ThreatFire: Erweiterung eures Antivirus-Programms

Der Jörg hat mich vor ein paar Tagen angeschrieben, dass es ihn mal interessieren würde, was die Leserschaft vom kostenlosen ThreatFire hält. Dabei handelt es sich nicht um eine eigenständige Lösung, sondern lediglich eine Erweiterung zu eurer bisherigen Security-Strategie. So werden aktuelle Bedrohungen nicht mittels Signaturen erkannt, sondern am veränderten Verhalten kompromittierter Anwendungen.

Ich selber kann von mir sagen, dass ich die Software nicht einsetze. Die c’t hat wohl vor kurzem  (Heft 12/2010) Threat Fire als Zusatz zum herkömmlichen Scanner empfohlen. Wer Zugriff auf das Heft hat, darf sich gerne schlau lesen. Versteht diesen Beitrag also nicht unbedingt als Tipp von mir, sondern als Denkanstoß – in den Kommentaren werdet ihr bald auch viele Meinungen einfangen können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

37 Kommentare

  1. Mal gucken vllt werde ich es mal testen. Danke für den denkanstoß

  2. Hmm, also müsste ich ThreatFire nach der Produktseite beurteilen, würde ich es als Schlangenöl einstufen. Aber was ich bisher so darüber gehört/gelesen habe klingt eher positiv…

  3. Ich habe das Programm auch genutzt. Allerdings tu ich das jetzt schon länger nicht mehr obwohl ich erst zufrieden war. Denn nach einiger Zeit der Nutzung hat mein Fox angefangen nach ca 40 Minuten nicht mehr zu funktionieren. Ich bin sicher das es an diesem Programm lag da es nach der Deinstallation wieder ging.
    inb4: Nein ich habe Fox nicht iwie damit explizit geblockt oder ähnliches. Es ging einfach nach einigen Wochen los.

  4. Die Empfehlungen der c’t sind in den meisten Fällen auch welche, die ich unterstütze. Aber ThreatFire kann ich nicht zustimmen. Habe das Tool installiert und zunächst mal den Modus „sag mal Bescheid, wenn was merkwürdig ist“ angeschaltet. Prompt wurde so ziemlich jedes Programm und jede Aktion bemeckert. Teilweise wurde mein Browser komplett gesperrt.
    Nun, da hab ich dann den „nerv mich nur noch, wenn’s wichtig ist“ Modus genommen. Aber das bringt’s auch nicht. Das System wird spürbar langsamer, und zu 99,5% starte ich hier vernünftige Software. 0,4% erkennt Avast, und für das letzte Promille hab ich immer noch Brain.exe. Reicht.

  5. Mag sein, dass ich es hier schon in einem anderen Artikel erwähnt hatte: Bei mir hat TF das System zerschrotet im Zusammenspiel mit avast!, ZoneAlarm und Ad-Aware. War mal wieder Zeit für TrueImage. Ich lasse für alle Zeiten die Finger davon.

  6. In zwei Fällen wo mich Leute mit PC-Problemen angesprochen haben, konnte Threadfire als Auslöser ausgemacht werden. Es scheint sich nicht mit Programmen zu vertragen die den Kopierschutz von ProtectDisc nutzen. Leider kommt keine Meldung, sondern die Programme stürzen einfach unkontrolliert ab. Threadfire deinstalliert und alles geht wieder.

  7. Die Software soll ganz gut sein,
    jedoch bin ich nicht paranoid genug, um meinen ach so anfälligen PC
    mit total wichtiger Schutz-Software voll zu pumpen. Ich habe Avast und
    Die eine art Kontrollprogramm der Windows Firewall und bei den Browsern habe ich adblock und flashblock. Dass dürfte reichen. Denn ehrlich gesagt, habe ich mir bisher noch nie einen Virus durch eingefangen, nur einmal, hatte ich einem freund meine externe ausgeliehen und als ich sie angestöpselt habe gingen die Sirenen los. Der Vater, von ihm hatte danach einiges zu tun, anscheinend war da wohl eine Brutstätte 😉

  8. ich würde ThreadFire gerne nutzen, das letzte mal als ich es installiert hatte, gab es Probleme mit der Anti-Cheat-Software Punkbuster, welche scheinbar weder evenbalance noch pc-tools sonderlich interessierten. Und auf meinem 2. PC auf welchem ich nicht spiele brauche ich es auch nicht, denn da läuft kein Win

  9. Ich kann meinen ganzen Vorrednern bis auf Weniges nicht zustimmen. Das Wenige, wo ich zustimme ist, daß das System merklich langsamer wird, da Threatfire (Tf) verhaltensbasiert agiert.

