Norton 2012 Einstellungen

[Voyager]

@Julian

Kannst du den Test mit der neuen Einstellung nochmal wiederholen.
Echtzeitschutz Systemstartschutz aktivieren.

[Tiranon]

Vielleicht ne Idee, an wen ich mich dort im Forum direkt wenden könnte?
Symantec's Labor springt ja bekanntlich auf Einsendungen/Emails nicht unbedingt so an...
Ich vermute mal, dass es auch nicht unbedingt an diesen zwei Samples liegen muss, sondern dass der Echtzeitschutz einen Bug oder ne Einschränkung hat, wenn mehrere Malware-Prozesse auf einmal aktiv sind.
Hatte dies in der Vergangenheit schon mehrmals beobachtet, dachte aber, es wäre gefixt worden oder die Samples wären einfach so nicht erkannt worden.

Hab die Samples übrigens nicht einzeln direkt von der Quelle geladen, sondern die stammen von m*lwares.pl.

Bezüglich F-Secure: Ich bräuchte ein aktuelles ZeroAccess-Sample, das nicht per Signatur erkannt wird.
Edit: Das zweite Sample ist zwar auch ZeroAccess, allerdings ist es nicht so aggressiv wie das erste, zumindest killt es HitmanPro während des Scans nicht.
F-Secure blockt dieses Sample auch ohne Signatur von Bitdefender mit Deepguard, aber ich vermute, es ist keine Verhaltenserkennung, da Deepguard einen Malware-Familiennamen ausspuckt und das Sample geblockt wird, bevor es überhaupt starten kann.
Also kein wirkklicher Test des Verhaltensblockers von Deepguard, aber immerhin besser als nichts.

Also ich würde im Forum von Symantec mal mit "Susanne" reden. Musst halt im Symantec Forum oder per PN alles nochmal erklären

Auch wenn Symantec nicht so auf Einsendungen anspringt würde ich die Malware auf jedem möglichen Weg an Symantec senden (über NIS + Email)

Vielen Dank für Dein Bericht

[RuHe]

moin,

bei mir findet nis 2012 auf einmal im ordner > Sent von Thunderbird irgendwas...
( 2011 hat nie was bemängelt!!)
es wird nur die möglichkeit > Löschen angeboten

Wenn aber Sent gelöscht wird, sind ALLE gesendeten Email weg !!

[SLE]

ah ja und insight fischt natürlich alles ausnahmslos vorher weg .

Die oft gehasste Reputation.Insight Erkennung knallt vereinfacht gesagt alles der NIS Cloud unbekannte, was unverschlüsselt/-verpackt aus dem Internet kommt weg - ja. Von daher ist das Argument von @Voyager schon ok.
Damit wird ein, bzw. der Hauptinfektionsweg normaler PCs schon ganz gut abgeschnitten, natürlich gibt es andere Infektionswege.

Und die ZeroAccess Dinger sind ja nun kein Symantec spezifisches Problem, da hatten und haben alle zu kämpfen. Einige reagierten halt etwas schneller um neben den Signaturen auch die proaktiven Mechanismen anzupassen.

[Gast_J4U_*]

Ich habe meine Schriftgröße in Windows auf 125% gestellt (siehe Foto).

Für eine Macke, die noch nie in Windows funktioniert hat, kann Symantec nun nichts, Schriftarten und -größe werden an anderer Stelle geändert.
...oder Du legst Dir halt einen Bildschirm in Windows-kompatibler Auflösung zu, d.h. 1024x768.

J4U

[vomitator]

Mit der richtigen VM mit NIS12RTM werden genau 6 DLL´s erkannt , Norton hat dafür den Ausschlussvorgang extrem erleichtert , man muss im Fundfenster nur unten auf Optionen gehen dann Wiederherstellung und dann OK der Ausschluss erfolgt automatisch weil das passende Häckchen vorgegeben ist, dann funktioniert Libreoffice. Man muss nicht erst in der Quarantäne fummeln und die Auschluss-Settings suchen gehen und alles per Hand fummeln.

Richtig, so habe ich es natürlich auch gemacht. War nur bei NIS 2011 unproblematisch! Ist auch blöd, dass die Dateien einfach erstmal ohne Nachfrage isoliert werden. Was passiert denn bei FP von Systemdateien...??

[Hexo]

Was passiert denn bei FP von Systemdateien...??

Die Fragen stelle ich mir auch schon lange. Das hab ich im Norton Forum auch schon mal losgelassen, nur ohne richtige Antwort:
http://de.community.norton.com/t5/Norton-I...m-p/21795#M7235

[Gast_@ndreas_*]

Das alte Problem - Nortonnutzung nie ohne Systemplattenbackup.

[Hexo]

Gegenfrage... Auch wenn ich wie gesagt auch diese Bedenken teile... Wie oft ist das schon vorgekommen, dass Norton eine wichtige Systemdatei wegen FP gelöscht hat, dass das System nicht mehr nutzbar war???

[Gast_@ndreas_*]

Die Gegenfrage ist m.E. sinnlos, da dies nicht nachprüfbar ist/wäre. Nortons eigenmächtiges Handeln ist und bleibt ein Risikofaktor.

[KasperskyFreaky]

Nehmen wir mal an Symantec baut in den nächsten Produkt - Update eine Nachfrage Funktion ein. Was würde ein Dau machn wenn er sieht dass die Windows Datei "winlogon.exe" laut NIS infiziert sei? Viel mehr sollte man schauen dass solche FP's nicht passieren.
Eine Nachfrage - Funktion wäre definitiv von Vorteil, vorallem für die die Software benützen die nicht so ganz koscher ist.

