Avast WEBforum

Avast Products => Non-english zone => Русский => Topic started by: Stdlib on November 23, 2013, 10:49:01 AM

Title: Win32: Evo-Gen
Post by: Stdlib on November 23, 2013, 10:49:01 AM
Работаю в госучреждении, закупили антивирус аваст. Если бы знал что в авасте разрабатывают свой эвристик, обходил бы эту контору за километр.
Несколько месяцев назад начали появляться подозрительные файлы (конечно по мнению аваста). Другие антивирусы показывали что всё ок, virustotal тоже молчал. За эти несколько месяцев аваст поудалял драйвера от принтеров, поломал бухгалтерские программы и много еще гадостей понаделал. Все файлы, надо заметить, определялись авастом как win32: evo-gen. Возникло у меня желание разобраться, что-же этот самый пресловутый evo-gen из себя представляет. Результаты исследований повергли просто в шок. Написал программу на masm'е - 100 арифметических инструкций, проверяю - evo-gen, переделал, заменил другими инструкциями - evo-gen, удалил все инструкции, оставил одну - retn, и что бы вы думали? Опять evo-gen. Теперь вопрос к разработчикам этого прекрасного творения - вы за кого народ держите? За лохов? Типа набили себе высокий процент обнаружений, а на ложные срабатывания можно и забить? Это по-вашему нормально - определять файл на заражение по PE-заголовку? Можно конечно возразить - файл только подозрительный, сам решай что с ним делать. Но зачем мне тогда вообще антивирус? И с ним, и без него буду сам решать. Собрал большую коллекцию evo-gen'ов, все они подозрительные из-за заголовков (при том что в этих файлах нет ни импорта, ни ресурсов, ни кода).
Еще один вопрос к сотрудникам, занимающимся продажей лицензий - у нас лицензия еще год будет действовать, чрезвычайно хотелось бы отказаться от услуг такого антивируса и перейти на что-нибудь более вменяемое, имеющее антиэмулятор, нормальную консоль управления (ваша, например, установилась, а вот удалиться не смогла) и нормальный url-монитор (сайты наши блокируются каждую неделю).
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 23, 2013, 05:16:18 PM
Stdlib

Очень жаль, что работая в госучреждении, вы так и не научились культуре речи. Ещё мне жаль, что производя закупку для госучреждения вы купили "кота в мешке", не рассмотрев вопрос покупки как положено и не задав необходимые вопросы до покупки. Так же мне жаль, что вы так и не видите разницу между производителем продукции и форумом её пользователей. Здесь, на форуме, Аваст не разрабатывают и не продают - здесь его обсуждают и оказывают взаимопомощь, поэтому мы попытаемся её вам оказать.

1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.

2. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.

3. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.

4. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 24, 2013, 07:29:45 PM
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast). Далее по пунктам:
Когда покупали Avast, на эвристик и намека не было, появился он несколько месяцев назад (а мы его используем около года). Что я должен был у вас спросить? Не планируете ли вы написать безумный эвристик?

> 1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор (причем надо заметить очень неплохой). Посмотрите на эвристики Касперского - эвристик основывается на коде, импорте, данных. Посмотрите на эвристик NOD32 - та же ситуация. Смотрим на эвристик Avast - PE-заголовок. А если, например, вирусописатель сделает PE-заголовок как, например у putty? Avast будет определять putty как evo-gen? Или вредоносную программу будет пропускать? Для примера: определяет как evo-gen файл с секцией .text 0x200 размер секции, 0x200 смещение, аттрибуты секции 0x60000020. Это нормально по-вашему? Ничего что большинство hello-world'ов такие параметры имеют?
Вот конкретно это вы считаете нормальным:
http://forum.avast.com/index.php?topic=125057.0
http://forum.avast.com/index.php?topic=135455.0
Не костыли писать надо, а работающие вещи.

>2. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.

>3. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?

>4. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php
Очень, очень желаю, вы даже  не поверите как.

В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 25, 2013, 12:33:51 AM
автор вполне корректно описал проблему и свою точку зрения, а тем более когда у него аваст "грохнул" запчасти легальных программ - про культуру речи б помолчали...
к сожалению, да, этот форум разработчики вряд ли просматривают.

по поводу evo gen: полностью согласен с автором, при написании программ, будь то Си проекты, делфи, ассемблер... не важно - этот детект возниакет в 80 процентов случаев.
при более детальном рассмотрении причины я тоже был мягко говоря в ауте - они признают угрозу по параметрам (размер\оффсеты) секций файла! большего идиотизма придумать невозможно. ни код, ни импорт, ни ресурсы его вообще не волнуют!  ;D

вместо того, чтобы разрабатывать новые технологии эмуляции с соответствующим анализом кода (нод, касперский, vba32 к примеру, считаю эти продукты имеют довольно мощные эмуляторы), в авасте решили действительно пойти простым путем: что им еще не известно, то подозрительно. ну а взять за основую параметры секций (кои могут быть у злостной малвари и у ангельского приложения от винды) абсолютно одинаковы - это, повторюсь, полный профанизм.
 очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"  :D

