Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties
Submitter: Boogie

Antivirussoftware van Sophos heeft zondag korte tijd 'winlogon.exe' als virus of spyware aangeduid. Sommige gebruikers konden daardoor niet inloggen op hun systeem. Het probleem lijkt zich alleen voor te doen op bepaalde Windows 7-systemen met SP1.

Dat schrijft Sohpos in een Knowledge Base-artikel. Na de update van 4 september verscheen bij de Sohpos Enterprise Console, Sophos Central of Sophos Home een mededeling als: "Virus/spyaware 'Troj/RarFli-CT' has been detected in "C:\Windows\System32\winlogon.exe". Cleanup unavailable."

Het probleem zat in de virusdefinities 'java-aqr.ide' die op zondag werd vrijgegeven. De correcte versie is vanaf zondag 4 september 11 uur Midden-Europese tijd verstuurd naar endpoints. Na de update is het probleem verholpen.

Sophos weet naar eigen zeggen nog niet wat de impact is van de fout, maar zegt dat het in de meeste gevallen voldoende is om in de Sophos Enterprise Console 'Resolve Alerts and Errors' aan te klikken en in Sophos Central te kiezen voor 'Mark as Acknowledged'.

Wel zijn er gebruikers die een zwart scherm bij inloggen voorgeschoteld krijgen; dit gaat om gebruikers van de 32bits-versie van Windows 7 met SP1. De problemen zijn op te lossen door in Safe Mode in te loggen via F8 tijdens het opstarten van Windows. Vervolgens moet het automatisch starten van Sophos uitgeschakeld worden. Daarna zou na een herstart weer ingelogd moeten kunnen worden om vervolgens na het installeren van de update, Sophos weer in te schakelen.

Moderatie-faq Wijzig weergave

Reacties (70)

De quality testing bij Sophos lijkt hier nogal gefaald te hebben maar sowieso zou je denken dat een antivrius bedrijf alle uitvoerbare Windows files kan herkennen adhv een hash of zoiets en die automatisch whitelisten.
Enig idee hoeveel versies er zijn van winlogon alleen al? Het bestand is taalafhankelijk, en Windows is er in ongeveer 100 talen. Blijkbaar heeft Win7 SP1 een andere versie dan Win7, en we hebben natuurlijk ook nog 32 bits en 64 bits versies.

Dus alleen voor W7, voor deze ene file zijn er al ongeveer 400 versies. Tenzij er in de ziljoen updates die er inmiddels geweest zijn nog meer versies zijn verspreid, natuurlijk.
Voor mijn part zijn er 10^21 versies van winlogon.exe. Het feit dat de applicatie gesigneerd is door MS, wil zeggen dat deze niet gewijzigd is van de versie die MS verspreid heeft. Als er een Windows bestand staat, dat gesigneerd is, kan je er vanuit gaan dat het alleen doet wat het moet doen... Afblijven dus als virusscanner.

Geen whitelisting nodig van alle bestaande versies, gewoon de handtekening controleren...
Wou je nu zeggen dat bestanden met een handtekening niet besmet kunnen zijn?
Een besmet bestand welke een handtekening heeft, geeft een fout zodra je die handtekening gaat checken want de data in het bestand is dan niet meer orgineel.
Dus? Niet whitelisten, maar ook scannen. Al was het maar om te kijken of het nog origineel is. (Of ik begrijp je niet goed.) Verder kunnen de organisaties die handtekeningen uitdelen, ook problemen met de beveiliging hebben.
Om te kijken of een getekend bestand nog orgineel is, daar is die handtekening juist voor. Zodra je een bitje van het bestand veranderd gaat die op de handtekening namelijk een foutmelding geven.

Het kan natuurlijk altijd zijn dat dat systeem zijn fouten heeft, net als ieder ander stukje software. Maar tijdens normale operaties zou een AV zich niet bezig hoeven houden met bestanden die een handtekening hebben, daar hoeven ze alleen de handtekening van na te kijken.

Bij een deepscan vind ik het niet zo vreemd als een AV lekker alle security van het OS links van zich laat liggen en liever op zichzelf vertrouwd, maar zoals ik het lees in dit topic, dit had gewoon niet hoeven gebeuren als de AV zich een beetje aan de richtlijnen van Windows had gehouden.

Overigens worden handtekeningen van Windows bestanden enkel en alleen door Microsoft uitgegeven.

De system32 map is niet eens een echte map, alles (van windows zelf, + door MS gecertificeerde zooi -tenzij je het zelf accepteerd-) is daar enkel virtueel. De System32 map zou sowieso al niet als een normaal mapje behandelt moeten worden.

[Reactie gewijzigd door batjes op 7 september 2016 18:14]

...daar hoeven ze alleen de handtekening van na te kijken.
Da's toch ook scannen?
Weet je hoeveel versies er zijn van virussen?

