Gratis Microsoft-tool rapporteert signalen van malware-infecties

Microsoft heeft een gratis tool geïntroduceerd die wijzigingen in het systeem rapporteert die kunnen wijzen op een malware-infectie. Zo merkt de tool, Sysmon, het wanneer de executables van processen worden aangepast.

De gratis te downloaden tool is onderdeel van de SysInternals-suite van Microsoft. Sysmon start vroeg in het bootproces, zodat de tool de meeste kans heeft om malware-infecties op te sporen. In tegenstelling tot antivirussoftware zoekt Sysmon niet naar bepaalde sporen om infecties op te merken, maar rapporteert de tool het wanneer bijvoorbeeld de executable van een proces wordt aangepast.

Ook rapporteert Sysmon het wanneer de aanmaakdatum van een bestand wordt aangepast. Volgens Microsoft is dat een tactiek die veelvuldig door malware wordt gebruikt om zijn sporen te wissen. Desgewenst kan Sysmon ook alle netwerkverbindingen tracken, maar die optie staat standaard uit. Overigens kan Sysmon pas infecties aan het licht brengen die ontstaan nadat de software is geïnstalleerd.

Sysmon draait als een Windows-service en rapporteert naar het Windows-logboek. Windows Vista en later worden door de tool ondersteund. De SysInternals-suite bevat ook andere bruikbare tools voor sysadmins, zoals een tool om al het netwerkverkeer te capturen en te analyseren en tools om alle activiteit op het bestandssysteem bij te houden.

Lees meer

IT-banen

Reacties (89)

fm77 8 augustus 2014 16:29

Heeft dit wel zin op al draaiende systemen? Want ik begrijp dat hij het pas gaat controleren op het moment dat de bestaande processen worden aangepast. Dus als je al geïnfecteerd bent ziet hij dat niet.
Of lees ik het verkeerd?

skoozie @fm77 • 8 augustus 2014 16:35

Dat lees je goed, maar onder het mom: "Beter laat dan nooit." of "Je moet ergens beginnen." en ik weet niet hoe malware precies werkt, of ze gaande weg zich ergens anders gaan verstoppen of nog meer rotzooi op je pc uithalen...

Verwijderd @skoozie • 8 augustus 2014 16:39

Of een trigger van installeer dan die bak eens opnieuw

Mr.Monk @fm77 • 8 augustus 2014 18:44

best handig om te weten wanneer explorer.exe wijzigt of de snelkoppeling van je favoriete webbrower.

Verwijderd 8 augustus 2014 16:30

Wie gaat er de rapportages nou elke dag nakijken?
Erg praktisch lijkt deze tool me niet tenzij je concreet een aanval verwacht en daar extra op wilt monitoren

wildhagen

@Verwijderd • 8 augustus 2014 16:32

Je kan als systeembeheerder natuurlijk die gegenereerde events laten forwarden naar een centrale server, en met (al dan niet 3rd party) monitoring-tools kan je een incident in je helpdeskpakket laten inschieten als er een afwijkende melding binnenkomt.

Tool lijkt me ook meer voor zakelijk gebruik bedoeld dan voor consumenten, dat zie je ook aan de manier van installeren bijvoorbeeld. Voor zakelijke gebruikers geen probleem, maar de gemiddelde consument weet niet eens wat een command line is, of wat administrative privileges zijn.

kroegtijger @wildhagen • 8 augustus 2014 16:45

Als je van elke client dan bij elke keer dat dit event voor komt een incident laat aanmaken, dan wordt de beheer-afdeling daar niet heel vrolijk van gok ik

In een omgeving met 2500 clients levert dat nogal wat cases op waarvan een groot deel waarschijnlijk gewoon legitieme processen blijken te zijn. Ik zie wel nut voor troubleshooting e.d. dus vooraf preventief installeren is zeker de moeite, maar om nu elk event te forwarden is wel weer wat veel.

TunefulDJ_Mike @kroegtijger • 8 augustus 2014 17:03

Vaak kan dit gewoon geautomatiseerd gecontroleerd worden, eventuele kritieke meldingen kunnen dan altijd nog door een beheerder nagekeken worden. Dat zullen er nooit zoveel zijn als alle false/positives

dasiro @wildhagen • 8 augustus 2014 17:24

daar dient MSE ook helemaal niet voor, daar heb je SCEP voor.

XRayXI 8 augustus 2014 17:00

%windir%\system32\cmd.exe

"Usage:
Install: sysmon -i [-h [sha1|md5|sha256]] [-n]
Configure: sysmon -c [[-h [sha1|md5|sha256]] [-n]|--]
Uninstall: sysmon -u
-c Update configuration of an installed Sysmon driver or dump the
current configuration if no other argument is provided.
-h Specify the hash algorithm used for image identification (default
is SHA1).
-i Install service and driver.
-m Install the event manifest (done on service install as well).
-n Log network connections.
-u Uninstall service and driver."

