Windows und Virenwächter
 

Hallo Leute,
vor einem Jahr hatte ich mein Norton Abo verlängert. Einige von euch schrieben ungefähr, nichts sei überflüssiger, als ein Virenwächter. Ich glaube himitsu war ganz energisch. Jetzt will ich fragen, bevor ich das Abo verlängere: was sagt ihr zu Virenwächtern, insbesondere Norton. Wie schützt ihr euch vor Schädlingen?
Gruß Willie.

AW: Windows und Virenwächter
 

ich?

nö


aber Vielen reicht auch Freeware
und selber der Defender (das, was Windows selbst mitbringt) ist besser als Nicht.


Was "Windows mitbringt" .... ich meine nicht McAffee, Welches viele Gerätehersteller "kostenlos" beilegen (was man dann nach 'nem Monat bezahlen soll)

AW: Windows und Virenwächter
 

Der Windows-Defender reicht in den meisten Fällen eigentlich aus.
Gegenüber früher ist seine Erkennungsleistung in einem brauchbaren Bereich.
Norton und Co. haben die Angewohnheit (früher?) sich nicht mehr richtig entfernen zu lassen.
Und einige hängen sich in einigen Bereichen so rein (z.B. Browser mit einem Zertifikat) das sie Sicherheitslücken reißen, welche es ohne sie nicht gäbe.

AW: Windows und Virenwächter
 

Mr. G sagte mir grade:
https://www.chip.de/news/Der-staerks...171619583.html

Avira hatte ich früher immer (viele Jahre her), aber wie andere Hersteller auch, waren dort leider zu oft Delphi-Kompilate fehlerhaft "erkannt" worden (bei Anderen noch mehr).
Da spare ich mir dann einfach die zusätzliche Installation und lasse Windows so, wie es ist.


Auf dem NAS hab ich noch Antivirus-Essential, welches aber nicht als LiveScanner arbeitet, sondern nur einmal die Woche kurz drüberschaut.
(gibt es für Linux überhaupt Live-Scanner?)

AW: Windows und Virenwächter
 

Mir hat neulich in der Arbeit immer der Trend Micro den frisch erzeugten InnoSetup Installer als Virus erkannt und gelöscht.

Ein Update von InnoSetup hat das dann beseitigt.

AW: Windows und Virenwächter
 

Zusätzlich die False-Positive melden und hoffen es wird beseitigt.

Bei Avira damals mehrmals gemacht und nach wenigen Minuten bis paar Stündchen war das Problem dann erstmal weg.

AW: Windows und Virenwächter
 

Das grundlegende Problem bei den "Virenwächtern" ist imho, dass sie meist mit hohen Rechten laufen, und sehr komplex sind. Man hat also eine stark fehleranfällige Software mit sehr weitgehenden Rechten am Laufen, die ein Angreifer entsprechend ausnutzen kann, und dann schlimmstenfalls mit diesen hohen Rechten Schaden anrichten kann. Es gibt auch immer wieder mal Berichte über entsprechende Lücken in Antiviren-Software, die als Einfallstor für Malware genutzt werden (könnten).

Ganz schlimm finde ich so Komplett-Internet-Security-Pakete, die sich auch mal gerne in die SSL-Verschlüsselung einklinken und damit effektiv den Schutz verringern.

Mir reicht der Windows Defender vollkommen aus. Zusätzliche Software, die im System rumpfuscht, braucht man meines Erachtens nach nicht.

AW: Windows und Virenwächter
 

Der Windows Defender ist, wenn man nur auf die Erkennung bekannter Viren schaut, gar nicht schlecht.

Leider ist die Performance weniger gut, was man insbesondere beim Kompilieren mit Delphi gut merkt. Das klappt mit Norton deutlich schneller.

Ein großer Vorteil von Norton ist, dass er mir die Information gibt, dass eine Software sehr neu ist, und diese auch standardmäßig deshalb blockiert. Diese Information bekomme ich weder beim Windows Defender noch bei anderen Antivirentools, die ich kenne. Sie ist aber entscheidend für meine eigene Einschätzung. Denn wenn ich etwas herunterlade wie z.B. ein Setup eines großen Herstellers, das bereits mehrere Wochen alt ist, stimmt ggf. etwas nicht, wenn dieses Setup noch niemand hat.

