ESET NOD32 Antivirus und ESET Smart Security Version 5 BETA

Hallo!

Ein bisschen Feedback, bitte nicht falsch verstehen oder mich in der Luft zerreißen.

Das UI gefällt mir ziemlich gut, muss mich zwar erst ein wenig umgewöhnen, und vielleicht ist es ein wenig verspielt, aber ich mag das.
Die Cloud Option finde ich super und sehr übersichtlich, man hat sofort einen gewissen Überblick über alle Prozesse, die da laufen, samt Bewertungen.

Womit ich ein Problem hab und wo ich hoffe, dass es sich bessert:
Das HIPS ist mMn derzeit noch mehr als spartanisch, um nicht zu sagen gefährlich.
Hier mal ein Vergleich:

Der IE greift also auf den IE zu, nicht mehr Info, dieses Popup kommt 5 Mal hintereinander, mit derselben Info.

Das kommt zum Schluss. Auch nicht bewegend viel Info. IE will auf die explorer.exe zugreifen.
Wenn man das 1. Popup denied, dann schafft man den Test, wenn man das 1. erlaubt und alle 4 weiteren denied, wird Info geleaked.

Nun im Vergleich der OA:

Hier wird zum einen klar gesagt, dass die PCFlank.exe auf den IE zugreifen will. Kommt mir schon komisch vor, wenn es zb eine Datei ist, die das nicht machen sollte. Wenn das jedoch nicht ungewöhnlich ist, dann bekommt man noch ein zweites Popup:

Nun wird mir gesagt, dass die exe den IE mittels OLE kontrollieren will.
Genau die Info, die man haben möchte. Und das nur in 2 Popups. Ich will bitte nicht OA glorifizieren oder ESET runtermachen, aber ich halte das hier für esentiell, um überhaupt mit HIPS zu arbeiten muss ein Mindestmaß an Info ausgegeben werden.

Natürlich darf man nicht vergessen, dass das hier ein HIPS ist, also man sollte schon halbwegs wissen was man tun muss. Das ESET HIPS ist jedoch mit dieser Funktion in meinen Augen derzeit noch nutzlos, wenn nicht gefährlich, da niemand was mit diesen wenigen Infos was anfangen kann und eventuell noch eher als bei anderen HIPSen irgendwas zulässt.

Mir ist bewußt, dass es die erste Beta ist, und wie Tommy gemeint hat, einige Funktionen noch fehlen.
Also seid lieb zu mir!

Danke für deine Rückmeldung. Werd natürlich weitertesten und melde mich wieder.

Was mir sehr wichtig ist und ich mir sehr wünschen würde: Eine Option im Popup oder im Systemtray zum schnellen Umstellen des HIPS auf learning mode. Oder eine Art Installationsmodus.
Oder eine Modus wo ich für die nächsten 3 Minuten alles zulasse.
Sonst wird man bei der Installation des simplesten Programmes sofort mit 8+ Popups überschwemmt, bei schweren Programmen sind es noch mehr. Immer in den Optionenbaum zu gehen und umzustellen ist sehr unhandlich.

Für alle Zweifler, Interessierten und alle die eventuell generell davon abgeschreckt sind, eine Beta zu testen:

Hier die HIPS Optionen:

Hier das Rules Übersichtfenster:

Hier die Rulesedit:

Und hier das Cloud based Prozesstool:

Und hier noch die Ergebnisse des Comodo Tests.
Anzumerken ist, dass ich jedes Popup denied hab, unabhängig von der jeweiligen Meldung, da ich aufgrund der spärlichen Informationen, die in den Popups derzeit noch vorherschen nicht sagen kann ob ich einen Vorgang als gut oder böse bewerten würde.
CLT Test:
240/340 Punkte.

Das sieht doch schon mal sehr gut aus!

Bitte zu beachten, dass ich ein x64 System habe, der Comodo Test sollte also laut Julian auf Rokop nicht dafür gemacht sein, ich weiß nicht, inwiefern man also den Ergebnissen des Comodo Tests vertrauen darf.

Die Cloud Reputation ist ein gutes neues Features:

Hallo,

die Spam Erweiterung wird nicht in Thunderbird installiert.
Habe die Erweiterung manuell in Thunderbird transferiert.

Bei der Installation der Beta wird am ende kein Neustart angefordert.
Dieser scheint mir aber zur Installation HIPS Treiber usw. notwendig.
Ohne Neustart ist die HIPS-Funktion inaktiv.
Was ist nicht gut finde:
Das sich nach jeder Einstellungs--Bestätigung die Options-GUI schließt.

Ansonsten läuft die Beta hervorragend.Viele kleine Neuerungen sind zu finden.

Frage zur SSL Untersuchung:

Für das Zertifikat wird ein privater Schlüssel generiert.
Nach welchen Parametern erfolgt die Generierung ? (Vielleicht anhand der Zugangsdaten ? )
Der Weg ist vorbildlich.

Gruß

Edit: je mehr ich mich mit der Beta beschäftige um so mehr begeistert diese mich.
Sooo viele kleine Details die Verbessert wurden.
Ist eine Entspannungs-Beta.
Kein Nerven-Terror.:-)

Werden die Beta Programmmodule auch über das Update verteilt ?
Oder ist immer eine erneute Installation notwendig?