не пытайтесь спорить, что аваст не лажает. ой как лажает )))
Title: Re: Win32: Evo-Gen
Post by: koscl on November 25, 2013, 06:34:47 AM
И кстати, Аваст стал совсем нелёгким. После обновления до 9 версии пришлось удалить, т.к. появились заметные тормаза. Может из-за того, у меня также установлен online armor.
Title: Re: Win32: Evo-Gen
Post by: afix on November 25, 2013, 07:56:15 AM
Pidarast,это ты о себе? Из меньшинств,значит? Предлагаю модератору забанить данного пользователя без всяких рассуждений.
Title: Re: Win32: Evo-Gen
Post by: afix on November 25, 2013, 07:59:11 AM
автор вполне корректно описал проблему и свою точку зрения, а тем более когда у него аваст "грохнул" запчасти легальных программ - про культуру речи б помолчали...
к сожалению, да, этот форум разработчики вряд ли просматривают.

по поводу evo gen: полностью согласен с автором, при написании программ, будь то Си проекты, делфи, ассемблер... не важно - этот детект возниакет в 80 процентов случаев.
при более детальном рассмотрении причины я тоже был мягко говоря в ауте - они признают угрозу по параметрам (размер\оффсеты) секций файла! большего идиотизма придумать невозможно. ни код, ни импорт, ни ресурсы его вообще не волнуют!  ;D

вместо того, чтобы разрабатывать новые технологии эмуляции с соответствующим анализом кода (нод, касперский, vba32 к примеру, считаю эти продукты имеют довольно мощные эмуляторы), в авасте решили действительно пойти простым путем: что им еще не известно, то подозрительно. ну а взять за основую параметры секций (кои могут быть у злостной малвари и у ангельского приложения от винды) абсолютно одинаковы - это, повторюсь, полный профанизм.
 очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"  :D

не пытайтесь спорить, что аваст не лажает. ой как лажает )))
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Title: Re: Win32: Evo-Gen
Post by: George_S on November 25, 2013, 08:43:03 AM
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
Title: Re: Win32: Evo-Gen
Post by: amid525 on November 25, 2013, 12:43:05 PM
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
А что он не так сказал?
Title: Re: Win32: Evo-Gen
Post by: amid525 on November 25, 2013, 12:45:01 PM
И кстати, Аваст стал совсем нелёгким. После обновления до 9 версии пришлось удалить, т.к. появились заметные тормаза. Может из-за того, у меня также установлен online armor.
А вот мне, показалось наоборот. Предыдущий часто притормаживал, особенно при первом доступе к файлу. А из меню пуск запустить, вообще на 2-5сек, система висла.(и мышь)
Сейчас все в порядке.
Хр.
Title: Re: Win32: Evo-Gen
Post by: afix on November 25, 2013, 12:56:00 PM
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
Сообщил. А толку?
Title: Re: Win32: Evo-Gen
Post by: afix on November 25, 2013, 12:57:47 PM
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
А что он не так сказал?
amid,ты ник прочёл его? После такого ника читать его бред нэма охоты.
Title: Re: Win32: Evo-Gen
Post by: amid525 on November 25, 2013, 01:16:18 PM
Ну этим ником, он сам себя обозвал. Его право,  я не реагирую. :) Видно больно воспринял некоторые возникшие трудности с Авастом...
А по теме, вроде грамотно написал. По крайней мере, пока ни кто не возразил..
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 25, 2013, 02:04:40 PM
Pidarast,это ты о себе? Из меньшинств,значит? Предлагаю модератору забанить данного пользователя без всяких рассуждений.
по теме есть чо?
Title: Re: Win32: Evo-Gen
Post by: amid525 on November 25, 2013, 03:18:03 PM
Andrey,pro, вы как специалист, можете прокомментировать выше изложенные замечания? И как контактирующий с разработчиками, донести до их.. ?  ;)
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 25, 2013, 06:14:02 PM
Stdlib
Quote
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).
http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
Quote
3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.

Quote
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php

Quote
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.

Quote
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.

Quote
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.

Quote
В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 25, 2013, 06:23:38 PM
Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989
Quote
Не используйте пошлые и вульгарные выражения в своих никах.
http://forum.avast.com/index.php?topic=102771.msg849186#msg849186
Quote
Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.
Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

Quote
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"
Его адрес Вам известен: http://www.avast.ru/contact-form.php
Title: Re: Win32: Evo-Gen
Post by: afix on November 25, 2013, 07:56:53 PM
Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989
Quote
Не используйте пошлые и вульгарные выражения в своих никах.
http://forum.avast.com/index.php?topic=102771.msg849186#msg849186
Quote
Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.
Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