Und diese Information kann man nicht mit "dem gesunden Menschenverstand" ermitteln, den ja einige als Alternative zu Antivirentools anpreisen. So habe ich bereits zweimal bemerkt, dass die Server des jeweiligen Herstellers kompromittiert waren und Viren verteilt haben. Ein Scan mit Virustotal hat erst Tage später bei einer breiteren Mehrheit an Tools bei den heruntergeladenen Dateien angeschlagen.

Deshalb werde ich privat sicher weiter auf Norton setzen.

AW: Windows und Virenwächter
 

Ich bin auch gerade vorm verlängern (von Avira) und ernsthaft am überlegen ob ich mir das weiter antuen will.

Aktuell hat Avira das Level was früher einmal Norton hatte.
Avira installiert seit einigen Jahren einfach Zeug was ich nicht will, es redet nicht, sondern löscht einfach und akzeptiert auch nicht wenn ich einzelne Pfade oder Dateien ausschließe.
Kundensupport gibt es nicht, jedenfalls keinen der ansatzweise zuhört.

Die Firma gehört, nach einem Finanzinvestor aus Bahrain, nun zu Norton (Symantec). Besser fühle ich mich trotzdem nicht.

AW: Windows und Virenwächter
 

wurde Avast auch als eine Alternative angeschaut/ausprobiert? Ich hatte das irgendwann Zuhause verwendet und es war damals ganz OK für mich.

AW: Windows und Virenwächter
 

Ich sehe absolut keinen Grund, weshalb ein privater Anwender etwas anderes als den Defender benutzen sollte, es sei denn, er bereitet konkret irgendwelche Probleme.

In die Kategorie "Probleme" fällt evtl. schlechtere Performance, wobei dabei diverse Konkurrenzprodukte auch nicht gerade glänzen. Meist kann man dies aber durch sinnvolle Ausnahmen beheben, z.B. dass man die Verzeichnisse mit Sourcecode nicht scannen lässt.

Generell sind Virenscanner nervig, weil sie sich unnötig in den Vordergrund drängen, um dem User zu zeigen, wie wichtig sie doch sind, er könnte sie ja sonst vergessen, wenn sie einfach nur ihre Arbeit tun. Der Defender ist dahingehend OK.

AW: Windows und Virenwächter
 

Der Windwos Defender ist heutztage jedem zu empfehlen. Der macht seinen Job unterdessen sehr gut und vermüllt das System nicht mit Schrott, der ein normales Arbeiten fast verunmöglicht. Wenn du aber etwas Ahnung vom PC hast, bist du selber der beste Vierenschutz, wenn du nicht alles und jedes Programm ohne Überlegen startest. Im Browser (Firefox) nutze ich z.B. uMatrix und verhindere erst mal alle JS auszuführen und geben dann nur bei Bedarf die Berechtigungen diese auszuführen.

AW: Windows und Virenwächter
 

Kleine, recht aktuelle Übersicht...

VG
Steku

https://www.av-test.org/de/antivirus/privat-windows/

AW: Windows und Virenwächter
 

Das tun vor allem die diversen Gratistools, weil die Hersteller hoffen, dass man dann eine Bezahlversion kauft. Bei den anderen gibt es normalerweise nur Monatsberichte oder ähnliches und die kann man (zumindest bei Norton) auch einfach ausschalten.

Und das ist eben der große Irrtum. Ich habe ja gerade weiter oben erklärt warum...
Wenn ein Server kompromittiert ist, hast du keinerlei Möglichkeit dies ohne die genannte Information der geringen Verbreitung festzustellen.

Dazu kommt, dass z.B. Norton auch in Diagrammen anzeigt wann etwas installiert wurde (womit man dann auftretende Probleme abgleichen kann), bei übermäßiger Ressourcennutzung von Programmen warnt, usw.

AW: Windows und Virenwächter
 

Wenn du per Default kein JS ausühren lässt (uMartix), sollte das kein Problem sein.

