Die neuen Testergebnisse 2012, ...die Zeitschriften "testeb" wieder... Einstellungen

[M.Richter]

pop-up meldung meldet nicht einen virenfund (das würde als erkannt/geblockt gelten), sondern dass es keine ahnung hat was es ist und somit es dem user die verantwortung übergibt.

Also wurde in dem Test unterstellt, dass der User überhaupt keine Ahnung hat und immer auf erlauben klickt? Dann würden in diesem Test alle HIPS und BB´s von vornherein durchfallen. Wo ist das real?

[Virenwächter]

@M.Richter
Was tust du standardmäßig bei solchen Meldungen? Ct bezeichnet die Nachfrage in meinen Augen gerechtfertigt als Notlösung. Am Ende des Tests wurden zwei durch ct selbst erstellte ungefährliche Programm (keine näheren Angaben) überprüft und auch hier schlugen AVG, Avast und F-Secure an (Norton schob es gleich in die Quarantäne). Was bringt mir ein AV-Programm, das mich ständig fragt, ob das Programm gefährlich ist? Bei 50 Punkten durch "halbe Infektionen" heißt das im Umkehrschluss, dass es 100 Mal keine Ahnung hat. Sorry, aber dann brauche ich auch kein AV.

@IBK
Der Cloud-Dienst von Avast wird erwähnt, weil das kostenlose Programm etwas besser abschneidet und dies auf eine reine Zeitverzögerung zurückgeführt wird. Bitdefender und Avast erkennen allerdings auch eine modifizierte Version einer eigentlich bereits bekannten Familie, während G Data hier die Segel streicht. Besitzen Bitdefender und Avast Cloudlösungen auf die G Data 2013 verzichten muss?

Der Beitrag wurde von Virenwächter bearbeitet: 16.02.2013, 12:43

[M.Richter]

Hier hast du völlig recht, man muss schauen an welcher Stelle diese Mechanismen anschlagen.

genau, aber das wurde ja gar nicht gemacht, sondern direkt unterstellt, dass das System zu 0,5 infiziert ist. Was naber nicht stimmen muss.

Oft werden eben nur bestimmte Aktivitäten angemeckert aber das System ist schon teilweise infiziert.

Dann ist es infiziert und nicht teilweise infiziert

Allerdings das gleiche ist bei Signaturfunden möglich, Malware clever gepackt der Dropper macht noch ein paar andere Dinge und dann wird nur ein Teil erkannt.

Das bestätigt wieder dass es nur das eine oder das andere gibt. Also infiziert oder nicht infiziert. Die Punktevergabe dürfte also ausschließlich 1 oder 0 enthalten

Aber bei AV-C werden ja nicht nur Popups und Blockierungen gezählt - sondern es wird genauer geprüft, ob das System infiziert wurde.

Wenn eine Warnmeldung eines BB oder HIPS schon als 0,5 Infektionspunkte zählt, dann werden diese Schutzmechanismen doch von vornherein schon direkt untergraben und es ist egal ob das System nicht infiziert wurde.

[IBK]

@Virenwächter: ja, Avast hat Cloud z.B. für die Sandbox. Bzgl. Bitdefender hängt es oft auch mit den internen Einstellungen die OEMs machen, daher äußer ich mich dazu lieber nicht (kleine Unterschiede zwischen BDf und OEMs die BDF verwenden sieht man manchmal gut in den FDT und FP tests).

[Virenwächter]

Es ist natürlich ärgerlich, wenn das Original eine Datei findet und der lizenzierten Version diese durch die Lappen geht.

[M.Richter]

@M.Richter
Was tust du standardmäßig bei solchen Meldungen?

Ich? Mich damit beschäftigen und nicht einfach erlauben.

Ct bezeichnet die Nachfrage in meinen Augen gerechtfertigt als Notlösung. Am Ende des Tests wurden zwei durch ct selbst erstellte ungefährliche Programm (keine näheren Angaben) überprüft und auch hier schlugen AVG, Avast und F-Secure an (Norton schob es gleich in die Quarantäne). Was bringt mir ein AV-Programm, das mich ständig fragt, ob das Programm gefährlich ist? Bei 50 Punkten durch "halbe Infektionen" heißt das im Umkehrschluss, dass es 100 Mal keine Ahnung hat. Sorry, aber dann brauche ich auch kein AV.

Das was du Beschreibst, bedeutet nur, dass du dich nicht damit beschäftigen willst, sondern dich 100% auf dein AV verlassen willst. Ist auch eine Ansichtssache und ok. Geht den meißten ONU so. Ist doch ok.

Problematisch wird es für dich dann im umgedrehten Fall, sollten wichtige Programm oder Systemteile fälschlicherweise als Malware erkannt werden und in Quarantäne geschoben werden. Dann kann ein System schon mal den Geist aufgeben.