De software van sophos is gespecialiseerd in het vinden van afwijkende bestanden of afwijkingen in bestanden.
Dan lijkt het me toch voor de hand te liggen dat ze zeker van vitale OS bestanden de normale goede versies ook op 1 of andere manier kunnen herkennen.
Maar er zijn authentieke winlogon.exe aangeduidt , dus of er is niet gekeken naar een virus-sig. (dat bekent is) of er is gewoon een bepaalde gelijkenis als een sig. aangenomen
In beide gevallen gewoon beroerd
Zo'n whitelist geeft natuurlijk een mooie uitdaging aan virusontwikkelaars om net virussen te ontwikkelen die netjes voldoen aan de gestelde voorwaarden...
Op zulke momenten vraag je je toch af of de "oplossing" niet erger is dan het probleem.

Relevante performance-degradatie, van tijd tot tijd een gebeurtenis als deze die je systeem praktisch gezien onbruikbaar maakt door het slopen van systeembestanden, nieuwe attack surfaces die zonder de scanner niet aanwezig waren geweest. Het is altijd ellende - en ik kan de laatste keer dat een virusscanner iets relevants heeft ontdekt op een systeem waar ik achter zit niet herinneren.

Het is dat je op bedrijfsnetwerken helaas weinig keus hebt.
Hier hetzelfde. Heb al jaren een virusscanner, netjes betaald zelfs... Dit jaar niet meer verlengen. Hij vind nooit iets noemenswaardigs... Vaak zelfs zaken dat ik denk... Serieus?
Nee, op werk kan ik goed begrijpen dat zo'n scanner verplicht is, en bij mensen die niet weten wat ze doen op internet ook. Voor mij niet meer. Die kleine risico verhoging neem ik voor lief.
Dus je bent van plan zonder AV te gaan draaien? Dat is nou niet bepaald verstandig, ook voor iemand die goed weet wat je op internet doet. Je kan wat via de mail binnenkrijgen, het gebeurd zelfs via officiŽle download kanalen... vervolgens kan je daardoor ook weer anderen infecteren etc.

Ik zou dat omschrijven als niet je riem om doen tijdens het autorijden omdat je nog nooit een aanrijding hebt gehad en een goede chauffeur bent... ongelukje kan altijd gebeuren en dan ben je toch blij dat je die riem om hebt.
Het probleem is alleen dat je van die riem niet direct nadelen ondervind. Ja je hebt hem om en dat is enigszins beknellend, maar welk voordeel behaal je aan het feit dat je hem niet om hebt? Meer bewegingsvrijheid?

Dit terwijl sommige AV programma's je PC echt merkbaar een stuk trager maken. Vooral met opstarten en tijdens het scannen.

Voor bedrijven: Ja Doen!
Particulier: Meh... Wil je zeker zijn van je zaak dan ja en anders zorgen voor goede back-ups en het nieuws goed in de gaten houden omtrent malware. Een adblocker helpt bijvoorbeeld de laatste tijd al enorm.
Een virusscanner is simpelweg een must voor iedereen... je systeem een 'stuk trager maken' is met een beetje moderne pc echt geen issue meer. Scannen laat je uiteraard buiten gebruikstijden doen en de meeste scanners gaan alleen aan de slag als het systeem idle is... of zijn iig zo in te stellen.

Het nieuws in de gaten houden heeft ook weinig zin, sowieso komen lang niet alle infecties in het nieuws en als het in het nieuws komt dan is de schade meestal al geleden.

Ook heeft het weinig zin om backups te maken want als jij niet weet dat je systeem is geÔnfecteerd dan weet je dus ook niet of je backups ook zijn getroffen.

Het is een voorzorgsmaatregel, hoe voorzichtig je ook denkt te zijn een infectie zit in een klein hoekje... particulier kan ook echt niet zonder.
Particulier kan wel degelijk zonder.

De impact die de meeste malware heeft is vrij klein voor de individuele persoon.

Je krijgt of een berg advertenties extra voor je kiezen die je er zo uithaalt en netjes kan verwijderen binnen no-time. Of je computer verstookt wat meer en wordt trager omdat er een DDOS of iets mee wordt uitgevoerd (of coin mining oid).

Dit is al de zoveelste keer dit jaar dat een virusscanner een computer blijvend vrijwel onbruikbaar maakt. Erg vervelend als consument.

Edit: Daarnaast zijn security updates van je fabrikant erg belangrijk. Ik draai sinds 2006 al AV vrij op meerdere systemen (waaronder veel macs dus dat is dan een ander verhaal), maar ik merk wel dat als daar serieuze problemen zijn met name de software fabrikant erg snel moet ingrijpen om snel en efficiŽnt de problemen op te lossen.