---------------------------------------------------------------------------------------------------
sysmon -i

Sysinternals Sysmon v1.0 - System activity monitor
Copyright (C) 2014 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Sysmon installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon.
Sysmon started.

[Reactie gewijzigd door XRayXI op 22 juli 2024 22:55]

SED @XRayXI • 8 augustus 2014 18:28

nu eigenlijk nog een tooltje dat de geselecteerde events als pop up weergeeft . In windows 8 is in de ventviewer deze optie afgeschaft evenals een mail zenden.
Alleen een programma straten blijft dan over.. iemand tip hiervoor?

fifnih @SED • 8 augustus 2014 19:21

Kijk eens naar WinPatrol (winpatrol.com).

SED @fifnih • 8 augustus 2014 19:54

is wel een beetje overkill voor wat ik beoog maar dank.

bonus 8 augustus 2014 16:26

Ik ga hem gewoon eens testen, baat het niet dan schaad het niet. Dacht het met MSE ook en voor mij en de meeste mensen waarvoor ik het heb geinstalleerd zijn tevreden.

Neshfi @bonus • 8 augustus 2014 16:55

Al hoewel ik voorheen ook altijd MSE heb gebruikt, ben ik sinds kort toch wel overgestapt op

De reden hiervoor is omdat er op meerdere sites naar voren komt dat MSE niet meer zo goed is als dat het eerst was.

"In an interview with Dennis Protection Labs, Holly Stewart, the senior program manager of the Microsoft Malware Protection Center, said that Microsoft Security Essentials was just a “baseline” that’s designed to “always be on the bottom” of antivirus tests. She said Microsoft sees MSE as a first layer of protection and advises Windows users to use a third-party antivirus instead."
Bron: http://blogs.technet.com/...icrosoft-antimalware.aspx

Ben nu overgestapt op Avira. Het is gratis en ik heb er tot nu toe nog geen problemen mee gehad.

On-topic: Altijd goed dat MS zich nog wel voor dit soort zaken inzet. Mocht je het testen, dan ben ik wel benieuwd naar je bevindingen.

[Reactie gewijzigd door Neshfi op 22 juli 2024 22:55]

Game_overrr @Neshfi • 8 augustus 2014 17:21

Wat jij aanhaalt in je opmerking kan ik niet vinden, echter wel de volgende opmerking:

"We believe in Microsoft antimalware products and strongly recommend them to our customers, to our friends, and to our families."

Dat lijkt toch haaks te staan op jouw bewering.

Zelf als ik CTRL+F zoek op de pagina naar Bottom kan ik het niet vinden.

SmokingCrop @Game_overrr • 8 augustus 2014 17:50

Die quote komt ondertussen al weer van oktober 2013.
http://www.howtogeek.com/...-a-third-party-antivirus/

Neshfi @SmokingCrop • 11 augustus 2014 11:20

Ah dank u. Heb inderdaad de verkeerde link gebruikt in mijn post. Het is misschien een bericht van oktober 2013, maar het is wel iets om eventueel rekening mee te houden. Zoals ik al in mijn post ook al aangaf, ik heb MSE ook jaren gebruikt (Heb er nooit iets negatiefs mee ervaren). Ik ben alleen uit voorzorg overgestapt.

koelpasta @Game_overrr • 9 augustus 2014 14:24

"We believe in Microsoft antimalware products and strongly recommend them to our customers, to our friends, and to our families."

Dat is overigens wel een ultiem voorbeeld van 'wij van wc-eend'.
Technet is van microsoft voor mensen die in microsoft hebben geinvesteerd. Als er ergens een plek is waar je microsoftlovers kunt vinden dan is het op technet.
Het is overduidelijk dat dit gewoon reclame is.

Verwijderd @bonus • 8 augustus 2014 16:51

Werkt dit niet dubbelop als men Windows Defender heeft draaien?
Beter zou zijn als dit een optie in Windows Defender zou zijn.
Deze scant immers ook alle bestanden en netwerk.
Lijkt me inefficient als deze niet samen zouden werken.
Maar ze zullen ook los van elkaar te draaien zijn.

WdNisSvc Helps guard against intrusion attempts targeting known and newly discovered vulnerabilities in network protocols

DeCo @Verwijderd • 8 augustus 2014 17:00

In tegenstelling tot antivirussoftware zoekt Sysmon niet naar bepaalde sporen om infecties op te merken, maar rapporteert de tool het wanneer bijvoorbeeld de executable van een proces wordt aangepast

Defender scant, sysmon signaleert.. dat maakt het verschil. Een soort watchdog, die naar de eventlog rapporteert.