Ich habe lieber eine Meldung mehr, wo ich kurz nachdenken muss und entscheide, als eine zu wenig und der große Ärger beginnt im nachhinein.

[Gast_@ndreas_*]

Nur ist das nicht die Regel. Der normale User klickt alles weg, was ihn am Arbeiten hindert - Java-Updatemeldungen, Windows-Updatemeldungen und unverständliches Hips-Gedöns schon längst

[Virenwächter]

Gegen gelegentliches Nachfragen spricht auch nichts, aber irgendwann hat der (ON)Nutzer die Schnauze voll und das AV sollte die eigentliche Arbeit erledigen.
Die Punktzahlen der hinteren Ränge sind allerdings eine Mischung aus Resignation und fehlender Erkennung, da gibt es in meinen Augen keine geeignete Verteidigungstrategie mehr.

Der Beitrag wurde von Virenwächter bearbeitet: 16.02.2013, 13:01

[SLE]

Dann ist es infiziert und nicht teilweise infiziert

Wortakrobatik. Es wurde verändert, manipuliert - wenn die Malware aber keinen Erfolg hatte ist es dann erstmal gutgegangen! Aber alles wurde eben nicht geblockt.

Bsp.: Man fängt sich nen bösen Dropper ein, der erstmal nichts anderes macht als Malware nachzuladen...
Die zuerst nachgeladene wird erkannt (ob per Sig oder sonstwas ist egal). Die Dinger sind aber häufig dynamisch und vlt. kommt an Tag 2 was neues durch...
Was will man hier machen? Wer nicht tief prüft kann hier nicht beurteilen.

Das bestätigt wieder dass es nur das eine oder das andere gibt. Also infiziert oder nicht infiziert. Die Punktevergabe dürfte also ausschließlich 1 oder 0 enthalten
Wenn eine Warnmeldung eines BB oder HIPS schon als 0,5 Infektionspunkte zählt, dann werden diese Schutzmechanismen doch von vornherein schon direkt untergraben und es ist egal ob das System nicht infiziert wurde.

Du denkst etwas in der falschen Logik. Es werden Programme getestet - keine Benutzer. Also statt von Infektionspunkten reden wir mal von Programmpunkten.
1: 100% Blockierung (i.d.R. automatisch und eindeutig) und annehmbar, dass es für alle Nutzer gilt
0,5: Warnmeldung. Nutzer muss entscheiden - alle machen es sicher nicht richtig, also nur ein Teilpunkt für das Programm da es die Entscheidung auslagert.
Es gibt Exoten die bei jeder unbekannten Datei losmeckern - denen müsste man ja in deiner Logik 100% geben. In der Realität machen diese Dinger doch eher immun, so dass hier 50% noch fair sind.

Ich finde diese Rating voll ok, und bei AV-C werden sich m.E. nach im WPDT auch die Popups sehr genau angeschaut vor einer Einstufung.

Der Beitrag wurde von SLE bearbeitet: 16.02.2013, 13:03

[M.Richter]

Nur ist das nicht die Regel. Der normale User klickt alles weg, was ihn am Arbeiten hindert - Java-Updatemeldungen, Windows-Updatemeldungen und unverständliches Hips-Gedöns schon längst

Ja, aber die Fehlinterpretation entsteht ja, weil in diesem Test nur diese Seite betrachtet wurde. Genau das wurde unterstellt, kommt eine Warnmeldung ist jeder User so doof und klickt auf erlauben.

Was ist mit der anderen Seite, die die nicht auf erlauben klicken? Wurde das System dann wirklich infiziert? Wie sehen dann die Ergebnisse aus?

[SLE]

Ja, aber die Fehlinterpretation entsteht ja, weil in diesem Test nur diese Seite betrachtet wurde. Genau das wurde unterstellt, kommt eine Warnmeldung ist jeder User so doof und klickt auf erlauben.

Nein. Dann würde ja eine 0 dastehen. Aber Entscheidungen auslagern kann kein voller Punkt für ein Programm sein - schließlich wird ja dabei auch nichts als eindeutig bösartig erkannt, sonst würde keine Nachfrage kommen.

[M.Richter]

Du denkst etwas in der falschen Logik. Es werden Programme getestet - keine Benutzer. Also statt von Infektionspunkten reden wir mal von Programmpunkten.
1: 100% Blockierung (i.d.R. automatisch und eindeutig) und annehmbar, dass es für alle Nutzer gilt
0,5: Warnmeldung. Nutzer muss entscheiden - alle machen es sicher nicht richtig, also nur ein Teilpunkt für das Programm da es die Entscheidung auslagert.
Es gibt Exoten die bei jeder unbekannten Datei losmeckern - denen müsste man ja in deiner Logik 100% geben. In der Realität machen diese Dinger doch eher immun, so dass hier 50% noch fair sind.