AW: Windows und Virenwächter
 

Hallo Freunde, (Frauen waren wohl keine dabei)
vielen Dank für eure Antworten.
Zunächst kann ich was zum Preis sagen: nach zunächst 95 bieten sie mir jetzt das Abo für 30 Euro an, das finde ich angemessen. Ich nutze Norton seit 10 Jahren und er macht eigentlich unauffällig seine Arbeit. Bei neu kompilierten Programmen kann er nerven.
Für Norton spricht: Warnung vor unbekannten Programmen und auffälligen Web-Seiten. Das müssen nicht Porno-Seiten sein, sondern es war eine seriöse Seite über Pack-Programme, die verseucht war.
Dagegen spricht: die hohe Komplexität des Virenschutz und die hohen Rechte desselben, wie Sebastian erklärt hat.
Ich bin vorsichtig und starte keine unbekannten Programme oder Installationen. Mailanhänge öffne ich nur von sehr vertrauenswürdigen Personen. Mail zweifelhaften Ursprungs bekomme ich relativ oft. Aber die Weitergabe der E-Mail Adresse lässt sich ja kaum aufhalten.

Ich habe noch bis Ende des Monats Zeit und werde eure Argumente "sacken lassen".
Gruß Willie.

AW: Windows und Virenwächter
 

Wie soll das dabei helfen, einen serverseitig kompromittierten Download von einem Server zu erkennen?

AW: Windows und Virenwächter
 

Vollste Zustimmung!

Komplex, und vor allem ist es Software die jede Menge Dateien (bzw. Dateiformate, teils auch schlecht oder überhaupt nicht dokumentierte) als Eingaben frißt und das bei hohen Rechten. Je nach Software wird nicht alles mit allerhöchsten Rechten gemacht, aber manches ist auch komplett sinnbefreit. Bspw. gibt es absolut keinen Grund warum ein On-Access-Scanner (OAS) Archive behandeln sollte. Keinen. Angenommen man könnte Archive wirklich als Laufwerke einhängen (also nicht ZIP Folders, das ist nur ne Shell-Erweiterung), würde sich ohnehin eine Instanz des OAS da reinhängen und transparent die Inhalte "sehen".

Bingo! Für jeden Zweck was eigenes und diesen Müll am besten meiden.

Selbst der Defender pfuscht mir noch manchmal dazwischen, aber ich arbeite ja auch immer wieder mit Malware :zwinker:

Ich teile die Empfehlung zu Defender. Und gerade wer argumentiert Microsoft könne man nicht trauen, weshalb es unbedingt AV-Produkt XYZ® mit Glöckchen™ und Schellen® sein soll, sollte noch einmal in sich gehen und sich überlegen auf welchem Betriebssystem er das tut, dann ggf. auf eine Alternative wechseln, oder sein "Argument" wieder runterschlucken.

In der Tat, die kleine redmondischerumänische AV-Klitsche hat sich in Redmond ziemlich gemausert. FRISK hatte damals auch ein Angebot von MS auf dem Tisch. Hätte aber Umzug in die USA bedeutet.

Auch beim Defender kann man Compiler, Linker und andere Entwicklertools ausnehmen und hat dennoch beim Ausführen der erstellten PE-Datei ein Sicherheitsnetz, sofern man sich nicht gleich entscheidet den ganzen "Entwicklungsordner" als Ausnahme zu deklarieren.

Vermutlich hat Norton da einfach ne bessere Heuristik um den Compiler zu erkennen und macht das dann von sich aus. Gerade das wiederum wäre für mich eher ein Negativmerkmal. Aber so unterscheiden sich halt die Anforderungen.

Doch. Und der ist die beste Alternative. Leider ist der in anglophonen Welt als "common sense" bezeichnete gesunde Menschenverstand nicht so "common", bzw. stark auch von Wissen und Erfahrung abhängig.

Wenn etwas anschlägt, und seien es mehrere Scanner bei VT, ist dies noch lange keine korrekte Aussage, daß an der Datei überhaupt etwas bösartiges ist. Was du einige Tage später erlebt hast, ist übrigens jene Dynamik mit der Erkennungen sich in der Industrie verbreiten. Ich habe das schon kritisiert - auch auf den VB-Konferenzen unter Kollegen - als ich noch in der Industrie war.