Hatte gestern Abend auch zu tun mit dem HIPS.

Beim umschalten vom Interaktiven Modus auf dem Automatischem Modus blockt es sämtliche eigenen Systemzugriffe.
Der Interaktive Modus ist nur etwas für den versierten Anwender.
Hat aber auch Vorteile.
Wenn man manuell die Regeln erstellt (bestätigt) hat,kommt keinerlei fremder Prozess mehr unbemerkt an dem HIPS vorbei.
Habe versucht eine TDL Variante zu implementieren.
Das HIPS hat den Zugriff(Install) zuverlässig unterbunden.

Und Achtung bei einer Reparatur Installation von ESET.
Vorher muss der Selbstschutz deaktiviert werden ! (inkl.Neustart)
Ansonsten wird der Install.Prozess unterbrochen.(bzw. gibt es Berechtigungs-Probleme)

Eine Übersicht der Module im Beta Stadium:

Antivirus and antispyware scanner module: 1299B (20110408)

Update module: 1035B (20110330)

SysInspector module: 1219B (20110331)

Real-time file system protection module: 1005B (20110311)

Translation support module: 1010B (20110404)

Hatte Eset vorher auch schon ein Seiten Reputation-System ? (siehe G-Data)

Mir ist nicht in Erinnerung das Webseiten nach einem Bewertungssystem in der Version 4 eingestuft wurden.

Wenn das Neu ist,wieder ein Pluspunkt.

Spannung,Spiel und Schokolade.;-)

Was ich im Moment sehr praktisch finden würde:
- dass man die "Frequently Used" Sachen selbst zusammenstellen kann, a la Favoriten
- dass man durch Rechtsklick auf die Dateinamen in der Cloud die Dateien auch durchs HIPS blocken kann.

Was mich stört, ist das ich nicht die Programme einzeln von der Untersuchung des HTTPS Datenverkehrs ausschließen kann.
Derzeit geht nur ganz oder gar nicht.
Eine Ausschlussmaske für HTTPS wäre wünschenswert.

Hallo Tommi

Zitat

Das habe ich anders erlebt - allerdings habe ich TB nach der ESS installiert, was aber auch kritischer sein sollte

Das Problem lässt sich reproduzieren.Werde es aber nochmals testen.

Zitat

Die genauen Parameter darf ich natürlich nicht offenlegen, aber es ist ein Mix aus System und installierter ESET-Software & -Lizenz...

Danke.:-)

Zitat

Die Programmmodule werden wie gewohnt über das Signaturupdate ohne Neuinstallation verteilt.

Klasse,erspart ständige Programm-Updates.

Zitat

Diese Antwort gilt generell für das HIPS, wie es momentan implementiert ist - es ist einfach noch nicht fertig - nicht jede Anzeige entspricht der Funktion und auch nicht alle Funktionen sind voll ausgereift! Ich habe z.B. auch öfter das Problem, dass das Umschalten zwischen den einzelnen Modi nicht immer sauber funktioniert. Da also bitte einfach noch etwas Nachsicht und Geduld!

Bei einer Beta in dem frühen Stadium ist es völlig normal.Es sei verziehen.;-)
Die vordefinierten Regeln sind noch nicht optimiert.
Aber alles Gute braucht seine Zeit.

Zitat

Über die Signaturdatenbank wird regelmäßig auch die Blacklist für gefährliche Webseiten aktualisiert, die bereits seit ESET NOD32 Antivirus 2.7 dafür sorgt, dass bekannte Webseiten, die als gefährlich eingestuft wurden, blockiert werden. U.a. über die Funktionen der Kindersicherung und anderen Modulen in Version 5 wird das System cloud-basiert lediglich flexibler, was das Black- und auch wieder Whitelisting angeht, wenn z.B. mal wieder melissaetheridge.com Malware verteilt und deren Webmaster die Seite cleant und sie wieder freigegeben werden kann

Also kein Reputations-Schutz (Betrug etc).Sondern Black und Whitelisting bei bestehenden Infektionen.
Finde ich ausreichend.
Mir ist nur aufgefallen das das Modul anscheinend zur Kontrolle der Seiten auf die Cloud zurückgreift.

Zitat

Bereits (auch in V4) enthalten - im Punkt "URL address management" in den erweiterten Einstellungen "List of addresses excluded from filtering"

Das ausschließen von URLs mag in geringen Umfang sinnvoll sein.
Ich möchte gerne das ich Anwendungen von der HTTPS Untersuchung ausschließen kann.
Beispiel: Firefox ohne HTTPS Untersuchung.
IE mit HTTPS Untersuchung

Ganz oder gar nicht,ist keine Option für mich.
Das Erstellen eines URL Filter ist zu "Aufwendig".

Gruß

Heiko

Was ich noch vergessen hab:

Die Beta ist Stabil.
Keine Hänger,kein Freeze.
Kein Treiber-Gemuffel.

Was mir positiv aufgefallen ist:
Der Wächter ist in der Abarbeitung einer bestehenden Infektion blitzschnell.