Quote
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"
Его адрес Вам известен: http://www.avast.ru/contact-form.php
Не слишком ли Вы толерантны к одним и нетерпимы к другим? Закрадываются нехорошие подозрения... Избирательное правосудие,как у Я----ча? :D
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 26, 2013, 02:05:19 PM
Stdlib
Quote
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).
http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
Ок, Ваше высказывание про культуру речи, наверное, эмоциональным не является.
Quote
3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.
При этом ниже Вы же пишете, что в авасте особо с проблемами не желают разбираться (цитирую: "и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями"),
Quote
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php
Тогда зачем Вы мне вообще здесь про эвристик писали?
Quote
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.
Просто замечательно. Те антивирусы у которых есть нормальный эвристик это могут вычислить я понимаю. Как перенаправление и хайджекинг браузера определяется по PE-заголовку, этого я понять не могу.
Приведу пример: в 2011 году писал научную работу по методикам тестирования антивирусов. Изучали мы эвристики. Типичный случай: в импорте есть функции для работы с реестром, сетью, файловой системой. В коде последовательно вызвается: сеть, копирование файлов, реестр. Что это может быть? Downloader. Так ведет себя нормальный эвристик.
Есть эвристики в Panda antivirus, BitDefender (и его производных F-prot, G-Data, Emsisoft и прочих). Они не нормальны, иногда реагируют на размеры секций, на кусок импорта и пр. Но при этом они все равно ориентируются по коду, импорту, данным, ресурсам. Ориентироваться только по PE-заголовку нельзя.

Quote
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.
Я описал проблему, с которой может столкнуться каждый участник форума - т.е. покупатель или потенциальный покупатель данного анитивируса.

Quote
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.
Сайты наподобие VirusTotal и Jotty.

Quote
В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.
Читать это следует так: купили геморрой за свои-же деньги. Вроде контора чешская, а на самом-то делe типичный бизнес по-русски.
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 26, 2013, 02:09:20 PM
Кстати, буду еще раз писать в техподдержку объемное письмо. Кого-нибудь из пользователей форума результаты этих всех дел будут интересовать? Может какие вопросы задать?
Раз уж тут форум взаимопомощи, то окажу помощь части пользователей Avast.
Многие спрашивают что-же такое Win32:Evo-Gen (хотел тут ссылки привести, но не буду - заходим в гугл и пишем Win32:Evo-Gen, действительно многие спрашивают, даже у техподдержки, но мы же помним: "ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями").
Отвечаю - совершенно рандомный детект - пустышка. Может вирус, может легитимный файл, может вообще невалидный PE-файл.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 26, 2013, 10:47:07 PM
George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.

afix, по теме есть чо? опять спрашиваю. нет? - прошу вас удалиться и не мешать ;D

Stdlib, да, конечно будет интересен результат. по поводу вопросов: трудно тут что-то им советовать исправить, учитывая саму суть детекта evo gen: просто хочется сказать "Не страдайте ерундой", направьте усилия на разработку нормального эвристика (которого у них считай нет) или уберите вообще evo gen.

и стоит им "напомнить" про то, что результат их меготехнологий будущего - это детект 90% написанного софта вне зависимости от языка написания, будь то программист, пишуший на Си, на бейсике и прочем.
Title: Re: Win32: Evo-Gen
Post by: Dima DD on November 27, 2013, 03:52:38 PM
У меня АВАСТ в основном "обнаруживает" Evo-gen[susp] в моих программах (Delphi 7), пожатых с помощью UPX. Около пары десятков таких уже наберётся... Что ещё тут неприятно: в списке предлагаемых действий экрана защиты отсутствует игнорирование, можно лишь переместить в карантин, удалить, блокировать или лечить (либо то же самое автоматически). :(
Title: Re: Win32: Evo-Gen
Post by: Andrey,pro on November 27, 2013, 03:54:57 PM
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 27, 2013, 04:03:37 PM
George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.
Спасибо, что не проигнорировали мою просьбу. На счёт же Вики и т.п. я Вам скажу так: оригинальность хороша вмеру, не стоит эпатировать публику, даже если Вы просто цитируете Библию или Коммунистический манифест.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 27, 2013, 06:30:44 PM
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.
опытным путем установлено. установлено то, что 80% - это детект по параметрам секций (оффсет\размер\имя\характ-ки) и простоналичие записей в DATA DIRECTORY. отмечу, что именно просто наличие. какое там число - не важно. это крутая метода  :D
далее: вот наш отдел техподдержки установил давно на некоторые машины аваст. мы - отдел  разработчиков пишем, поддерживаем софт по учету товара, бухгалтерские программки и прочее. постоянно, приходя на работу, я пишу что-то новое, более удобное, учитываю просьбы наших пользователей... и вот как замечательно получается - я в очередной раз компилирую проект. тестируем его, всё ок. даю техподдержке - ребята, обновите там и там софт. они обновляют, и тут мегатехнология аваста говорит, что 2я секция .rdata = 3000h! это подозрительно, и автоматом удаляет.
т.е. что получается? при каждом компилировании проекта, я должен брать ВСЕ EXE, DLL, LIB, слать авасту. они там минимум день будут думать (что сомнительно в данной ситуации) добавят в новые базы исключение. мы ждем обновление баз, софт свой не обновляем.
потом опять - собираю проект, уже 3я секция станет подозрительная - цикл действий заново. думаю суть понятна.