Nees @bonus • 8 augustus 2014 17:55

Hier een recent rapport (juni 2014) van de meest gebruikte AV's ivm hun prestaties in het stoppen van "dreigingen". Kasperky en Norton deden het best. MSE het slechtst.

http://dennistechnologyla...4/DTL_2014_Q2_Ent.1.2.pdf

Ik gebruik persoonlijk ook enkel MSE + WFC (zie lager) en common-sense.

Zoidberg_AvG @410Gone • 8 augustus 2014 16:55

ESET is inderdaad een stuk beter dan MSE, maar als je niet voor een virusscanner wil betalen is MSE volgens mij een prima programma.

Verwijderd @Zoidberg_AvG • 8 augustus 2014 16:57

Ik vraag me nog steeds af. als ik windows 8.1 heb geinstaleerd (want dat heb ik), heb ik dan ook direct MSE?

Narc @Verwijderd • 8 augustus 2014 17:02

Yup, staat als Windows Defender in het Control Panel.

Gecombineerd met de Windows Firewall en een beetje gezond verstand volgens een goede basis.

[Reactie gewijzigd door Narc op 22 juli 2024 22:55]

Nees @Narc • 8 augustus 2014 17:44

En in combinatie met WFC (Windows Firewall Control)Een super tool! Dit is een layer boven je de windows firewall waarmee een popup krijgt van ELKE .exe die naar buiten wil verbinden. Zeer handig om bijvoorbeeld CryptoLocker tegen te gaan. Die gaat pas beginnen encrypteren wanneer die een verbinding tot stand heeft kunnen brengen. WFC kan je zo instellen dat die alles blocked, tenzij je persmissie geeft op moment dat de tool ziet dat een process toegang wil hebben tot een bepaald IP. Je kan dan in die popup direct klikken voor een whois van het IP of waar het proces lokaal staat op je pc. Je gaat ervan verschieten hoeveel dingen toegang willen tot internet, die het anders sowieso default hebben.

dutchmartin @Verwijderd • 8 augustus 2014 17:02

op windows 8 is dit standaard geïnstalleerd onder de naam windows defender

roblamper @dutchmartin • 8 augustus 2014 17:22

Dus mijn kaspersky 2014 draait dus voor niks op mijn windows 8 pro?

Verwijderd @roblamper • 8 augustus 2014 17:58

Ja. Sterker nog, het is niet slim om 2 anti-virusprogramma's tegelijk te draaien. (Of je moet Defender / MSE uitzetten...)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:55]

Kenhas @Verwijderd • 8 augustus 2014 19:36

En het moment dat Windows merkt dat er een andere virusscanner is, wordt Defender automatisch uitgezet

RGAT @Verwijderd • 8 augustus 2014 22:58

MSE, of Defender zoals het in W8 heet schakelt automatisch uit als er andere antivirus software wordt geinstaleerd, dus tenzij je hem zelf weer aan zet draait ie nooit tegelijk met een andere scanner

rko4u @Verwijderd • 8 augustus 2014 18:22

Je hebt gelijk van die twee virusscanners, maar defender is geen virusscanner, maar een malware scanner

mOrPhie @rko4u • 8 augustus 2014 19:01

Defender is zeker wel een virusscanner. Het is zowel een spyware, malware als virus-scanner.

Silmarunya @rko4u • 8 augustus 2014 22:02

Dat was zo tot en met Windows 7; in Windows 8 werd het oude Defender samengevoegd met MSE tot een nieuw, vollediger product dat ook de naam Defender meekreeg.

Silmarunya @roblamper • 8 augustus 2014 17:26

Neen. Kaspersky biedt immers een vollediger bescherming dan Defender - of het verschil groot genoeg is om de prijs van Kaspersky of een ander betaald pakket te verantwoorden is een andere vraag natuurlijk.

SuperDre @Silmarunya • 8 augustus 2014 21:56

Nou, dat betwijfel ik ten zeerste.. Probleem met veel antivirus/malware software is dat per kwartaal kan verschillen hoe ze presteren, de ene keer presteert pakket A beter dan pakket B en de ander keer is het andersom.. Op het werk hebben we ook kaspersky, maar ook die faalt helaas ook..

Silmarunya @SuperDre • 8 augustus 2014 22:01

Nochtans komt Kaspersky de afgelopen jaren steevast goed uit de test, terwijl MSE/Defender in geen enkele test wist aan te sluiten bij de concurrentie.

Uiteraard is Kaspersky niet onfeilbaar, maar het is - zoals elk AV-product - beter dan Defender en bovendien beter dan de meeste van zijn betalende soortgenoten.