    Bzgl. nerven: Man sollte nach dem Installieren von Tf unbedingt den Anwendungsscan machen, dann nervts nicht. (ist auch so vorgesehen)

    Wir setzen seit ca einem halben Jahr Tf wieder verstärkt ein, da unser Netzwerk von einer sehr heimtückischen Virenattacke (verursacht leider durch den berühmten „90cm VOR DEM SCHIRM“ Virus) heimgesucht wurde. Tf hätte die Attacke (Portscan, Trojaner, Keylogger, Backdoor, Remote control Virus – also ein richtig nettes Früchtchen) im Ansatz erkannt und geblockt und damit den gröbsten Schaden (war ein ziemlicher Hardwareschaden am Netzwerkequipment durch Überlastung) verhindert.

    Ich hatte Tf vor Jahren mal eingesetzt – eigentlich mit sehr gutem Erfolg.

    In Win7 mit vernünftiger Hardware läßt sich die Geschwindigkeitseinbuße auch ganz gut verschmerzen.

    Wo Tf allerdings absolut versagt ist, wenn der Rechner bereits infiziert ist, wenn Tf installiert wird – da ist es machtlos.

    Tf ist sicher kein alleiniger Schutz (soll es auch nicht sein) aber ein gewisser Zusatzschutz auf alle Fälle.

    Getestete Kombinationen:
    Kaspersky Internet Security 2009/2010 + Tf – kein Problem
    Avast + Windows 7 Firewall + Tf – kein Problem
    MS Forefront + Win7 Firewall + Tf – kein Problem
    AVG Internet Security 9 + Tf – kein Problem
    GData Internet Security 2010/2011 + Tf – kein Problem
    Comodo Internet Security (sehr empfehlenswert) + Tf – kein Problem

  10. Mist… Das wär mein nächster Gastbeitrag gewesen… – na ja — begeb ich mich halt wieder auf die Suche nach einem Progrämmchen was Carsten noch nicht verbloggt hat…
    @caschy Warum bist du immer so zuvorkommend? 🙂

    na ja – back to topic: – Ich nutze Threatfire seit ich mir G data Internet Security gekauft hab nicht mehr… Früher war ich nutzer davon, seit die Version für 64bit systeme tauglich gemacht worden ist… Mehr als ne Reihe Fehlalarme hats mir nicht gebracht… dann lieber ZoneAlarm und das beliebte PopUp fenster „Darf Programm XYZ sich mit dem WWW verbinden?“ — Der einzige nutzen daraus war, dass mir bestätigt wurde dass mein Backup-Programm einige Dateien an 3 Stellen gleichzeitig hinkopierte usw. – bei einigen Installationen kam dann, dass sich das Programm an mehrere stellen hinkopieren will… Aber das musste es auch weil man während der installation rebooten muss… – Damals hatte ich ein Fünfer pack in sachen Security – Avira, Zonealarm, Spybot S&D, Threatfire und ansatzweise ne Server firewall im HAK (HausAnschlussKasten)…
    Aus der Server firewall wurde nix und Threatfire brachte nur sowieso Fehlalarme… G data wenigstens kann schon mehr Heuristik und erkennt nun auch endlich die 40 täglichen verzweifelten versuche meines Bruders nach meinen offenen Ports zu scannen…

  11. lorenzmeyer says:

    Ergänzung:

    MSE 2Beta(Real-Time Protection deaktiviert) + Panda Cloud + TF – keine Probleme

  12. Hab das Tool jetzt schon seit 6 Monaten am Laufen. Ka bis jetzt noch nie irgendwas gefunden. Ich habs mir auch nur geholt weil die Testberichte damals schon sehr gut aussahen und es kostenlos ist.

    Zusammen mit AntiVir unschlagbare Kombo 😉

  13. @paradonym: wenn der Beitrag Tiefe und Inhalt hat – natürlich, immer nur her damit. Mein Beitrag ist ja quasi nur ne Info, kein Erlebnisbericht, wie deiner wäre.

  14. Gleiche Meinung wie kwoxer. Lebe die Hälfte des Jahres in Hong Kong und bin auf ziemlichen vielen chinesischen und asiatischen Webseiten unterwegs. Da hat mir TF schon vieles zusammen mit Avira erspart. Eine merkliche Verlangsamung des Systems kann ich nicht feststellen. Wurde mit schon vor Jahren von einem Avira-Mitarbeiter quasi als Zusatz empfohlen, da es sich gut miteinander verträgt.

    Und wenn man nicht online ist und mit rechenintensiven Programmen arbeitet, kann man TF ja vorübergehend ausschalten.