[Reactie gewijzigd door supersnathan94 op 5 september 2016 11:37]

De impact die de meeste malware heeft is vrij klein voor de individuele persoon.

Je krijgt of een berg advertenties extra voor je kiezen die je er zo uithaalt en netjes kan verwijderen binnen no-time. Of je computer verstookt wat meer en wordt trager omdat er een DDOS of iets mee wordt uitgevoerd (of coin mining oid).
Het is gelijk duidelijk dat je echt totaal geen idee hebt van moderne malware en hierbij gebruikte technieken. Moderne en geavanceerde malware toont over het algemeen geen advertentie maar probeert zo onopvallend mogelijk te blijven (geldt ook voor een DDOS node) totdat het zijn kwade bedoelingen heeft uitgevoerd (en wacht hier regelmatig een tijd mee om zo nog beter te kunnen verspreiden of te infiltreren)

Wat te denken van bijvoorbeeld remote access malware, cryptolockers en andere ongewenste zaken.

Juist als je aangeeft dat de impact klein is voor een particulier of dat je een virus zo opspoort en verwijderd (je geeft zelfs aan "binnen no-time") zou ik echt niet zonder anti malware product aan het werk gaan. Je hebt klaarblijkelijk geen realistisch beeld van de bedreiging.
Fijn dat je dat even voor mij bepaald :)
Juist als je aangeeft dat de impact klein is voor een particulier of dat je een virus zo opspoort en verwijderd (je geeft zelfs aan "binnen no-time") zou ik echt niet zonder anti malware product aan het werk gaan. Je hebt klaarblijkelijk geen realistisch beeld van de bedreiging.
Ik heb een prima beeld van de bedreigingen en heb derhalve ook maatregelen getroffen die veel verder gaan dan alleen een Virusscanner oid. Het probleem met deze software is de betrouwbaarheid. En er glipt de laatste tijd toch nog steeds veel doorheen. Daarom heb ik ook custom DNS-level blokkades, komt er geen enkele advertentie binnen anders dan die van Youtube en houd ik mijn netwerk op routing niveau in de gaten. Met een uitgaande DDOS schieten zowel mijn Remote desktop manager als VPN en DNS direct in de zeik. Een cryptolocker heeft voor werkbestanden geen zin aangezien alles op applicatieniveau geback-upped worden. Wordt een bestand ge-encrypt dan wordt dit door versiebeheer opgepikt en gebeurt er niets. De back-up kan derhalve niet besmet raken.

Malware heeft geen kans van slagen want enige CPU activiteit valt per direct op en ja ik heb de hele dag een activity monitor open staan om dergelijke spikes te kunnen zien tijdens het programmeren en testen van applicaties.

Maar goed, ik heb kennelijk geen idee van de bedreigingen. Het enige probleem waar ik me druk over hoef te maken is externe randapparatuur die via Thunderbolt de boel besmet.

Goed ik ben het met je eens dat voor de gemiddelde gebruiker enige beveiliging dmv scanners erg handig is, maar veel meer dan windows Firewall, MS security Essentials en allerlei andere tools beschikbaar gesteld door MS zelf zijn daarmee al voldoende.
Ik heb diverse malen een AV product dat onterecht bestanden in quarantaine plaatste en daardoor een complete database om zeep hielp. Enige oplossing: restore from backup (uit de quarantaine vissen ging niet).

Tweede probleem: alle clients & servers hebben een (McAfee) AV pakket. Dat scanned alle netwerk verkeer. Dus voor SMB access, de server (uitgaand) en de client (incoming). Hetzelfde geldt voor het maken van objecten/binaries. Die bouw je zelf met een compiler. En die worden gescanned. Een performance killer dus. Is allemaal wel een beetje op te lossen door een exclusion list, maar a. dat kost weer onderhoud b. blijft een performance killer, omdat de virusscanner moet kijken of iets op de exclusion list staat (als die lang is, kost dat veel tijd).

Het zal best dat een AV product helpt, maar als de productiviteit harder daalt dan de bescherming die een AV product biedt, dan ben is een AV product 'net-zo-erg' als een virus. Punt is dat management zegt: AV is verplicht. En dat in een bedrijf van rijp tot groen werkt (+ rijp ook vergissingen kan maken). Dus AV verplicht, en geen uitzonderingen mogelijk. Beheerders hebben soms onvoldoende invoelingsvermogen voor de ontwikkelaars (die een product maken, waarvan met de inkomsten daarvan ook de IT afdeling betaald wordt).

