Beiträge von ESET Deutschland

Ich gebe das als "Feature-Request" für Version 6 gerne weiter, ich denke nicht, dass es so einfach ist, das in Version 5 noch hineinzubringen.
Falls es doch gehen sollte, oder eine Aussage ob und wann, melde ich mich wieder!

"Programmkompenten wurden aktualisiert" wäre ein solcher Hinweis, ansonsten immer aktuell unter "Hilfe > Über" kann nachgeschaut werden.

Wenn dem so sein sollte, bitte melden, dass wir speziell auf diese Tools testen können!

Was die Aktivierungen betrifft:
Das Problem sollte mittlerweile behoben sein, demnächst erscheint ein neues Bugfix als Release.

Was die Blockierungsmeldungen angeht:
Gestern wurde für nicht ganz 30 Minuten ein Signaturupdate ausgerollt, das im Webschutz unter bestimmten Voraussetzungen einen Fehlalarm erzeugt hat. Die Updates wurden daher nach nicht ganz 30 minuten gestoppt und ein neues Update kompiliert und ausgerollt - 6476.

Was die Downloadabbrüche angeht bin ich nicht wirklich weiter bisher - wie gesagt, Kabel Deutschland und D-Link spielt problemlos.
Ich stehe aber im Kontakt mit ESET, wobei natürlich keiner von uns UnityMedia Kunde ist
Du könntest mal bitte die Updates auf Testupdates umstellen und schauen, dass Du das gerade getestete Firewall-Modul 1071 bekommst, eventuell hilft das schon...

Es wurden nun für alle User gleich 2 Module freigegeben, die in den letzten beiden Tagen für kurze Zeitfenster von jeweils nur 15min ausgerollt wurden:
Archiv-Modul 1136:
- New unpackers: CWS, Vbs2exe, Xar, Cpio.
- Fixes in nsis, ntkrnl, mbox.
- Faster 7zip decompressor (lzmafast).
- Smaller fixes in lzma, lzma2, xpack, xenocode, autoit
- Improved error handling

Anti-Stealth-Modul 1026:
- fixed: BSOD on x86 / x64 platform
- various fixes

Außerdem wird über die Testupdate-Server gerade ein neues Firewall-Modul 1071 getestet, das ebenfalls erst einmal in 15min Fenstern an die Testuser verteilt wird:
- fixed: BSOD caused by malformed ICMP packets (also older fw modules were affected)
- fixed: FP Covert channel exploit in ICMP
- fixed: tracert didn't work
- changed: outgoing spam detection temporarily removed

So, SlashRose's ESI Log ist analysiert und er hat per Mail auch schon eine Antwort erhalten - was genau bei ihm ist, werde ich hier nicht posten, allerdings möchte ich auf Zusatztools und Tuningtools eingehen.

Zusatztools:
Tools wie Spywareblaster oder Spybot Search & Destroy waren echt gute Software in der Vergangenheit - mit ESET NOD32 Antivirus und ESET Smart Security habt Ihr als Anwender auch Antispyware Module im Programm enthalten, die regelmäßig und aktuell gepflegt werden und im Zusammenspiel mit den anderen enthaltenen Erkennungstechnologien weit effektiver sind. Problematisch ist es eh immer, mehrere Antimalware Produkte gleichzeitig laufen zu lassen - in meiner eigenen Erfahrung macht Spybot z.B. mehr Probleme (TeaTimer usw.), als dass das Tool trotz aktueller Signaturen irgend etwas an aktuellerer Malware erkennen könnte - ich rate vom parallelen Einsatz als ab.

Tuningtools:
TuneUp und Co. als komplette Suiten machen seit Windows Vista eigentlich wenig Sinn, bzw. schaffen stellenweise Probleme, die ohne sie nicht da wären (One-Click-Wartung usw.), da sie stellenweise Nutzerberechtigungen oder Programmberechtigungen wie Ändern, Anpassen von Registry-Zweigen von legitimen Programmen verhindern. Unter NTFS ist z.B. eine Defragmentieren nahezu sinnlos, da bei Verschieben von Dateien usw. lediglich der Eintrag in der Zuordnungstabelle geändert wird, was wenig bis keinen Einfluss auf die Zugriffszeiten hat.
Zur "Systempflege" bietet Windows genügend eigene Tools, wenn man Registry oder Reste von Deinstallationen säubern möchte, tun es auch einfachere Tools wie CCleaner und Co.