Ich habe absichtlich von Erkennungen geschrieben. Denn diese sind es die sich verbreiten. Wenn nun Norton bspw. merkt (sei es durch Rückmeldung des jeweiligen Softwareherstellers [ISV] oder auch anders), daß es sich um eine Fehlerkennung (false positive) handelt, ist das Kind meist schon in den Brunnen gefallen. Bis dahin haben andere es auf Basis der Ersterkennung von Norton bereits in Erkennung genommen und da ist der Schneeball im Rollen.

Da es keine industrieweite einheitliche Methode gibt Fehlalarme untereinander zu kommunizieren, darf der daraufhin jeden einzelnen der gelisteten AV-Hersteller anschreiben und um Entfernung der Erkennung bitten. Dabei gilt meistens die Beweislastumkehr (ISV darf Harmlosigkeit der Software beweisen) und meist hat man es mit uneinheitlichen Web-Formularen zu tun, einige erfordern die Eingabe persönlicher Daten (und wollen ohne nicht abgeschickt werden) oder man muß Emails schicken.

Und dann ist noch nicht klar ob die aus der Erkennung genommen werden. Und je nach Hersteller kann eine zuvor rausgenommene Erkennung solange wieder reingenommen werden wie andere weiterhin fälschlich behaupten Sample soundso sei böse.

Da ist es für den ISV vielfach einfacher die Software nach kleiner Änderung neu zu bauen und zu hoffen, daß diesmal keine Fehlerkennung stattfindet.

Wer weiß hinter welchem AV-Produkt welche Engine(s) werkelt, kann sich ein wenig Aufwand sparen; aber manche AV-Produkt-Hersteller ohne eigene Engine packen auch ihre eigenen Regeln/Signaturen rein. Und Erkennung ist immer Engine + Regeln.

Warum auch nicht? Es ist immer die Wahl des kleineren Übels für den gewünschten Einsatzzweck. Und wenn nach Güterabwägung Norton das AV der Wahl ist, finde ich das nicht schlimm.

Das hat MS mittlerweile mit harten Vorgaben auf verschiedenen Ebenen gelöst. Als Gegenleistung für's Mitmachen bekommen die AV-Hersteller Telemetrie von euren Rechnern :zwinker:

Lieber den Compiler/Linker/... ausnehmen aus das Sourceverzeichnis. Aber prinzipiell geht beides. Ist im Endeffekt dann ein Unterschied wenn mal in dem besagten Verzeichnis was wirklich böses landen sollte und nicht nur frische Kompilate.

Jupp, aber wenn alle so denken würden wie du, wären alle AV-Hersteller pleite. Und MS macht schon eine Menge Vorgaben, auch zur Integration im ehemaligen Windows Security Center (heute Action Center). Für's Mitmachen bekommt man (= AV-Hersteller) Zugriff auf Informationen (bspw. undokumentierte APIs, diverse anstehende Änderungen vorab) unter Verschwiegenheitsklauseln.

Kleine, recht persönliche Anmerkung: viele dieser Tests sind Humbug. Bei einigen Testern kann man sie als gekauft bezeichnen. Tester und AV-Hersteller sind auf gegenseitige Kooperation angewiesen. Dafür gibt's AMTSO. Zählt doch einfach mal die Mitglieder durch und dann ratet wer die Hosen an hat?! :zwinker:

Übrigens AV-Tester sind es bspw. die den oben genannten Unfug mit Archiven im OAS erzwingen. Dank teils bescheuerter Testsetups. Andere sind wiederum recht clever. Und manche Tester sind sogar recht gut und haben sehr viel Know-How und daher aus meiner Sicht viel Reputation. Aber wie geschrieben: jedem Tester sollte man nicht glauben. So wie man bei der Stiftung Warentest auch die Methoden durchlesen und dann ggf. die Gewichtung der Einzelpunkte für sich selbst korrigieren sollte.

Und du setzt dich dann mit deinem Reverse-Engineering-Werkzeugkasten hin und guckst dann erstmal ob der AV-Hersteller recht hat, oder du vertraust ihm blind?

Im Zweifel heißt es: lieber nicht anklicken. Richtig. Aber das Vertrauen welches die Leute in AV-Hersteller haben wird von denen mittlerweile weidlich ausgenutzt.

