KAV kann über 600 verschiedene EXE-Packer. McAfee auch in etwa. Bitdefender kann vielleicht wenn es hochkommt 50. Die meisten anderen wie NAV können gar keine oder nur UPX und Aspack.

Laufzeitkomprimierer sind keine Archive wie ZIP, RAR oder ACE sondern die Dateien bleiben weiterhin als z.B. EXE voll ausführbar. Kombiniert mit einen Crypter (Verschlüsselungsprogramm) wird daraus Malware für die meisten AV Programme unsichtbar. Siehe auch http://www.rokop-security.de/main/article.php?sid=473

Hallo,

das mit Opera.exe ist hier schon mal gesagt worden. Opera.exe ist mit ASPack gepackt und braucht in der Tat ewig um von KAV durchleutet zu werden. Beim on-demand-Scan ist das auch eindrucksvoll zu sehen (mehrere Sekunden)...

Lies auch Ryuu's Posting Mitte erste Seite und meines auf der 2. Seite! Dann sollte alles wie geschmiert laufen!

In "Limit size compound files" habe ich den Hacken sogar ganz weggemacht, das kann vielleicht mal nütze sein (obwohl Malware in der Regel kaum mehrere MB groß sein dürfte...)

@Andreas: wie ginge das denn aus, wenn Du von der nicht vom AV-Montior überwachten Diskette ein .doc mit Makrovirus öffnen würdest? Oder eine Malware, die als erstes den AVPM.exe-Prozess beendet und erst dann versucht sich auf c: zu schreiben?

Ist es denn wirklich geschwindigkeitsrelevant, ob beim Diskettenlaufwerk, das für 1.44 MB wenigstens eine Minute braucht, noch 0,1 Sekunden für den AV-Monitor dazu kommen? Beim CD-ROM würde ich ähnliches sagen. Wichtig für die Performance ist das Ausschalten der Archivformate (siehe weiter oben).

>In "Limit size compound files" habe ich den
>Hacken sogar ganz weggemacht, das kann vielleicht
>mal nütze sein (obwohl Malware in der Regel kaum
>mehrere MB groß sein dürfte...)

opera.exe --> Opera.exe einfach vom Scan ausschließen [img]redface.gif[/img] ).
Mit KAV 4.5 tritt das Problem dann ohnehin nicht mehr auf, weil sich KAV 4.5 merkt welche Dateien bereits gescannt wurden und falls die Dateien nicht geändert wurden (MD5 Prüfsumme) dann wird sie nicht nochmal gescannt. Es sei denn es gibt ein Signaturupdate ;o).

>@Andreas: wie ginge das denn aus, wenn Du von der
>nicht vom AV-Montior überwachten Diskette ein
>.doc mit Makrovirus öffnen würdest?

Macroviren müssen um sich zu verbreiten die Vorlagen infizieren. Die liegen auf der Festplatte *g*.

>Oder eine Malware, die als erstes den
>AVPM.exe-Prozess beendet und erst dann versucht
>sich auf c: zu schreiben?

Ist unmöglich *g*.

>Ist es denn wirklich geschwindigkeitsrelevant, ob
>beim Diskettenlaufwerk, das für 1.44 MB
>wenigstens eine Minute braucht, noch 0,1 Sekunden
>für den AV-Monitor dazu kommen? Beim CD-ROM würde
>ich ähnliches sagen. Wichtig für die Performance
>ist das Ausschalten der Archivformate (siehe
>weiter oben).

Für mich schon *g*. Abgesehen davon das ich Disketten eh nicht mehr verwende und mich der Zugriff auf das Disklaufwerk beim Starten und Herunterfahren stört.

>Hast du denn auch dieses Opera 7.x Syndrom, wenn
>der KAV Standard eingestellt ist? Ein Springen
>zwischen Fenstern oder das einfache Starten
>dauert richtig lange.

Ich mag Opera nicht. IMHO einer der unfähigsten und schlechtesten Browser auf dem Markt derzeit. Ich bevorzuge Firebird.

Wenn Opera aber sehr sehr langsam läuft, dann würde ich mal den Scanner über das Opera Directory laufen lassen. Dann siehst Du bei welchen Dateien es zeitkritisch ist. Die Dateien würde ich dann im Wächter vom Scan ausschließen. Ein Sicherheitsrisiko stellt das IMHO nicht da.

