Avast путает Win32.Gael.3666 и Win32:Tenga (Исправлен)

[Дмитрий (u010602)]

Собственно подхватил вирус с флешки.
Аваст его пропустил, потом нашел зараженный процесс но ни вылечить ни заблокировать его не смог.
Зато переместил в карантин кучу других файлов.
Вирус опознается как Win32:Tenga.

При тестировании во время загрузки, не лечит, а только удаляет.

Запустил DrWeb CureIT v6. Он опознал вирус как Win32.Gael.3666 и вылечил все файлы.

Теперь ОС грузится, программы запускаются.

Аваст у меня бесплатный, 7 версии, авто обновления включены. Две системы XP x86 и Win7 x64. Поведение одинаковое на обоих системах.

[military]

файл отправьте в лабораторию http://www.avast.com/ru-ru/contact-form.php?loadStyles
лечить аваст нормально не умеет, ни для кого не секрет. сомневаюсь что в скором времени пофиксят лечение  ))

[Дмитрий (u010602)]

Ясно, спасибо за ответ, если честно не доводилось до этого лечить при помощи аваста, восновном он блокировал заразу до заражения.
Буду знать что он не лечит.
Файл был отправлен автоматически и не один.)
Без лечения конечно не полноценный антивирус выходит....

[military]

Без лечения конечно не полноценный антивирус выходит....

скажу по секрету, что нормально лечат всего полтора антивируса.
Вот здесь можете посмотреть наши тесты. По сути  лечит только Битдефендер и иногда (по половинке  ) это КИС, Веб и Mse.
Многие вендоры официально отказываются от этой функции в сторону предотвращения заражения.

[George Yves]

лечить аваст нормально не умеет, ни для кого не секрет. сомневаюсь что в скором времени пофиксят лечение  ))

Современные программы имеют настолько сложный и разнообразный код, а сами зловреды настолько сложны, что "выкусывание" зловредов становится чрезвычайно трудной задачей. Можно удалить тело зловреда, если оно представляет отдельный файл, но как быть с остатками его "жизнедеятельности"? Для этого может потребоваться значительное увеличение как размеров антивируса, так и потребляемых им ресурсов. Поэтому антивирусу лучше заниматься прежде всего предотвращением заражений, а удаление заражений оставить отдельным утилитам.

[Дмитрий (u010602)]

military, спасибо за инфу.


George Yves.
Допустим. Согласен, что если вынос функции лечения в другой продукт позволит повысить качество основного продукта, и снизить стоимость его разработки, то это обосновано.

Но, есть несколько но.
Аваст
1) не заблокировал угрозу
2) не остановил заражение (примерно 4000 заражённых файлов за сутки работы без тревог)
3) не определил правильно вирус
4) не предложил скачать или купить продукт, который лечит, а просто начал с компетентным "лицом" удалять все исполняемые файлы в системе

Имхо, вреда от такого лечения столько же, сколько от вируса, после обоих мы имеем не рабочую систему.

И это все при том, что вирусу уже лет и лет.

я уже молчу о том что скорость проверки намного ниже чем у того же бесплатного CureIT

Прошу прощения за тон, я не знаю имеете ли вы отношение к разработчикам, но коль вы взяли на себя роль адвоката дьявола, то мои эмоции достались вам ))

[Дмитрий (u010602)]

Сорри за оффтоп, не нашел как писать тут в личку...

Military, былобы еще очень интересно узнать сколько ресурсов жрет тото или иной АнтиВирус.
Так сказать вы исследовали только качество, а если еще знать цену в рессурсах компа, то можно найти оптимальный вариант.

Я лично использовал и веб и кис, и отказался из-за низкой скорости работы. Кис вообще тормозит любую систему до уровня старого компа.

п.с. было бы прикольно если бы антивирусы не только на сам файл смотрели а еще и на окружение, я когда в папке с фотками увидел exe файл, сразу понял что вирус, но было поздно.

[George Yves]

К сожалению, должен заметить, что виновника заражения Вы можете увидеть в зеркале. По Вашим словам, вирус попал на Ваш компьютер через флэшку, а это значит, что Вы нарушили одну из главных антивирусных процедур.