Warum ich das schreibe? Weil beide Kategorien immer wieder Probleme im Zusammenspiel mit unseren Produkten, aber nicht nur, sondern mit vielen anderen Herstellern bereiten und auch zu Anzeigefehlern fürhen können, wenn z.B. Eigenschaften von Runtime-Bibliotheken blockiert, verändert o.ä. werden.

Was bei Hawk jetzt genau das Problem ist, gilt es weiter zu analysieren, bei meinem Kabel Deutschland Modem (keine Fritz!Box) habe ich privat z.B. gar keine Probleme. Aber ich bleibe für Hawk dran!

Sorry, nein, bin erst Montag wieder im Büro und ab nachher gleich bis dahin gar nicht mehr online!

@Hawk: Ich wollte nur sicher gehen, nicht dass ich da jetzt Untersuchungen bei den Technikern lostrete und es gar nicht die Software ist - ich bleibe dran!

Update: Wenn es die 6360 ist, schau bitte dort noch einmal ins FritzBox Menü, seit wann diese mit dem Internet verbunden ist - ich finde einige Einträge, die aussagen, dass die 6360 trennt weil sie zu warm wird oder die Firmware buggy ist - guck wie gesagt mal bitte nach, dass wir das ausschließen können. Nicht dass wir in der ESS konfigurieren und konfigurieren und es liegt gar nicht an der Software
Noch andere Nutzer hier, die die Fritz!Box 6360 als Kabelmodem(!) haben?

@Poulsen: Gerne!

@Hawk: Mann! Ehrlich, ich glaube, dass die Desktop Firewall einfach nicht mit der Hardware-Firewall Deines Kabel-Modems will - aber ich kann mich mal schlau machen 6360 war das oder?

Ein zweites AV-Produkt kann immer Probleme machen - tut es in der Regel auch!

So, meine Kollegen gucken mich schon komisch an, weil ich so stupide rumklicke, aber ich habe jetzt auf Win7 64bit, WinXP 32bit und Win2000 getestet, EAV und ESS und jedes mal geht alles fein auf, der Dialog erscheint und die Programmoberfläche lässt sich öffnen. Steffen hatte ja auch schon ähnliches berichtet, weswegen ich Euch beide bitte würde, mir ein ESET SysInspector Log (unter "Tools") zuzuschicken (per Mail), ob eventl. eine andere Anwendung das Öffnen des Dialogs verhindert o.ä.

EDIT: ich habe jeweils 20x geklickt

@walangoo: Danke für den Hinweis, die entsprechenden Techniker arbeiten gerade an der Lösung des Problems, aber ich sage gleich, das kann leider noch 1-2 Tage dauern, da noch andere Probleme dabei aufgetaucht sind. Die Techniker lassen ausrichten, dass es Ihnen leid tut, und sie geloben Besserung!

@SlashRose: Ich versuche das Verhalten mal zu provozieren und melde mich nochmal bei Dir - gibt es eine bestimmte Zahl an Klicks, die "erlaubt" sind, nach denen es dann nicht mehr geht?

Die Funktionsweise der SSL-Prüfung ist hier der Grund - ESET "übernimmt" quasi die Zertifikate und empfängt anstelle des Mail-Clients zuerst die Streams, prüft diese und gibt sie an den Mail-Client weiter. Es wird nicht "im" Stream geprüft, das geht nicht, da der ja schließlich aus einem gewissen Grund verschlüsselt ist
Ist die SSL-Prüfung deaktiviert, kann dagegen von ESET direkt im Stream geprüft werden und der Prüfhinweis angehangen werden.

Ich kann mit den Entwicklern sprechen, ob es vielleicht technisch möglich ist, in Zukunft bei der "Weitergabe" nach der SSL-Prüfung noch einen Hinweis anzufügen, aber ganz einfach stelle ich mir das aufgrund der Vorgänge und Formate nicht vor.

