Eset Smart Security 6

Malware Geek Product Audit: ESET Smart Security 6

Hi,

danke für das Video. Wie bei manch anderem Test fallen mir allerdings hier ein paar Dinge auf, die ich klarstellen möchte:

1. Den gesamten Test über merkt ESET an, dass Windows Updates fehlen, da es sich um ein Windows XP handelt, kann dies äußerst kritisch sein - Betriebssystem-Updates sollten IMMER auf dem neuesten Stand sein, gerade bei so alten Systemen wie XP!
2. Das gleiche gilt auch für die VMware Tools, die ebenfalls nicht aktuell sind, wenn man sich das Icon anschaut.
3. Über das System als solches (Stand, RAM insgesamt usw.) wird keine Aussage getroffen.
4. Die RAM Auslastung der ekrn.exe wird als zu hoch bemängelt und führt zum Punktabzug - die RAM Auslastung ist immer auch ein Stück abhängig vom gesamt verfügbaren RAM, den wir nicht kennen.
4.1. Laut Testkriterien soll die RAM Auslastung nicht über 75MB liegen - ich kenne keine Internet Security Suite, die dies heute noch mit allen Modulen schafft.
4.2. Es wird wahrscheinlich auch sehr wenige Systeme noch mit 512MB RAM insgesamt geben, wo dies eine Rolle spielen könnte.
5. Die PUA (Potentiell unsichere/unerwünschte Anwendungen) Erkennung wird explizit deaktiviert. Die erfolgreichen Infektionen sind in der Masse bei diesem Test Toolbars und Adware, die genau über PUA Erkennung erkannt werden würden.
Von daher ist dieses Ergebnis zu erwarten. Gefährliche Adware und Toolbars kommen heutzutage zudem selten alleine, sondern mit Backdoor Funktionen u.ä., die andere Malware usw. nachladen, was auch in diesem Test geblockt wurde.
6. ESET verlangt Reboots nach der RAM Infektion, das auch nicht ohne Grund, allerdings erfolgt der Reboot nicht.
7. Das Scan-Ergebnis im "passive Malware Detection" test wird nicht gezeigt, sondern nur davon erzählt.
8. Eine Tiefenprüfung des Systems erfolgt nicht - zudem hätte ich mir gewünscht, dass dieses dann mit PUA Erkennung vollzogen wird.

Alles in allem ein netter privater Test, allerdings mit wenig Aussagekraft über die Leistung des Produkts. Wichtige Hinweise lassen sich trotzdem entnehmen:

1. Immer alle Betriebssystem- und Anwendungsupdates einspielen!
2. PUA Erkennung im Produkt aktivieren!

Hallo aubai,

hast Du zwischendrin neu gestartet? Dass das Kontextmenü ausgebremst werden sollte, ist mir nicht bekannt. Oder hast Du noch ca. 100 andere Einträge da?

Ich habe über Nacht einen Vollscan laufen lassen und im Sun/Java Ordner bzw. jar_cache in Temp sind positive Befunde dabei. Zwei negative Sachen, erstens warum wird der Java Ordner vom Idle Scan nicht mit höherer Priorität gescannt? Das ist nun einmal eine der größten Schwachstellen und wäre so nicht erst jetzt aufgefallen. Zweitens, Eset hat die Befunde weder gelöscht/in Quarantäne gestellt noch mir eine Aktion angeboten. Ich muss diese selber löschen. Hier versagt die Säuberung völlig.

Noch was anderes. Habe hier den Thread gelesen: http://www.wilderssecurity.com/showthread.php?t=340325

Es gibt schon eine 6.0.308.0 seit fast einem Monat. Ist das von Eset der ernst, dass deutsche Kundschaft so lange auf die neue Version warten muss?

Hallo,

der Idle-Scan bzw. Scan im Leerlauf hat eigene Prüfeinstellungen, evtl. müsste da noch nachgebessert werden, was die Einstellungen an sich angeht. Allerdings prüft der auch nur für die Zeit de Leerlaufs, sprich Bildschirmschoner aktiv, Rechner gesperrt oder Nutzer abgemeldet. Sobald diese Bedingungen nicht mehr erfüllt werden, wird der aktuelle Scan abgebrochen, damit man mit dem Rechner auch wieder arbeiten kann. Möglich ist, dass der Java Ordner einfach nicht in der Zeit mit geprüft wurde.
Dass bei der Tiefenprüfung keine Aktion erfolgt ist, erscheint mir unnormal. Da es ein Temp-Ordner zu sein scheint, ist es möglich, dass dieser schon geleert war. Also dass die Aktion auf den Neustart des Systems angewendet werden sollte, aber mit Neustart diese Dateien durch das Löschen des Temp-Ordners nicht mehr vorhanden waren - ohne Logs oder Screenshots kann ich das aber nicht abschließend beurteilen.

Was das Versionsupdate auf 6.0.308 angeht, so ist das bewusst zurück gehalten worden, da man erst schauen wollte, ob die Änderungen tatsächlich greifen und keine anderen Inkompatibilitäten erzeugen, deswegen die begrenzte User-Anzahl mit nur Englisch - dass das gut so war, hat sich durch den "Mega-Patch-Day" von Microsoft gezeigt, da diese Patches uns vorher nicht zu Verfügung standen und sich einiges in der Fehlerbereinigung relevanten Komponenten dadurch verändert hat.