так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 27, 2013, 07:01:41 PM
так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.
Вы делаете типичную ошибку: здесь форум общественной поддержки и подавляющее большинство его участников и не сотрудники AVAST Software, а обычные пользователи продуктов компании. Мы не разработчики и не техподдержка, мы не разрабатываем и не выпускаем программу, мы пытаемся делиться своим опытом работы и так помогать решать проблемы с использованием антивируса и других программ. Если сообщество на форуме не в состоянии оказать помощь, то мы всегда рекомендуем обращаться непосредственно к авторам и создателям Аваста. Ваши претензии, выраженные в процитированном фрагменте надо отправлять им с помощью стандартной формы обращения (http://www.avast.ru/contact-form.php) или заводите тикеты в техподдержке (https://support.avast.com/Tickets/Submit).
Title: Re: Win32: Evo-Gen
Post by: Andrey,pro on November 27, 2013, 07:08:11 PM
I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 28, 2013, 07:17:42 AM
Я пишу в связке - Code::Blocks и Gcc. Плюс, иногда Visual Studio, для некоторых проектов - Digital Mars. Ассемблер - MASM и FASM.
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета. Программы без этих файлов не работают, бухгалтерия в панике. Прошу пристально обратить на это внимание. Проблема уже приобрела действительно огромный масштаб. Ладно я то, могу разобраться, но видели бы вы иных админов госучреждений... У них вот точно зарплату за ноябрь не получат.
Title: Re: Win32: Evo-Gen
Post by: Dima DD on November 28, 2013, 02:35:53 PM
Вот последняя реакция на эту проблему от разработчиков (Honza Zíka): http://forum.avast.com/index.php?topic=140561.msg1027512#msg1027512 (http://forum.avast.com/index.php?topic=140561.msg1027512#msg1027512)
В общем, при больших напрягах есть резон отредактировать ini-файл АВАСТа: добавить там строчку "DisableEvogen=1" в секцию "[Scanner]".

Насколько я понимаю, инишка Avast5.ini находится тут:

Win7, Vista - C:\ProgramData\AVAST Software\Avast\avast5.ini
WinXP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\avast5.ini или C:\Documents and Settings\All Users\Application Data\Alwil Software\Avast5\avast5.ini


На время редактирования надо отключить функцию самозащиты АВАСТа:

Интерфейс - Настройки - Устранение неисправностей - Включить модуль самозащиты avast! (снять галочку, потом не забыть её поставить обратно)

Понадобится перезагрузка...
Title: Re: Win32: Evo-Gen
Post by: sandrey005 on November 28, 2013, 06:56:04 PM
Хотелось бы высказать слова в поддержку автора- stdlib в той части, которая касается дела.
Являюсь разработчиком программ на Delphi. За 10 лет практики не сталкивался с подобной проблемой. Разрабатывал программу втечении года. На днях откомпилировал проект и обнаружил, что якобы моя программа содержит EVO-GEN. В программе сотни функций и десятки модулей, включая родные Delphi, обнаружить участок кода, делающий ложное срабатывание практически невозможно. Должно быть у проблемы массовый характер. Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?

По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.
Title: Re: Win32: Evo-Gen
Post by: George Yves on November 28, 2013, 07:13:35 PM
sandrey005
Здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме (http://forum.avast.com/index.php?topic=102771.0).

Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?
http://forum.avast.com/index.php?topic=140712.msg1027218#msg1027218
Quote
По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.
К нику пользователя stdlib ни у кого претензий не было и нет. Претензии были к нику другого пользователя, который тоже оставил сообщения в этой теме, но этот пользователь свой ник уже сменил. Пожалуйста, внимательнее следите за ходом обсуждения.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 29, 2013, 12:08:54 AM
I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?
visual studio - C, пакет masm - ассемблер.
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 29, 2013, 06:45:34 AM
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.
Чисто экспериментально. Когда у меня есть время, я занимаюсь анализом зараженных файлов самостоятельно. Так как Evo-Gen стал появляться каждый день, пришлось пристальнее обратить внимание на эту проблему. Получалось одно из двух - либо у нас в организации эпидемия, либо это все ложные срабатывания. У каждого файла, определявшегося как Evo-Gen я заменял ресурсы, импорт, данные и код, и проверял на Evo-Gen. 
После чего, заполнял файл случайными значениями, после чего заполнял файл нулями, оставляя в секции кода только одну инструкцию - retn. При всех этих манипуляциях файл определялся как Evo-Gen (причем, понятное дело, файл поврежден и запуститься уже не может). Также пересаживал PE-заголовок от файла, который определялся как Evo-Gen в другие файлы, если точка входа указывала не на нулевое значение, файл тоже начинал определяться как Evo-Gen. Из всего этого можно сделать вывод, что Evo-Gen работает по заголовку (может и не только, но мне такие файлы не встречались).
Чтобы не быть голословным, могу привести пример файла, состоящего из одной секции - секции кода, содержащего одну инструкцию retn и определяющегося как Evo-Gen (если это, конечно, кого-нибудь интересует).
А по поводу техподдержки - да, я обращался, но приходится делать обновления, писать новые модули, причем довольно часто. На новых модулях тоже появляется Evo-Gen. Не могу же я каждый день спамить в техподдержку. Тут надо не с симптомами бороться, а с самой проблемой в корне.
За ссылку спасибо, посмотрел. Но ничего нового в этом нет. Подобные технологии у других антивирусов реализованы давно - так ищутся сигнатуры для полиморфных вирусов.
Title: Re: Win32: Evo-Gen
Post by: Adov on November 29, 2013, 08:37:46 AM
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 29, 2013, 05:44:16 PM
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.

