Hallo zusammen,

wie Aussagekräftig sind eigentlich die Aussagen von Virenscan-Software?
TrendMicro Antivirus One zeigt mir zwei Viren an
Avira Free Security hingegen sagt „alles Sauber“

Wie kann es zu diesen unterschiedlichen Ergebnissen kommen?
Beide Programme in der jeweils aktuellen Version unter aktuellem Monterey.

Gibt es eine Antivirensoftware welche Ihr empfehlen könnt?

Einfach niemals eine solche Software installieren!

Die Kriminellen entwickeln ihre Schadprogramme ständig weiter, deshalb müssen Firewalls und Antivirenprogramme auch kontinuierlich gepflegt und die neuesten Erkenntnisse integriert werden. Es kommt immer wieder vor, das der eine Anbieter schneller ist als ein anderer. Von falsch-positiv Erkennungen ganz zu schweigen.

Ansonsten gab es hier im Forum schon unzählige Diskussionen zum Thema Antivirenprogramme. Such einfach mal, grundsätzliches hat sich daran eh nicht geändert, und alles nochmal durchkauen mag ich nicht.

Alles klar,

wollte auch keine generelle Diskussion für oder wieder Antivirenprogramme starten.
Ich habe heut’ ein wenig Zeit und einen passenden Artikel gelesen,
da dachte ich => mal ausprobieren kann nicht schaden.

Generell bin ich meinen Weg am Mac seit über dreißig Jahren gut ohne solche Software gegangen.

Euch noch einen ruhigen Sonntag.

doch. kanns.

https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

https://www.golem.de/news/antivirus-das-jahr-der-unsicheren-sicherheitssoftware-2101-153432.html

Nun ja ein Test ist etwas anderes als die dauerhafte Nutzung.

Ich schrieb ja bereits:
Generell bin ich meinen Weg am Mac seit über dreißig Jahren gut ohne solche Software gegangen.

Aber Eure Hinweise hier und auch das verlinkte Video (echt klasse gemacht und erklärt),
bestätigt mich lediglich in meiner Haltung/Meinung welche ich zu diesem Thema habe.

Kommt drauf an.
Zyankali würde ich jedenfalls nicht einfach mal nur testen.

Virensoftware kann sich tief im System einnisten und untern Umständen auch langfristig schaden, wenn man denkt, man habe sie deinstalliert.
Ist wie bei Covid, das kannste auch symptomarm oder symptomfrei haben, und später sieht es übel aus.

Danke der Fürsorge,
bin aber mit bedacht an die Sache gegangen
und ich bin mir außerordentlich sicher daß ich beide Softwares
sauber und vollständig deinstalliert habe,
inklusive der im Sytem verteilen zugehörigen Dateien.

Jeder Virenscanner verwendet eine eigene Datenbank (Hashes), die er mit den Dateien auf deinem System vergleicht. Zudem haben die Scanner eine mehr oder weniger gute Erkennung von «verdächtigem Verhalten» um Schadsoftware zu erkennen, die noch nicht offiziell klassifiziert ist.
Dann gibt es noch unterschiedliche Bewertung von Software. Früher gab es mal «Spaßprogramme», die etwa unter Windows einen BlueScreen vortäuschten. Oder heute gibt es Schadsoftware, die Werbung einblendet (typischerweise beim Surfen). Das klassifizieren manche als Schädling, andere nur als «lästiges Anhängsel» und manche gehen nicht weiter auf eine der beiden Beispiele ein, da es keine «echten» Viren sind.

Wenn du dir unsicher bist, kannst du die gefundene Datei mal auf Virustotal hochladen , dort laufen zig Scanner drüber und können dir ggf. bei der Einschätzung helfen. Auch hilfreich kann es sein, wenn du die Meldung im Detail betrachtest, also etwa nach dem genauen Virustyp googelst (oder duckduckst). Dann klären sich 99,9999 der Fälle wohl auf. Typischerweise ist es ein Fehlalarm, oder eine unbedeutende Software oder eben ein Werbetrojaner, die zwar lästig aber nicht unbedingt super gefährlich sind.
Ich bin ebenfalls «ohne» unterwegs. Für mich ist ein gutes Backup und ein zweites Backup, das nicht ständig mit dem Rechner verbunden ist, der beste Schutz. Fürs OnlineBanking verwende ich eine eigene Software anstatt der typischen Webiste und einen zweiten Faktor (Tan-Generator, Handy), starke Passwörter habe ich in einem Passwort-Tresor, auf kritischen Webseiten kommt ebenfalls eine zwei-Faktor Authorisierung ins Spiel. Daher schätze ich einen möglichen Schaden bei einem Massenagriff (auf wahllos viele Leute) eher gering ein.
Gegen einen individuellen Angriff (auf speziell dein System/Handy) kannst du typischerweise eh nichts machen, da die Angreifer sogenannte «Zero-Day» Sicherheitslücken verwenden, die bei Apple/Google/Microsoft noch gar nicht bekannt sind und ein Virenscanner das Angriffsprogramm auch noch nicht kennen kann, da es ja individuell auf dich zugeschnitten ist.