Seit gestern steht nun aber auch das Update für deutsche Nutzer zur Verfügung.

Ich habe heute Nacht vorm Scan extra noch nach der neuen Version prüfen lassen, Eset hat mir nichts angeboten. Auch jetzt noch nichts neues. Nach der Tiefenprüfung bekam ich nur die Zusammenfassung zu Gesicht. Mehr passierte nicht. Ich musste also nach den roten Einträgen suchen und diese Files manuell löschen. Sehr ungünstig. Ich kann dir die screenshots schicken.

Ja bitte schick mir die mal - hast Du in den Prüfeinstellungen für die Tiefenprüfung evtl. bei "Säubern" auf "Nicht säubern" umgestellt?

Nicht das ich wüsste. Wo kann ich das einstellen?

Z.B. in der Oberfläche direkt bei "Prüfen mit speziellen Einstellungen" > Prüfprofil "Tiefenprüfung" und der Button "Einstellungen" direkt rechts davon im Punkt "Säubern".

Nachtrag zum Produktupdate über die Oberfläche - im Downloadbereich der Webseite wird die 308 angeboten, ebenso bei einer Installation einer älteren Version. Aus dem laufenden Produkt momentan noch nicht überall, sondern vereinzelt in sogenannten "Batches", also dass Stück für Stück immer in einem begrenzten Kontingent die Abfragenden User mit dem Update versorgt werden. Auch das hat Qualitätssicherungsgründe.

Beim Prüfprofil ist bei mir Smart-Prüfung eingestellt. Unter Einstellungen beim Unterpunkt Säubern steht der Regler in der Mitte zwischen nicht säubern und immer versuchen, automatisch zu entfernen. In der Erklärung darunter steht sinngemäß, dass Eset versucht infizierte Dateien automatisch zu säubern oder zu entfernen. Falls nicht möglich, erscheint ein Hinweis und der Benutzer kann die Aktion selbst bestimmen. Bei mir kam gar nichts. Das einzige was ich machen konnte, ich konnte rechts unten den OK Button anklicken. Sehr sinnvoll. Ich schicke dir die screenshots.

5 Stunden Prüflaufzeit? :-O Wieviele Terrabyte an Daten hast Du denn?

Egal, beim ersten Eintrag findet sich ein Eintrag zum Quarantäneverzeichnis von Qoobox - hast Du das parallel im Einsatz? Kannst Du bitte das untere Ende des Logs noch mit schicken?

800 GB sind belegt, kann schon dauern. Ich weiß jetzt gar nicht was Qoobox ist und wofür ich das gebraucht habe, ich habe den ganzen Ordner gelöscht. Ein anderer scanner ist nicht aktiv falls du das meinst.

Qoobox steht wohl im Zusammenhang mit Combofix - hast Du das mal benutzt, z.B. weil Dein Rechner hartnäckiger infiziert war?

EDIT: Ich habe Dich richtig verstanden, dass Du die Meldungen manuell gelöscht hast, richtig? Kannst Du bitte trotzdem noch eine Tiefenprüfung über den Weg "Prüfen mit speziellen Einstellungen" und in den Einstellungen mit der Auswahl, das alle "Objekte" und "Methoden" angehakt sind durchführen? (Vor allem Live Grid kann evtl. die Scanzeit verkürzen)

Ach Combofix ist das, ja den hatte ich benutzt weil kein anderer Weg möglich war. Ist schon länger her. Andere Virenscanner versagten leider. Das Problem hatte ich hier im Forum geschildert. Ja die positiven Befunde habe ich manuell gelöscht, ging ja nicht anders. Die Frage ist doch, weshalb Eset nach dem Scan keine Option zur Löschung oder zur Verschiebung in die Quarantäne gibt. Ich weiß nicht ob das normal ist, sinnvoll kann das jedenfalls nicht sein, dass ein user die Ordner der Befunde alle einzeln aufrufen und die Dateien per Hand selber löschen muss. Das fand ich heute ziemlich unpraktisch.

Nein, normal ist das nicht, deswegen auch meine komischen Nachfragen - mit der neuen Prüfung möchte ich sichergehen, dass keine weiteren oder neuen Infektionen durch ein kompromittiertes Java erfolgt sind und dass das Scannerverhalten so ist, wie das geplant ist, also genauso wie Du es erwartet hättest. Ich kenne auch keine ähnlichen Berichte, wie Du es hier schilderst... :-/

Java habe ich deinstalliert und auch alle Ordner gelöscht. Davor hatte ich nach einem Neustart Eset die betroffenen Ordner nochmal durchscannen lassen und dabei wurde nichts gefunden. Ein Komplettscan mache ich über Nacht, diesmal mit Tiefenprüfung statt der Smart-Prüfung.

Der Idle Scan funktioniert im Standby nicht? Im Menü steht nur Bildschirmschoner, Computersperre, Benutzerabmeldung. Bildschirmschoner will und brauche ich nicht. Ich hätte angenommen, der Idle Scan wäre im Standby aktiv (also dann wenn sich der Monitor ausstellt meine ich).