Norton 2012 Einstellungen

[diddsen]

@voyager
ich ignoriere selten was und auch ungerne, aber in dem fall muss ich das wohl

ich denke mir halt das es belastend ist der dauernde datenverkehr, aber na gut... wenn man alles sehen würde das da so rumschwirrt

ps: und du hälts immer noch eisern dem gelben riesen die stange
bin mal gespannt wie lange ichs aushalte mit den bevormundungen dessen

Der Beitrag wurde von diddsen bearbeitet: 21.09.2011, 21:47

[Paul12]

Schade, der Norton Bewertungs FULL Scan klappt immer noch nicht....

Hier habe ich aber seit gestern keine Probleme mehr.Angeblich soll eine Datei,die Norton nicht kennt diesen Fehler auslösen.Da hat wohl bei mir NIS dieses Problem
wieder einmal selbständig erledigt.

[Hexo]

Hey,
kann das sein, dass Sonar in der Version 2012 noch nicht so wirklich gut am arbeiten ist?
Ich lese immer wieder Fälle, wo Sonar zu spät oder gar nicht erst greift.
Der jüngste Test von KasperskyFreaky hier http://www.rokop-security.de/index.php?s=&...st&p=342514 hat gezeigt, das zwar Norton schützt aber nicht Sonar sondern ein anderes Modul greift.
Gut im Endeffekt ist es egal was greift solange überhaupt was aktiv wird.
Ich bin aber noch im glauben, dass Sonar super sein soll. Aber irgendwie lese ich bei der 2012 aktuell vermehrt negatives.
Das geht über "nicht funktionieren", zu "sehr vielen Fehlalarmen" bis hin-> "Es löscht einfach Daten".
Was sind die Erfahrungen von den Fachleuten hier????

Gruß

[Solution-Design]

Jetzt wirst langsam sympathisch

[diddsen]

Jetzt wirst langsam sympathisch

hab schon zwei jahre oder so dran stehen :-)
aber ist doch so... oder ;-)

Der Beitrag wurde von diddsen bearbeitet: 23.09.2011, 17:16

[Solution-Design]

Ups, ok, war zwischenzeitlich mal länger nicht dabei, überfliege zwischenzeitlich auch nur die Beiträge... okay, keine Entschuldigung Und ja, ist so!

[Tiranon]

Hey,
kann das sein, dass Sonar in der Version 2012 noch nicht so wirklich gut am arbeiten ist?
Ich lese immer wieder Fälle, wo Sonar zu spät oder gar nicht erst greift.
Der jüngste Test von KasperskyFreaky hier http://www.rokop-security.de/index.php?s=&...st&p=342514 hat gezeigt, das zwar Norton schützt aber nicht Sonar sondern ein anderes Modul greift.
Gut im Endeffekt ist es egal was greift solange überhaupt was aktiv wird.
Ich bin aber noch im glauben, dass Sonar super sein soll. Aber irgendwie lese ich bei der 2012 aktuell vermehrt negatives.
Das geht über "nicht funktionieren", zu "sehr vielen Fehlalarmen" bis hin-> "Es löscht einfach Daten".
Was sind die Erfahrungen von den Fachleuten hier????

Gruß

Apropos SONAR,

bei mir wurde die SystemCheck_deDE.exe von Blizzard (zum System-Daten auslesen für die Beta) über SONAR als böses Programm erkannt. Ich hoffe Symantec und andere Firmen stecken für die 2013er Version mal wieder bisschen mehr Geld in die Erkennung und Erkennungsmechaniken ...

Der Beitrag wurde von Tiranon bearbeitet: 23.09.2011, 19:25

[citro]

Etwas Video heute Abend...

Norton Internet Security 2012 vs Rootkit ZeroAccess

http://www.youtube.com/watch?v=rtRLUQfB-Jw...nel_video_title

[Gast_metabolit_*]

Das nennt man dann wohl an Norton vorbeispaziert ...

[Tiranon]

Etwas Video heute Abend...

Norton Internet Security 2012 vs Rootkit ZeroAccess

http://www.youtube.com/watch?v=rtRLUQfB-Jw...nel_video_title

Das ist ein schon krass... Da wird es wohl auch nix bringen den Systemschutz zu aktivieren.
Was lernen wir daraus ein Virenprogramm ist nie zu 100% sicher...

[Gast_metabolit_*]

Ein scharf eingestelltes HIPS wäre noch gut.
Ich glaube nicht das dies mit Comodo oder OA Premium passiert wäre. Ist aber eher nur ein Gefühl.

Der Beitrag wurde von metabolit bearbeitet: 24.09.2011, 00:27

[Voyager]

Da ist wohl etwas am Norton Selbstschutz schief gelaufen , normalerweise schafft man das nichtmal mit "advanced process termination" Norton irgendwie zu kicken , das war aber schon ein oder zwei Jahre her.
Könnte man direkt mal retesten.

Was lernen wir daraus , denen gehört saftig einer in den Arssch getreten bei Symantec , ich könnte fast wetten die hatten während der Betaphase nicht nur das Sonar verpfuscht, die haben auch den Selbstschutz verpfuscht...
Naja Sonar geht wieder , bei Rootkitaktivitäten war aber schon Norton2010/2011 recht schwach , Zeroday Erkennung genauso Null. Damals hatte ich das aber auch schon öffentlich angemahnt das Sonar 2 keine Rootkit-Installation erkennt, das hat nur keine Sau interessiert.