Overigens gaat het de afgelopen jaren aardig, mede omdat de HW zo krachtig is, dan je niet zo erg meer merkt wat er aan CPU ticks verstookt wordt in je AV product. IT blij, developer tevreden en energiemaatschappij lachende derde.
Totdat je ransomware krijgt en al je fotootjes of documentjes foetsie zijn. Dan denk je "had ik nou toch maar een virusscanner genomen". Maar ja, dan is het kwaad al geschied en wordt het stevig betalen of hopen dat er een decryptietool komt...
Ransomware manifesteert zich door het gebruik van Zero-day exploits. Dikke kans dat je AV software hier niet mee om kan gaan.
Ransomware manifesteert zich door het gebruik van Zero-day exploits. Dikke kans dat je AV software hier niet mee om kan gaan.
Dat is lang niet altijd waar. Dat zou niet slim zijn ook wanneer je malware maakt waarvan het doel indirect is om zich zo breed mogelijk te verspreiden. Een zero day exploit is vaak maar beperkt houdbaar / te exploiten en daardoor kostbaar. Men target juist vaak de breder aanwezige kwetsbaarheden.

En mocht het wel om een nieuwe exploit gaan; een update voor een anti-malware product is vele malen sneller beschikbaar dan een patch voor het kwetsbare product over het algemeen.
En bedankt dat je meehelpt om het leven van systeembeheerders verder zuur te maken doordat je pc in een botnet terecht komt |:( |:(
Hoeveel overlast denk je dat spam en DDOS-aanvallen geeft?

Hint : 98% van alle email wereldwijd is spam

[Reactie gewijzigd door hackerhater op 5 september 2016 11:56]

Ja en dat is toch allemaal vrij snel te zien? Hoeveel computers zijn er door AV software niet in een Botnet terecht gekomen? Ik zie heel vaak problemen met virussen en malware die doodleuk langs de AV is geslopen. Al dan niet door toedoen van de gebruiker.
Hoeveel computers zijn er door AV software niet in een Botnet terecht gekomen?
0 om precies te zijn. Legitieme antimalware producten plaatsen computers niet in een botnet. Nogal een onzinnige vraag dit :?
Dat is ook niet hoe ik de vraag bedoel uiteraard. De vraag is of een AV pakket 100% kan voorkomen dat een PC in een botnet terecht komt en ik durf met zekerheid te zeggen dat dit niet het geval is. De meeste gevallen zijn namelijk nog steeds user related en daar gaat een AV pakket niet altijd wat aan kunnen doen.
Nee een AV pakket geeft geen 100% zekerheid, dat lukt je met geen enkele oplossing. Wat het wel biedt is een zeer verminderde kans dat er iets doorheen komt. Zeker wanneer je dit vergelijkt met de afwezigheid van een virusscanner is dit verschil echt enorm. Ik zou nog liever een virusscanner met wat mindere detectie aanraden dan helemaal geen virusscanner.
De tools die MS voorziet zijn voor dat doeleinde dan dus voldoende. MS security Essentials, windows defender. Allemaal MS spul wat precies dat doet. Daar heb je helemaal geen losse scanner zoals die van Sophos voor nodig. Dat is voor bedrijven interessant. Niet voor particulieren.

Edit: Daarnaast scoort Sophos op individuele tests slechter dan, of gelijk aan MS. Dan gaat het om een betaalde AV pakket, terwijl gratis alternatieven veelal een stuk hoger scoren (http://www.av-comparative.../07/avc_prot_2016a_en.pdf zie pagina 14).

Derhalve zijn externe pakketten zoals die van McAfee, sophos en bullguard helemaal niet slim om af te nemen. Pak dan een gratis alternatief van AVG of Avira.

[Reactie gewijzigd door supersnathan94 op 5 september 2016 14:45]

Je herhaalt steeds dezelfde zetten. Waarom is een 3rd party product overbodig? Graag zie ik voldoende onderbouwing Veel 3rd party producten bieden een hogere detectiegraad en andere al genoemde voordelen. Ik zie van jouw kant nog geen enkel afdoende argument waaruit blijkt dat het gebruiken van geen of een mindere scanner voldoende is terwijl er diverse argumenten voorbij komen om juist wel voor een 3rd party product met betere detectie te kiezen.
Een voordeel van de MS producten zou kunnen zijn dat deze naar alle waarschijnlijkheid geen winlogon.exe in zijn defenities zal hebben staan.

Sophos zelf geeft ook aan dat dit een known good file is en dat dit een fout geweest is in de java-aqr IDE, maar waarom je een ontwikkelingsomgeving mee zou leveren is voor mij ook een raadsel.

Als dat wel zo zou zijn, dan is het voor mij iig echt helemaal 100% klaar met MS.
Een anti-virus is niet zaligmakend dat geef ik toe, evengoed werkt het nog altijd beter dan geen antivirus.
Wil je 0% veilig of 99% veilig ?
Windows is nu eenmaal zo lek als een mandje waardoor je een antivirus nodig hebt.