отлично!  :D

ради интереса написал простой hello world! кто угадает, что на него говорит аваст, тот молодец:
http://www.sendspace.com/file/7o3yz1 (http://www.sendspace.com/file/7o3yz1)

надо бы обратиться с этой злющей программой в форму обратной связи аваста  ;D
Title: Re: Win32: Evo-Gen
Post by: Stdlib on November 29, 2013, 07:23:19 PM
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.

отлично!  :D

ради интереса написал простой hello world! кто угадает, что на него говорит аваст, тот молодец:
http://www.sendspace.com/file/7o3yz1 (http://www.sendspace.com/file/7o3yz1)

надо бы обратиться с этой злющей программой в форму обратной связи аваста  ;D
Я тут Вашу программу чуть модифицировал (надеюсь она не была защищена авторским правом :). К сожалению, она перестала запускаться, но вредоносный функционал остался :)
http://www.sendspace.com/file/3pw8yp (http://www.sendspace.com/file/3pw8yp)
Title: Re: Win32: Evo-Gen
Post by: George_S on November 29, 2013, 08:31:30 PM
Раз уж пошла такая пьянка. А мне не привыкать пакостить ради общего дела: отправьте эти злые и неприемлимые фолсы в VB, av-comparatives, av-test и т.д. Пусть провалят тесты авастовцы, чтоб неладно было так программистам жизнь портить :)

А то честно говоря: не дело в реестр лезть и отключать "передовую" технологию. Тут действительно не работает принцип "перебздеть, чтобы недобздеть". Тут надо наказать: и как уже подсказал. Думаю, быстро отрезвеют фолсовые дятлы аваста и их быстро уволят.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on November 30, 2013, 11:46:24 PM
Я тут Вашу программу чуть модифицировал (надеюсь она не была защищена авторским правом :). К сожалению, она перестала запускаться, но вредоносный функционал остался :)
http://www.sendspace.com/file/3pw8yp (http://www.sendspace.com/file/3pw8yp)
ну что Вы! это фриваре  :)
вот это я понимаю пердовая технология. просто детектит "огрызок" файла - РЕ заголовок  ;D
уж простите за флуд - но это действительно цирк.
Title: Re: Win32: Evo-Gen
Post by: Stdlib on December 01, 2013, 06:53:58 AM
Раз уж пошла такая пьянка. А мне не привыкать пакостить ради общего дела: отправьте эти злые и неприемлимые фолсы в VB, av-comparatives, av-test и т.д. Пусть провалят тесты авастовцы, чтоб неладно было так программистам жизнь портить :)