Nortonnutzung nie ohne Systemplattenbackup.

Egal welches AV man hat, sollte man voher seine Daten sichern. Norton ist da kein Einzelfall

Gruß

Der Beitrag wurde von KasperskyFreaky bearbeitet: 10.09.2011, 11:06

[SLE]

Wann gab es denn den letzten FP bei einer Systemdatei seitens Symantec?
Meines Wissens gibt es spezielle Mechanismen um FPs bei diesen zu vermeiden, original MS-Dateien lassen sich ja i.d.R. recht leicht erkennen.

Und beim Rest: Ärgerlich, aber schnell zu beheben.

[Gast_@ndreas_*]

Es wird keine Nachfragefunktion kommen ....

[Tiranon]

Es wird keine Nachfragefunktion kommen ....

Antwort von "Susanne" aus dem Symantec-Forum
Siehe auch HIER

Hallo an alle,


Dank an euch!

Nach den Reaktionen in vorherigen Threads zu dem Thema war die Einarbeitung der Nachfrage-Einstellungen für den Sonar-Schutz ja nicht die gewünschte Änderung, bzw. nur ein Teil der gewünschten Änderung.

In der aktuellsten 2012 Beta sieht es nicht so aus, als gäbe es eine Nachfrage-Option für die Scans.
Ich kann leider nicht garantieren, ob dieser Wunsch noch bis zur finalen 2012-Version umgesetzt wird.
Tut mir leid

Möglicherweise wird diese Option in eine zukünftige Produktversion eingearbeitet oder mit einem Produkt-Update zur Verfügung gestellt.

[Gast_@ndreas_*]

Möglicherweise ... ich wette dagegen. Volle Userkontrolle passt nicht zu Symantec.

[Gast_J4U_*]

Möglicherweise ... ich wette dagegen. Volle Userkontrolle passt nicht zu Symantec.

Ist ein zweischneidiges Schwert. Ich wünsche mir seit Jahren die Nachfragefunktion, aber für den Großteil der DAUs wäre das tödlich. Wer es noch nicht einmal schafft, sich mit den grundlegendsten Programmfunktionen zu beschäftigen und damit eine Datei aus der Quarantäne wieder herzustellen, der wäre mit Nachfragen erst recht überfordert.
Ein gutes (Negativ-) Beispiel liefert auch Avira ab. Das Programm ist in den Grundeinstellungen ziemlich narrensicher, aber was steht in Computerblöd & Co. als erster Tip zu lesen? "Man schalte die Profifunktionen frei" Natürlich auch wieder, ohne diese Funktionen näher zu erläutern.

SAVCE hat vor ein paar Jahren mal einigen Windows-Schrott verursacht, seit dem haben Systemdateien wohl ihre Ruhe.

J4U

[Gast_@ndreas_*]

Exakt. Und die nochmals vereinfachte GUI weist den Weg Symantecs ein Rundum-Sorglos-Paket schaffen zu wollen, was ja auch gut gelungen ist.

[Paul12]

Das alte Problem - Nortonnutzung nie ohne Systemplattenbackup.

Genau,weil wenn ich mit Acronis ein Festplattenbackup auf meinem Rechner mache,NIS sofort gleichzeitig ein vollst.Systemscan durchführt.
Wollte immer schon mal Fragen ob ein Scan zu diesem Zeitpunkt gut ist.

[Voyager]

Wann gab es denn den letzten FP bei einer Systemdatei seitens Symantec?
Meines Wissens gibt es spezielle Mechanismen um FPs bei diesen zu vermeiden, original MS-Dateien lassen sich ja i.d.R. recht leicht erkennen.

Und beim Rest: Ärgerlich, aber schnell zu beheben.

Dem kann ich mich anschliessen, durch das Reputationssystem was digitale Zertifikate Verbreitungsgrad und Bewertungen berücksichtigen sind "wichtige" False Positives so gut wie ausgeschlossen. Wenn jemand meint bei Norton bräuchte man Systemsicherungen , das halte ich doch schon für wenig überlegt.
Der Rest mit den 6 DLL´s bei dem Open Office Ableger sind ärgerlich aber waren durch 2 - 3 Klicks leicht zu beheben , man muss dazu nichtmal extra Fenster von Hand aufrufen weil man sich beim Virenfund einfach durchklickt .

Heute war übrigens wieder ein großer Tag bei Norton 2012 , aus meinen Virenordnern wurden weitere 600 Dateien erkannt, zum Großteil Cloud Erkennungen.
Darunter waren übrigens auch die verbliebenen Rootkits die durch Julian soviel Aufmerksamkeit erregt hatten

Trojan.Zeroaccess
Typ: Anomalie
Risiko: Hoch (Hoch Verbergen, Hoch Entfernen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
3-Dateien
h:\40\2\animal-porn-movie.avi.exe - Gelöscht
h:\40\2\dog-doing-girl.avi.exe - Gelöscht
h:\40\2\xxx-porn-movie.avi.exe - Gelöscht
1 Browser-Cache

[Gast_@ndreas_*]

Welches "System" steckt eigentlich hinter der Wiederherstellung ...
einige Dateien werden direkt richtig in die Quelle zurückgeschrieben,
bei einigen wird man dagegen aufgefordert, das Ziel selbst festzulegen.