Und gerade bei Norton (damals Symantec) ist mir bitter aufgestoßen daß meine gesamte Seite mehrfach von denen als bösartig gelistet wurde, weil einzelne Programme (übrigens quelloffen mit beiliegendem Quelltext) als bösartig erkannt wurden. Nun, erst einmal behaupte ich daß die nicht bösartig waren. Mit gleichem Recht könnte man ein Warenkaufhaus dichtmachen, weil es eine Abteilung hat in der Küchenmesser oder Baumarktartikel verkauft werden. Die korrekte Einordnung war und ist PUA/PUS (potentially unwanted application/software). Also Software bei der von einer Bösartigkeit pauschal nicht die Rede sein kann. Aber Nuancen kennen diese selbsternannten modernen Internetpolizisten nicht. Genau wie sie offenbar nicht einzelne URLs, sondern nur ganze Domänennamen inklusive Unterdomänen blockieren können. Das nervt!

Und dann gibt es noch ne Menge Schlaubi-Schlümpfe die sich bar jeder eigenen Fachkenntnis diese "Einschätzung" der Bösartigkeit von "reputablen Anbietern" für ihre eigenen Dienste borgen. Da wird es dann noch bizarrer, weil diese Leute mit fachlichen Argumenten nix anzufangen wissen. Die behaupten einfach basierend auf der Einschätzung anderer die Bösartigkeit und könnten, würde man ihnen ne Schußwaffe an die Stirn halten, beim besten Willen nicht einmal erklären was eine PE-Datei ist. Im Glücksfall wird man dann an Leute von der eigentlichen Quelle der "Einschätzung" durchgereicht. Aber das alles kostet viel Nerven und Lebenszeit. Kein Wunder daß diese ganzen werbeverseuchten Webseiten mit "gutem Leumund" inzwischen das Web dominieren, wenn kleine unabhängige Webseitenbetreiber auf diese Weise kaltgestellt werden.

Wenn man für sich selbst (oder als Admin für seine Firma) entscheidet ob man einem bestimmten Hersteller mehr oder weniger vertraut, hat das eben eine andere Reichweite als wenn man damit einen Dienst hochzieht und anbietet der Urteile über Webseiten fällt ohne daß man selbst auch nur ansatzweise fachlich in der Lage ist eine Beweisführung über die Behauptung anzutreten.

Zum Glück für diese -- sagen wir mal -- Anbieter, ist das Internet in dieser Hinsicht in der Tat ein rechtsfreier Raum. Rufmord durch Internetpolizisten ist sogar en vogue.

Überhaupt nicht!

Aber wer auf seinem Server überhaupt solche Downloads aus nicht vorher geprüften Quellen ausführt, hat ganz andere Probleme! Schon von SRP und AppLocker gehört? Und dann halt Silos/AppContainer auf modernen Windowsversionen ...

AW: Windows und Virenwächter
 

Jeder Küchenverkäufer wird neidisch, da dort nur 50-60% Rabatt normal sind.
Und auch auf dem Basar erreicht man die Rabatte nicht die man "gnädiger weise" bei einer Verlängerung "aushandeln" kann.
Auf Amazon bekommt diese 30€ auch bei vielen Angeboten auch.

AW: Windows und Virenwächter
 

@Assarbad: Vielen Dank für diesen fundierten und ausführlichen Beitrag, nur bei der Stelle hier:

Ich sehe das Problem nicht. :twisted:
Im Ernst, dann suchen sich die Leute halt andere Jobs.
Nur weil "...aBeR dIe aRBeiTsPlÄtZe...", dass ist doch keine gute Begründung.

Dieses Thema wurde am "26. Jul 2022, 14:29 Uhr" von "Daniel" aus dem Forum "Win32/Win64 API (native code)" in das Forum "Betriebssysteme" verschoben.

AW: Windows und Virenwächter
 

Das hat mich nun einmal interessiert. Ich habe daher eine der zu kompilierenden Dateien extern mit Viruscode manipuliert, dann Windows und Delphi wieder gestartet. Die Datei wurde dann beim Kompilieren von Norton erkannt.

Deine Vermutung ist also nicht korrekt. Die Analyse der Dateien ist einfach nur schneller, wird aber durchaus korrekt durchgeführt.

