Test: Antivirus

[Gjest Slettet-Pqy3rC]

Det er vel få tester her i verden som er fasit. Forbruker bør se på så mange tester som mulig og selv avgjøre hva som virker best for den enkelte.

[sinnaelgen]

Det er vel få tester her i verden som er fasit. Forbruker bør se på så mange tester som mulig og selv avgjøre hva som virker best for den enkelte.

 

Det er et valg som slet ikke er lett.

Poenget med tester er jo å finne ut hva som er best .

Nå kan det virke som at de forskjellige testene vektlegger forskjellige ting.

Det fører selvfølgelig til at det er forskjellige programmer som vinner.

 

Til slutt står vi igjen uten å være sikker på hva som er best.

[Gjest Slettet-Pqy3rC]

Du er sjelden sikker, sånn er livet. Kunnskap hjelper og det får du ved å ofre litt tid på forumer, tester og gratis/demo utgaver.

[sinnaelgen]

For min del bruker jeg det programmet som jeg har lyst å bruke.

Det er greit nok at man tester selv , men det burde ikke være nødvendig når andre gjør tester.

Da er verdien av slike tester lav

[Gjest medlem-82119]

Det som forvirrer meg mye, er begrepene man bruker.

Avira free har en sammenligning, hvor AntiDrive-by prevents against downloading viruses when surfing mangler i gratisversjonen.

Jeg vil jo si at å være beskyttet mot å få virus når man besøker en nettside er viktig, ikke bare å finne det når man allerede har fått det.

Også MSE oppgir at dette mangler.

Jeg har også alltid valgt antivirus som skanner epost inn og ut, men få gjør det.

Microsoft sier også et det ikek er nødvendig.

http://answers.microsoft.com/en-us/protect/forum/protect_scanning/does-mse-scan-e-mail/2b9dd412-1116-4d28-84bb-ebeab5d28ced

Jeg trodde skanning av epost betød at nedlastingen ble sperret hvis den inneholdt virus.

 

Symantec skriver:

Norton AntiVirus Auto-Protect scans incoming files as they are saved to your hard drive, including email and email attachments. Email Scanning is just another layer on top of this.

Another layer, betyr det økt sikkerhet?

 

Gratisversjonen til lavasoft internet security mangler web surfing protection.

 

http://www.lavasoft.com/download_and_buy/product_comparison_chart.php

 

Betyr ikke dette at man er ubeskyttet mot virusangrep hvis man besøker en infisert nettside?

Så får man jo gamble på at adaware klarer å fjerne det igjen når man allerede har fått det.

 

AVG skriver: http://free.avg.com/ww-en/product-comparison

 

Anti-Virus , Anti-Spyware, Smart Anti-Rootkit (ENHANCED)

Makes sure you can’t receive or unintentionally spread even the toughest viruses or spyware

 

Receive skulle jo bety at virus ble stoppet FØR det ble lagret på PC, hvis ikke har man vel received det?

Å ikke få det i utgangspunktet er vel bedre enn å få det og deretter få det fjernet igjen.

AVG skriver også at man ikke SPRER virus, det er vel med epost scanneren tenker jeg.

Dette var jo akkurat det som microsoft og norton sier ikke er viktig.

Er det da viktig allikevel?

 

AVG Social Networking Protection (NEW and UNIQUE to AVG)

Protects you and your friends on social networks

 

Med en stor del av aktiviteten på facebook, så er det vel greit at man er beskyttet der, men betyr dette at man er ubeskyttet med de andre siden dette er unikt for avg?

Klikker man på en infisert link på facebook, vil man da være beskyttet med AVG men ikke med de andre?

Hvis man er like godt beskyttet med de andre, hvorfor er det da unikt for avg?

 

Og hvorfor tester man ikke comodo mer?

[Gjest Slettet-Pqy3rC]

VIrker som hardware.no burde lage en mer dyptgående artikkel om emnet, folk har jo flere spørsmål etter artikkelen enn hva de hadde før.

 

Note;

Det aller meste av hva leverandørene skriver om eget produkts fortreffelighet er skapt av markedsavdelingen og ikke teknisk stab. En god posjon "labratorie testet shampoo med hittil ukjente proteiner" altså.