  15. Wenn ich das richtig erkenne ist das Programm sowas wie die Programmkontrolle in Kaspersky. Also will ein Programm z. B. auf die Registry zugreifen bzw. etwas dort schreiben und das Programm ist nicht in einer White-List dann muss der User entscheiden ob das das Programm diese Aktion durchführen darf. Hab ich das so richtig verstanden? Also dann setzte ich doch lieber Kaspersky (und seih es nur die CBE Version) ein.

  16. Das Teil ist zwar nicht schlecht. Verlangsamt den PC aber derart.
    Ich compiliere sehr viel mit Mingw und Konsorten. Ohne Threatfire dauerte das compilieren knapp 10 Minuten. Mit Threatfire hatte ich nach 1STD abgebrochen. Es war noch lange nicht fertig. Es gibt bessere Programme die neben einem AV ohne Probleme laufen. Ein besseres Tools wäre z.b Winpatrol, was wirklich unbemerkt im Hintergrund läuft.

  17. Hannes Rannes says:

    Hatte das Programm auch für einige Tage oder Wochen installiert aber nach kurzer Zeit bekam ich regelmäßige Blue Screens, die schließlich mit der Deinstallation des Programms ein Ende hatten.

  18. -OFFTOPIC-

    Erster Artikel mit Werbung im RSS-Feed von Caschy. Weiß zwar nicht genau wofür der Banner sein soll (August Contest keine Lust weiterzulesen), bin aber weiterhin bereit auf diese Dinger zu klicken.

  19. @Flo: direkt vermarktet, 1 Monat Testlaufzeit. Siehe auch mein Beitrag zu gekürzten Feeds von BasicThinking: http://stadt-bremerhaven.de/basic-thinking-kuerzt-den-feed-ich-nicht/ Ich habe meine eigene Idee umgesetzt. Und wenn ich mal kurze Feeds mit FETTEN Adsense-Blöcken sehe – ja dann weiss ich: so wie ich es machte, isses ok 🙂

  20. @Hannes Rannes: Genauso bei mir (Win7, 64bit mit Kaspersky KIS) leider mind. einmal täglich BlueScreen. Nach Deinstallation lief das System wieder stabil.

  21. Teleprion says:

    Ich habe ThreatFire auf Grund des c’t-Artikels ausprobiert und wieder gelöscht. Die Startverzögerung von Programmen war zu beeinträchtigend.

  22. Unter uns;-) Habe das Programm vor einigen Monaten ab und an auch schon ausprobiert.
    Fazit: Auf meinem PC ist seit langem Kasperskys Internet Security installiert und deckt somit alles an Sicherheit ab. Als ich dieses Threatfire Tool habe durchlaufen lassen fand es nichts. Es schadet zwar nicht, geholfen hat es aber auch nicht. Ergo. Weg damit um das System nicht unnötig zuzumüllen. Als zusätzlichen Schutz zum Schutz empfehle ich grundsätzlich Brain 2.0 was jeder ohnehin gratis mit sich herumschleppt.

  23. JürgenHugo says:

    Ich hab das mal vor längerer Zeit probiert. Zerschrottet hat mir das nix – aber nützlich…? Meiner Meinung nach: Placebo, kann man genau so gut eine Glaskugel befragen.

    Diese ganze „verhaltensbasierte“ Erkennung scheint mir doch sehr zufällig. Ich hatte von Nov. 09 bis Juni 10 Norton 2010 installiert. Da ist auch so ein Modul drin: verdächtig war erstmal schon alles, was neu war, und was noch nicht viele von deren „Community“ runtergeladen hatten. Und wenns nur das neueste Update von FF war.

    So eine Auswahl erscheint mir doch sehr fragwürdig… :mrgreen:

    Und zur Werbung: ich klick auf nix, nirgends.

  24. @Teleprion: Dann habe ich einem weiteren Grund, um mir die Software zu ersparen. Außerdem würde ich zwei „Guards“ bzw. Live-Scanner nicht gleichzeitig laufen lassen, da es keine gute Idee ist. Die c’t-Empfehlung wundert mich ein wenig.

    Dem Screenshot entnehme ich, dass die Software keinen Live-Scanner hat, wodurch die c’t-Empfehlung Sinn machen würde. Das passt aber nicht mit der Aussage von Teleprion, der was von „Startverzögerung von Programmen“ erzählt, die es bei On-Demand-Scannern gibt. Ohne On-Demand-Scanner dürfte es keine Startverzögerungen geben.

    Was sagen Tests, taugt die Software wirklich was?