После подключения флэшки (или любого другого внешнего носителя) Аваст проверяет расположенный там в корне файл автозапуска autorun.inf. Если этот файл изменён вирусом, то Аваст его блокирует, не позволяя запуститься вирусу. На этом автоматическое сканирование завершается. Дальше пользователь должен не открывать флэшку из меню автозапуска, а закрыв его, открыть папку Мой компьютер и произвести сканирование флэшки из контекстного меню Проводника. Только после проверки и (возможного) удаления вирусов флэшку можно открывать.

Если бы Вы правильно и полностью выполнили эту классическую процедуру, то вирус не смог бы попасть к Вам на компьютер.

=========

Чтобы использовать систему личных сообщений, а также изменить свой профиль, все новички форума должны набрать не менее 20 сообщений.

[military]

u010602, по поводу потребления ресурсов это все индивидуально. Вот здесь мы выкладываем результаты потребления ресурсов. У каждого по разному, вы понимаете что влияют различные факторы и магнитный бури в том числе. 
Например в той теме наверное у одного меня каспер очень много кушал, различные танцы с бубном мне не помогли. На том же форуме можно почитать отзывы об авасте, и там и здесь и на других формах тоже можно сделать вывод, что все индивидуально. Например я пользуюсь бета версией аваста, успел пару дней попользоваться первой бетой, сейчас второй текущей пользуюсь, ни каких глюков, багов, бсодов нет было. (для успокоения сделал бэкап системы).
Скажите, получается  аваст сигнатурно не определял вирус, заражение, отсюда следовательно и даже попробовать лечить не мог. нужна сигнатурна для лечения. Или же заражение файлов обнаружил сразу?
Экран поведения, песочница столи в режиме Спрашивать ли на автомате?
Если вирус остался, скиньте пожалуйста в ЛС поиграться. Может и в самом деле откопаем баг? например у некоторых антивирусов (Нортон) есть очень интересные механизмы (фичи) защиты, но они в основном защизают от попадания файлов из инета, на флешках же антивирус хуже работает (из-за того что те фичи (Download Isight) не предназначен для флешок). Может и у аваста чего такого? это мысли в слух..

[Дмитрий (u010602)]

Авто запуск на флешке отключен, для просмотря использую TotalCommander. Проверку флешек, скачаных файлов и прочих источников вручную ни провожу ни когда, считаю это не допустимым с точки зрения своего комфорта. Другими словами я скорее буду искать антивирус который сам все проверит где надо, чем буду сканировать и ждать пока проверят 16 гиг файло помойки, из которых мне нужны только 100 метров фоток.
Ну и в целом, у меня вызывает неприятные эмоции тот факт что мне пришлось морочиться с антивирусами, я как пользователь хочу чтобы антивирус работал как имунная система - не заметно для меня, без моего сознательного вмешательства.

п.с. как разработчик я вас конечно понимаю, это не баг а фича, а все юзеры тупые и не хотят хоть чуть чуть думать, а по факту так это и есть поэтому улыбаемся и чиним))

[Дмитрий (u010602)]

Military, спасибо за инфу еще раз)
Песочница включена, при обнаружении сначала лечит а потом спрашивает если не удалось.
Файл прикреплю.
Первый процесс на который кричал аваст был ВинАмп, он вылез и предложил мне проиграть флешку, раньше я такого не замечал. После этого аваст кричал что винамп заражает файлы, и отправлял файлы в карантин, но винамп не закрывал.
Через диспетчер винамп закрыть не удалось, сообщения об ошибки не было. Система лагала но согласно мониторам ресурсов ни диск ни цпу загружены не были.
В итоге все улеглось, система не перезагружалась дня
 три. После перезагрузки файл userinit.exe оказался corrupted и вход осуществить не удалось.
Дальше загрузка в вин7, там все программы не являлись исполнимыми файлами. Пере установил аваст, запустил проверку, начались удаления.
Прервал и скачал доктора веба ).
Файл прикрепил. Сейчас аваст кричит на него, а в тот раз как то пропустил, мистика.

https://rapidshare.com/files/1880948347/iexplore.piz
это архив zip

ЛС я тут упорно не нахожу

[George Yves]

считаю это не допустимым с точки зрения своего комфорта

Одна из глупейших сентенций. Может тогда, ради своего комфорта, не надо и раздеваться перед сном, ведь потом опять надо будет одеваться?