Ich finde diese Rating voll ok, und bei AV-C werden sich m.E. nach im WPDT auch die Popups sehr genau angeschaut vor einer Einstufung.

Ja, als Programmrating und so wie du es beschreibst, ist es für mich einigermaßen ok. Nicht Ok ist für mich aber die falsche Interpretation von ^^ GerhardKO, dass dieser Test ein klarer Beweis wäre, dass ein einfaches Produkt mit Signatur und Heuristikerkennung besser schützt als Produkte mit zusätzlichen proaktiven Modulen. Das sagt dieser Test nämlich gar nicht aus.

Der Beitrag wurde von M.Richter bearbeitet: 16.02.2013, 13:17

[hop]

Es ist natürlich ärgerlich, wenn das Original eine Datei findet und der lizenzierten Version diese durch die Lappen geht.

wenn wie IBK sagt nur die Siganturen von der BD bzw. Avast Engine genommen werden, dann handelt es sich ja praktisch um völlig verschiedene AVs.

[Schattenfang]

wenn wie IBK sagt nur die Siganturen von der BD bzw. Avast Engine genommen werden, dann handelt es sich ja praktisch um völlig verschiedene AVs.

Vollkommen korrekt. Das war nie anders und wird auch nie anders sein. Im Übrigen werden i.d.R. auch nicht die neuesten Engines der beiden eingesetzt. Auch das ist bei Fremdlizensierungen üblich.

Der Beitrag wurde von Schattenfang bearbeitet: 16.02.2013, 13:29

[Gast_GerhardKO_*]

ich seh und ich denke dass wurde hier schon angesprochen ein anderes Problem, die ganzen Hipsen, BB`s und Co und wie die sich so alle nennen sind für viele User heute ein Problem und sind damit überfordert. Und warum haben wir so viele Infektionen ? die User haben keinen Bock mehr die Meldungen zu lesen und zu überlegen was sie anklicken sollen. Sie klicken die Meldungen einfach weg, sie wollen mit Ihrer Kiste arbeiten und nicht anders herum. Ich bin nicht für dass AV da sondern dass AV ist für mich da. Die User sind nicht doof, aber Überfordert mit dem ganzen gedöns an Einstellungen, PopUps und BB, Hipsen etc.

Ein AV sollte unauffällig im Hintergrund arbeiten und nicht mit x-PopUps kommen und dem User entscheiden lassen ob er/sie es zulassen soll oder nicht.

Ich bin der Meinung dass ein AV auf seine gute Signaturen(da muss aber die Qualität der Signaturen stimmen) setzen soll plus eine gute Cloudanbindung, dass sollte reichen. Bestes Beispiel ist da z.B Trendmicro, die machen dass in meinen Augen richtig. Ein wirklich sehr einfaches AV mit sehr wenigen Einstellungen, gute Signaturen und eine Cloudanbindung.

Der Beitrag wurde von GerhardKO bearbeitet: 16.02.2013, 14:39

[Gast_ght1_*]

Bei 50 Punkten durch "halbe Infektionen" heißt das im Umkehrschluss, dass es 100 Mal keine Ahnung hat. Sorry, aber dann brauche ich auch kein AV.

Ganz meine Meinung, ein "die Datei könnte gefährlich sein" kann ich mir auch ohne AV Programm denken.

[Gast_GerhardKO_*]

Sind wir den wo anders ? - ich kann mich nicht erinnern das die Infektionen in den letzten Jahren zurückgegangen sind.

das ist genau dass Problem. Die AV`s haben sämtliches Gedöns im Programm und die Marketing Abteilung treibt es in die Höhe und was haben wir heute ? genau dass was Du sagst die Infektionen sind eben nicht zurück gegangen. Und ich denke dass sollte zu denken geben, nähmlich dahin gehend, dass BB`s Hipsen und Co. vll. doch nicht so toll sind und schützen wie es immer verkauft wird.

[Gast_claudia_*]

und jeder kann sich aussuchen womit er am liebsten am PC arbeiten möchte.

Und Programme wo ich entweder oder einstellen kann, bekommen von mir den Vortritt, weil ich dann nicht meiner Mutter, Bruder, Freund usw.
jedesmal was anderes empfehlen muss.

[Gast_@ndreas_*]

Fein! Dann hätten wir das ja mal wieder geklärt. Zum wie vielten Mal jetzt?
Wäre statistisch wieder "Braucht man eine Firewall" dran ...

[hop]

Ich bin der Meinung dass ein AV auf seine gute Signaturen(da muss aber die Qualität der Signaturen stimmen) setzen soll plus eine gute Cloudanbindung, dass sollte reichen. Bestes Beispiel ist da z.B Trendmicro, die machen dass in meinen Augen richtig. Ein wirklich sehr einfaches AV mit sehr wenigen Einstellungen, gute Signaturen und eine Cloudanbindung.

Aber leider gehört Trendmicro momentan zu den langsamsten AVs.