Benjamin- @SuperDre • 9 augustus 2014 21:28

Microsoft Defender/Security Essentials, werkt gewoon minder goed. Het is niet slecht, maar je kan zien dat MS het echt als een extraatje aanbiedt. Zelf vind ik het voldoende, maar ik weet dan ook hoe ik met mijn PC moet omgaan. De laatste keer dat mijn PC was geinfecteerd, was door een buurjongen met een spelletje van diskette, zo'n 16 jaar geleden.

Hier kan je wat test resultaten zien, in beide gevallen zie je lage scores bij MS en hoge bij Kaspersky.
http://www.av-comparatives.org/dynamic-tests/
http://www.av-test.org/en/home/

Armin

Netwerk en systeembeheer

@roblamper • 8 augustus 2014 18:16

Windows Defender schakelt zich automatisch uit als er een andere virusscanner aangetroffen wordt, en automatisch weer in als je die verwijdert.

Ikzelf ben tevreden met Windows Defender, maar commerciele pakketten bieden meestal meer features en op sommige gebieden ook betere bescherming.

Kaspersky komt in de meeste testen als beste scanenr 'ter wereld' uit de tests.

Henk Poley @roblamper • 10 augustus 2014 08:11

Hoewel er nog betere anti-virus zijn, is Kaspersky wel wat beter dan Windows Defender: https://www.virusbtn.com/vb100/latest_comparative/index

rko4u @dutchmartin • 8 augustus 2014 18:21

Windows defender is slechts een gedeelte van MSE. Maar zoals boven al verteld, denk niet dat je veilig bent met MSE. Ik heb al een paar systemen moeten deinfecteren met een andere virusscanner nadat MSE had gefaald.
Er bestaan veel betere scanners!

SuperDre @rko4u • 8 augustus 2014 21:58

tja, en ik wij op het werk ook al met bv kaspersky... er is GEEN!!! antivirus/malware/spyware pakket dat alles vindt, en dat is dan ook het probleem, de 1 vind weer dingen die de ander weer niet vind en vice versa.. Dus ook met een betaald pakket moet je niet denken dat je veilig bent...

Trommelrem @dutchmartin • 9 augustus 2014 18:05

Je kunt de aanwezigheid van een virusscanner testen met Eicar:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

[Reactie gewijzigd door Trommelrem op 22 juli 2024 22:55]

Jegorex @Verwijderd • 8 augustus 2014 17:08

In Windows 8.1 heet het Windows Defender.
Het is standaard geïnstalleerd voor zover ik weet.

Silmarunya @Zoidberg_AvG • 8 augustus 2014 17:05

In elke test scoort MSE erbarmelijk op virusdetectie. Bijna alle gratis AV-programma's halen ruim boven de 90%, MSE amper 70%. Ook op het detecteren van reeds aanwezige infecties scoort het slecht, en qua gebruik van resources niet beter of slechter dan zijn concurrenten. Enkel het lage aantal false positives is positief.

Je bent beter af met een programma als Avast, AVG, Avira of een andere bekende gratis AV. In combinatie met een beetje gezond verstand en een malwarescanner zijn die minstens even goed als met een betaald programma.

MSalters @Silmarunya • 8 augustus 2014 17:09

Vergeet niet dat 95% van de infecties komen door 5% van de virussen. 70% van alle virussen herkennen is dus lang niet zo slecht als het op het eerste gezicht lijkt.

CrazyJoe @MSalters • 8 augustus 2014 17:16

Behalve als die 5% van de virussen in de 30% zitten die je niet herkent.

Statistisch goochelen kunnen we allemaal.

Daarnaast is het veel belangrijker voor een virusscanner dat de frequentie waarmee hij geupdate wordt hoog genoeg is om de nieuwste bedreigingen snel genoeg te herkennen voordat ze schade kunnen aanrichten.

Ik heb zelf geen idee hoe MSE of Windows Defender op dit gebied scoort, maar daar is vast online informatie over te vinden.

MicGlou @CrazyJoe • 8 augustus 2014 17:33

MSE scoort gemiddeld, niets mis mee in principe maar het kan beter. MSE scoort wel hoog mbt systeem impact, het is volgens mij veruit de lichtste AV die je op Windows kan installeren. MSE update standaard volgens mij dagelijks, maar dat kan je uiteraard gewoon instellen. Hoe vaak de definities een update krijgen geen idee... maar ik ken virusscanners die 'altijd' een nieuwe hebben als je update, dus wat mij betreft is de werkelijke waarde daarvan heel moeilijk te meten.

