welche firewall - antiviren - kombo (win7 64bit)?

[withhold]

vorab, bin in der IT tätig, kenne mich also schon ein wenig mit der thematik aus, daher keine fachterminologie scheuen
hab mir jetzt nen "trojan.spyeye" (c:\recycle.bin) eingefangen (keine ahnung wie lang schon - system so installiert seit knapp 2 jahren). gefunden und "bereinigt" hab ichs mit malwarebytes (http://www.malwarebytes.org/). da ich nun mein system sicherheitshalber trotzdem neu aufsetzen werde, hab ich mich mal bzgl. aktueller technologien für SW-firewalls und AVs belesen.

bisher hab ich benutzt: agnitum outpost pro 7.0 (lizenz läuft eh aus), avast free
wechseln würde ich nun auf: comodo fw free, nod32 5 (kaufen)

gern würd ich mal die meinung von euch (speziell derer die ahnung davon haben) einholen. was ich allerdings nicht möchte, ist eine diskussion über sinn / unsinn von softwarelösungen als FW und / oder AV.

wichtig ist mir beim AV u.a. ein kompetenter malware-schutz (ansich dachte ich, mit avast gut geschützt zu sein), schnelle und häufige aktualisierungen der viren-DB, möglichst ressourcen-schonend im laufenden betrieb bei on-access-scans.

wichtig bei der FW ist mir selbstverständlich der schutz vor zugriffen von außen und (das mochte ich an der outpost-FW) anwendungskontrolle. man wurde bei jedem systemeingriff und jedem versuch des zugriffs ins internet bei der noch so kleinsten anwendung gefragt, ob man genehmigen oder blocken möchte. teilweise nervig, weil gerade bei nem neuen system jede geschriebene systemdatei und jeder zugriff aufpoppt, aber man wusste zumindest was abgeht. gern würde ich, bei einer zuverlässigen FW, die systemkontrolle bis auf jede datei im hintergrund steuern lassen, jedoch ist mir die zugriffskontrolle aller anwendungen / prozesse ins internet wichtig (die möchte ich selber definieren können).

aber gern eure meinung. vllt. ist meine ansicht dessen auch etwas verschoben, denn das "spyeye" hat mich in meinem tun wieder etwas vorsichtiger werden lassen und ich zweifel grad an der bisher richtigen software.

danke vorab.

 

[Shihatsu]

wichtig bei der FW ist mir selbstverständlich der schutz vor zugriffen von außen und (das mochte ich an der outpost-FW) anwendungskontrolle. man wurde bei jedem systemeingriff und jedem versuch des zugriffs ins internet bei der noch so kleinsten anwendung gefragt, ob man genehmigen oder blocken möchte. teilweise nervig, weil gerade bei nem neuen system jede geschriebene systemdatei und jeder zugriff aufpoppt, aber man wusste zumindest was abgeht. gern würde ich, bei einer zuverlässigen FW, die systemkontrolle bis auf jede datei im hintergrund steuern lassen, jedoch ist mir die zugriffskontrolle aller anwendungen / prozesse ins internet wichtig (die möchte ich selber definieren können).

das kann eine sw firewall systembedingt garnicht. hast zwar geschrieben das du keine diskussion darüber haben willst, aber wenn du das willst hast du offenbar zuwenig ahnung von der materie.
windows firewall für inbound und protokollierten outbound völlig ausreichend, bietet genausoviel schutz und weniger aufwand.
av: ich schwöre seit jahren auf mindestens 2 av, davon eine on-access (da nehme ich aufgrund des guten malware/online filters, der guten gui und den 4 virenengines f-secure), eine on-demand (windows defender ftw).

der troj bei dir ist btw zeus - nicht umbedingt ne schande sich den eizufangen wenn man nur einmal nen gehijackten adserver angefahren hat / flash zu langsam upgedated hat und vor allem: wenn man mit adminrechten unterwegs war. und davor schützen dich auch keine av und fw. zeus is halt ne überaus mächtige hure.

 

[withhold]

mir gings bei der funktion rein um zugriffs- bzw. anwendungskontrolle.
bei outpost hatte man eben auch die möglichkeit geänderter oder neu installierter dateien den zugriff auf den speicher oder zugriff auf systemordner zu verwehren (was sonst im hintergrund passiert), etc. wie gesagt, darauf könnte ich unter umständen verzichten, wenn die FW sowas selber scannt und bei "gefahr" blockt / meldet, sonst war mir das teilweise zu viel popup-gespamme.
mir ist nur wichtig, dass die FW nicht automatisch agiert was die genannte zugriffs- bzw. anwendungskontrolle anbelangt.

 

[DaGGrrr]

antivirenprogramm: MSE.