Ab KAV 4.5 spielt das eh keine Rolle mehr, weil dort jede Datei nur noch maximal einmal gescannt wird pro Session (beim ersten Zugriff) und nicht bei jedem Zugriff. Ausnahme:

Es sind neue Signaturen hinzugekommen oder aber die Datei wurde geändert.

Dadurch sollte wenn überhaupt nur noch der Start von Opera verlangsamt werden.

>Komplette Verwirrung meinerseits. In der CT steht
>das der BitDefender alle Archive und
>Laufzeitarchive (?) kann bis auf PEPack.

Mit welchen wurde denn getestet? Auf wessen Daten haben sie sich gestützt? Die von avtest.org? Wenn ja:

Andreas Marx testet nur mit einer sehr sehr kleinen Auswahl an EXE Packern/Cryptern.

>Meinst du damit, dass die CT y0da, PEShield,
>ASProtect etc. nicht in den Test mit reingenommen
>hat?

Ganz genau das meine ich und das es ein Sicherheitsloch sondersgleichen ist.

</font><blockquote>Zitat:</font><hr /> Opera.exe ist mit ASPack gepackt und braucht in der Tat ewig um von KAV durchleutet zu werden. </font>[/QUOTE]Ganz genau. Das wäre aber nicht so schlimm, wenn der KAV-Monitor die Opera.exe beim Surfen nicht immer und immer wieder erneut scannen würde (per Report-Funktion nachvollziehbar.)
Das betrifft natürlich nicht nur Opera, sondern alle gerade benutzten Datein - was letztlich auch auf meiner Kiste zu unerträglichen Verzögerungen führt (alles hier schon einmal beschrieben.)

KAV 4.5 scheint da laut Ankündigung wirklich deutliche Verbesserungen zu bringen. Wurde aber auch Zeit... [img]graemlins/kloppen.gif[/img]

@Hendrik
</font><blockquote>Zitat:</font><hr />Warum bei Dir KAV derart Verlangsamt, ist mir ein Rätsel.... </font>[/QUOTE]Und ich bin nicht der Einzige. Wenn man mal hier im Forum schaut, habe ich 2 oder 3 gezählt die Performance Problme haben.

</font><blockquote>Zitat:</font><hr />Betr. Häckchen bei "Packformate"... Das kann wirklich keiner riechen... Da ist gewiss eine eigene Signatur für den gepackten Netbus. Der UPX-Happy ist tatsächlich ausführbar (zu schön, das Feuerwerk ), also auch nix mit "doch-noch-schnell-anders-im-Speicher-erkennen", siehe vielleicht auch den letzen AV-Monitor-Test bei Rokop </font>[/QUOTE]Jetzt bin ich dem Link gefolgt und da ist der Bitdefender der Letzte der Wertung. Versteh das einer.

</font><blockquote>Zitat:</font><hr />Original erstellt von Gorgo:
</font><blockquote>Zitat:</font><hr />Original erstellt von gretschi:

Und gleich geht es ins Wochenende und nur Regen in Maine [img]graemlins/headbang.gif[/img]
</font>[/QUOTE]Geh halt fischen!


</font>[/QUOTE]Erzähl das mal meiner Frau Mit solchen unvorsichtigen Aussagen kannst man sich Sa, So, Mo und Di versauen. Kleiner Scherz am Rande.

</font><blockquote>Zitat:</font><hr />Original erstellt von Noraja:
So ich nochmal
Ich hab nun das einzig meiner meinung richtige gemacht , ich habe Kav erstmal gelöscht dann wieder NAV 2003 drauf mit Monitor(der gut ist auch laut euren tests) danach jetzt wieder KAV nur den scaner und den updater drauf eingestellt bei beiden das sie nicht gegenseoitig in den ordnern rumsuchen und den mailcheck scriptcheck u.s.w. von NAV genommen und guck der PC is trotz vollscan und heuristik fast doppelt so schnell wie beim KAV monitor ich lassen nun alle datein die ich downloade von kav untersuchen und mache jeden freitag einen kav scan so ich denke das is das beste was ich imo machen kann [img]smile.gif[/img] </font>[/QUOTE]Man kann es natürlich auch so machen. Wichtig ist wohl nur, das der NAV Wächter ausgeschaltet ist wenn der KAV Scanner läuft. Aber wie gesagt 100%ig geht nicht.

KAV4.5 müsste dann eigentich auch nach jedem "Disable monitaring" alles neu scannen...

Geht das denn wirklich sooo viel schneller eine MD5-Signatur zu prüfen als die Datei neu zu scannen?