Windows Defender is eigenlijk niet meer dan een 1e lijn defensie, daar mag/kan je geen score aan hangen als je het mij vraagt. Het zit eigenlijk alleen in Windows om een beetje veilig je pc te kunnen installeren met een werkende internetverbinding.

Silmarunya @MicGlou • 8 augustus 2014 17:38

Gemiddeld? MSE scoort lager dan alle Europese en Amerikaanse antivirusproducten.

Overigens is Windows Defender sinds Windows 8 heel wat meer dan dat: het bevat de software die tot en met Windows 7 apart werd aangeboden als MSE en is dus in theorie een min of meer volledige bescherming.

Armin

Netwerk en systeembeheer

@Silmarunya • 8 augustus 2014 18:28

MSE scoort lager dan alle Europese en Amerikaanse antivirusproducten.

Dat hangt geheel af van wat de test doet en hoe ze hun 'score' samenstellen.

MSE scoort doorgaans gewoon goed bij gewone herkenning van signatures en slecht bij heuristcis.

Dat laatste is express, want MSE is standaard aanwezig op elke PC. Vals-positieven kan Microsoft zich dus niet veroorloven, want veel gewone eindgebruikers heeft geen kennis om hiermee om te gaan. Laat staan rechtzaken van getroffen bedrijven als hun pakket out-of-the box geweigert wordt. En de slechte pers.

Of heuristics belangrijk is, is denk ik vooral afhankelijk van je omgeving. Als thuisgebruiker zelden. In bedrijfsomgevingen die een hoog risico tot aanvallen hebben of met gevoelige gegevens werken, waarschijnlijk wel.

De keerzijde van dat muntstuk is er natuurlijk ook: MSE scoort bijna altijd in de top 2 van scanners met laagste vals-positieven. Ook scoort MSE mede hierom altijd in de top als minste effect op systeem resources.

De enige die én beter is, én niet die keerzijde heeft is volgens de meeste tests Kaspersky. Er zijn er zat die beter scoren dan MSE, maar dan moet je vrijwel altijd inboeten in prestaties en/of vals-positieven. Of dat het waard is is voor iedereen zelf te bepalen.

Waar MSE wél echt structureel matig scoort is het verwijderen van bestaande malware. Dat is dan ook een totaal andere sport dan herkennen en tegenhouden.

Silmarunya @Armin • 8 augustus 2014 19:07

De Duitsers zijn het niet eens met je:

http://www.av-test.org/en...ce-test-lasting-6-months/

Als je deze resultaten bekijkt - die overigens in de lijn van andere tests liggen - kun je maar één conclusie trekken: MSE is de slechtst mogelijke keuze, punt andere lijn.

Armin

Netwerk en systeembeheer

@Silmarunya • 8 augustus 2014 20:00

Nou nou een -1 score op beide posts van mij?

Ongewenst, of gewoon stieken gewoon heel erg oneens?

Overigens geeft de link aan wat ik schreef. Op bepaalde aspecten zoals heuristics is MSE inderdaad niet goed. Dat is dus zoals ik uitgelegd ook deels bewust. Op andere aspecten is het zo slecht echter helemaal niet. O.a. vals-positieven en lage system resources.

Misschien mijn posts inhoudelijk opnieuw lezen, en kijken of wat ik zeg misschien toch niet een +1 (on-topic) was, ook al heb je een andere mening dan ik?

[Reactie gewijzigd door Armin op 22 juli 2024 22:55]

Silmarunya @Armin • 8 augustus 2014 20:06

Die -1 is niet van mij, en volkomen onterecht (je kunt reacties op je eigen post niet eens modereren).

Verder geeft de link je geen gelijk. Je zegt dat hij op detectie (ook de niet-heuristische vorm) goed scoort, terwijl MSE ook daar met grote voorsprong de laatste plaats inneemt.

Wat valse positieven betreft: dat klopt, en dat heb ik hierboven al aangehaald.

Qua systeemimpact is MSE niet uitzonderlijk: tijdens scans is het aan de zware kant, bij idle is het niet zwaarder of lichter dan zijn concurrenten. Op een recente PC heeft geen enkel antiviruspakket nog een echt merkbare impact, dat bewijzen genoeg benchmarks.

Armin

Netwerk en systeembeheer

@Silmarunya • 8 augustus 2014 21:04

OK, excuses voor de beschuldiging betreft -1.

Er zijn talloze testen, en één zwaluw maakt geen zomer. Jouw test geeft aan 90%. Of dat goed is, is relatief. Er zijn ook zat testen gedaan waar men enkel heuristics gebruikte omdat alle scanners allemaal 100% scoorde. Het hangt vaak van de definitie van malware af. Soms worden - terrecht naar mijn smaak - ook Java-scripts en andere pseudo-executables meegeteld. Soms niet. Het zou me niet verbazen als MSE slechter scoort in die groep.

