Hallo,

hab in letzter Zeit oft von NOD32 gehört, v.a. auch von Leuten die Ahnung haben. Nun hab ich die Trialversion des Programms mal installiert. Das Ganze macht einen guten ersten Eindruck auf mich, aber ich bin kein Experte. Die 100%ige ITW-Erkennung in vielen Virus-Bulletins hat mich schon beeindruckt und die Performance auf meinem Rechner auch. Endlich mal ein Produkt, das nicht einen unstillbaren Ressourcenhunger hat oder sich so ins System einklinkt, dass es ständig zu Programmkonflikten oder gar Systemabstürzen führt, wie ich es z.B. bei NAV erlebt habe.
Es würde mich interessieren welche Erfahrungen ihr mit NOD32 gemacht habt, wie die Heuristik des Programms zu bewerten ist und ob jemand weiß, ob die Unpacking-Funktion auch UPX, ASPACK und all die anderen gerne benutzten Laufzeitkomprimierer unterstützt.

Grüsse aus Köln
dietlmann

Ich habe die 2.0er Testversion auch schon ausprobiert und war sehr zufrieden.

Die meiner Meinung nach einzige gravierende Schwäche von NOD32 hast Du selbst schon angesprochen: Probleme in der Trojanererkennung. Das Unpacking ist wohl nicht ideal, obwohl ich keine Details kenne.

Die Advanced Heuristic bekommt überall sehr gute Kritiken und ist wohl (neben der Geschwindigkeit) einer der Leckerbissen von NOD32.

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Es würde mich interessieren welche Erfahrungen ihr mit NOD32 gemacht habt, wie die Heuristik des Programms zu bewerten ist und ob jemand weiß, ob die Unpacking-Funktion auch UPX, ASPACK und all die anderen gerne benutzten Laufzeitkomprimierer unterstützt.</font>[/QUOTE]Erfahrungen:
Durchweg positive bis jetzt.

Unpacking ist schwer zu sagen. NOD32 hat 2 verschiedene Verfahren am start. Einmal ein ganz normales Unpacking bietet für UPX, ASPack und ein paar andere.

Die Advanced Heuristik ist außerdem in der Lage ein "Generic Unpacking" durchzuführen, bei dem versucht wird die Entpack-/Entschlüsselungsroutine zu emulieren. Das funktioniert mehr oder weniger gut [img]smile.gif[/img] . Wird aber ohnehin verbessert derweil.

In puncto Heuristik ist NOD32 mit im Spitzenfeld. Insbesondere die Advanced Heuristik fängt ein Gro an neuen Internet Würmer ab die man so per Mail bekommt derzeit. Ich merk das regelmäßig im Büro wenn ich in Bratislava bin. Es ist schon relativ selten das mal ein Wurm gänzlich unbehelligt am IMON vorbei kommt.

</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana:
Die meiner Meinung nach einzige gravierende Schwäche von NOD32 hast Du selbst schon angesprochen: Probleme in der Trojanererkennung.</font>[/QUOTE]Was nur noch eine Frage der Zeit sein wird. Bin grade dabei mehrere Hundert Backdoors und Trojaner vorzubereiten [img]smile.gif[/img] .

Das Beste, was ich je hatte! [img]graemlins/party.gif[/img]
Es gab zwar mal kleinere Probleme, weil die Heuristik auch mal (bei mir genau zwei mal) Fehlalarm schlug. Einfach die Fehler gemeldet und schwupps - am nächsten Tag kam das Update online rüber und behob das Problem!
Überhaupt: Onlineupdate (fast) täglich! Dadurch immer aktuell.

Mein Tipp (kenne auch Kaspersky, NAV und McAfee, sowie ein paar DOS-Kollegen): KAUFEN!!! [img]graemlins/daumenhoch.gif[/img] [img]graemlins/aplaus.gif[/img]

Nod ist schwach in der Trojaner Erkennung, meine Empfehlung: forget it.

