Sammeln durch AVZ-Script, einige - von mir, umbenannt, damit sie nicht mehr direkt ausführbar sind. Willst Du die im Original haben? Mein Angebot gilt.
Und überhaupt: ist es nicht sch...egal, wo die herkommen? Die gibt es ITW und die werden vom Norton Antivirus 2010 nicht als Schädlinge erkannt.

Symantec ist in der Regel nicht an alten Samples interessiert

Die Dateien wurden zwischen den 10. und 13. November 2009 gesammelt. Ist das für Dich alter Müll?

OT: Du erinnerst mich an bond7, der auch sofort Kopfstand machte, wenn jemand ein Wörtchen gegen seine geliebten Vista und/oder Norton gesagt hätte.

Der Beitrag wurde von Rene-gad bearbeitet: 13.11.2009, 16:45

[Voyager]

Laber , teste das doch selbst wenn du meinen Screenshots keinen Glauben schenkst.

[Rene-gad]

Laber

Du kannst mich beleidigen, das ist ein Beweis dafür, dass Du keine besseren Argumente hast.

teste das doch selbst wenn du meinen Screenshots keinen Glauben schenkst.

Ich will nichts testen. Wenn du willst - mein Angebot steht. Und was soll ich mit deinem Screenshot? Schutz es Jemand gegen Viren?

Der Beitrag wurde von Rene-gad bearbeitet: 13.11.2009, 17:00

[Voyager]

Ich hab schon mehr als einmal im Forum anhand von Beispielen die Erkennungsleistung der verhaltensbasierenden Komponente demonstriert , eine Leistung von um die 90% Erkennung.
Ich hab schon mehr als einmal im Forum betont das die Erkennungsleistung anhand der Cloudähnlichen Technik Norton Insight das unbewertete Downloads relativ schnell im Labor landen und entsprechend behandelt werden.

Wenn sich dann immernoch jemand hinstellt und Dumm rumlabert von enttäuschender Erkennung im NIS/NAV2010 , der versteht entweder nichts weil er richtig schön GaGa ist oder er will nichts davon verstehen und ist auf eine andere Art und Weise GaGa weil er Spass dran hat solche Themen zu eröffnen.

Das Zeug aus dem Forum kam möglicherweise garnicht in den Genuss das es über NIS2010 gedownloadet wurde und somit unter dem Radar geblieben ist und auf der anderen Seite ist die Wahrscheinlichkeit trotzdem hoch das es am Sonar2 nicht vorbeikommt und dort aufgehalten wird. Malware die unter dem Radar bleibt richtet beim User auf dem ZielPC auch keinen wirklichen Schaden an , somit ist die Wahrscheinlichkeit hoch das die Forenobjekte keine große Rolle spielen und kein so ein Theater rechtfertigen.

Wer dann trotzdem noch rumdiskutieren will mit dem sprech ich nicht . Da kannst du persönlich werden wie du willst , leck mich dort wo´s finster ist.

Der Beitrag wurde von Voyager bearbeitet: 13.11.2009, 17:13

[SLE]

Ich hab schon mehr als einmal im Forum anhand von Beispielen die Erkennungsleistung der verhaltensbasierenden Komponente demonstriert , eine Leistung von um die 90% Erkennung.

Ich war hin und wieder beeindruckt - wirklich

Dennoch muss ich (unabhängig von den Beispielen von Rene-gad) hier nochmal nachhaken:

Ich hab schon mehr als einmal im Forum betont das die Erkennungsleistung anhand der Cloudähnlichen Technik Norton Insight das unbewertete Downloads relativ schnell im Labor landen und entsprechend behandelt werden.

Das Zeug aus dem Forum kam möglicherweise garnicht in den Genuss das es über NIS2010 gedownloadet wurde und somit unter dem Radar geblieben ist und auf der anderen Seite ist die Wahrscheinlichkeit trotzdem hoch das es am Sonar2 nicht vorbeikommt und dort aufgehalten wird.

Mal unabhängig davon was SONAR dann gemacht/geblockt hätte: Wie ist das Insight jetzt einzuschätzen - als eine Hauptquelle für Symantec zur Entdeckung unbekannter Dateien? (=Radar?) Und es greift nur/hauptsächlich beim Download?

Und was meinst du jetzt hier mit dem "Radar"? Nur weil Dateien ohne Insight-Prüfung heruntergeladen wurden sollen sie ungefährlich sein?

Malware die unter dem Radar bleibt richtet beim User auf dem ZielPC auch keinen wirklichen Schaden an , somit ist die Wahrscheinlichkeit hoch das die Forenobjekte keine große Rolle spielen und kein so ein Theater rechtfertigen.