Betreft bloatware is McAfee bijvoorbeeld nog steeds erug slecht.Toevallig nog een nieuwe laptop gekocht vorige week, waar een HP laptop met voorgeinstaleerde McAfee dus helemaal onbruikbaar was. Die was nét aan het scannen toen ik hem wilde proberen.

MicGlou @Silmarunya • 8 augustus 2014 17:53

Ik bekijk niet dagelijks de AV standen... en dan nog neem ik ze altijd met een klein korreltje zout omdat de uitslagen in principe altijd vrij subjectief zijn aan hoe de test is uitgevoerd etc.

Wat betreft Win8 en Defender... dat is inderdaad zo, daar had ik niet bij stilgestaan want ik ben nog niet over van Win7

Maar dan nog zou ik MSE nooit als volledige bescherming bestempelen, ik draai er zelf malwarebytes naast, dat werkt prima samen en maken een solide defensie.

Silmarunya @MicGlou • 8 augustus 2014 17:57

Uiteraard, dergelijke testen zijn vrij afhankelijk van het gebruikte malwaresample en andere externe factoren. Anderzijds is het wel een patroon dat in zo goed als alle tests terugkomt en zich bovendien jaar na jaar blijft herhalen. Een groot aantal op zich gebrekkige metingen geven samen een correct beeld, dat is een statistische wetmatigheid.

Op zich zul je met MSE, wat gezond verstand en een tooltje als MBAM wel redelijk veilig zitten, maar waarom niet voor een beter product dan MSE kiezen als veranderen weinig moeite en geen geld kost?

SuperDre @Silmarunya • 8 augustus 2014 22:01

tja, met welke testen? en wanneer? want MSE heeft ook vaak genoeg bij de top gestaan...

Armin

Netwerk en systeembeheer

@CrazyJoe • 8 augustus 2014 18:20

Ik heb zelf geen idee hoe MSE of Windows Defender op dit gebied scoort, maar daar is vast online informatie over te vinden.

MSE is op dit gebied een van de beste met updates die verschillende keren per dag gebeuren. Echter omdat de updates meestal 'enkel' via Windows update komen, zullen de meeste mensen 'slechts' eenmaal per dag een update krijgen.

Aangezien zero-days uitbraken extreem zeldzaam zijn, is dat voor de meeste mensen ruim voldoende.

Groot voordeel van MSE tov van bepaalde concurerende pakketten is dat MSE een voldlige scheiding tussen GUI en runtime heeft. Die laatste draait uiteraard in system-context en is enkel door de administrator te beheren, maar de GUI is te bedienen door iedere gebruiker.

In bedrijfsomgevingen kan dat een voordeel zijn. Iedere gebruiker kan MSE updaten en alles scannen (inclusief system32 folder etc), maar verder niets.

Veel pakketten laten dat niet toe. Zo kun je als eindgebruiker dus enkel hopen dat je admin de updates en scan-ritmen goed ingesteld heeft.

EDIT: typo

[Reactie gewijzigd door Armin op 22 juli 2024 22:55]

Silmarunya @MSalters • 8 augustus 2014 17:25

Niets zegt dat die 5% een even grote doorsnede heeft met de verzameling van 70% als met die van 95%.

Bovendien gebruiken de meeste tests vooral courante virussen, dus ik vermoed sterk dat die 5% meest voorkomende virussen een groot deel van het gebruikte sample uitmaken. En dan is 70% bedroevend.

MSalters @Silmarunya • 9 augustus 2014 12:49

Die 5% meest gevaarlijke virussen is uiteraard waarop Microsoft (en andere AV producenten) zich focussen. De enige reden waarom die niet in de 70% zitten is omdat ze nieuw zijn, en zero days is evenzeer een probleem voor de andere AV makers

Verwijderd @Silmarunya • 8 augustus 2014 18:00

Met Avast en AVG heb je dan weer vaak last van valse 'hits' en het belast de computer wat meer, hij wordt er merkbaar trager van. Ik gebruik wel gewoon MSE...

Verstekbakker @Silmarunya • 8 augustus 2014 18:30

Alleen jammer dat een Avast of AVG zich gedraagt als malware/virus met al die pop-ups etc. Nee, doe mij dan maar MSE.

ExtremelyBroken @Verstekbakker • 8 augustus 2014 20:53

Ik had hetzelfde gevoel, totdat ik laatst weer een virus binnen kreeg, waar MSE doodleuk niks mee deed. Avira d'r op gezet, laten scannen, kwamen er nog een stapel naar voren!