Mijn eigen servers zijn flink wat resources kwijt elke dag om alle spam te filteren.
En bij een flinke DDOS gaat de server door de knieŽn omdat ie dat verkeer niet aan kan.

En op je opmerking "Ransomware manifesteert zich door het gebruik van Zero-day exploits. "
De virusscanner op de mailserver pikt die ransomware er gewoon uit hoor.
Je redeneert wel erg kort door de bocht en een beetje met de gedachte van 5~10 jaar geleden... je privť gegevens liggen op de loer; ransomware is een steeds groter wordende factor etc.

Prima dat je zelf denkt zonder te kunnen, maar op een techsite zoiets roepen waar ook de minder ervaren gebruiker leest is niet verstandig en juist dan is het belangrijk dat ze zich goed beschermen.

En de zoveelste keer dit jaar? Een tikkeltje overdreven... denk ik? Bron?
De impact die de meeste malware heeft is vrij klein voor de individuele persoon.
Suddenly al je familiefoto's en administratie zijn door ransomware ontoegankelijk geworden. Kak, blijkbaar heeft die malware ook je wachtwoorden, want familie klaagt over rare posts op je FB.
Wat ga je nu doen?

[Reactie gewijzigd door RoestVrijStaal op 5 september 2016 13:47]

...Scannen laat je uiteraard buiten gebruikstijden doen
Pardon? Een scanner die niet tijdens gebruikstijden scant, is waardeloos! Juist tijdens gebruikstijden ben je met internet/email/programma's installeren bezig! Allemaal zaken die per direct gescand moeten worden; dat kan niet ff wachten!

Buiten gebruikstijden scannen = scannen of je al geÔnfecteerd bent. Ten eerste, als je al geÔnfecteerd bent, is 't nog maar de vraag of je scanner Łberhaupt nog te vertrouwen is. Ten tweede, als je pas achteraf scant, is dat symptoonbestrijding i.p.v. het voorkomen van de problemen.
Scannen moet altijd realtime zijn.

[Reactie gewijzigd door kimborntobewild op 5 september 2016 16:46]

Natuurlijk bewaakt iedere virusscanner het systeem continue, ik bedoel uiteraard de geplande (volledige) systeemscans want die zijn ook nodig want definities lopen in principe altijd achter. Niet zo zwart/wit aub...

[Reactie gewijzigd door MicGlou op 5 september 2016 17:58]

Een alternative optie is het gratis Microsoft Security Essentials icm Windows Defender realtime te draaien (de gratis Avira Antivir, AVG en Avast zijn me te opdringerig geworden). En van tijd tot tijd een handmatige scan met MalwareBytes AntiMalware.

Verder als je systeem dichtgooit met SpywareBlaster en (forks van) Adblock of uBlock in browser gebruikt zit je goed.

Tegenwoordig is ransomware het grote gevaar. Virusjes die enkel je bestanden voor de grap hernoemen of verplaatsen behoren tot het verleden.

Van tijd tot tijd backuppen en je zit veilig.

[Reactie gewijzigd door RoestVrijStaal op 5 september 2016 11:39]

Avast is zelfs zo erg geworden dat zij zelf adwarev installeerde! 8)7
http://www.howtogeek.com/...h-adware-until-this-week/

Opmerking dat dit alleen bij eerdere versies was is niet helemaal waar, want zelf na die verandering ben ik het een keer of twee tegen gekomen. Daarnaast behoord een Antivirus zich hier helemaal niet mee bezig te houden!

Vroeger gebruikte mijn vader Avast Free, en die negeerde een geÔnfecteerde Chome installatie compleet, en een hardnekkige malware infectie die heel bekend was (geen melding niks, alleen een smeekbede of ik alsjeblieft de volledige versie wilde installeren :z ).

Toen ik ESET ging installeren gaf deze direct al aan dat er malware was gevonden, en het werkte aanzienlijk sneller. Bij Avast had hij constant vastlopers en hoog CPU gebruik, en zonder antivirus had ik wel even bezig geweest...
Ik werk al iets van 10 jaar zonder virusscanner. Nog geen virus gehad.
Nog geen virus gehad, waar je het van merkt ;) er zijn genoeg 'stille' virussen waarvan je niets merkt.
Als je virusscanner er ook niets van merkt, wat is het nut van die scanner dan?
Hij zegt dat hij geen virusscanner heeft, dan kan die ook niets oppikken. Maar in de andere gevallen heb je gelijk, hoewel het gevoel van veiligheid ook meetelt.
als ik er niets van merk doet het blijkbaar ook geen kwaad.
En ik werk al meer dan 30 jaar zonder virus scanner. En heb ooit een keer infectie gehad. Dit had ik wel direct door en het heeft dus niets kunnen doen. Ook een aantal keren bij torrents verdachte files gedownload maar uiteraard niet uitgevoerd. Als ik iets niet vertrouw gebruik ik een online scanner. Ik gebruik al langere tijd exclusief Linux. Daarvoor worden sowieso minder virussen geschreven. Als je weet wat je doet en je PC kent kun je prima zonder scanner.