</font><blockquote>Zitat:</font><hr />Original erstellt von MEGAFREAK:
Nod ist schwach in der Trojaner Erkennung, meine Empfehlung: forget it. </font>[/QUOTE]Nur weil es schwach bei der Trojanererkennung ist, heißt es noch lange nicht das es auch schlecht bei der Virenerkennung ist....

Björn

stimmt, aber mich interessiert nur die Trojaner Erkennungsrate, Viren machen zwar kaputt, können aber nicht fernsteuern ;)

Dir geht es vielleicht nur um Trojaner, aber ich denke der Threadersteller wollte auf was ganz anderes heraus.

Björn

Danke für eure Postings!

@Andreas Haak
Die Advanced Heuristic lässt sich anscheinend nur bei IMON einschalten. Gibt es eine Möglichkeit diese auch beim On-Demand-Scanner und AMON zu aktivieren?

Gruss
dietlmann

Beim On Demand Scanner - ja. Beim On Access Scanner aus Geschwindigkeitsgründen nicht.

Den OnDemand Scanner kannst Du einfach mit der Option /AH starten um die Advanced Heuristik zu laden.

Es gibt auch eine erweiterte "Shell Extension":
http://www.nod32.it/tools/NODSE.ZIP

Die einen Eintrag "Scan mit Advanced Heuristik" zum Kontextmenü hinzufügt.

Danke für die schnelle Antwort!

dietlmann

Die 'Advanced Heuristic' von Nod32 erkennt übrigens den Sober-Wurm... nur so nebenbei... ;)

Exakt:

</font><blockquote>Zitat:</font><hr />__________ NOD32 1.498 (20030901) Notification __________

Warning: NOD32 Antivirus System found the following infiltrations in the message:
Screen_Doku.scr - probably unknown NewHeur_PE virus - renamed to Screen_Doku.vcr

http://www.nod32.com </font>[/QUOTE]

Das Programm scheint in Deutschland noch ein echter Geheimtipp zu sein. Gefällt mir wirklich gut!

Das Einzige, was mir nicht so gefällt ist, dass NOD32 z.B. bei einer Infektion mit MSBLAST (Lovesan) beim Löschen der Wurmdateien nicht auch den Registry-Eintrag löscht. Dies macht z.B. das (noch) vielgeschmähte AntiVir absolut zuverlässig. Ich nehme an das NOD32 dies auch bei anderen Wurminfektionen nicht tut, habs aber nur mit dem Blaster ausprobiert.

dietlmann

Werde Richard mal bescheid geben :). Sollte kein wirkliches Problem sein das zu fixen :).

*LOL* vielgeschmähte Antivir mit Verstärkung im PE Patching.. mir war schon klar, als da plötzlich PE Erkennungsraten entstanden, wo der Hase läuft, bzw., dass es da eine Veränderung gav ähm gab..

Grundsätzlich finde ich Antivir gar nicht so übel, obwohl es doch etwas *preiswert* wirkt, NOD32 ist wirklich sehr schnell und mit den aktuellen Virensignaturen auch moderat in der Trojaner Erkennung.. aber Geheimtipp, das glaube ich nun wirklich nicht.

*lol* ... glaub mir ... das hatte da nicht wirklich Einfluss. AntiVir ist nur so dumm und scant fast die komplette Datei nach irgendwelchen Strings ab ;).

Scheint als ob Du nicht wirklich ernsthaft gepatcht hättest ;). Dann wären Dir die hübschen String Signaturen aufgefallen.

Für nen EPO Patch etc. ist AntiVir nicht anfällig - entpackt ja auch nix *lol*.

Hast Du bei NOD32 auch mal die Advanced Heuristik aktiviert? ;)

hm, als ich AntiVir mal prüfte, benutzte ich die einfachste Form des PE Patchings, die erkannte er prompt und schon um einiges länger als Kaspersky und AVK. Kaspersky brauchte original !!!1 Jahr!!! seit dem ich anfing zu testen, um diese spezielle, einfache Form der Trojaner-Server Manipulation zu erkennen. McAfee ist da besser, aber die kann man wiederum leichter mit Ressourcen Manipulationen überlisten, im Gegensatz zu KAV/AVK. Kaspersky hat etwa um den 3.10.2003 herum erst dazugelernt, lol, ziemlich müde Leistung für einen der Top Scanner am Markt.