[johome]

Og hvorfor tester man ikke comodo mer?

Hvis du tenker på antivirusdelen , så skjønner jeg hvorfor ikke Comodo blir testet.

Har sett noen tester av Comodo - antivirus , og det var ikke så mye å skryte av.

 

De er derimot knallgode på Firewall.

Endret 24. mars 2011 av johome

[Gjest medlem-82119]

Ja, det er derfor jeg kun bruker firewallen også.

Men har hørt at antiviruset også er bra nå.

Så de økte maksstørrelsen på filer som kan skannes fra 20 til 40 Mb.

Såvidt jeg skjønner skannes ikke filer over 40 Mb, dvs mesteparten av multimedia og endel installasjonsfiler.

Svakhet, spør du meg.

 

Beskyttelsen vil jo variere på mange nivåer:

1 -HVA som skannes, dvs virus, spyware, ormer, trojanere, rootkits, keyloggere, osv.

2 -Hva det BESKYTTER mot, dvs er man beskytttet mot å besøke f.eks en infisert side, trojaner i nettbanken, spredning av virus via epost (inn og ut), usb minnepinner, nye trusler før definisjonsfiler har registrert dem, eldre trusler, sosiale nettverk osv osv

3 -Hvor godt den renser opp angrep, dvs rydder den opp hvis systemfiler overskrives, unngår man at windows gjenoppretter slettede sikkerhetstrusler ved neste oppstart, osv

4 -Kompabilitet, dvs hvor godt det fungerer mot f.eks en brannmur og vanlige programmer man kjører

5 -Hvor ofte det oppdateres

6 -Mengden med false positives

7 -Support, spesielt med tanke på programkonflikter

8 -Beskyttelse av nettleser og lignende slik at ikke programmer tukler med startsider og lignende

9 -En forståelig utseende slik at folk forstår hvordan de skal sette opp og bruke det

osv osv

 

Det største problemet jeg opplever er folk som trykker for å innstallere noe en popup sa de måtte fordi popupen skremte dem ved å si at de har flere titalls virus.

Da regner det inn med popuper fra omtrent alle pornosider på nettet, systemfiler overskrives og man rekker ikke gjøre noe fordi systemet overbelastes med popups og låser seg totalt.

Beskyttelse mot slike ting burde også vært en del av antiviruset, ha en signaturfil som inkluderer kjente utrygge popups som både blokkerer dem og forhindrer dem fra å gjøre jobben.

Opprydding er ofte umulig fordi systemfiler er overskrevet, og formatering er neste skritt.

 

Info rundt dette er også sin sak.

Hvorfor kan ikke antivirusene gi bedre info om hva de ulike funnene gjør.

Kjekt å vite om alt er fjernet, om systemfiler er tuklet med, om funn er i karantene, blokkert eller fjernet, osv.

 

Jeg syens også at de ulike antivirus og brannmur utviklerne kunne samarbeidet om å lage en felles definisjonsfilløsning slik at man får samme beskyttelse mot alle kjente trusler og unngår de fleste false positives.

 

Teit at antivirus A får false positives mot noe antivirus B ikke får false positives på, og at C ikke oppdager noe D gjør.

På samme måte som ulike pdf programmer klarer å vise samme pdf fil likt burde ulike antivirus hatt en felles base med definisjoner og trygge filer.

Hvis MSE finenr en trussel og trusselen rapporteres til MSE burde jo denne infoen komme alle til gode, mot at de delte samme trusselinfo med MSE.

[Domino]

Info rundt dette er også sin sak.

Hvorfor kan ikke antivirusene gi bedre info om hva de ulike funnene gjør.

Kjekt å vite om alt er fjernet, om systemfiler er tuklet med, om funn er i karantene, blokkert eller fjernet, osv.

 

Flere AV-programmer har begynt å gi mindre og mindre informasjon pga. oppfatningen om at den "gjennomsnittlige bruker" bare blir forvirret av både informasjon og konfigurasjons-muligheter de ikke trenger eller forstår.