 

[Shihatsu]

mir gings bei der funktion rein um zugriffs- bzw. anwendungskontrolle.
bei outpost hatte man eben auch die möglichkeit geänderter oder neu installierter dateien den zugriff auf den speicher oder zugriff auf systemordner zu verwehren (was sonst im hintergrund passiert), etc. wie gesagt, darauf könnte ich unter umständen verzichten, wenn die FW sowas selber scannt und bei "gefahr" blockt / meldet, sonst war mir das teilweise zu viel popup-gespamme.
mir ist nur wichtig, dass die FW nicht automatisch agiert was die genannte zugriffs- bzw. anwendungskontrolle anbelangt.

genau DAS kann aber eine fw garnicht. als externes programm ist sie da ganz einfach zu verarschen. also mit wirklich einfachsten mitteln (windows handles umbiegen fertig). was du willst ist in windows7 eingebaut und funktioniert viel besser und transparenter - nennt sich uac:
http://de.wikipedia.org/wiki/Benutzerkontensteuerung

 

[withhold]

ich glaub du missverstehst, was ich mit anwendungs- und zugrifsskontrolle meine (vllt. auch unglücklich von mir formuliert). mir gehts bei der funktion der FW um die zugriffssteuerung einzelner anwendungen ins internet und vice versa (das was eine FW eben so tut). ich will nur, dass ich selber entscheiden kann, welche anwendung, welchen zugriff ins netz und wohin bekommt (quasi keine automatisierte steuerung).
ich hätte damit gern ein paar meinungen (danke für die bisherigen) zu von euch eingesetzter software und erfahrungswerten, was AV und FW anbelangt.

 

[Shihatsu]

aber die uac macht genau das? wenn du die auf "hoch" stellst, fragt er für jeden conenct nach draussen durch die windows firewall nach. und das kannste dann erlauben, immer erlauben oder verbieten.

 

[Sodom&Gomorrha]

Dann müsste man aber auch wissen, wie "sicher" die UAC arbeitet. Wenn diese selbst umgangen würde, z. B. durch einen Exploit und jemand aktualisiert sein Windows nur alle Jubeljahre mal aus irgendwelchen paranoiden Gründen, simuliert die Malware einfach, als würde man die Anforderung höherer Rechte abnicken und gut ist.

Andererseits hat man im eingeschränkten Konto das "Problem", dass man das Adminpasswort jedes Mal eintippen muss. Keylogger sollten glaube ich problemlos auch im - logischerweise per Schreibzugriff erlaubten - Userverzeichnis des Standardkontos auf der Systempartition überleben können, der greift mal eben Nutzername und PW ab, zack ist der Mensch am anderen Ende schon im Adminkonto drin, wenn er will.
Wenn man einen per UAC beschränkten Admin hat, wird immerhin nicht das Passwort übertragen beim Anfordern höherer Rechte (man klickt nur auf "Ja"), das dann bei vielen aus Faulheit zum Beispiel dann gerne zigfach auf Seiten wie Amazon, Ebay und Co. benutzt wird und es dem Angreifer richtig schön einfach macht.

Bei der Firewall würde ich generell keiner Softwarelösung als alleinigen Schutz vertrauen, außer man nimmt sie als eine Art Paketfilter, Brandbreitenmonitor oder/und jemand hat gewisse Programme ohne Lizenz installiert, die gefälligst nicht nach Hause telefonieren sollen (das unterstelle ich hier dem TE natürlich _nicht_, sondern meine das generell). Steht ja alles oben.

@withhold: Wie hast du den Trojan eigentlich bemerkt? Hat dein Antivirenprogramm da einfach Alarm geschlagen oder hast du es manuell über z. B. HijackThis! erfahren? Mich würde generell interessieren, ob es unter Windows 7 immer noch das Maß aller Dinge ist, um sich anzugucken, was so im Autostart geladen wird, was msconfig nicht anzeigt. Denn zumindest bei mir unter Win 7 x64 zeigt HJT sehr viele "file missing"-Einträge unter dem Punkt O23, die ich unter Windows XP fixen würde. Wenn man vorsichtig umgeht, kriegt man irgendwann ein Gefühl dafür, was man entfernen darf oder nicht. Viele Dateien existieren aber tatsächlich, und laut einem Thema in den HJT-Foren ist das einfach ein Bug, da das Tool diese Dateien unter einem Seven x64 einfach nicht "sehen" kann.

 

[withhold]

guter einwand gomorrah.
ich muss auch ehrlich gestehen, ich hab mich nie intensiv mit der UAC beschäftigt und bin auch nicht der krasse sicherheitsexperte. UAC war für mich von beginn an nen verschrienes system, was ich (im bezug auf internetkontrolle) durch eine software-FW "ersetzt" hab. bei outpost als beispiel, wurde mir für jede applikation der versuch des zugriffs ins internet angezeigt und ich konnte für jeden versuch eine bestimmte website zu erreichen, eine kontrolloption auswählen (bsp: ich konnte für die installation von blabla die verbindung zu datensammelwebsites blockieren, aber den zugriff auf die benötigte website um den content zu laden erlauben - also kein einfaches blocken / nicht blocken, sondern sehr detailliert entscheiden).