  25. 12/2010 vor kurzen zu nenne ist ja schon etwas übertrieben. Aktuell ist 17/2010.

  26. Ist im Grunde das Gleiche wie DeepGuard bei F-Secure Anti-Virus (2010) und selbst dieses DeepGuard nervt wie die Hölle, da man nicht einmal zertifizierte Programme (oder bestimmte (Programm)Zertifikate) prinzipiell ausschließen kann. Es werden zwar die Executables mit Hashsummen abgeglichen aber deren Bibliotheken nicht, was ein Start von bestimmten IDE gleich mal verdreifacht.

    Und ich möchte mich mal aus dem Fenster hinauslehnen und meinen, wenn man mit eingeschränkten Rechten arbeiten würde, wären Attacken über das Netz oder auf dem System zu 80% ohne Erfolg. Nur obsiegt bei vielen halt die Bequemlichkeit anstatt der Sicherheit und man nutzt als „Gegenmaßnahme“ oftmals Placebo bzw. Scheinsicherheit. Da sollte man eher ansetzen und nicht solche Sachen fördern, mit Administrations- oder root-Rechten zu arbeiten.

  27. JürgenHugo says:

    @cro:

    Bei mir „obsiegt“ auch die Bequemlichkeit (ohne eingeschränkte Rechte). Außer einem Virenscanner benutze ich nur ´ne allgemeine Vorsicht. Scheint aber zu reichen – bis jetzt habe ich mir offenbar noch nix schlimmes eingefangen.

    Bei ruhiger Betrachtung kann ich also bei meiner Linie bleiben – bis jetzt hats ja funktioniert. Mag sein, das man mit eingeschränkten Rechten NOCH sicherer ist… 😛

  28. Ich hatte TF mehrere Chancen gegeben – ich habe es auf unterschiedlichen PCs und Notebooks installiert. Und spätestens nach einigen Wochen habe ich es wieder deinstalliert.

    Größtes Problem war immer:

    Es bremst den PC nach (!) dem Standby/Ruhezustand merklich aus – sei es, weil der PC gefühlte Ewigkeiten nach dem Ruhezustand zur Kennworteingabe brauchte, oder danach Anwendungen sich nicht mehr richtig starten ließen (Browser, Emailprogramme, Skype).

    Direkt nach einem Neustart ist von der Handbremse nicht viel zu spüren, da bleibt das System weitgehend normal. Aber nach Energiesparmodus (oder nach dem 3. Energiesparmodus/Ruhezustand einer Session) geht die die Geduldsprobe los. Keine Ahnung warum, aber die Probleme hatte ich schon mit allen 4er Versionen – zuletzt vor zwei Monaten. Die Brems-Macken hatte ich sowohl unter Windows XP/Vista und Windows 7.

    Nach der Deinstallation ging alles wieder normal – selbst nach dem 10. Energiesparmodus oder Ruhezustand. Virenscanner waren übrigens AntiVir, MS Essential oder der aktuelle Norton AV.

    Ohne Frage, Konzept und Sicherheit sind sehr gut, aber was bringts, wenn die Kiste nach dem Ruhezustand mehrere Minuten braucht, statt wenige Sekunden?

  29. Paranoido says:

    TF bremst auch bei mir das System, insbesondere benötigen Progs wie FF oder TB ewig zum Start, dann geht’s aber. Daher würde ich TF nicht auf meinem Hauptsystem installieren. Bei mir läuft er neben Antivir ansonsten problemlos in einer VM zum Surfen, denn ich möchte gerne wissen, von welchen Seiten, die ich gegebenfalls ansurfe, neuartige Angriffe gestartet werden, die herkömmliche Scanner selbst mit guter Heuristic nicht erkennen. Und laut ct und auch nach meiner praktischen Erfahrung ist TF so ziemlich das beste, was es hierzu gibt.

  30. Hi,

    ich hab Threatfire unter Win7(64bit) nur kurz getestet, da es bei mir die Funktion eines mir wichtigeren Tools behinderte:
    Die mir unentbehrlichen Daemon-Tools sind momentan leider inkompatibel mit Threadfire. Darum leider – auf Wiedersehen – werde mir aber mal die hier genannten Alternativen zu Gemüte führen.