Woher soll ich das denn erkennen? Klar, es gibt einige Quellen, die zusätzlich Hashwerte zu den Downloads anbieten, aber das sind ja nun einmal nicht viele.
Da du schreibst, dass ich eine solche serverseitige Manipulation auch mit dem gesunden Menschenverstand erkennen könnte, wäre interessant wie genau. Da habe ich leider keine Idee, wenn der Virus nicht gerade so dumm geschrieben ist, dass er beim Ausführen des Setups erkennbar ist.

Davon habe ich doch gar nicht gesprochen. Ich rede davon, dass ich auf meinem Desktop einen Download von einem eigentlich vertrauenswürdigen Server lade, der aber auf dem Server durch einen Virus befallen wurde. Und genau das kann ich durch Norton erkennen.

Bei den beiden genannten Beispielen wurde hinterher auch bekannt, dass die Server kompromittiert wurden. Es war kein (!) False Positive, zumal das auch ein großer Zufall gewesen wäre...

AW: Windows und Virenwächter
 

Hallo,
nachdem mir Norton ein Angebot 30 Euro für ein Jahr gemacht hat, habe ich es angenommen. Ich nutze weder die Norton Cloud noch bin ich mit Norton im Dark Net unterwegs. Ich denke, meine Entscheidung war richtig.
Dass Avira die Billigmarke von Norton ist, finde ich interessant.

Nachdem ich in einem einfachen Delphi-Programm GetMem ohne FreeMem benutzt hatte, unterdrückte Norton schließlich die Ausführung des Programms vollständig.

Gruß Willie.

AW: Windows und Virenwächter
 

Sie haben es vor nicht einmal zwei Jahren gekauft. Es ist also nicht eine Billigmarke im eigentlichen Sinn, sondern nach wie vor ein komplett anderes Produkt, nur jetzt unter dem gleichen Dach.

AW: Windows und Virenwächter
 

War auch eher als Scherz gedacht. Wobei es einen wahren Kern gibt. Gäbe es keine Konkurrenz, gäbe es wenig Impetus für Microsoft sein Produkt selbst ständig technisch zu verbessern.

Wenn du meinst. Ich könnte jetzt ja auf die Details eingehen wo genau da was schief gehen könnte beim einen aber nicht beim anderen Produkt, aber lassen wir's.

In den meisten PE-Dateien gibt es Metadaten die genau diese Information enthalten.

Aber du scheinst einen sehr verengten Blick auf das zu haben was den gesunden Menschenverstand im Themenkomplex bösartiger Software angeht.

Wenn mit AuthentiCode signiert ist, dann sind dies auch Hashwerte. Die sind nur in die Datei selber eingebettet, aber sehr wohl auch ohne Ausführen der Datei prüfbar.

Aber Hashwerte ohne Signatur sind eigentlich auch Moppelkotze, weil du's dann ja wieder mit einem manipulierten/kompromittierten Server zu tun haben könntest. Bei einer kryptographisch sicheren Signatur müßte auch noch der geheime Schlüssel des Unterzeichners kompromittiert sein.

Das habe ich an keiner Stelle geschrieben.

Der gesunde Menschenverstand beschränkt sich übrigens nicht auf das Erkennen bösartiger Software, sondern setzt deutlich früher an. Dazu gehören diverse passive und aktive Abwehrmaßnahmen, die sich je nach OS, Browser usw. jeweils anders gestalten können.

Okay, das war dann ein Mißverständnis meinerseits. Klingt allerdings nicht nach einem vertrauenswürdigen Server (und eigentlich macht's nicht besser).

Apropos, WinGet kann hier zumindest teilweise durch die Prüfung von Hashwerten helfen. Kommt natürlich auch immer darauf an was wann wie kompromittiert wurde, falls dies das Bedrohungsszenario ist (beim Absichern arbeitet man ja immer gegen ein Bedrohungsszenario).

Und genau diese Technikgläubigkeit ist es, welcher der gesunde Menschenverstand deutlich überlegen ist.

Gedankenspiel: Norton vermasselt es einmal und läßt etwas durch. Du bemerkst es -- egal ob noch früh genug oder bei der Nachbereitung eines größeren Ausfalls durch die nicht erfolgte Erkennung -- was tust du? Die Wahrscheinlichkeit, daß du auf Norton fluchen, dies vielleicht auch öffentlich tun und dann das Produkt wechseln würdest ist groß. Denn es bedarf nur einer Enttäuschung um über lange Zeit aufgebautes Vertrauen zu verspielen. Dabei wäre das ziemlich unfair ggü. dem Produkt von Norton.