Ansonsten installiere ich gerne mal Malwarebytes , wenn mir was seltsames auffällt (ständig laufender Lüfter, hohe CPU-Last, langsames System, ungewohntes Verhalten, ...). Das fällt mir jedoch meist nur bei Bekannten auf und da steckt dann nicht selten ein Werbetrojaner dahinter. Ständig am laufen habe ich allerdings nichts.

Zum Schutz vor Malware, aber vor allem zum Schutz vor Software, die bei der Installation irgendwelche Helpertools etc. zusätzlich installieren möchte, hilft BlockBlock
Wenn etwas installiert wird, fragt BlockBlock und kann dies ggf. blockieren.

Zum Scannen von externen Laufwerken habe ich noch VirusBarrier Scanner (ist m.E. die Alternative zu Malwarebytes). Bislang habe ich nur die alten Dateien aus Windows-Zeiten auf dem NAS-Laufwerk gescannt.

Ich finde o.g. Video zu plakativ. Natürlich ist ein aktuelles System und „nicht jeden Kram anklicken“ die Grundvoraussetzung.
Ich möchte aber denjenigen sehen, der sich bei einem Befall auf das Video beruft, gerade im Geschäftsumfeld.Signaturbasierte Scanner sind eh tot. Die sog. Next-Gen-Engines analysieren das Verhalten eines Prozesses mit ML und entscheiden dann, ob sie den Prozess stoppen oder laufen lassen. Aktuelles Beispiel
Privat bin ich auch „ohne“ unterwegs.

Dieser Heuristik-Quatsch kann und wird nicht funktionieren. Den Großteil unserer false-positives ist nur deswegen. Das ganze ist in Wahrheit ein Papiertiger. Woher soll ein außenstehendes Programm wissen, was ein anderes macht? Wie soll das gehen? Dazu müsste es jeden Prozess über längere Zeit sehr genau aufzeichnen, um eventuelle Abweichungen zu erkennen. Aber selbst das heißt oft nix. Bei uns hat niemals jemals ein Virenscanner irgendetwas neues erkannt. Damit werden diese Funktionen ja beworben. Funktionieren tut das nicht.

Dass das gut funktioniert, habe ich selbst auch noch nicht gehört. Ich könnte mir schon vorstellen, dass bestimmte Verhaltensweisen (etwa der massive Dateizugriff und das nach der verschlüsselung erfolgte löschen von Verschlüsselungstrojanern) gelernt und erkannt werden können.
Was ich bisher von KI basierten Systemen weiß (kann mich natürlich da irren) ist, dass sie eine sehr große Menge an Daten brauchen, um überhaupt ein KI-Modell zu erstellen, welches dann später was erkennen kann. Deshalb werden etwa die Bilderkennungsdatenbanken monatelang mit Beispielbildern trainiert und die selbstfahrenden Autos jahrelang mit realen Daten gefüttert.
Die super seltenen, sehr unterschiedlichen und variabel agierenden Schädlinge eignen sich daher nicht unbedingt für eine KI basierte Erkennung. Wenn dann gänzlich neue Angriffe aufkommen, gibt und gab es davor ja gar kein Beispiel, anhand dem man das lernen konnte. Bestimmte Schemata (etwa das ständige kopieren der Zwischenablage, eindringen in andere Adressräume, lesen Wahlloser Dateien, untypisch hohe Uploadraten) könnten zumindest trigger auslösen, anhand derer sich ein Spezialist das
Verhalten anschaut. Ein passendes Produkt dafür hab’ ich aber noch nicht gefunden.

Abgesehen davon scheint mir allgemein die «Gefährlichkeit» eines Viren-Angriffs verschwindend gering. Verschlüsselungstrojaner, Tools die deinen Strom zum heimlichen Bitcoin-Mining nutzen und Werbe-Trojaner scheinen mir noch am wahrscheinlichsten, aber die fallen zumindest mir durch seltsames Verhalten auf.

Eine halbwegs brauchbare Computer-Grundausbildung in der weiterführenden Schule würde vermutlich mehr bringen als das Schlangenöl.