Ja, für die den NOD32 Test benutzte ich höchste Heuristicstufe und Laufzeitkomprimierung. Dadurch stieg seine Trefferquote von 60 auf 66 Detections.

[ 31. Oktober 2003, 16:43: Beitrag editiert von: MEGAFREAK ]

Die höchste Heuristikstufe ist NICHT die Advanced Heuristik.

Die Advanced Heuristik ist ein spezieller Modus, der generisches Unpacking und die heuristische Erkennung von Würmern und Backdoors ermöglicht.

Ich mag Dich nicht mit technischen Details nerven ... aber starte den Scanner mal mit der Option /AH (also Start, Ausführen, "c:\programme\eset\nod32.exe /AH") und Scan nochmal. Erst dann ist das aktiv, was wirklich interessant ist ;) .

Was für eine Form von PE Patching meinst Du genau? EPO oder Einschieben von NOPs oder öhnliches?

Hi,

mal ne ganz andere Frage. Hat einer Ahnung was bei Eset die Lizenzverlängerung um 1 Jahr für ne einfache Einzelplatz-Home-User-Lizenz kostet. Habs nämlich nicht auf der Eset-Site gefunden.

dietlmann

Interessant, du hattest recht Andreas, aber diese Funktion sollte man in das GUI einbauen, gibt es einen Grund warum es nicht dort drin ist?

Also mit der Funktion alleine gibt es 75 Treffer, mit Heuristikstufe Hoch, Archive Unterstützung kommt man insgesamt nun auf 80 Detections, somit läßt NOD32 in diesem Expertenmodus sogar Norton AV2004 hinter sich, beachtlich!

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Hi,

mal ne ganz andere Frage. Hat einer Ahnung was bei Eset die Lizenzverlängerung um 1 Jahr für ne einfache Einzelplatz-Home-User-Lizenz kostet. Habs nämlich nicht auf der Eset-Site gefunden.</font>[/QUOTE]Hab mit dem Verkauf zwar wenig zu tun, aber ich erinnere mich an ca. 27 Euro für ein neues Jahr.

</font><blockquote>Zitat:</font><hr />Original erstellt von MEGAFREAK:
Interessant, du hattest recht Andreas, aber diese Funktion sollte man in das GUI einbauen, gibt es einen Grund warum es nicht dort drin ist?

Also mit der Funktion alleine gibt es 75 Treffer, mit Heuristikstufe Hoch, Archive Unterstützung kommt man insgesamt nun auf 80 Detections, somit läßt NOD32 in diesem Expertenmodus sogar Norton AV2004 hinter sich, beachtlich! </font>[/QUOTE]Ja [img]smile.gif[/img] . Es widerspricht der NOD32 Philosophie von "Maximum Speed". Per default ist die Advanced Heuristic nur im IMON aktiv, weil sie primär auf Würmer und spezielle Viren angepasst ist und nur wenige Backdoors erkennt (die Anpassung für Backdoors kommt aber ;) ) und Würmer nunmal fast nur via Mail kommen. Daher ist die Funktion dort optimal platziert.

Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch ;) .

Was für einen PE Patch hast Du benutzt?

Darf man eigentlich mal fragen, welches Verhältnis Du genau zur Firma Eset hast, Andreas? Ist für die Einschätzung Deiner Beratung ja evtl. auch von Bedeutung. Versteh das jetzt bitte nicht falsch, ich finde NOD32 ja auch einen hervorragenden Scanner, aber Du wirkst irgendwie, als hättest Du Insider-Informationen von Eset.

</font><blockquote>Zitat:</font><hr />Original erstellt von FataMorgana:
Darf man eigentlich mal fragen, welches Verhältnis Du genau zur Firma Eset hast, Andreas? Ist für die Einschätzung Deiner Beratung ja evtl. auch von Bedeutung. Versteh das jetzt bitte nicht falsch, ich finde NOD32 ja auch einen hervorragenden Scanner, aber Du wirkst irgendwie, als hättest Du Insider-Informationen von Eset. </font>[/QUOTE]Ähm ... ich arbeite für ESET? [img]smile.gif[/img] Vornehmlich im Bereich Backdoors, Trojaner und Dialer.