Die Frequenz der Modulupdates hat sich innerhalb der letzten Monate schon erhöht, das Tempo wird nicht weniger werden, denke ich.
Was die Testserver angeht, über die Module verteilt werden, die, wie der Name schon sagt, erst "im Feld" getestet werden müssen, kannst Du diese natürlich aktiv lassen, allerdings besteht, wie schon mehrfach erwähnt, eben die Gefahr, dass diese Testmodule noch nicht stabil laufen oder dass sie eben Probleme erzeugen können.
Die Anwender, die die normalen Updates ziehen bekommen nur fertig getestete und als stabil erwiesene Modulupdates, was natürlich, je nach "Gefährlichkeit" des Moduls und der damit verbundenen Intesität und Dauer des Tests, etwas dauern kann.

Ja, da die mit "B" gekennzeichneten Module quasi "Spezialmodule" nur für die V5 sind und nicht in V3 oder V4 passen.

GreJan: Es sollte kein Angriff auf Dich sein, ich bezog mich nur darauf was du schriebst. Das Problem mit den ganzen Fachbegriffen wie HIPS, Behavior Blocking, verhaltensbasierte Erkennung ist, dass es für jeden einzelnen zig Erklärungen und Interpretationen auch innerhalb der AV-Hersteller gibt und die Hersteller solche Funktionen auch unterschiedlich umsetzen. Gleiches gilt für die Testorganisationen, weswegen u.a. auch AMTSO gegründet wurde - der Versuch einheitliche Regeln für Tester und Hersteller sowie Normen zu schaffen, aber das dauert wohl noch, bis da alle auf einen Nenner kommen

@Hawk:
Klicke bitte über der Liste aus Deinem Screenshot auf den blauen Link "Wechseln zur ausführlichen Anzeige von Regeln" und schau nach, ob dort wirklich die Regeln alle aktiv sind (Häkchen davor), bis auf die grau hinterlegten SSDP-Regeln, die ich Dir angepasst habe. Dort müsste auch für jede Regel eine Aktion hinterlegt sein, sonst würde sich die Regel nicht erstellen lassen.

So, fertig mit Lesen

Ich weiß gar nicht wo ich gerade einsteigen soll, aber ich versuche es trotzdem und antworte wie gewohnt nach bestem Wissen und Gewissen und ohne Marketinggedöns

Vorab: Da ich zum Zeitpunkt meiner ersten Antwort den Bericht von SLE nicht gelesen hatte, habe ich mich auf die Aussage von GreJan hier bezogen, dass die Verhaltenserkennung abgeschaltet worden wäre und auch darauf Bezug genommen - wenn ich zitiert werde, dann bitte komplett und so weit wie möglich emotionslos - ich gebe mir doch auch größte Mühe!

Die technischen Fakten:
Die Malware-Erkennung des ESET ThreatSense Scanners basiert im Wesentlichen auf 4 Säulen (ich rede hier noch nicht vom HIPS) -
- Signaturen
- generische Signaturen (um Mutationen von bekannter Malware erkennen zu können ohne sie zu kennen - drückt sich dann als Meldung so aus "Möglicherweise Variante von MALWARE_XY")
- Code Analyse (z.B. im Webschutz die Analyse von Seitenquelltexten um z.B. IFRAME-Infektionen oder gefährliche JavaScripts zu erkennen)
- Emulation (Ausführen von Anwendungen in geschützten Speicherbereichen um das Verhalten vor der echten Ausführung zu simulieren, z.B. Autorun von Wechselmedien - ACHTUNG: das ist kein Sandboxing, wie es andere Hersteller tun!)
Diese Dinge sind bereits seit Version 3 in den ESET Programmen enthalten.

Das HIPS, wie es jetzt im Programm enthalten ist, habe ich schon weiter oben erklärt und natürlich sind da Standardregeln enthalten, die erst einmal vor allem das ESET-Programm selbst vor Manipulation schützen und dessen Regelwerk weiter über die Modulupdates, die per Signaturupdate mit verteilt werden aktualisiert und ausgebaut wird.

Generell gilt für sowohl ESET Smart Security, als auch ESET NOD32 Antivirus:
Alle im Programm "verbauten" Schutzmodule sind miteinander verzahnt und bedingen auch einander. Wenn ich z.B. die Firewall testen möchte, ist es nicht damit getan, alle anderen Schutzfunktionen zu deaktivieren und dann darauf zu testen, ob denn die Firewall gefährliche Dateien blockt - sie braucht dazu wenigstens den Webschutz! Gerade diese Verzahnung in nur einem Prozess (EKRN.exe) ist es, die das Programm so schnell sein lässt! Wenn ich also eine verhaltensbasierte Erkennung teste, kann ich nicht nur das HIPS laufen lassen, das ist nur für die Initialisierung zuständig, die Analyse macht der Scanner- die Firewall ist nur bei der Initialisierung von Verbindungen zuständig, die Analyse übernimmt der Webschutz, usw. und sofort.