[Reactie gewijzigd door Jack Hair op 5 september 2016 11:36]

Niemand weet wat ie doet op de PC; dat is inherent aan 't feit dat de chips op je moederbord of insteekkaarten Closed Source gebruiken.

Als je nooit een virusscanner hebt gehad, heb je er ook geen idee van hoe vaak je besmet bent geweest (dat wil niet zeggen dat je niet besmet kunt raken als je wŤl een AV hebt). Misschien zit je al 30 jaar lang achter besmette PC's, zonder dat je het weet.
Ik heb heus geen 30 jaar 1 PC met 1 install. Ik weet wel welke taken er op mijn PC draaien. Als er een taak tussen staat die ik niet ken weet ik dus hoe laat het is. Ik zal nog geen dag met een actief virus draaien aangezien ik taakbeheer vaak open. Met virus scanner is het nog altijd zo dat ze achter de feiten aanlopen. Eerst komt er een virus die de boel besmet, en nadat deze gevonden is kunnen ze er iets tegen doen. Met virusscanner ben je ook niet veilig. Dan is het beter bewust te zijn wat er allemaal draait op je PC.

[Reactie gewijzigd door Jack Hair op 5 september 2016 18:17]

Ik zal nog geen dag met een actief virus draaien aangezien ik taakbeheer vaak open.
Als je PC eenmaal besmet is, zegt taakbeheer helemaal niks meer.
Met virus scanner is het nog altijd zo dat ze achter de feiten aanlopen.
Dat klopt (deels); toch houdt een virusscanner de bulk tegen.
Met virusscanner ben je ook niet veilig
Garantie heb je inderdaad niet; maar met een virusscanner ben je wel veiliger.
Dan is het beter bewust te zijn wat er allemaal draait op je PC.
Het feit dat het goed is bewust te zijn wat er op je Pc draait, laat onverlet dat het verstandig is extra hulp in te roepen van virusscanner (en/of firewall).

[Reactie gewijzigd door kimborntobewild op 6 september 2016 13:07]

Veel virussen worden via email verspreid. Ik heb een heel streng email beleid en vul mijn email adres alleen op plaatsen in die nodig wat mij betreft belangrijk zijn. Voor de rest gebruik ik eenmalige email adressen. Spam krijg ik amper en dat wat ik krijg word door mijn email programma weggefilterd. Ik surf geen porno. Waar verder nog veel zooi zit. Ik gebruik bijna alleen OSS. En ik gebruik, zoals ik al zei, een online scanner voor bestanden die ik niet vertrouw. Online scanners gebruiken wel 10-20 anti-virus software's om een bestand te scannen. Waardoor je veel meer zekerheid hebt wat betreft false-positives. Een firewall in de router - netfilter/IPTables op de PC's (kernel based firewall). Een hosts bestand dat adds/malware blokkeert. En surf sowieso met Linux waarvoor sowieso minder virussen in omloop zijn.
Een virus zal een of meerdere taken nodig hebben. Zonder taken gebeurd er op een PC niets. Dit kan in een andere executable zitten. Maar dit gaat zich wel anders gedragen (meer resources gebruiken). Een PC reageert niet zoals je gewent bent wanneer een virus resources gebruikt.
Aangezien ik mijn eigen PC's bouw weet ik wat ze kunnen en ik gebruik die resources regelmatig met taken als een kernel/LLVM/CLANG//libDRM/libCLC/MESA compileren. Welke heel vaak voorkomen. Wanneer er een virus actief word zie je dingen langzamer gaan. Je weet dan meteen dat er iets niet klopt.
Ik snap wel dat er veel mensen zijn met geld teveel en gewoon een dikke PC kopen en die resources nooit gebruiken en ook helemaal niets zullen merken van een virus. De gemiddelde gebruiker kan daarom beter wel AV hebben.
Veel virussen worden via email verspreid.
Ik denk dat verreweg de meeste virussen via 't bezoeken van (willekeurige) websites wordt verspreid (vaak i.c.m. lekken in Flash, Java, browser zelf, OS, Adobe Reader, Microsoft Office macro's, etc. Soms via advertenties, soms niet).
Spam krijg ik amper en dat wat ik krijg word door mijn email programma weggefilterd
Ik ben nog nooit een spamfilter tegengekomen die alle spam tegenhoudt, zonder false positives. Maar goed, dat heeft verder niet zoveel met het krijgen van malware te maken (want je moet gewoon geen links in die spam volgen).
Een hosts bestand dat adds/malware blokkeert.
Alhoewel dat zeker helpt, helpt dat steeds minder - vooral omdat de URL's van de malware continue veranderen (vaak ook random, zoals kf3j4r3rjf.malwaresite.com).
Wanneer er een virus actief word zie je dingen langzamer gaan.
Zo werkt moderne malware vaak helemaal niet meer. Ze kunnen zelfs wachten totdat er niemand achter de PC zit, of ze gebruiken svchost (als je Windows hebt tenminste), en ze kunnen ook geheel in het geheugen werken zonder schijfactiviteit en zonder admin rechten.
De gemiddelde gebruiker kan daarom beter wel AV hebben.
Kijk... Nu zijn we er :). De gemiddelde gebruiker is dan wel gewoon 99,99%. Wie gebruikt er Linux i.c.m. al die zaken (incl. monitoring en firewalling) die jij noemt? Bijna niemand.
Daarom is 't zelden verstandig zaken te roepen zoals 'En ik werk al meer dan xx jaar zonder virus scanner'. Mensen gaan dan denken dat 't niet nodig is, als je maar (een beetje) voorzichtig bent.
Groot gelijk. Betalen voor een virusscanner is compleet achterhaald voor thuisgebruik.
Pure bangmakerij van de antivirus makers die voor eigen brood praten. Wij van WC-eend. :)