Personlig mener jeg dette er en uting, og at man iallefall burde en mulighet for ett "advanced mode" med bedre info og mer konfigurasjon.

 

Jeg syens også at de ulike antivirus og brannmur utviklerne kunne samarbeidet om å lage en felles definisjonsfilløsning slik at man får samme beskyttelse mot alle kjente trusler og unngår de fleste false positives.

 

Teit at antivirus A får false positives mot noe antivirus B ikke får false positives på, og at C ikke oppdager noe D gjør.

På samme måte som ulike pdf programmer klarer å vise samme pdf fil likt burde ulike antivirus hatt en felles base med definisjoner og trygge filer.

Hvis MSE finenr en trussel og trusselen rapporteres til MSE burde jo denne infoen komme alle til gode, mot at de delte samme trusselinfo med MSE.

 

Det er jo nettopp dette selskapene konkurerer på, så det kommer nok ikke til å skje selv om det nok hadde vært til fordel for brukerne. Flere AV-selskaper lisenserer dog ut motoren sin slik at AV-selskap B kan bruke samme motor og deteksjonsfiler som AV-selskap A - men det koster selvfølgelig penger for AV-selskap B, og de mister samtidig litt av det som gjør dem unike.

[sinnaelgen]

Når et AV program gir en false positiv ( jeg regner med at man har et bedre navn for det ) hvordan kan generell bruker vite at det er falsk alarm ?

mange vil jo se at filen er i bruke av et program , men det er det slett ikke alle som klarer.

 

Hvis nå dette AV programmet forsøker å stoppe filen så vil jo det skape trøbbel for brukeren som bruker programmet og filen.

Her er det virkelig på tide å AV selskapen samarbeider.

 

Spørsmålet er hvordan kan vi forbrukere påvirke ( les tvinge ) selskapene til å samarbeide mere ?

[Domino]

Når et AV program gir en false positiv ( jeg regner med at man har et bedre navn for det ) hvordan kan generell bruker vite at det er falsk alarm ?

mange vil jo se at filen er i bruke av et program , men det er det slett ikke alle som klarer.

 

Det er ikke lett, og "aldri" mulig å være sikker uten å kunne en del - men det er gjerne en god indikasjon på at det er en falsk alarm om den infiserte filen tilhører ett program du bruker, f.eks office eller steam.

 

Hvis nå dette AV programmet forsøker å stoppe filen så vil jo det skape trøbbel for brukeren som bruker programmet og filen.

Her er det virkelig på tide å AV selskapen samarbeider.

 

Spørsmålet er hvordan kan vi forbrukere påvirke ( les tvinge ) selskapene til å samarbeide mere ?

 

Selskapene samarbeider faktisk veldig mye allerede, men hvordan foreslår du at de samarbeider for å unngå false alarmer?

[sinnaelgen]

Når et AV program gir en false positiv ( jeg regner med at man har et bedre navn for det ) hvordan kan generell bruker vite at det er falsk alarm ?

mange vil jo se at filen er i bruke av et program , men det er det slett ikke alle som klarer.

 

Det er ikke lett, og "aldri" mulig å være sikker uten å kunne en del - men det er gjerne en god indikasjon på at det er en falsk alarm om den infiserte filen tilhører ett program du bruker, f.eks office eller steam.

 

Hvis nå dette AV programmet forsøker å stoppe filen så vil jo det skape trøbbel for brukeren som bruker programmet og filen.

Her er det virkelig på tide å AV selskapen samarbeider.

 

Spørsmålet er hvordan kan vi forbrukere påvirke ( les tvinge ) selskapene til å samarbeide mere ?

 

Selskapene samarbeider faktisk veldig mye allerede, men hvordan foreslår du at de samarbeider for å unngå false alarmer?

 

Jeg har ingen ide hvordan det burde foregå . Til det vet jeg for lite om AV programmer .

 

Det eneste måtte være at det opprettes et felles informasjonssenter ell.l. der alle selskapen gir ut informasjon som både er hente fra kunden og av egen erfaring innad i selskapet.

Her spørs det om det da ikke vil røper for menge forretningshemmeligheter.