Erkennt NOD32 denn auch Dialer?

"Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch..." Was ist denn da in nächster Zeit zu erwarten...?

dietlmann

[ 01. November 2003, 10:20: Beitrag editiert von: dietlmann ]

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Erkennt NOD32 denn auch Dialer?

"Noch sind auch nicht alle Module der AH aktiviert - kommt aber noch..." Was ist denn da in nächster Zeit zu erwarten...?</font>[/QUOTE]Eine Dialererkennung ist geplant. Zu dem Rest kann ich nichts konkretes sagen [img]smile.gif[/img] . Allerdings wird die AH in verschiedenen Punkten weiter ausgebaut.

Ist es nicht ein Nachteil, dass NOD32 nicht in CAB- od. SFX-Archive hineinschauen kann? Ich meine damit nicht den Realtime-Schutz, da ists sicherlich überflüssig, aber der Scanner sollte m.E. solche verbreiteten Archivformate schon beherrschen. Das Argument mit der Schnelligkeit kann ich nicht ganz verstehen, denn ich hab ja die Wahl die Archivsuche beim Scannen auszuschalten und per default könnte diese ja auch abgeschaltet sein.

dietlmann

</font><blockquote>Zitat:</font><hr />Original erstellt von dietlmann:
Ist es nicht ein Nachteil, dass NOD32 nicht in CAB- od. SFX-Archive hineinschauen kann? Ich meine damit nicht den Realtime-Schutz, da ists sicherlich überflüssig, aber der Scanner sollte m.E. solche verbreiteten Archivformate schon beherrschen. Das Argument mit der Schnelligkeit kann ich nicht ganz verstehen, denn ich hab ja die Wahl die Archivsuche beim Scannen auszuschalten und per default könnte diese ja auch abgeschaltet sein.</font>[/QUOTE]CAB ist ernsthaft verbreitet? Mir fällt irgendwie niemand außer MS ein, der es ernsthaft benutzt. Einige Setups nennen ihre Datendateien zwar auch *.CAB, ist aber meist ein anderes Format.

Andere wirklich verbreitete Formate wie z.B. ZIP und RAR werden ohnehin unterstützt. Aber ich glaube wir hatten das Thema schon einige Male ... Archivscans sind verschwendete Zeit meiner Ansicht nach.

Malware in Archiven ist definitiv harmlos. Erst durchs Entpacken wird sie aktiv, was ohnehin vom Wächter überwacht wird. Von daher nimmt man keinerlei Abstriche in Puncto Sicherheit in Kauf.

Moin,
Ich bin durch zufall auf nod 32 gestossen und hab mich gewundert, dass es doch ein antiviren prog gibt, dass das sys nicht völlig lahm legt, wenn ein permanenter schutz vorhanden sein soll.

ich teste das program noch, aber in der chip.de community kommt das programm gut an, bis auf diese sache mit den trojanern, aber wie ich hier gelesen habe, wird das ja noch verbessert. und da ich selber kein so erfahrener antivieren nutzer bin und mir der aufbau und die bedinung auch gefällt wollt ich mir eine 2 jahres lizens kaufen.
aber kann ich dann alle updates ziehen ? auch wenn eine version 3 oder 4 kommen würde ? oder nur updates zur version 2 ?

ach und wo kann man schön einfach erklärt die besten einstellungen für nod 32 erfahren ? also was die einstellung xy bringt, zb scannt mehr wird dadurch aber etwas langsamer oder so. gibt es sowas ?

Mal an Nod32 Support wenden, FAQ dort durchlesen :D
Schnell ist es, allerdings in einem kritischen Netz verhindert es öfter das ordentliche Herunterfahren der jeweiligen Arbeitsstationen (wie auch eTrust und Macafee. H&B-EDV Antivir (KaufVersion) und Symantec NAV 2003 machen DORT keinen Ärger, wobei NAV einen leichten Prformanceverlust erzeugt)