я как пользователь хочу чтобы антивирус работал как имунная система - не заметно для меня, без моего сознательного вмешательства.

Ещё одна глупость. Та же имунная система не работает незаметно. Мы все чихаем, кашляем и т.п., когда в нас попадает вирус, и никакая имунная система не может предотвратить заражение, если человек не использует профилактические меры - моет руки перед едой, делает прививки и т.д.

ЛС я тут упорно не нахожу

Повторяю: чтобы использовать систему личных сообщений, а также изменить свой профиль, все новички форума должны набрать не менее 20 сообщений.

[Дмитрий (u010602)]

Раздеваться перед сном дело добровольное, и вовсе не обязательное.
Я не против того чтобы мой компьютер чихал и кашлял.
Животные не соблюдают гигиену и нормально себя чухают.
Но в целом развивать дальше тему с аналогиями я не вижу смысла, это все оффтоп и исправить ошибку ни как не поможет.

Если хотите без аналогии, то монитор файловой системы должен проверять все виды доступа к носителям информации, будь то чтение, запись или исполнение, в этом случае он по какой-то причине облажался.
Также как и база сигнатур. Соответственно это и есть тема разговора.

П.С.
я завел тему только для того чтобы сообщить об ошибке и ответить на вопросы которые возникнут у разработчиков. От military я узнал несколько новых вещей за что ему спасибо, от вас нет. Очень надеюсь что вы не сотрудник компании Аваст, потому что вы ведете себя довольно бесцеремонно, если вы не возражаете я бы хотел закончить наше с вами общение, и не захламлять тему нашими явно различными мнениями.

[George Yves]

u010602
Извините, но я не могу оставить Ваше сообщение без ответа.

Раздеваться перед сном дело добровольное, и вовсе не обязательное.
Я не против того чтобы мой компьютер чихал и кашлял.

Соблюдение правил гигиены дело не добровольное, а обязательное, если нет желания заболеть. То же относится и к гигиене компьютера.

Животные не соблюдают гигиену и нормально себя чухают.

Неправда. Посмотрите хотя бы на кошек, вылизывающих свой мех, или на обезьян, выискивающих друг у друга паразитов.

монитор файловой системы должен проверять все виды доступа к носителям информации, будь то чтение, запись или исполнение,

Экран файловой системы реагирует на активные заражения. Если зловред не запустился (не появился в процессах), то найти его без принудительной проверки нельзя. И если Вы желаете увеличить вероятность его выявления, то повысьте уровень эвристического анализа.

Очень надеюсь что вы не сотрудник компании Аваст, потому что вы ведете себя довольно бесцеремонно,

Кто есть кто на форуме. И не сваливайте с больной головы на здоровую говоря о бесцеремонности. Не я безаппеляционно и бесцеремонно утверждал здесь, что Аваст "облажался". Просто никогда нельзя забывать, что самый главный антивирус сидит перед экраном монитора компьютера.

[military]

Сигнатурно уже определяет файловым монитором. Отключил файловый монитор, оставил автопесочницу и экран поведения, на запуск реакции не было. Возможно, что не правильно поступил - в теории, на практике даже таким образом аваст рубит винлоки. Сначала оставил на 10 минут, перезагрузка, проверка mbam hitman, killswitch чисто. Оставил систему на час, завис, перезагрузка, запуск hitman pro и bsod (такое бывает при заражениях), повторный тест: заражение, оставил в простое на длительное время, жуткие тормаза, запуск killswitch , bsod, система зависает на загрузке. Мой личный вывод, что аваст таки не справился с тестом. 
Мое мнение об авасте не поменялось, продолжаю им пользоваться и считаю его хорошим антивирусом. Свое мнение построил на тестах, легкий бесплатный аваст опережает по тестам некоторых платных антивирусов.
u010602, если аваст все же вам симпатичен, то возможно стоит с ним по лучше познакомиться. Вы ведь знаете, что пропускают все.
А остальные пользователи могут быть спокойны, теперь аваст сигнатурно обнаруживает вирус  Win32.Gael. ))