[Domino]

Selskapene samarbeider faktisk veldig mye allerede, men hvordan foreslår du at de samarbeider for å unngå false alarmer?

 

Jeg har ingen ide hvordan det burde foregå . Til det vet jeg for lite om AV programmer .

 

Det eneste måtte være at det opprettes et felles informasjonssenter ell.l. der alle selskapen gir ut informasjon som både er hente fra kunden og av egen erfaring innad i selskapet.

Her spørs det om det da ikke vil røper for menge forretningshemmeligheter.

 

Problemet ligger i hvordan falske alarmer oppstår, og i mange tilfeller forårsakes de nettopp av ett samarbeid mellom leverandørene.

Falske alarmer er som regel forårsaket av en av tre årsaker:

 

1: AV-programmer detekterer vanligvis malware ved å bruke en eller annen form for fingeravtrykk, og gjerne ett fingeravtrykk som er så generisk at ett fingeravtrykk kan ta mange hundre eller t.o.m. tusen varianter - i motsetning til en MD5 av en fil som bare vil detektere den ene filen. Slike fingeravtrykk er ikke alltid nøyaktige nok, og kan detektere andre filer enn de den var ment for.

 

2: AV-leverandører samarbeider ganske mye, og av og til hender det at en leverandørs falsk alarm blir 'arvet' ned til andre leverandører. At slikt kan skje uten å bli oppdaget skyldes først og fremst at leverandørene motar mellom 50.000 og 100.000 nye malware-samples hver eneste dag - og da er det ikke mye tid til å se for nøye på hvert sample.

 

3: En virusanalytiker eller ett analyse-system kan gjøre en feil å tro at ett program er malware, f.eks fordi det gjør ett eller annet som minner om en exploit.

 

 

AV-leverandører har gjerne flere nivå av systemer for å unngå falske alarmer, men dette er fryktelig komplisert. Eneste måten å være sikker på å ikke slippe en falsk alarm er å scanne gjennom alle rene filer i hele verden før hver eneste oppdatering - og det er selvfølgelig ikke mulig - spesiellt siden de har ett press på seg for å måtte kunne slippe oppdateringer så fort som overhodet mulig for å beskytte kundene sine mot nye trusler. De forsøker så godt de kan likevel, og har gjerne store maskinparker som scanner gjennom flere titalls eller hundretalls millioner rene filer før hver eneste oppdatering - og det betyr gjerne opp til flere ganger om dagen.

En ting som gjør det veldig vanskelig å sikre seg mot falske alarmer er at AV-selskapene ikke får tak i rene filer før kundene gjør det. Når f.eks Microsoft slipper nye oppdateringer på WindowsUpdate må også AV-selskapene laste ned disse på samme måte som kundene sine, og det vil derfor ta en tid før disse filene kan brukes i en slik test. Husk også at det finnes 20-30 forskjellige versjoner av Windows, og når du ganger opp dette tallet med antall språk Windows gis ut på skjønner du hvor mange filer det er snakk om.

[Gjest medlem-82119]

Jeg skjønner dette, men det er jo et faktum at enkelte AV leverandører har mye mer false positives enn andre.

Det jeg har registrert er at når ting blokkeres av AV så er det oftest de kjente tingene og ikke de obskure filene som få bruker.

AVG lanserte nylig en oppdatering som gav BSOD, Nvidia har ofte vært blokkert, AVG sin linkskanner har vel blokkert internet explorer hver gang den slippes i ny versjon osv.

Windows, IE, nvidia og ati er vel tilstede på flertallet av pcene og det burde vært mulig å unngå disse blokkeringene i hvertfall.

 

Tror forøvrig at alle AV leverandører ville hatt nytte av å få tilgang til en felles samling av definisjoner og trygge filer, da det ikke lenger viller vært beskyttelsen som skilte, men designet på selve programmet og eventuelle ekstrafunksjoner.

 

Nå når alle AV utviklere må gjøre alt selv så åpner det for false positives og at sikkerhetstrusler slipper igjennom.