Wenn der Virenschreiber sein Baby auf Comodo-Prozesse abstimmt kann der das genauso ausknipsen , da wette ich drauf. Da hilft kein noch so tolles Hips.

Der Beitrag wurde von Voyager bearbeitet: 24.09.2011, 00:39

[SLE]

Da ist wohl etwas am Norton Selbstschutz schief gelaufen , normalerweise schafft man das nichtmal mit "advanced process termination" Norton irgendwie zu kicken ...
Wenn der Virenschreiber sein Baby auf Comodo-Prozesse abstimmt kann der das genauso ausknipsen , da wette ich drauf. Da hilft kein noch so tolles Hips.

Auf Treiberebene ist jeder Selbstschutz irgendwo machtlos und das NIS bei ZeroAccess außer Signaturen&Reputation nichts entgegensetzen kann hat Julian doch auf Seite 7 (+8) in diesem Thread schon gezeigt. Da brauchen wir doch jetzt nicht wegen so einem Video schockiert sein. *** passiert.

Und natürlich kann ein gescheites HIPS helfen, wenn ein Nutzer es entsprechend bedienen kann (sig!). Ein Virus in dieser Form funktioniert ja nicht per se, sondern muss sich auch erst entsprechend installieren. Und wie da vernünftige HIPSe durchaus Sachen erkennen wurde HIER in der Diskussion um das Sinnlos-Hips von ESET gezeigt.

Der Beitrag wurde von SLE bearbeitet: 24.09.2011, 06:29

[SLE]

Das ganze eben in einer XP-VM mit NIS 2012 und einem neueren ZeroAccess Sample getestet. Gleiches Ergebnis.

- NIS kannte das Sample via Signaturen nicht.
 2011_09_24_103757.jpg ( 140.25KB ) Anzahl der Downloads: 13


- Beim auführen kommt noch die Sonar Meldung: "ZeroAccess Rootkit Activity blocked", sowie die Meldung über einen geblockten Eindringversuch. Soweit eigentlich erfreulich und gut für SONAR. Screenshots erzeugen oder Details öffnen war jedoch nicht mehr möglich - Norton war abgeschossen.

-Reboot: Der Verlauf zeigt nichts und ein Scan mit dem neuen TDSS-Killer nach Reboot zeigte die Infektion
 2011_09_24_104351.jpg ( 60.23KB ) Anzahl der Downloads: 27


Die elenden ZeroAccess Dinger liegen NIS derzeit überhaupt nicht.

Der Beitrag wurde von SLE bearbeitet: 24.09.2011, 10:19

[Voyager]

Bei Norton kann man die erweiterte Firewall genauso umstellen das die erweiterte Ereignisüberwachung so funktioniert wie ein Hips, hat das schonmal jemand mit einem ZeroAccess Rootkit getestet ?
Automatik erst AUS und dann kann man die Erweiterung die jetzt von AUS auf AN einstellbar ist einschalten.

Dann wäre Norton auf Augenhöhe mit den Anderen wo der User "richtig entscheiden" muss. Wir wissen doch, viele der Anderen funktionieren auch erst richtig wenn man die Entscheidung den User übergibt und das Sys dadurch virenfrei bleibt.

@SLE

Wiederholste den Test nochmal mit der Einstellung.

Der Beitrag wurde von Voyager bearbeitet: 24.09.2011, 12:48

[SLE]

@SLE Wiederholste den Test nochmal mit der Einstellung.

Kein Problem und zum Glück schneller als die Cloud.

Also - von dieser Einstellung ist die Rede, um Nortons Mini-Hips zu aktivieren


Startet man dann das Sample erkennt NIS die Codeinjektion in die explorer.exe (Die Antwortvorlagen sind naja, aber egal)

Wählt man "blockieren" oder "beenden" ist der Spuk vorbei und das System wird nicht infiziert.

Erlaubt man, kommt zwar noch eine Firewallabfrage und auch die Meldung vom AutoProtect (sollte nach meiner Interpretation darauf hinweisen, das der durchaus erkannt was hier gedroppt wurde - oder?)

Aber egal was man dann hier klickt, dies ist das letzte Lebenszeichen von NIS. Ergo: Die Codeinjektion muss blockiert werden, was die manipulierte explorer.exe dann veranstaltet bekommt NIS scheinbar nicht mehr mit bzw. nur in Teilen. Ob Benutzer (wie bei anderen HIPS-Lösungen) hier richtig entscheiden würden? Ich hege Zweifel.

Der Beitrag wurde von SLE bearbeitet: 24.09.2011, 13:50

[Voyager]

Jetzt werden die Verfechter der Hipsprogramme bestimmt sagen "aber meins ist doch besser blabla..." , ja schei?? drauf der Test ist bestanden

[diddsen]

wie ist das eigentlich wenn z.b. was automatisch entfernt wird... das ist dann ja in quarantäne und dann kann man das wiederherstellen und aus der erkennung nehmen,
ABER da wird dann ja nicht nur die datei rausgenommen sondern eine ganze signatur?!

das ist doch schlecht oder

[Voyager]

Nein , natürlich wird da keine Signatur ausgenommen , nur die Datei oder Verzeichnis.

[diddsen]

bist dir das ganz sicher?
da steht dann aber das trojan soundso... von der signaturerkennung ausgenommen ist