@gomorrah
ich habs durch den scan mit malwarebytes mitbekommen.
ich hab über die jahre hinweg ne routine für mich gefunden, wo ich in regelmäßigen abständen oder nach bzw. vor bestimmten aktionen bestimmte partitionen / ordner etc. scanne (mit AV, malwarebytes und superantispyware) - neben der kontrolle der zugriffe durch applikationen ins netz durch die software-FW. hat mir zumindest nen etwas ruhigeres gewissen gegeben.

 

[Shihatsu]

Dann müsste man aber auch wissen, wie "sicher" die UAC arbeitet. Wenn diese selbst umgangen würde, z. B. durch einen Exploit und jemand aktualisiert sein Windows nur alle Jubeljahre mal aus irgendwelchen paranoiden Gründen, simuliert die Malware einfach, als würde man die Anforderung höherer Rechte abnicken und gut ist.

Andererseits hat man im eingeschränkten Konto das "Problem", dass man das Adminpasswort jedes Mal eintippen muss. Keylogger sollten glaube ich problemlos auch im - logischerweise per Schreibzugriff erlaubten - Userverzeichnis des Standardkontos auf der Systempartition überleben können, der greift mal eben Nutzername und PW ab, zack ist der Mensch am anderen Ende schon im Adminkonto drin, wenn er will.
Wenn man einen per UAC beschränkten Admin hat, wird immerhin nicht das Passwort übertragen beim Anfordern höherer Rechte (man klickt nur auf "Ja"), das dann bei vielen aus Faulheit zum Beispiel dann gerne zigfach auf Seiten wie Amazon, Ebay und Co. benutzt wird und es dem Angreifer richtig schön einfach macht.

Bei der Firewall würde ich generell keiner Softwarelösung als alleinigen Schutz vertrauen, außer man nimmt sie als eine Art Paketfilter, Brandbreitenmonitor oder/und jemand hat gewisse Programme ohne Lizenz installiert, die gefälligst nicht nach Hause telefonieren sollen (das unterstelle ich hier dem TE natürlich _nicht_, sondern meine das generell). Steht ja alles oben.

Kein Ding, du hast mit allem Recht - allerdings gilt das alles und noch viel mehr für eine externe Software, die dazu noch eigene Bugs mitbringt und eben nicht auf bestimmte Sicherheutsaspekte zurückgreifen kann (Schutz co ghosting via strg+alt+entf, schutz vor ghosting via diable of vkeyboard, schutz vor ghosting via...). auch das Argument mit dem exploitable windows lass ich nicht gelten für den vergleich - denn das gilt IMMER.
Keylogger im userverzeichnis überleben zwar, von dort wird aber nicht geladen, stichwort sticky bit. und auslesen können externe handles die uac auch nicht, ebenfalls per sticky bit geschützt. gegen userdummheit schützt natürlich auch die uac nicht.
versteh mich nicht falsch, ich halte su unter unix für viel besser (und selbst das lässt sich aktuell "rooten"), aber bisher ist uac nicht exploited. die haben sich schon sehr viel mühe gegeben. und wie gesagt: ne meldung von ner externen software verbieg ich dir per handle ins nirgendwo als malware.

 

[Sodom&Gomorrha]

Wozu gibt es social enginerring? Da kannst du gleich alle Sicherheitsaspekte in die Tonne kloppen

Ich erinnere mich noch dunkel an eine c't-Ausgabe in den letzten 1-2 Jahren. Man mag über die Qualität in den letzten Jahren vielleicht diskutieren können, aber selbst dort, wo ansonsten akribisch vor dem Umgang mit dem Arbeiten als Administrator gewarnt wurde, wird die Nutzung der UAC empfohlen, wenn auch nur in der allerhöchsten Stufe.

Und die Menge an Meldungen, die manche bei der Benutzerkontensteuerung monieren:
Ich finde es teilweise sogar gut, wenn die Abfrage häufig auftaucht. Es mag vielleicht nicht die Optimallösung sein, weil ich als Endnutzer ohne Kenntnis eines Programms weiß, was es denn genau machen möchte oder darf. Aber wenn eine Anwendung, die nicht tief ins System eingreifen soll wie ein Treiber oder dergleichen, nun die Erlaubnis für höhere Rechte haben will, würde ich mich etwas erst einmal wundern und im Internet nachgucken, was das soll, wenn ich kein Programm installiere, dass Dateitypen registrieren und sich in der Registry verewigen will.

Also sehe ich es neben dem Sicherheitsaspekt quasi als eine Art kleinen Kontrollmechanismus an. Bei HD Tune ist es mir als User ja klar, dass die Software direkt auf die Festplatte zugreifen will (gerade in der Pro-Version, wo man glaube ich leere Platten mit Schreibtests benchen kann). Es kann auch als simple Schutzmaßnahme bei weniger bedachten Leuten helfen, wenn man jemandem die Nutzung eines an sich harmlosen Programms unterbinden will, in die Eigenschaften, Haken "Als Administrator ausführen" rein und gut ist.

Das mit dem Safety Bit gucke ich mir mal an, und was es als Äquivalent in der UAC mal so gibt, thx für den Hinweis.