In de laatste onafhankelijke test van av-test.org komt het standaard Windows Defender goed uit de test. En andere gratis alternatieven als Panda ook.

on topic: slechte test en review van Sophos. Zo jaag je je klanten die je nog hebt weg naar de concurrentie.

[Reactie gewijzigd door CR2032 op 5 september 2016 11:28]

Groot gelijk. Betalen voor een virusscanner is compleet achterhaald voor thuisgebruik.
Pure bangmakerij van de antivirus makers die voor eigen brood praten. Wij van WC-eend. :)
Waarom zou betalen voor een virusscanner achterhaald zijn? Enkele voordelen zijn betere detectie (zie de onafhankelijke tests), support, instelmogelijkheden, geen reclame (bij een gratis programma ben je zelf het product) en ga maar door. De markt voor betaalde antivirus producten is gezond en onderzoek / tests laten het beeld "bangmakerij van antivirusproducten die voor hun eigen brood praten" niet zien. Complete FUD dus.
Niks FUD. Het gaat om nut en noodzaak. Voor thuisgebruik voldoen de gratis scanners meer dan goed zoals onafhankelijke testen laten zien. Zakelijk is het natuurlijk een heel ander verhaal.

Alleen willen de makers van betaalde pakketten je graag anders doen geloven. Want waar komen die paniekverhalen meestal vandaan? Kaspersky, Sophos, etc. Bangmakerij om de handel te spekken, dat is het voor mij.
Windows Defender draait bij mij en voor de rest vind ik het wel prima. Ik ga ervan uit dat MS zelf wel weten wat ze als virus moeten zien en wat niet.
Totdat je de bekende antivirus tests er op naslaat en je ziet dat Defender niet mee kan komen in de top van antivirus producten. Defender is ontworpen en ontwikkeld om vooral zo min mogelijk resources te gebruiken en zo min mogelijk false positives te geven lijkt het. Dat is op zich interessant maar deze medaille heeft ook een duidelijke keerzijde.
Overdrijven is ook een kunst.. Resultaten van juni 2016
https://www.av-test.org/e...dows-defender-4.8-162247/

Protection against 0-day malware attacks, inclusive of web and e-mail threats (Real-World Testing): 97,3% (industry average: 98%)
Detection of widespread and prevalent malware discovered in the last 4 weeks (the AV-TEST reference set): 99,6% (industry average: 99%)

Dus zo onveilig is hij ook weer niet.
Dat zijn de Windows 8.1 resultaten. Op Windows 10 (toegegeven, die testen zijn behoorlijk ouder) is de score minder. Wanneer je op protection sorteert zie je Defender met Comodo helemaal onderaan eindigen;
https://www.av-test.org/e...dows/windows-8/june-2016/

Ter vergelijking pak ik even Bitdefender als voorbeeld uit dezelfde test die jij aanhaalt;

Protection against 0-day malware attacks, inclusive of web and e-mail threats (Real-World Testing): 100%
Detection of widespread and prevalent malware discovered in the last 4 weeks (the AV-TEST reference set): 100%