А то честно говоря: не дело в реестр лезть и отключать "передовую" технологию. Тут действительно не работает принцип "перебздеть, чтобы недобздеть". Тут надо наказать: и как уже подсказал. Думаю, быстро отрезвеют фолсовые дятлы аваста и их быстро уволят.
Спасибо за идею, попробуем. Также завтра проинформирую Министерство Финансов на счет детектов в их софте, посмотрим что они скажут.
Title: Re: Win32: Evo-Gen
Post by: user_w7 on December 01, 2013, 02:02:18 PM
За 3 года пользования avast скажу так - отличная помощь к "прямым рукам"(не сочтите за грубость ТС).
У самого дома стоит связка-free avast(только файловый монитор) и firewall comodо,причем последний работает без gui, т.е. настраиваю, а за тем убираю из автозагрузки cfp.exe для экономии, пашет только cmdagent-все легко и надежно.
Насчет delphi-сам пользуюсь изредка hiasm(бесплатный конструктор)и компилятором delphi, так вот аваст детектирует evo-gen только в проектах с прямым доступам к клавиатуре либо диску, на другие молчит-решил просто-папку с проектами и готовым софтом поставил в исключение-да не очень хорошо для безопасности, но если антивирус подстраховывает меня(а не я его), почему бы и нет.
Насчет бухгалтерских программ-на работе тоже на всех машинах аваст(offline update- это супер) и программы для работы с банком(пр.Клиент-Банк), Radius, программы работающие с базами данных Oracle, Firebird, есть программы Smeta,Zarplata-и все работает.Единственное-при первом запуске программы для ЭЦП спросил что делать-добавил в исключение.Почему у Вас ТС так-может программы работают с дополнительными редкими библиотеками на которые он и срабатывает, так и поставьте их в исключение.
Да, детект у аваста конечно немного параноидальный, но мне например файловый монитор аваста нравится больше, чем например у антивируса от comodo-размер баз(для меня очень актуально) и опять таки легкость.
И вообще-ставил другим людям, так вот один друг год назад позвал, у него стоял платный антивирус(не буду называть) и лицензия-скачал игрушку(с вшитым трояном) не ведомо откуда, которая платник завалила, и чего-то там куда-то отсылала,а вот на ресурсы с антивирусами заходить не давала.Аваст таки установил, и сканирование на автозагрузке убрала трояна(мелочи типа файла hosts-ручками,или avz), но гарантировать что он меня снова не позовет не стану, и дело не в авасте-друг качает все что "нипопадя"(ликбез я ему прочитал,но толку...) и шастает в сети куда попало.
Мой пост не ода себе или авасту - операционная система конечно у всех одна и та же(и имя её WINDOWS*), но вот то чем она напичкана(пр. антивирус) и как настроена будет сильно их отличать, соответственно и подходы где-то будут другими.Пробуйте, ищите, если форум не сталкивался с подобным.
Форум не занимается разработкой-это коллективное собрание таких же юзеров, среди которых есть продвинутые, которые и пишут в разработчикам коллективное мнение,но все исключительно на добровольных началах, зарплату они за это не получают.
Title: Re: Win32: Evo-Gen
Post by: Stdlib on December 01, 2013, 08:30:26 PM
Хотел верхний пост детально откомментировать, но видно, что писал человек не совсем разбирающийся в антивирусах. Добавлять все в исключения - не дело. Можно вообще все тогда добавить, получится что есть антивирус, что нет - одно и то же.
"аваст детектирует evo-gen только в проектах с прямым доступам к клавиатуре либо диску" что здесь Вы имеете в виду? Функции для работы с клавиатурой и диском? Или именно прямой доступ. Откуда вообще такой вывод? Попробуйте удалить все, кроме начала секции кода, посмотрите на результат.
Про бухгалтерские программы говорю конкретно - АС УРМ Бюджет http://www.krista.ru/budget/ и АС «Смета»  http://www.krista.ru/smeta/ при запуске определяются как Evo-Gen (не сами, конечно, некоторые компоненты, но без этих компонентов программы неработоспособны).
Про comodo - без комментариев, антивирус на уровне ClamAV, нашли с чем сравнивать.
P.S. сегодня отписал на av-test, av-comparatives и vb как и советовали, посмотрим что выйдет из этого.
Title: Re: Win32: Evo-Gen
Post by: Stdlib on December 02, 2013, 11:50:48 AM
Всем кому не безразлична данная проблема сообщаю: вчера получил ответ от AV-Comparatives. У кого еще есть софт, определяющийся как Evo-Gen шлите на мыло stdlib@bk.ru. На следующей неделе свою коллекцию Evo-Gen'ов и все что мне пришлют отправлю в AV-Comparatives, все это будет использоваться у них в качестве тестового софта.
Title: Re: Win32: Evo-Gen
Post by: sergofun on December 04, 2013, 01:11:15 PM
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета
Да пусть эти минфинофские поделки вкупе с АС Бюджет вечно в бане сидят. Может хоть аваст научит этих программеров создавать свои детища, используя brain.exe и hands.dll. Удивительное дело когда программа диктует исполнителю что делать и без бумажки не может закрыть исполненный контракт =)
P.S.: фалс аваста с Evo-Gen категорически не одобряю.
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on December 08, 2013, 06:33:24 PM
были отправлены 3 письма по вышеуказанным компниям. ответила только AV-Comparatives. были запрошены примеры, предоставил сэмпл (ехе файл) нашего проекта и приведенный выше кусок пе заголовка для примера. после чего мне было предложено открыть доступ к нашим файлам, откуда бы они брали новые версии и уже сами "тыкали носом" аваст.

я на это ответил, что мне такое не нужно. что прошу вас обратить внимание на проблему, принять во внимание эти фолсы в последующих тестах и связаться с авастом непосредственно.
ну после этого ответа не последовало...
так что, товарищи программисты, советуйте пользователям выбирать более умные антивирусные защиты.
Title: Re: Win32: Evo-Gen
Post by: Dima DD on December 10, 2013, 09:25:08 PM
А я вот просто отредактировал Avast5.ini (лишь добавил там строчку "DisableEvogen=1" в секцию "[Scanner]", отключив на время самозащиту и перезагрузившись) - и всё, теперь никаких Эвогенов нет и в помине! 8)
Title: Re: Win32: Evo-Gen
Post by: I will obey forum rules on December 10, 2013, 10:54:33 PM
А я вот просто отредактировал Avast5.ini (лишь добавил там строчку "DisableEvogen=1" в секцию "[Scanner]", отключив на время самозащиту и перезагрузившись) - и всё, теперь никаких Эвогенов нет и в помине! 8)
счастливый домашний пользователь 1го рабочего места :(
Title: Re: Win32: Evo-Gen
Post by: w5277c on March 01, 2014, 09:14:42 AM
Специально прошел регистрацию, чтобы оставить отзыв.

Ну так вот, полностью соглашусь с автором топика.
Только что снес Аваст после многих лет использования. Та же участь ждет Аваст на остальных моих машинах.
Лично для меня Аваст стал большим злом, чем угроза от вирусов.

Жаль.

P.S. У вас там что, руководство сменилось, или взвод маркетологов набрали?...