Skulle også sett mer av systemet bl.a comodo og firefox bruker, vet at hvis man ble infisert eller fikk false positives så fikk man penger.

Det ville lagt listen høyere...

[Gjest medlem-82119]

Har hatt problemer med å få sendt eposter over 8-10 Mb i det siste, så for å utelukke eventuelle konflikter så avinstallerte jeg comodo brannmur og avg free og la inn mse.

Passet på å kjøre avg removal, samt fjerne mapper og registeroppføringer før ny innstallasjon.

La inn mse, og alt ser ut til å ha gått bra.

Satte den til å slette alt den finner, og kjørte full skann.

Plukket opp innstallasjonsfilen til pakkeprogrammet izarc på første skann, det har aldri avg reagert på.

Lav risiko.

Izarc kommer med en frivillig ekstrasak som jeg ikke innstallerer.

Denne ekstrasaken kunne sende reklame hvis den var i bruk.

Selve programmet ble ikke plukket opp.

 

Inntrykket sålangt er positivt.

Den skannet litt over 600000 filer, mot avgs over 1400000 objekter.

Ulike antivirus oppgir ulikt antall filer og objekter de skanner.

Ikke uvanlig, i og for seg.

 

Ser ut til å funke bra hos meg ihvertfall.

La inn 64 bit på min stasjonære og 32 bit på en laptop.

Begge ser ut til å fungere bra, så langt.

 

Ingen ikoner på skrivebordet til mse, men det legegr seg en snarvei i startmenyen sammen med de andre windows programmene.

Også ikon som vanlig ned til høyre.

Det er skjult med mindre man velger at det skal vises konstant.

 

Enkle menyer, og skanner alle stasjoner inkludert usb minnepenner.

Kan også høyreklikke på mapper og filer og velge søk med mse.

 

Fornøyd så langt.

[sinnaelgen]

jeg har også den grønne konvolutten på verktøylinjen.

I går fikk jeg en noen oppdateringer. Her var det også 2 oppdateringer til MSE.

 

Riktig måtte en del programmer avsluttes og pcen måtte om startes i god gammel MS ånd.

Det må være det eneste AV programmet som krever omstart ved oppdateringer

[Gjest Slettet-t8fn5F]

jeg har også den grønne konvolutten på verktøylinjen.

I går fikk jeg en noen oppdateringer. Her var det også 2 oppdateringer til MSE.

 

Riktig måtte en del programmer avsluttes og pcen måtte om startes i god gammel MS ånd.

Det må være det eneste AV programmet som krever omstart ved oppdateringer

Da kan du ikke ha hatt innstalert siste versjon av MSE. Har selv kjørt MSE i 1.5 år nå og har kun måtte restarte maskinen når ny versjon av selve programmet måtte oppdateres. Definisjoner og sånt får man ikke engang beskjed om at er oppdatert.

[sinnaelgen]

jeg har også den grønne konvolutten på verktøylinjen.

I går fikk jeg en noen oppdateringer. Her var det også 2 oppdateringer til MSE.

 

Riktig måtte en del programmer avsluttes og pcen måtte om startes i god gammel MS ånd.

Det må være det eneste AV programmet som krever omstart ved oppdateringer

Da kan du ikke ha hatt innstalert siste versjon av MSE. Har selv kjørt MSE i 1.5 år nå og har kun måtte restarte maskinen når ny versjon av selve programmet måtte oppdateres. Definisjoner og sånt får man ikke engang beskjed om at er oppdatert.

 

Nå er det versjon 2.6 et eller annet.

Når man går på nettsiden til Microsoft så forventer man da at det er siste versjon som et lagt ut for nedlasting.

Jeg kan ikke bekrefte om det det var MSE eller den andre oppdateringen som krevde omstart

[Gjest medlem-82119]

Bruker kun lovlig software så for min del er det viktigst å være beskyttet når man surfer.

Av de siste truslene jeg har opplevd så var det bl.a forumet på den officielle nick cave siden og gilette barberhøvler siden.

Begge trigget full pakke med varsler om trojanere og masse annet som ble stoppet.

Min opplevelse er også at firefox varsler før antiviruset hvis man er på en utrygg side.