  31. Ich nutze TF schon lage und hatte bissher keine negativen erfahrungen ausser im zusammenspiel mit Kaspersky.Habe dan aber zu Avast gewchselt und alles klappt reibungslos.Und Placebo ein ist TF sicher nicht mehrmals hat TF vor der Antivieren software reagiert und zum anderen finde ich es ganz interessant zu wissen welche programme wohin schreiben und sich verewigen sehr hilfreich wen man sich unbeabsichtigt irgendwelche toolbars auf den PC zieht die ja mittlerweile fast überall mit geliefert werden.Für mich die totale pest

  32. @caschy Zitat: @paradonym: wenn der Beitrag Tiefe und Inhalt hat – natürlich, immer nur her damit. Mein Beitrag ist ja quasi nur ne Info, kein Erlebnisbericht, wie deiner wäre.

    heyy – gut erkannt – ich verblogg nur Sachen die ich auch wirklich verwende oder verwendet habe.. selten kommt mal eine Revolution durch die ich verblogge kurz bevor ich sie auch verwende 🙂

    nochwas @caschy – blockst du Google Analytics – weil ich bei mir noch keine Seitenaufrufe aus Bremerhaven hab — oder bezog sich das auf meinen Kommentar?

  33. Was für ein Zufall, dass TF genau jetzt angesprochen wird.
    Ich hatte nämlich vorhin eine Warnung weil Flash ein Plugin installieren wollte; auch wenn es harmlos war habe ich mit TF den Installationsprozess beendet, weil ich es nicht installieren wollte.
    Resulatat des ganzen, TF hat die chrome.exe beschädigt ohne eine Meldung bzw. Abfrage zu machen; in den Logs findet sich auch nichts zu Chrome und selbst wenn ich den verweigerten Prozess wiederherstelle funktioniert er nicht mehr…tolle Sache

  34. Eigentlich ein gutes Programm, was, wie schon in den Kommentaren gesagt, super mit Antivir Avira ein guten Rundumschutz bietet.

    Allerdings versteht es sich gar nicht mit dem Anti-Cheat-Tool Punkbuster, was man für manche Online-Spiele zwingend benötigt. Daher ist ThreatFire nicht mehr auf meinem Windows-Spiele PC. Auf meinem Laptop nutzte ich sowieso Linux und dort brauche nicht zwingend nen Virenscanner 😉

  35. So, kann endlich wieder was schreiben.
    Kann von dem Tool nur abraten. Zunächst lief alles nach dem gefordertem Neustart extrem langsam. Musste ewig warten, bis alle meine Programme gestartet waren und dann war der Rechner schliesslich ganz fest….und ab da lies sich Windows gar nicht mehr nutzen, gleich nach dem hochfahren ständig wieder fest.
    Acronis hat nun erstmal wieder für Ordnung gesorgt. Threadfire kommt mir nicht mehr auf die Platte…

  36. Alexander says:

    Die Empfehlung basiert auf der Annahme, dass ThreatFire und ein Antiviren-Programm 2 unterschiedliche Programme sind. Deswegen erwartet man auch kein Chaos. Obwohl…
    … ich sollte mal ein 2-3 Jahre altes Notebook „modernisieren“ (säubern und aktualisieren; das volle Programm also 😀 ) und fegte gleich die 3 Virenscanner von Board und installierte Antivir frisch aus dem Internet. „Probleme hatte ich damit keine“ – Aussage des Notebook-Nutzers.

    Nach all den negativen Berichten verzichte ich auf einen ThreadFire-Test, da ich keine Lust habe die Geschwindigkeitsvorteile durch die Boot-SSD von ThreadFire auffressen zu lassen. Und wie einige berichten: Brain 2.0 ist kostenlos und hat keinerlei Konflikte mit anderen Programmen.

    Bisher bin ich mit Brain 2.0 und Antivir gut gefahren. Und bisher virenlos geblieben. Ich habe mir also öfter das System zerschossen wegen der Freude am Experimentieren und Konfigurieren als durch irgendwelche böse Software. Nebenbei ist die Anzahl der Fehlalarme bei UPX-gepackten Anwendungen und sonstiger Adminsoftware auch nicht so niedrig.

    In einer Surf-VM macht ThreadFire mehr Sinn, aber dieser Aufwand ist meiner Meinung zu hoch, wenn man schon Brain 2.0 beim Surfen verwendet. Das hat mich öfters von komischen Seite abgehalten als irgendeine Software.

    Ich warte ja sehnsüchtig darauf, dass endlich Brain 3.0 herausgebracht wird. Aber solange das Web 2.0 noch am Abarbeiten der Ziele des Web 1.0 ist, wird das noch lange dauern. 😀

  37. Also ich muss nochmal sagen , System läuft bei mir außerordentlich stabil und ohne Verzögerungen.

    Also probiert wirklich mal Antivir und Threadfire aus.
    Das rockt wirklich, obs was bringt ist die andere Frage 😉

    Grüßchen