И немного оффтопа:
Меня в последнее время сильно удивляют люди старающиеся всеми правдами и неправдами омрачить здравое суждение, уменьшить значимость, унизить автора, устроить срачь и тому подобное.
И таких людей становится все больше и больше. Куда вы все катитесь? Что будет с этим обществом, когда повзрослеет поколение взращенное на ваших комментариях?...
Title: Re: Win32: Evo-Gen
Post by: afix on March 01, 2014, 10:13:08 AM
Здравствуйте,я понимаю Ваши эмоции и разделяю Ваше недовольство.Но с этими претензиями Вы обращаетесь не по адресу: мы понятия не имеем.что там происходит в структурах Аваста — МЫ ПРОСТЫЕ ПОЛЬЗОВАТЕЛИ,КАК И ВЫ. Лично я не перехожу на последнюю версию Аваста,потому что не хочу получить головную боль и сижу на стабильной 8-й версии. Если Вы программист,создаёте какие-то программки,то есть смысл пользоваться другим антивирусным продуктом раз такое дело,имхо...
Title: Re: Win32: Evo-Gen
Post by: w5277c on March 02, 2014, 11:35:50 PM
Сотрудники Аваста настолько клиентоориентированы, что даже не читают форум на своей площадке?... :D
Title: Re: Win32: Evo-Gen
Post by: George Yves on March 03, 2014, 04:19:23 AM
Сотрудники Аваста настолько клиентоориентированы, что даже не читают форум на своей площадке?... :D
Аваст - чешская фирма, не российская и не транснациональная корпорация с многонациональным штатом. Как и во всём современном мире многие там владеют английским, но считанные единицы свободно владеют русским, поэтому и форум у них англоязычный. Секции на других языках здесь - это помощь для тех, кто не знает английского, но может получить быстрое и понятное содействие от своих соотечественников. Если существует необходимость связаться непосредственно с сотрудниками компании, то для этого можно использовать форму для письменных обращений или просить помочь тех, кто владеет английским обратиться к разработчикам.
Title: Re: Win32: Evo-Gen
Post by: arte504 on August 28, 2014, 08:23:17 AM
Всем привет!У меня тут проблема:друг попросил проверить его творение из Visual Studio.А Аваст выдал мне Win32:Evo-Gen.Что мне делать?
Title: Re: Win32: Evo-Gen
Post by: Andrey,pro on August 28, 2014, 09:16:44 AM
arte504, здравствуйте и добро пожаловать на форум!

Рекомендую проверить этот файл на  virustotal (https://www.virustotal.com/ru/). Возможно, это ложное срабатывание.
Title: Re: Win32: Evo-Gen
Post by: Ivanych on August 28, 2014, 11:56:44 PM
arte504, здравствуйте и добро пожаловать на форум!Рекомендую проверить этот файл на  virustotal (https://www.virustotal.com/ru/). Возможно, это ложное срабатывание.
У меня вчера вдруг AIS при экспресс-сканировании забрал файл из программы и поместил его в карантин.Программа стоит аж с 2010 года.Я зашёл в карантин,выделил файл,кликнул на надпись Послать в лабораторию,затем заполнил все поля в окошке,написал через переводчик пояснение к файлу и приготовил его послать при следующем обновлении базы определений вирусов в лабораторию.Обновление базы произошло и я прямо в карантине проверил файл.Сообщение-вирус!Файл был отправлен в лабораторию.Опять прошло обновление базы и я опять проверил файл.Сообщение-чисто!Я прямо оттуда этот файл восстановил на своё старое место.Запустил программу и у AIS крутился шарик,но сообщений больше не было.Так что лучше прямо из Карантина посылать тикет вместе с файлом,быстрее будет результат.Пробуйте!
Title: Re: Win32: Evo-Gen
Post by: Black_SOKOL_163 on August 30, 2014, 11:40:31 AM
Уважаемый автор, а вы лицензионное ПО используете для написания программ?
Title: Re: Win32: Evo-Gen
Post by: Hellboy_360 on August 12, 2015, 07:37:47 PM
на 10 винду установил плиточную игру из маркета, АИС множит файл .dll, относящийся к ней, в карантине с формулировкой данной угрозы, как быть, нужны ли логи?
Title: Re: Win32: Evo-Gen
Post by: George Yves on August 13, 2015, 02:56:02 AM
Угроза Evo-gen обычно определяется не по подписям из антивирусной базы, а методом эвристического анализа. Этот метод антивирусного обнаружения не очень достоверен, потому как всего лишь предполагает наличие угрозы, а не уверен в ней. Здесь необходимо вмешательство пользователя: если Вы уверены в безопасности файла, то сначала отправьте из карантина его копию в антивирусную лабораторию Аваста с пометкой "ложное срабатывание", затем или верните файл на прежнее место или установите программу заново, но при временно отключенных экранах Аваста и занесите файл в список исключений.
Title: Re: Win32: Evo-Gen
Post by: serjil on August 13, 2015, 12:14:54 PM
Сегодня Аваст (Free) выдал Win32:Evo-gen [Susp] в кеше Оперы.
Не обращать внимания или что-то предпринимать (Опера работает с отправленными в карантин)?
Title: Re: Win32: Evo-Gen
Post by: George Yves on August 13, 2015, 04:53:02 PM
А если просто очистить кэш?
Title: Re: Win32: Evo-Gen
Post by: Hellboy_360 on August 13, 2015, 04:56:05 PM
Я проделал, что посоветовали выше, пришло сообщение, показанное во вложении. Имеется ввиду обновление сигнатур? И должны ли мне как-то ответить в саппорте по данной отсылке?
Title: Re: Win32: Evo-Gen
Post by: George Yves on August 13, 2015, 05:04:37 PM
Образец будет отправлен с Вашего компьютера в лабораторию во время ближайшего сеанса обновления вирусных баз. Лаборатория может связаться с Вами, но только если потребуется дополнительная информация.
Title: Re: Win32: Evo-Gen
Post by: Hellboy_360 on August 15, 2015, 01:08:05 PM
После отсылки в лабораторию указанный файл перестал помещаться в карантин, big thanks!
Title: Re: Win32: Evo-Gen
Post by: Евгений10 on November 22, 2015, 07:43:30 AM
Отправил сегодня в лаб плеер написанный мной на делфи, до этого АИС его не определял.
Title: Re: Win32: Evo-Gen
Post by: vlad98 on November 22, 2015, 12:36:31 PM
Топикстартер - "Работаю в госучреждении". "Госучереждение" - это случаем не лаборатория касперского? :D И ваще, вам же вроде запретили пользоваться в ваших "госучереждениях" импортным софтом при наличии отечественных аналогов? Нарушаете распоряжения правительства Российской Федерации? ;)
Title: Re: Win32: Evo-Gen
Post by: alextr437 on February 10, 2016, 07:42:57 PM
Топикстартер - "Работаю в госучреждении". "Госучереждение" - это случаем не лаборатория касперского? :D И ваще, вам же вроде запретили пользоваться в ваших "госучереждениях" импортным софтом при наличии отечественных аналогов? Нарушаете распоряжения правительства Российской Федерации? ;)
Если модераторы удалили мое сообщение, то почему не удаляют то, которое я процитировал? Оно абсолютно бессодержательно и к теме не относится.
Повторюсь, что тема создана в 2013 году, когда правительство Российской Федерации еще не выпускало таких идиотских распоряжений. Опять любители двойных стандартов удалят?