Nur verkaufen, dass die Hersteller so, als ginge das ohne Performance-Verlust einher. Totaler quatsch. Gefühlte 10 - 15% frisst alleine der Patternscanner, ohne aufwändige Heuristik. Dafür muss man ohnehin oft eigene Server bereitstellen, damit dann auf dem Client wenigstens nur noch Hashes verglichen werden können. Leider kann man als Firma so einen Schrott nicht einfach über den Jordan werfen. Naja, immerhin taugt es ganz gut, die Scherben zusammenzukehren.

Echt? Etwa dadurch, dass deine Daten verschlüsselt sind?
Die Gefährlichkeit eines Angriffs bedroht Existenzen. Der Schaden durch Ransomware geht alleine in Deutschland jährlich in die Milliarden.
Passende Lösungen sind Engines von SentinelOne, Crowdstrike, Carbonblack, Microsoft oder PaloAlto.Aus Sicht der versierten Privatperson, die regelmäßig Backups fährt und Software nur aus den App Stores der OS-Hersteller bezieht, eine vertretbare Aussage. Dieser Kenntnisstand ist mindestens 10 Jahre alt. Es gibt keine Pattern, keine Heuristik und keine eigenen Server mehr. Auf Hashes wird nur noch die Whitelist geprüft. Wie viele Hashes müsste man sonst pflegen, wenn man die Schadsoftware an nur einer Stelle verändert?
Fakt ist, AV-Engines haben definitiv eine Daseinsberechtigung, werden von Versicherungen gefordert, und als ITler trägt man sogar eine Mitschuld, wenn man nicht „Stand der Technik“ einsetzt.
Deshalb ist eine Pauschalisierung wie im Video ganz dünnes Eis.

Ich behaupte mal: ja. Einerseits fällt es mir auf, wenn der Rechner oder Datenzugriffe deutlich langsamer sind, der Lüfter angeht oder eine externe Platte leise anfängt zu rasseln, ohne dass ich etwas auf ihr mache. Alles ist bei Verschlüsselungstrojanern der Fall. Zweitens habe ich ein vielleicht ungewöhnliche Backup Strategie. Die sichert immer den aktuellen Stand und speicher alle Änderungen in einem Archiv-Ordner ab. Dieses Live-Backup wird dann noch regelmäßig 1:1 auf ein Offline Backup gespiegelt und auch hier die Differenzen separat gespeichert. Wenn diese Differenzen jetzt in kurzer Zeit übermäßig groß werden, fällt mir das auch auf, da die Backup-Dauer dann deutlich wächst und diese «Änderungs-Archive» sehr schnell sehr groß werden.

In diesem – zugegebenermaßen seeeehr speziellen System – kann ein Verschlüsselungstrojaner eigentlich nichts unbemerkt verschlüsseln. Und wenn, dann hätte ich (auf wieder anderen Platten) die Änderungshistorie der letzten 5+ Jahre auch noch doppelt archiviert.

Dank Werbeblocker fällt mir Werbung sehr schnell auf, und dank eines typischerweise leisen Macs fällt auch der Lüfterlärm eines Krypto-Miners auf (es sei denn, er würde nur mit 10% CPU Leistung minen, dann wäre das aber vermutlich auch nicht so wild.

Wie gesagt, das gilt alles nur für mich. Sachbearbeiter und Innen in einer Firma oder Verwaltung, die auf teilweise remote angebundenen Server-Systemen arbeiten, haben keine Chance, etwas davon mitzubekommen. Aber hier ging es ja um die Frage von jeti und AntiVirus und nicht um diese Größenordnung.
Richtig. Da wollte ich auch nicht pauschalisieren, sondern eben auf die Eingangsfrage eingehen. Danke für deinen Input und das Update an dieser Stelle. Ich hatte die Firmenlösungen schon länger nicht mehr verfolgt.

Nö. Ich sehe die Grütze jeden Tag. Tausendfach. Und es wird sehr wohl mit Hashes gearbeitet. Oder glaubst Du der Client sendet wirklich jedesmal die ganze Datei an die entsprechenden Server? Das passiert genau einmal, wenn der Server den Hash nicht kennt. Danach steht das quasi für alle zur Verfügung.

Und sagte bereits: Das ist und bleibt alles Schlagenöl. Leider haben die Firmen den Leuten eingeredet, sowas sei unbedingt notwenig.

@Dunkelbier: lässt du uns daran teilhaben, wie du deine (1000?) Clients konkret absicherst? Oder wenn du keine 1000 Clients verwaltest, wie du es machen würdest? Oder belässt du es bei „alles Scheibenkleister“?
Btw. braucht ML keine Hashes, das funktioniert z.T. auch offline.