Bitte nicht falsch verstehen - es ist gut und richtig, die Programme zu testen, auszuprobieren und auch Unmut zu äußern - ich biete mich hier an um evtl. Nachfragen zu beantworten und Unklarheiten zu erklären oder eventuelle Missverständnisse oder Annahmen aus der Produkterfahrung von anderen Herstellern klar zu rücken - aber dazu muss ich eben gefragt werden

Dazu kommt, dass ESET in der Entwicklungsabteilung und wir als ESET Vertretung in Deutschland ein überaus großes Interesse daran haben zu erfahren, was eben nicht so toll an unseren Produkten ist, damit wir es besser machen können.
Wer mit ESET schon länger zu tun hat, wird bestätigen können, dass in V5 viel Nutzerfeedback, vor allem von deutscher Seite (ja, ganz ehrlich ) eingeflossen ist, was z.B. die Benutzung des Programms angeht - siehe Versionshinweis, wenn eine neue als stabil erwiesene Version zur Verfügung steht und das nun im Programm angezeigt wird und auf Wunsch auch gleich installiert wird. Und das obwohl es im seltensten Falle notwendig ist bei Änderungen der Built an der 3. Kommastelle, da die Schutzmodule wie erwähnt, die das Programm und den Schutz und Schutzfunktionen aktuell halten über das Signaturupdate ohne Zwangsneuinstallation und Zwangsneustart mit anschließendem Bluescreen. Oder auch die Option, nach dem Scan den Rechner automatisch herunter zu fahren - auch auf Nutzerwunsch hin - genauso wie Kindersicherung und HIPS - auf Nutzerwunsch hin!

So, und abschließend noch ein kurzer Kommentar zu SLE und seinen Ausführungen, die leider an einigen Stellen schwarze Balken enthalten:
Ich habe beim Lesen nicht den Eindruck, dass SLE etwas gegen das Programm oder den Hersteller oder mich persönlich hat - er hat das Produkt aus seinen Erfahrungen heraus getestet und seine Meinung geäußert - das ist für mich völlig ok, dazu sind Foren als Plattform da. Ich habe auch das Gefühl, dass er sich nicht "einfach mal dran gesetzt und 2-3x geklickt hat" und gut war, sondern er hat sich Zeit genommen und ausführlich berichtet - und NICHT die Verhaltenserkennung abgeschaltet, wie zuerst angenommen. Ich lese seine Einschätzung als konstruktive Kritik, für die ich auch immer offen bin und die ich auch gerne mit den Entwicklern bespreche, wenn ich sie das nächste mal treffe, was wenigstens 2x im Jahr der Fall ist

@Zwergnase: Während ich meine Antwort schrieb, hast Du gepostet, das "giftig" bezog sich auf Oldie, danke für den Link, ich werde mir das mal durchlesen und mich äußern.

Warum so giftig? Ich habe den Eintrag von Habakuck bei Rokop gelesen und darunter ein Gewusel an Verzeichnisbaum mit zig Einträgen, einfacher wäre es gewesen, einen Link zum Artikel bei Rokop zu posten, da ich, wie ich schon mehrfach erwähnte, in keinem anderen Forum als diesem hier angemeldet bin und auch in keinem anderen Forum unterwegs bin nur zum Lesen - ich werde mich auch nicht rechtfertigen, dass ich diesen kostenlosen Service hier anbiete, trotz dessen dass meine Zeit sehr knapp bemessen ist und eben nicht dafür "drauf gehen" kann, in egal welchem Forum mich erst einmal durch die Navigation zu hangeln.
Wenn meine Nichtbeteiligung (als Einzelperson) an anderen Foren für Dich die Qualität eines Produkts ausmacht, dann tut mir das leid und ich muss das akzeptieren, bei direkten Fragen stehe ich aber gerne weiter zur Verfügung!