 

Når det gjelder funksjonsmåte, så har jeg insett viktigheten av å være tilknyttet en global varslingsløsning.

Mse bruker spynet, som overvåker trusler på den eneklte maskin.

En bruker som blir infisert sender info om hva det var, filnavn, trusseltype, hva som ble gjort osv.

Dette gjør at når f.eks false positives blir godtatt av mange så unngår mse å varsle om det etterhvert.

Dette gjør at både beskyttelse og få false positives er bedre en hva det kanskje ville vært med programmet i seg selv.

 

En annen meget viktig ting for meg er kompabilitet.

Har brukt løsninger som beskytter trådløse nettverk, skanner epost inn og ut, og masse sikre løsninger på kryss og tvers, men opplever at de påvirker eller blokkerer bruken slik at de

ikke kan brukes.

F.eks vil en skanning av epost ofte skape konflikt med epostprogrammet og/eller sending slik at eposter ikke rekker å sendes før server timeout går ut.

 

Jeg opplever også i supportsammenheng at første alternativ alltid er å fjerne antivirus og brannmur.

Tomt for blekk sier du? Fjern antiviruset

Har lyspæra gått? Fjern antiviruset

Problemer med å lade musa? Fjern antiviruset

Det er grenser for tålmodigheten når man kontakter support og absolutt alle spørsmål møtes med "fjern antiviruset" uansett hvor relevant det er.

Heller derfor mot å velge antivirus som fungerer med det os og programvare man har.

 

Når det er sagt så overrasker det meg at testene spriker så enormt.

To tester av samme program kan gi resultat om at programmet tok alt og ingenting.

Her stilles det nok krav til testeren.

Savner tester som har fokus på kompabilitet (sende/motta epost, steam, skjermkortdrivere, osv) og sikkerhet.

Har inntrykk av at mange ikke bryr seg med å sette opp antiviruset etterpå, og så får det lav score siden det beskytter dårlig.

Mange legger også stor vekt på "mas" om ulike varsling, og brukervennlighet.

Comodo er f.eks voldsom for mange, men bruker man 5 min på å sette seg inn i den er den oversiktelig og grei.

 

Får heller aldri noen skikkelig forklaring på om epost skanning er viktig.

Slik jeg har sett på det, så kan man få et virus eller trojaner og ikke bli varslet om det før man aktiverer det, f.eks klikker på installasjonsfilen.

Trodde da at en epostskanner ville plukke opp disse, og hindre at jeg sendte det videre, men leser at det ikke er nødvendig med slik skanning lenger og at det er noe som henger igjen fra gammelt av.

Allikevel fokuserer mange på det og påstår at det gir økt sikkerhet.

Fokuset på om man er beskyttet når man surfer varierer også enormt.

De fleste gratisversjonene er oppgitt til å gi null beskyttelse på slikt, de fanger kun opp det man søker etter på harddisken eller starter.

Jeg ville jo ønske at sikkerhetstrusler ble blokkert FØR de ble lastet ned, f.eks ved at de ble skannet før nedlastingsvinduet poppet opp.

Samtidig ser jeg mange tester si at program x ikke har en bestemt funksjon som utviklerne av program x skryter av at de har.

Endret 8. april 2011 av medlem-82119

[Gjest Slettet-t8fn5F]

Jeg opplever også i supportsammenheng at første alternativ alltid er å fjerne antivirus og brannmur.

Tomt for blekk sier du? Fjern antiviruset

Har lyspæra gått? Fjern antiviruset

Problemer med å lade musa? Fjern antiviruset

Det er grenser for tålmodigheten når man kontakter support og absolutt alle spørsmål møtes med "fjern antiviruset" uansett hvor relevant det er.

Heller derfor mot å velge antivirus som fungerer med det os og programvare man har.

Da kan jeg komme med et råd. Start maskinen på nytt. Råd nummer 1 fra supportsiden.

NAV er vel den største synderen siden den kommer ferdig instalert med de fleste kjøpemaskinene, så det med å fjerne antivirus som forsøk nummer en, kan jeg ikke si meg enig i.