Liever een paar popups extra (en zo veel popups zijn het echt niet), dan voor de zoveelste keer een virus door laten.

Verstekbakker @ExtremelyBroken • 8 augustus 2014 22:17

Het zijn pop-ups waar oudere mensen iedere keer op klikken, daarmee de gratis versie vervangen voor een trial versie van AVG en waar dan meldingen van komen die zeggen dat de proefperiode voorbij is. Dan moet ik dus om de haverklap AVG komen deinstalleren omdat de gratis proefperiode voorbij is.

qlum

@Zoidberg_AvG • 8 augustus 2014 19:36

ESET heeft misschien een betere / snellere dekking tegen malware maar daar in tegen heeft het ook weer een stuk meer impact op de prestaties van de pc, vooral op de boot time. Daarbij heb je ook meer false positives en problemen met progamma's waar je weer exceptions toe moet voegen dus beter zou ik niet eens zeggen.

desalniettemin @Zoidberg_AvG • 9 augustus 2014 14:38

MSE werd altijd aanbevolen door lifehacker.com, maar die raden het tegenwoordig af en adviseren een ander te gebruiken, zoals bv Avast.

Bits! @Zoidberg_AvG • 13 augustus 2014 19:55

Microsoft heeft een tijdje geleden zelf aangegeven dat MSE niet meer voldoende bescherming biedt als AV (bron). Zie ook av-test.org waar MSE als 'baseline' staat vermeld (en dus niet eens een echte score krijgt). Zie daar ook gelijk betere (gratis) virusscanners.

TunefulDJ_Mike @410Gone • 8 augustus 2014 17:01

Als je dan toch een goede antivirus wilt gebruiken, ga dan naar Kaspersky of iets dergelijks. ESET staat op het moment niet erg hoog in de reviews...

Mr.Monk @410Gone • 8 augustus 2014 17:47

9 van de 10 tweakers hebben zat aan MSE, mits je enigzins weet wat je wel en niet moet doen op het internet.

Dus niet klikken op de "je hebt een Ipad gewonnen" links , of de honderd neppe waarschuwingen op bv download.com "we hebben 24 virussen gevonden, klik hier om dat te verhelpen" enzovoorts.. zijn enkele voorbeelden

OT, ik ga dit voor de gein eens proberen, in een VM en op discutabele site eens wat gekke dingen doen

[Reactie gewijzigd door Mr.Monk op 22 juli 2024 22:55]

brick5492 @Mr.Monk • 8 augustus 2014 18:01

Haha lol, laat maar weten wat er gebeurd

ben ook wel benieuwd!
'Oma van 80 lijkt wel 17' en dat soort vage reclames waarbij ik niet snap dat iemand daar intrapt

anandus @410Gone • 8 augustus 2014 17:06

Waarom is dat 'troep'?

fifnih 8 augustus 2014 16:59

Apart dat sysmon (nog) niet in de volledige download van de SysInternals suite zit.
Een tooltje als Winpatrol vind ik zelf handiger, daar heb je direct iets aan i.p.v. achteraf. Richt zich meer op zaken die opgestart worden en komt met een popup op het moment dat iets daaraan gewijzigd wordt. Vaak met de mogelijkheid om de wijziging te blokkeren.
Los daarvan ben ik toch ook wel fan van de dingetjes die in de SysInternals suite zitten.

wildhagen

@fifnih • 8 augustus 2014 17:02

Apart dat sysmon (nog) niet in de volledige download van de SysInternals suite zit.

Eh, als je op deze site kijkt, zie je toch echt dat Sysmon sinds de laatste versie van SysInternals (van 5 augustus) wel degelijk in de volledige suite zit

Verder wel met je eens, SysInternals Suit heeft een aantal verdomd handige tools (gebruik met regelmaat de PsTools enzo).

Edit: hmm, bij de ene download zit hij wel in de suite, bij een tweede die ik net doe (voor mijn 2e PC) weer niet. Lijkt erop dat ze hem nog over alle downloadservers aan het uitrollen zijn oid. Kwestie van tijd, geef het een dagje ofzo, zal het wel gefixed zijn

[Reactie gewijzigd door wildhagen op 22 juli 2024 22:55]

yiNXs 8 augustus 2014 19:00

Dit lijkt sterk op een simpele versie van Defense+ van Comodo, dat ook naast een virusscanner draait en net als deze tool controlleert op mogelijk ongewenste systeem veranderingen en opvallend software gedrag. Ik heb Defense+ jaren naast m'n gewone virusscanner gedraait, maar bij ieder nieuw programma kreeg ik handenvol poppups met vragen of bepaalde acties wel of niet gewenst waren, velen ervan niet met een zeker gevoel te beantwoorden. Veel onschuldige software doet obscuur ogende dingen met totaal geen kwade bedoeling. Uiteindelijk wordt je met zoveel informatie gebombardeerd dat als er echt iets fouts tussen zit het er veel te gemakkelijk doorheen glipt. Het is extra veiligheid, maar met hoge kosten (als in tijd om alles te controlleren) en lage opbrengst en waarschijnlijk een hoop onnodige paranoia.

kaya.md @yiNXs • 8 augustus 2014 20:22

Dit is idd niks nieuws onder de zon voor Comodo gebruikers.