Denn wie alle Hersteller kocht auch Norton nur mit Wasser, wie man so schön sagt. Daß es von der Erkennungsleistung bei dir besser paßt, ist doch wunderbar. Schrieb ich ja schon. Ich will dir das auch überhaupt nicht madig machen (es gab echte technische Gründe bis vor wenigen Jahren von Trend Micro abzuraten, aber ansonsten nehmen sich die meisten Produkte nicht viel und man sollte es nach Gusto und Geldbeutel entscheiden). Aber die hier so gut passende Erkennungsleistung kann an allem möglichen liegen und erhöhte Erkennung bedeutet eigentlich auch immer erhöhter Anteil an Fehlerkennungen.

Norton hat also behauptet daß dein Download bösartig sei und hat ihn dann vermutlich selbständig gelöscht. Wie hast du denn diese Aussage überprüft? Bzw. wie lauteten die Erkennungsnamen? Gibt da ja so einige Muster, wie ich schon oben beschrieb. Entweder könnte es ein simpler Fall von PUA/PUS sein und dir war das egal und du gingst lieber auf Nummer sicher (wäre dann aber kein Fall von bösartig), oder -- kommt auch regelmäßig vor -- es ist eine Erkennung die auf einem bestimmten Obfuscator/Protector (o.ä.) basierend entsteht. Wir haben das in der Firma bspw. im Zusammenhang von einem bestimmten Programm von uns mit Themida-Behandlung (bei bestimmten Einstellungen). Die Fehlerkennung lautet dann immer auf den gleichen Erkennungsnamen. Aber die wird dadurch nicht weniger Fehlerkennung.

Kann natürlich auch eine echte Erkennung und ein echt kompromittierter Server gewesen sein. Aber in dem Fall solltest du deine Definition von Vertrauenswürdigkeit überdenken. Ich selbst habe diese Form von Kompromittierung auf Serverseite noch nicht erster Hand erlebt, dafür aber unzählige Male daß jemand eine Kompromittierung behauptet hat, es sich dabei aber ein ums andere Mal um eine Fehlerkennung handelte (läßt sich bspw. anhand existierender Hashlisten unter Versionskontrolle und mit Signatur wunderbar nachweisen).

Gut, dann haste Glück gehabt (wobei hier meine Frage wäre ob der Serverbetreiber die fachlichen Kenntnisse mitbringt oder auch nur die Aussage des AV für bare Münze nahm?! :zwinker:).

Deiner Beschreibung nach klingt es vor allem so als hätte Norton entweder eine deutlich bessere Heuristik bzw. verhaltensbasierte Erkennung (was sich aber mit der behaupteten Performance beißt) oder deren Produkt telefoniert einfach häufiger heimwärts und erreicht dadurch eine bessere "statische" Live-Erkennung. Letzteres ist wahrscheinlicher und wer's mag, dem sei's gegönnt.

(Einschub: MS selber telefoniert eine Menge selber heimwärts, es sei denn man zieht "die Handbremse" an und drosselt das gehörig. MS schickt aber auch Telemetrie welche die anderen AVs erzeugen an sich selbst und aggregiert die und gibt die als Zuckerli wieder an die AV-Hersteller raus, wenn die die Vorgaben von MS besonders gut einhalten.)

AW: Windows und Virenwächter
 

Ich habe ja immer gesagt, dass es für mich eine zusätzliche Information ist, die ich sonst nicht habe.
Ich installiere immer wieder auch Software, die weder signiert ist noch Hashwerte irgendwo auflistet. Da hilft mir kein nachdenken oder nachschauen. Gar nicht. Wie gesagt, es sei denn der Virus ist so dumm, sich durch sein Verhalten zu verraten.

Ja, das wird serverbasiert gemacht. Diese Kommunikation halte ich allerdings bei Antivirensoftware für sehr wichtig (und bei anderer Software, wie z.B. Windows, für sehr sinnvoll).

AW: Windows und Virenwächter
 

Dann paßt es doch :thumb: