Hat schon jemand das a-squared IDS getestet? Einstellungen

[Solution-Design]

Was hast Du da alles drin bitte?
[right][snapback]95871[/snapback][/right]

Hab gerade was gelöscht

Name: C:\Programme\Symantec\WinFax\WFXCTL32.EXE
Name: C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
Name: C:\Programme\Symantec\LiveUpdate\LuComServer_2_6.EXE
Name: C:\wintools\Morver\MORVER.EXE
Name: C:\Programme\Windows Media Player\setup_wm.exe
Name: C:\Programme\Microsoft Office\Office10\WINWORD.EXE
Name: C:\Programme\Internet Explorer\iexplore.exe
Name: C:\Programme\Plucker\parser\python\vm\python.exe
Name: C:\Gigabyte\Gigabyte Windows Utility Manager\bios\gwf32.exe
Name: C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
Name: C:\wintools\Magic Mail Monitor\Magic.exe
Name: C:\Programme\T-DSL SpeedManager\tdsltest.exe
Name: C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
Name: C:\WINDOWS\system32\rundll32.exe
Name: C:\Programme\Symantec\LiveUpdate\LuComServer.EXE
Name: C:\Programme\Symantec\WinFax\FAXMNG32.EXE
Name: C:\wintools\everesthome\everest.bin
Name: C:\Programme\Gemeinsame Dateien\Microsoft Shared\office10\dw.exe
Name: C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
Name: C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
Name: C:\Programme\Mozilla Firefox\firefox.exe
Name: C:\Programme\Symantec\WinFax\SETUPDCC.EXE

[Voyager]

@piet

Ich kann das fast nicht glauben, da dann alle Checksummen von allen "guten" Programmen in dieser DB stehen müßten.

die automatische programmkontrolle erkennt über datenbank sehr viele low-risk programme selber , meiner meinung nach sind das auch digital signierte programme und applikationen .
das sind nur einige der "automatisch" erkannten netzwerkfähigen programme aus meiner liste:
Adobe , trillian , ICQ , jv16PT , MS-programme/Module , MSN , Opera , Quicktime, AI Roboform , alle Symantec-module , Tuneup Utilities , Yahoo .

[Gast_Andreas Haak_*]

> Name: C:\Programme\Symantec\WinFax\WFXCTL32.EXE

Denke weil a² die Wählverbindung meldet - ist halt der YAW Anteil .

> Name: C:\Programme\Symantec\LiveUpdate\LuComServer_2_6.EXE

Ok, siehst, das hab ich vergessen. Einige Updater werden erkannt, weil a² prinzipiell nicht analysiert welche Daten da hin und her geschickt werden, sondern nur das versteckt Daten fließen (Phone Home etc ). Werde das mal für Version 2.5 oder 3 vormerken.

Kann ich Dir mal ne Version von 1.7 schicken und Du sagst mir, was davon noch effektiv gemeldet wird?

[Gast_piet_*]

>Antwort: Ich bezahle lieber Herrn XYZ jeden Monat bzw. lade meinen Bekannten zum Kaffee ein.

Imo eine Mischung zw. 1. und 2.

Herrn XYZ ist das natürlich Recht.

Zur Alternativinstallation bleibt abzuwarten wie lange ONU es denn nutzt bzw. gänzlich auf OS Fenster verzichtet/verzichten will/kann. Ansonsten natürlich löblich.

Hast Du denn einen Vorschlag wie es zu lösen wäre mit den x Fehlalarmen?

piet

[Gast_piet_*]

Danke bond7. Frage...musstest Du Programme manuell freigeben oder wurden alle Deine Programme korrekt erkannt und es war keine Interaktion nötig?

piet

[Manu]

Zur Alternativinstallation bleibt abzuwarten wie lange ONU es denn nutzt bzw. gänzlich auf OS Fenster verzichtet/verzichten will/kann. Ansonsten natürlich löblich.

Bisher schlägt er sich tapfer.

Hast Du denn einen Vorschlag wie es zu lösen wäre mit den x Fehlalarmen?

Ehrlich gesagt, ja. Aber das verrate ich nicht.

Nein, natürlich ist das eine schwierige Sache. Aber a² hat doch Möglichkeiten zu erkennen, ob nun der IE gestartet wurde oder ob das nicht der IE bzw. ein "verseuchter" IE ist. Wie das letztendlich im Code aussieht, ist nicht mein Bier.

[Solution-Design]

Kaspersky steht in der Käufergunst an der Spitze?

zumindest nicht am A.. der Welt. Kenne das Produkt auch schon seit Anfang der 90er, als es sich noch "AntiViral Toolkit Pro (AVP) for DOS" nannte. Schon damals glänzte es mit einer hervorragenden Erkennungsrate.

Was hat Unpacking ausserdem mit Usability zu tun? Eigentlich ist Unpacking in puncto Usability sogar schädlich, da es den Rechner mehr belastet und folglich ein Scan 1. länger braucht und 2. mehr Rechenzeit...

Da habe ich mich scheinbar etwas unklar ausgedrückt, bzw. etwas vermischt. Norton Firewall <=> Topp Usuability, da der User nicht belästigt wird.
KAV <=> Topp Erkennungsleistung.

Die beiden sollen ja nur als Beispiele gelten.

Was die Rechenleistung angeht, euer OnAccess-Teil braucht davon glücklicherweise noch sehr wenig. Stimmt, wenn die Unpackengine hinzukommt könnte sich das ändern.

Kaspersky jetzt auch niemand auf die Idee Emulation zum Unpacking verwenden. Die halten an ihren statischen Unpackern fest... da lebt man eher mit der suboptimalen Variante .
[right][snapback]95874[/snapback][/right]

Und wenn ich die Testberichte als auch die User-Erfahrungen so sehe, fahren die auch hervorragend damit. Sollte man sich als Beispiel nehmen

[Voyager]

@piet

Danke bond7. Frage...musstest Du Programme manuell freigeben oder wurden alle Deine Programme korrekt erkannt und es war keine Interaktion nötig?

nein, nur eine tray-benachricchtigung, das das programm erkannt und freigeschaltet wurde. es war keine interaktion nötig.
die firewall-applikationrules-updates (das heisst genauer Symantec trusted application list) wurde in den letzten monaten (nach dem release der 2005er version) sogar erstaunlich oft aktualisiert und erweitert, das lässt vermuten das sehr viele programme erkannt werden.

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 22:20

[Gast_Andreas Haak_*]

Und wenn ich die Testberichte als auch die User-Erfahrungen so sehe, fahren die auch hervorragend damit. Sollte man sich als Beispiel nehmen 
[right][snapback]95888[/snapback][/right]

Vertrau mir einfach wenn ich sage, einen Backdoor vor Kaspersky unentdeckt zu machen ist defacto einfacher als ihn z.B. vor AntiVir zu verstecken .

[Solution-Design]

Kann ich Dir mal ne Version von 1.7 schicken und Du sagst mir, was davon noch effektiv gemeldet wird?
[right][snapback]95882[/snapback][/right]

Ja, kannst du. Hast gerade Post von mir bekommen

[Solution-Design]

Vertrau mir einfach wenn ich sage, einen Backdoor vor Kaspersky unentdeckt zu machen ist defacto einfacher als ihn z.B. vor AntiVir zu verstecken .
[right][snapback]95890[/snapback][/right]

Schade... benutze Norton, ob ich doch auf Antivir umsteige? Oder doch NOD32? Die immer wiederkehrende Frage...

Wir sind hier zwar nicht im Chat, aber Mädels, Andreas hat hier verdammt ehrlich viele Fragen beantwortet (der Rest dürfte sicher in das Ressort Betriebsgeheimnis fallen), so dass ich ihm an dieser Stelle mal für seine Offenheit danken möchte. Ach und.. gute Nacht

[Gast_Andreas Haak_*]

Ja, kannst du. Hast gerade Post von mir bekommen 
[right][snapback]95893[/snapback][/right]

Du jetzt auch .

[Voyager]

@Solution-Design

hmm ja hat er, aber teilweise ausweichend und sehr subjektiv

Der Beitrag wurde von bond7 bearbeitet: 31.05.2005, 22:37

[Gast_Jens1962_*]

Hab gerade was gelöscht 
  Name: C:\Programme\Symantec\LiveUpdate\LuComServer_2_6.EXE
  Name: C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
[right][snapback]95880[/snapback][/right]

Falls es Dich beruhigt, diese beiden Programme werden selbst von der Norton-Firewall mindestens 1x am Tag abgefragt.

[Voyager]

@piet

kleine info nochmal am rande ,die erste testversion von NIS2005-antispywareedition trialperiode ist am 1.6.2005 offiziell beendet , programm wurde hier auch schön deaktiviert ....deinstalliert wurde es problemlos und ohne störende rückstände !
ich CD rausgesucht und NIS2005 wieder neu installiert und hier kannst gleichmal sehen wie gross die datenbank der "liste der für symantec vertrauenswürdigen anwendungen" von august-2004 bis mai-2005 ist .



das wars letzte, alle anderen tonnen von updates (bis heute) kamen vorher .

[Solution-Design]

t ....deinstalliert wurde es problemlos und ohne störende rückstände !
[right][snapback]95914[/snapback][/right]

habe mehrmals Nis2005 in- und deinstalliert. Genauso über alte Norton-Versionen drüber. Klappt hervorragend.


Edit: Dicker Schreibfehler

Der Beitrag wurde von Solution-Design bearbeitet: 01.06.2005, 09:47

[Voyager]

wuss?....das klingt aber jetzt so als würdest du mirn dumm august klammheimlich unterschieben !?

[Solution-Design]

Nene... <gg>, funktioniert wirklich wunderprächtig.

Ich hatte zwar mit der Deinstallation der älteren Versionen keine Probleme, aber eine "einfach drüberbügeln Installation" war vor den 2005er Versionen nicht empfehlenswert. Auch @guard hat dazugelernt. So sind nun keine Einträge mehr aus den \servicepack\.. Foldern vorhanden. Keinerlei Nerverei, nur ein paar wenige Freigaben für Tools, die nur wenige kennen, das war es. Sowas wünsche ich mir auch bei asquared. Aber ... wer außer eines solchen Konzernes hat schon die Zeit eine solche Datenbank auf die Beine zu stellen.

[Gast_SHAKAL_*]

nabend,
also folgender Stand ist derzeit.
Nach einem sehr ausgiebigem Gespräch mit "emsi" habe ich das LOG von KAV was die 100% erkannt hat bereit gestellt.
Was sich als problematisch heraus gestellt hat ist die Tatsache, daß KAV lediglich einen TXT-LOG ausgeworfen hat und entsprechend mußte ich eine Einsicht zeigen.
Die Einsicht dahingehend, daß in dem LOG was ich angefertigt habe und auch nur anfertigen konnte nicht die Details vorhanden waren die benötigt werden.
Dieser Umstand war mir NICHT bekannt da ich ja normal kein AV User bin.

Nun haben emsi und ich uns darauf geeinigt, daß ich AVP (Kaspersky Linux) nochmal dagegen laufen lasse um zu sehen, welche Details dazu führen können/konnten das der Test so ausgefallen ist.

so long.
MR

Der Beitrag wurde von SHAKAL bearbeitet: 02.06.2005, 18:53

[Solution-Design]

Na also, bist ja doch 'n netter Kerl