В тему залез, потому что у меня схожая проблема. Написанная мной прога, которую надо отправлять клиентам, определяется как evo-gen. Причем еще неделю назад не определялась, стала определяться когда я буквально пару строк изменил (отчего заголовок экзешника по идее вообще не мог измениться). Отправил сегодня в службу поддержки, посмотрим как поможет.
Title: Re: Win32: Evo-Gen
Post by: vlad98 on February 10, 2016, 08:20:30 PM
Топикстартер - "Работаю в госучреждении". "Госучереждение" - это случаем не лаборатория касперского? :D И ваще, вам же вроде запретили пользоваться в ваших "госучереждениях" импортным софтом при наличии отечественных аналогов? Нарушаете распоряжения правительства Российской Федерации? ;)
Если модераторы удалили мое сообщение, то почему не удаляют то, которое я процитировал? Оно абсолютно бессодержательно и к теме не относится.
Повторюсь, что тема создана в 2013 году, когда правительство Российской Федерации еще не выпускало таких идиотских распоряжений. Опять любители двойных стандартов удалят?

В тему залез, потому что у меня схожая проблема. Написанная мной прога, которую надо отправлять клиентам, определяется как evo-gen. Причем еще неделю назад не определялась, стала определяться когда я буквально пару строк изменил (отчего заголовок экзешника по идее вообще не мог измениться). Отправил сегодня в службу поддержки, посмотрим как поможет.
Пользуюсь сам везде Авастом, НО ... почему и в 2013 году госучреждения пользовались иностранным софтом при наличии как минимум адекватных отечественных аналогов? Вот отсюда и растёт коррупция и стоны по поводу отсутствия отечественного софта. Отечественного производителя то надо поддерживать. Физлиц никто не заставляет пользоваться "доктором" или каспером, но госструктуры просто обязаны. В разрезе национальной безопасности (в том числе экономической) никакие разговоры про конкуренцию и "рыночные отношения" приниматься не могут априори. Тут конкуренция может быть только МЕЖДУ ОТЕЧЕСТВЕННЫМИ разработчиками. Не в то время живём. Я представляю если бы конгресс США в 2013 году рассматривал вопрос о применении на служебных компах "каспера". Да сенатор Маккейн из штанов бы выпрыгнул. А тут работник госструктуры (если не врёт) всерьёз занимается обсуждением импортного софта при наличии отечественных аналогов.
Title: Re: Win32: Evo-Gen
Post by: alextr437 on February 11, 2016, 10:40:19 AM
Уф, кажется сам разобрался. Ну это ж надо какой дурной Аваст...
Прога формирует файл, я в начало файла писал нужное мне число в виде строки "001". После добавления этой строки Аваст и начал ругаться. Сейчас ввел переменную и он заткнулся.

То есть так ему подозрительно:
ostr << "001";

А так ему норм:
string tmp = "001";
ostr << tmp;

В чем логика?