[ShadowHunter]

Naja die Frage ist worüber und wie genau er auf deinen Rechner kam.
Wenn du natürlich eine Datei herunterlädst und dann nicht scannst in so einem Fall ist das natürlich auch ungünstig.
Somit würdest du dir ja den on access sparen, wenn du es manuell eben kurz für die eine Datei machst, statt das ständig Resourcen verbraucht werden.

[Rika]

@valeron: Wenn du dir halbwegs sicher bist, daß dein System ordentlich konfiguriert war und keine Lücken offen ließ, dann sollte es ausreichen, wenn du das Benutzerkonto und -profil löscht, alle Daten überprüfst und dir einen neuen Benutzer anlegst.

Ansonsten: Unkillbare Prozesse können durchaus mal vorkommen, hat was mit der Prozessverwaltung von Windows zu tun. Das alleine reicht noch nicht für 'nen ernsthaften Verdacht.

[ShadowHunter]

Gibts eigentlich auch Seiten die erklären warum ein On-access unnütz ist ähnlich wie bei PFWs?

[valeron]

Zitat

Ansonsten: Unkillbare Prozesse können durchaus mal vorkommen, hat was mit der Prozessverwaltung von Windows zu tun. Das alleine reicht noch nicht für 'nen ernsthaften Verdacht.

laut bitefender wars der trojaner zlob. auf jedenfall war es eine art spyware.

Zitat

Naja die Frage ist worüber und wie genau er auf deinen Rechner kam.

wie gesagt durchs ganz normale surfen (also vll ne lücke im ff) das einzige was man als Fehler ansehen könnte war das ich Java Script nicht disabled hatte.

Zitat

Gibts eigentlich auch Seiten die erklären warum ein On-access unnütz ist

kommt drauf an ob er unnütz ist, denn in diesem fall hätte er die kompromitierung des systems vielleicht verhindert, da bitdefender den virus grundsätzlich in der Datenbank hatte.

Dieser Beitrag wurde von valeron bearbeitet: 14. Juli 2006 - 13:38

[Rika]

Naja, Zlob ist typisch für Fehlalarme. Und den Erfolg hätte ich auch bezweifelt, denn Webbrowser verarbeiten den Inhalt schön längst bevor er in den Browser-Cache auf die Platte geschrieben wird.

@ShadowHunter: Unnütz vielleicht nicht, aber m.E. ziemlich überflüssig. Verlangsamt den Dateizugriff und ist halt auch eine potentielle Sicherheitslücke, da ein Prozess mit Systemrechten große Mengen fremder Daten auf komplexe Art und Weise verarbeitet. Ein On-Demand-Scan braucht keine Dateizugriffe abfangen, weshalb z.B. ClamWin hervorragend als Benutzer läuft (ja ich weiß, es gibt WinSnoop, mit dem man On-Access-Scan einbauen kann, aber das braucht auch Adminrechte) und der Schaden damit begrenzt ist.

Generell sollte man sowieso davon ausgehen, daß die Kompromittierung dadurch nicht verhindert, sondern höchstens erkannt wird - also ein hostbasiertes IDS. Ob man das wirklich braucht, sollte man sich genau überlegen, da seine Effektivität arg beschränkt ist.

[bardelot]

Zitat (Rika: 14.07.2006, 20:05)

[...]On-Demand-Scan braucht keine Dateizugriffe abfangen, weshalb z.B. ClamWin hervorragend als Benutzer läuft (ja ich weiß, es gibt WinSnoop, mit dem man On-Access-Scan einbauen kann, aber das braucht auch Adminrechte[...]

WinSnoop = Winpooch ?

[valeron]

nein

[Rika]

mal nachgeschaut.. ja, WinPooch

[ShadowHunter]

Ist auch der Grund warum mir Clamwin bisher sehr gut gefällt, hatte zwar einen Autostarteintrag dessen wirklicher Sinn mir nicht klar ist aber war ja kein Thema. Per Kontextmenü einfach eine fragwürdige Datei scannen ist nun mal auch nicht viel Arbeit.

Aber gibt es denn überhaupt Fälle in denen ein On-Access wirklich einen effektiven Vorteil mit sichbringt? Außer eben eine Kompromittierung festzustellen!

[valeron]

würde mich auch interessieren, besonders im meinem jetzigen fall (was ich ja beschrieben hab), da der scanner
den virus ja grundsätzlich in der datenbank hatte!!

[flo]

Zitat

Aber gibt es denn überhaupt Fälle in denen ein On-Access wirklich einen effektiven Vorteil mit sichbringt? Außer eben eine Kompromittierung festzustellen!

Nun außer das du direkt weißt das du dir etwas eingefangen hast und dann auch vermutlich weist woher,sehe ich da keinen wirklichen Vorteil.