Ik zeg nergens dat Defender waardeloos is maar alleen dat het niet mee kan komen in de top en dat blijkt ook uit jouw testen. Vergeet niet dat het verschil van 100% tot 97,3% behoorlijk kan zijn. Hier geldt elke marge die je weet te halen op een concurrerend product.
Hier geldt elke marge die je weet te halen op een concurrerend product.
ja, maar je hebt er niets aan. De volgorde wijzigt enorm, per test-cycle en je gaat niet iedere maand een andere virusscanner installeren
De praktijk wijst uit dat het helemaal niet zo vaak wijzigt. De top 5 is redelijk stabiel. Soms wordt er stuivertje gewisseld om een paar tiende procenten maar over het algemeen zijn het steeds dezelfde producten die de top van de testresultaten aanvoeren. Natuurlijk is detectie niet het enige belangrijke; impact op het systeem, de instellingsmogelijkheden, user interface / gebruiksgemak zijn eveneens heel belangrijk bij het maken van een keuze.
Defender zit niet in de weg, dat is het belangrijkste. Als je tegenwoordig nog een virus binnenhegeld op je privebak, ben je ook een sjaak.
Sophos wist heus wel dat winlogon.exe een cruciaal bestand is ;)
Zo'n dingen zijn een kwestie van pech. Pech dat de signatuur van het bestand overeenkomt, pech dat het buiten de testen is gevallen, pech dat het net om een cruciaal bestand gaat... Bijna elke antivirus heeft wel eens zo'n stunt gedaan ;)
Natuurlijk hoort een bedrijf zich op alle mogelijke vlakken in te dekken tegen dat soort samenloop van omstandigheden. Zover ik weet is daar maar 1 echte oplossing voor: testen. Het is alleen compleet onrealistisch echt alles te testen omdat er gewoon te veel variabelen zijn (os, patchlevel, taal, hardware,... )
Wellicht dat Microsoft hier wel degelijk een streepje voor heeft, ze beschikken namelijk over zeer uitgebreide hardware verzamelingen waarop semi geautomatiseerd getest wordt, en niet alleen voor AV.
Tuurlijk weten ze dat het een cruciaal bestand is, maar er zullen ook een of meerdere virussen zijn die zich in dit bestand proberen te nestelen om zich te verbergen. Het dus zomaar whitelisten van dit bestand (of andere systeembestanden) doet ernstig afbreuk aan de degelijkheid van de scanner!
Een whitelist voor virusscanners is inderdaad een slecht idee!
(Dat ik dan ook niet geopperd heb ;) )
Ik ga ervan uit dat MS zelf wel weten wat ze als virus moeten zien en wat niet.
WAT? 8)7 _/-\o_ :')

Wie blind vertrouwd zal blind worden. Defender werkt via signaturen, maar voert geen uitgebreide gedragsscans uit.

Overigens was Microsoft zijn "echte" virus scanner (Security Essentials) zo slecht dat ze het zelfs afraden: http://www.howtogeek.com/...-a-third-party-antivirus/

[Reactie gewijzigd door s.stok op 5 september 2016 14:21]

Run al jaren geen realtime scanner meer op Win 7. Alleen nog MSE en alleen nog 'on demand'

Ik hoef echt geen scanner die 10x per dag hetzelfdd bestand scant... Alleen als ik iets verdachts wil scannen ;)

[Reactie gewijzigd door Marctraider op 5 september 2016 14:44]

Tuurlijk, het wordt niet gewardeerd van een virusscanner " bedrijf" dat er dit soort fouten gemaakt worden. Maar waar mensen worden fouten gemaakt toch? ook al wordt het vaak getest.. Gelukkig "lijkt" de impact niet extreem groot te zijn :)
Het hoort gewoon in de testfase gevonden te worden. Voor het bij mensen terecht komt.
Dit is echt niet de eerste keer dat er zoiets gebeurt. Staat me bij dat er een keer 'user.dat' werd weggegooid of aangemerkt als virus (Weet alleen niet meer welke virus scanner dat was). En zo waren er nog een paar dingen die niet goed zijn gegaan. En Winlogon.exe is ook al eens eerder aangemerkt als 'virus/malware'.

Gebruik al jaren gewoon Windows Defender icm malwarebytes en dat gaat goed, en als ik gekke dingen wil doen pak ik gewoon een VM.
vreemd. Geen last van gehad, draai al tijden Sophos thuis via een licentie via werk. Prima software!

edit: oh wacht ik zit sinds kort natuurlijk op Windows 10 8)7

[Reactie gewijzigd door KoningL op 5 september 2016 10:06]

Het is een zeer ernstige software fout van Sohpos
De genoemde oplossing door in safe mode op te starten is voor een "tweaker" standaard is maar voor een normale gebruiker niet iets wat men zelf zal bedenken
Men zal dus vaak al snel naar een pc winkel gaan of zal men zelfs een nieuwe windows installatie starten

Gelukkig is Sohpos niet een van de gangbare AV dus zal het wel meevallen met de problemen


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True