EricJH 8 augustus 2014 19:32

Comodo Firewall is verder doorontwikkeld t.o.v de HIPS + netwerk Firewall v3.x zoals yiNXs.

In zijn huidige vorm heeft de suite een AV, HIPS, Sandbox, Buffer Overflow protection, netwerk firewall en een grote white list te bieden. De standaard instellingen geven bijna geen alerts maar zijn in ogen de gebruikers op de Comodo forums te los.

Je kunt de instellingen zelf strakker zetten of How to Install Comodo Firewall volgen van collega moderator Chiron.

Comodo beschermt mij al jaren goed; ik gebruik het sinds Comodo Firewall 3.0 alpha. Doordat het onbekende bestanden limiteert (indien je de sandbox gebruikt) of omdat de HIPS je waarschuwt (als je HIPS only werkt) is het verdomd lastig besmet te raken zonder dat je een AV gebruikt.

Bovenstaande relativeert het belang van een handtekeningen gebaseerde bescherming. De AV is er voor gebruikersvriendelijkheid (om het aantal waarschuwingen te reduceren..

)

Pineka 8 augustus 2014 19:57

Comodo verschuilt zich achter het feit dat zij een beveiligingsbedrijf zijn. Met Comodo Internet Security wordt de Dragon browser, als je dat wilt, meegeïnstallerd. Het is een op Chromium gebaseerde browser die nauwelijks wordt geupdated en ver achterloopt op Google Chrome. Geen aanrader dus. Hun andere browser, Comodo IceDragon, gebaseerd op Firefox, wordt al een half jaar niet meer geupdated. Deze is bij versie 26 en Firefox is bij 31. Op mijn pc had ik Comodo Internet Security Premium geïnstalleerd. Na 3 maanden gaf deze er de brui aan, er kwamen geen updates meer, ook niet na herinstallatie. Dus ik inloggen op hun officiële 'Support Forum and Discussion Board' ( http://forums.comodo.com ). Op mijn vraag waardom ik geen updates meer krijg voor CIS en of de browsers nog worden onderhouden kunnen de Moderators van dit forum geen antwoord geven omdat zij geen contact hebben met Comodo. Een nutteloos forum dus.

Je begrijpt dus wel dat mijn haren overeind gaan staan als ik het woord Comodo hoor.

[Reactie gewijzigd door Pineka op 22 juli 2024 22:55]

kaya.md @Pineka • 8 augustus 2014 20:23

Ben ik blij dat ik zonder bewust te zoeken bij Comodo ben beland. Voor de comodogebruikers is er haast geen beter alternatief meer. Er is wel een lichte learning curve, maar niks om bang van te worden. Ik snap ook niet dat er geen updates te vinden zijn ervoor. Dat ga ik even nazoeken.

[Reactie gewijzigd door kaya.md op 22 juli 2024 22:55]

notsonewbie 8 augustus 2014 23:08

Ben benieuwd naar de eerste patch Tuesday , false positives enzo ivm toe te voegen .net modules voor pakket x of y enz.
MSE defender is al genoemd, die staat volgens mij nooit in de top 10 van de beste virus of malware scanners. Terwijl die, hun eigen product beschermende en 100% kennende immers, op 1 a 3 zou moeten staan telkens!
Zelf betaal ik voor en AV en malware scanner, beide staan meestal in de top 3 a 5, al een jaar of 3.

[Reactie gewijzigd door notsonewbie op 22 juli 2024 22:55]

EricJH 9 augustus 2014 02:30

@ Pineka. Ik ben mod op de Comodo Forums met dezelfde nickname als hier. CIS wordt doorontwikkeld; ik draai een test versie op dit moment. CIS is het vlaggeschip van Comodo en daar word altijd aan gewerkt.

Over de status van browsers kan ik enkel doorgeven wat Comodo aan ons als mods heeft verteld en dat is dat de browsers worden doorontwikkeld. Dat gezegd hebbende het is met de twee browsers toch wel lang stil.

Op dit item kan niet meer gereageerd worden.

Gratis Microsoft-tool rapporteert signalen van malware-infecties

Lees meer

IT-banen

Reacties (89)

Sorteer op:

Weergave: