» ОБЗОР АНТИВИРУСОВ ПОД WINDOWS XP

http://nod32.newmail.ru/DREG-based.exe
пароль 12345
эти 2 файла завешивают DRWeb 4.29b при лечении.

biomednet

Цитата:

12:29 отправлено письмо с вирусами Касперу
12:47 прочтено...

Далее как я понял идет ответ KAV? Выходит что ответили практически сразу?
Странно я вот тоже отправлял только в ID Lab еще 13 числа. Ответа досихпор нет ...

xintre
Очень сильно зависит от типа запроса.

Цитата:

Hi, biomednet!



U> Hello, support@kaspersky.com. Пароль на архив 12345

U> После Касперского в режиме избыточного сканирования
U> "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe"
U> -redundant /s "C:\!!!_Virii"
U> вслед за ним прошелся DRWeb

>Macro.Access.MiPirat инфицирован A97M.MiPirat
>Macro.Access.Detox.a инфицирован A97M.Tox

Ложные срабатывания Dr.Web.
В этих файлах были вирусы, но они были вылечены AVP.


--
Regards, Aleks Gostev
Virus analyst, Kaspersky Lab.

Добавлено
Продолжение истории

Цитата:

Добрый день!

> Apparition.700.a инфицирован Apparition.700
> Natas.4988 инфицирован модификацией SUPD.based
> Ahav.383 инфицирован Ahav.383
> DREG-based инфицирован DREG.based
> Pixel.Hydra.372 инфицирован Alabama.dropper.1560
> GYNX.1000 , возможно, инфицирован COM.TSR.Virus
> Nado.CyberBug.1478 , возможно, инфицирован COM.EXE.TSR.Virus
> Murphy.Delirium.1638 , возможно, инфицирован COM.EXE.TSR.Virus
> Murphy.Delirium.1778, возможно, инфицирован COM.EXE.Virus
> Murphy.Delirium.1780, возможно, инфицирован COM.EXE.Virus
> Die.800 , возможно, инфицирован COM.EXE.TSR.Virus
> Die.803 , возможно, инфицирован COM.EXE.TSR.Virus
> Murphy.Lock , возможно, инфицирован COM.EXE.TSR.Virus
> Murphy.Pest , возможно, инфицирован COM.EXE.Virus

В этих файлах обнаружены дропперы известных вирусов.
Будут добавлены в ежедневное дополнение антивирусных баз.

> Macro.Excel.Queen инфицирован XM.Hit
> Macro.Access.MiPirat инфицирован A97M.MiPirat
> Macro.Excel.Robocop инфицирован XM.Robocop
> Macro.Access.Detox.a инфицирован A97M.Tox

Эти файлы помещены в очередь на обработку.

> Java.StrangeBrew инфицирован Java.StrangeBrew

Этот файл - вылечен. Код вируса из него - удален.

> Athens.1463 , возможно, инфицирован EXE.TSR.Virus

Этот файл помещен в очередь на обработку.

Jerusalem.Sunday.Satan

Содержит остатки вируса Jerusalem.

Best regards,
Valentin
___________________________________________________
Valentin Kolesnikov,
Kaspersky Labs

albel
Тоесть? Я написал им что так и так KAV определяет Dr.web нет, в чем дело. и прикрепил архив с вирусами. Тоесть тоже самое, что и отправлено biomednet'ом в KAV, только вирусов побольше... раз в 15

biomednet

Цитата:

Вот почему
Зацикливается на проверке и лечении ОДНОГО и ТОГО же файла.

убрать просто этот файл.

Ложные срабатывания Dr.Web.
В этих файлах были вирусы, но они были вылечены AVP.

ИМХО, Каспер плохо вылечил, если остались такие большие остатки вирусного кода, что Вэб их принимает за вирус.
Далее, Динилову я отправил 54 подозрительных обьекта и 2 файла- завешивающих его прогу.
ИМХО, скоро выйдет новая версия DrWeb!!!

Добавлено

Цитата:

убрать просто этот файл

их 2 уже и каждый раз начинать тестирование с нуля неудобно.
Пусть баги пофиксит, потом теститься будет


Добавлено

Цитата:

> Java.StrangeBrew инфицирован Java.StrangeBrew

Этот файл - вылечен. Код вируса из него - удален.

Неужели? А с чего тогда DrWeb его видит? Если код и в самом деле удален.

Добавлено

Цитата:

В этих файлах обнаружены дропперы известных вирусов.
Будут добавлены в ежедневное дополнение антивирусных баз

Во как! Эвристика у DrWeb нехилая однако...

Добавлено
BAT.MF.227
BAT.MF.251
Jerusalem.Zipeater
DREG-based
эти файлы завешивают DrEb 4.29b при лечении

периодически не совпадали количества перемещенных и подозрительных обьектов в обе стороны, так что все это странно....
Похоже Доктора самого лечить надо.
Эвристика у него сильная.
А Каспер тянет за счет избыточнго сканирования и огромных баз и превосходного суппорта, не идущего в конкуренции с суппортом(точнее его отсутствием) у нода и Данилова.
Проверено 7816+4 ( см. выше, что за 4 файла)
Инфицировано 6879+4 ( 6883)
Модификаций 116

подозрительных 195 а перемещено 197 (?!)
вылечил 3056
удалил 3902

вылечил/удалил(переместил)| сумма
Каспер 3652/3874|7526
DrWeb 3056/3902(197)| 7155(+4)= 6958 (7155+4=7159)
теперь смотрим - DrWeb утверждает, что Инфицировано 6879+4 ( 6883)
а на самом деле(?) 6958 по общей сумме.
Ничего не понимаю!!!

Добавлено
Дядя Питти (Norton Antivirus 2003 Pro сегодняшнее обновление)
Проверил 7767
Инфицировано 6984
Вылечил 1737
Удалил 5228
ошибка удаления 19 файлов
Вот интересный пример
The compressed file LIFE_S~1.VBS within C:\!!!_Virii\I-Worm.Scrapworm is infected with the VBS.Stages.A virus.
The compressed file Unknown00000000.data within C:\!!!
_Virii\HTML.NoWarn.a is infected with the VBS.Noarn.A virus.
The compressed file Unknown00000000.data within C:\!!!_Virii\BAT.MidText is infected with the Bloodhound.File.String virus.
The compressed file Unknown00000000.data within C:\!!!_Virii\I-Worm.STD.c is infected with the W32.STD.D virus.
The compressed file Unknown00000000.data within C:\!!!_Virii\BAT.Vir94 is infected with the BAT.Vir94 virus.

Не понял, что за Unknown00000000.data
Этого файла не было изначально.

Итак на очереди панда платинум....
Интересно, кроме НОДа и DrWeb'а у кого-либо есть эвристика?

biomednet
Создается впечатление, что Вы имеете весьма и весьма слабое представление о предмете Ваших изысканий.
Эвристическим анализатором обладают все современные антивирусные комплексы.

Цитата:

Неужели? А с чего тогда DrWeb его видит? Если код и в самом деле удален

S togo 4to a. U nego sliskom tupoy evristik - vidit virus tam gde egi netu!
b. to 4to ludi iz drweba vzali za otmetku v Av baze kusok koda kotoriy i v obi4nom faile takoyze!

DRWEB 4.29b prekrasno rabotaet pod XP. Posle obnovleniya ego nuzno kryaknut eche raz kak tolko on obnovlyaet EXE-shki ili *.dll

shurikh61

Здесь не Варезник .
Zi3y

Цитата:

Эвристическим анализатором обладают все современные антивирусные комплексы.

вопрос стоит о качестве этой эвристики.

Hi,All!
Кто-нить из вас Norman Virus Control тестировал?
А то он похоже трояны не видит.
Ктщ-нить протестируйте его please, если не трудно

Цитата:

http://nod32.newmail.ru/DREG-based.exe
пароль 12345

Супер! NAV CE 8.0 от 10.01 сразу обнаружил вирус:

Цитата:

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Dreg.1639
File: C:\Temp\DREG-based\DREG-based
Location: Quarantine
Computer: ***
User: ***
Action taken: Clean failed : Quarantine succeeded : Access denied
Date found: Sun Jan 19 01:53:03 2003

albel

Цитата:

вопрос стоит о качестве этой эвристики

Именно так. Хочу заметить, что DrWeb нашел 12 дропплеров после Касперского и тот это признал.
У Доктора Вэба единственного есть реальные сообщения о подозрительных обьектах, и многие среди них вирусы.
У Касперского я только на эксплоиты подозрения видел.
У Нортона вообще похоже куча проблем.
Короче я потестю Сейчас панду, потом Макафю, потом обязательно Норман - его вроде бы в одной статье хвалили, вот и посмотрим. Убедительная просьба в целях обьективности не пересылать пропущенные вирусы в сервисные службы до окончания проверки ( это если кто раньше потестит)

biomednet

Цитата:

DrWeb нашел 12 дропплеров после Касперского и тот это признал.

оч.хорошо, что Касперский это признал и обязался сразу исправить. Всё-таки служба поддержки у них одна из лучших.

Цитата:

Короче я потестю Сейчас панду, потом Макафю, потом обязательно Норман - его вроде бы в одной статье хвалили, вот и посмотрим.

Ждём с нетерпением

Панда временно отменяется, линки дохлые. Сорри.
Сейчас нормана тестю.

Добавлено
Норман не встал сканер. Обновился через интернет, полтора метра залил и говорит о неизвестной ошибке при запуске сканера. ( перегрузиться я не забыл)
Короче беда с этими мелкими малоизвестными антивирами.
Кроме кучи глюков ничего не получишь.
стираю нормана и тестю макафю.
Кстати где у нормана custom setup???!!!!
И интерефейс у сканера( через configuration editor)
вообще никакой. Либо дефолтные настройки либо игнор лист.
Полный отстой.

Меня не было несколько дней.Был очень занят.Приятно,что тему не забыли.Спасибо.
biomednet

Цитата:

Норман не встал сканер. Обновился через интернет, полтора метра залил и говорит о неизвестной ошибке при запуске сканера. ( перегрузиться я не забыл)
Короче беда с этими мелкими малоизвестными антивирами.
Кроме кучи глюков ничего не получишь.

Это Norman - мелкий и малоизвестный?!Ха-ха-ха!
И глючный?!!Ну,не надо,уважаемый...У меня создаётся впечатление,что Вы вообще не знакомитесь с неизвестными для Вас антивирусами.А зря.К ним привыкнуть надо...
А потом уже разбираться.
То что "не встал"(как это "не встал",не пойму)сканер,это уже у Вас что-то не то...
Не делайте,слышите,НЕ ДЕЛАЙТЕ НИКОГДА ПОСПЕШНЫХ ВЫВОДОВ!

DrInvizzi
Либо программа встает и работает как часы, либо она мелкая и глючная.
Вот макафя - почти все вылечила, на глаз больше чем каспер, но вот возьми и зависни на удалении одного из вирусов.
Как вот ее теперь отвиснуть? И что касается настроек и интерфейса - ИМХО, лучший DrWeb, А вот насьтройки в стиле макофи и нортона мне не нравятся.
Чисто субьективо. А вы чем меня учить, давно бы уже присоединились к тестированию..
Интерфейс должен быть удобным.

biomednet

Цитата:

Вот макафя - почти все вылечила, на глаз больше чем каспер, но вот возьми и зависни на удалении одного из вирусов.

Какого вируса?Интересно...

Цитата:

А вы чем меня учить, давно бы уже присоединились к тестированию..

К тестированию чего?Чего именно?

Цитата:

Либо программа встает и работает как часы, либо она мелкая и глючная.

Norman Virus Control встаёт и работает,как часы.Инсталляция,например,длится несколько секунд.Может у Вас ключа настоящего работающего нет?Тогда - другое дело.

biomednet
Попробуй протестить Sophos AV, у меня он единственный взял столько же вирусов, сколько Касперский и Drweb, правда, на очень маленькой базе вирусов.

DrInvizzi
только NVC вроде троянов не видит

Я проверил каждым антивирусом,стоящим у меня каждый на отдельной машине,ту базу,которую скачал по ссылкам,данным на предыдущих страницах.Правда,там вроде есть какой-то битый архив,я не разбирался...
А троянов Norman видит.Не всех,конечно,но видит.
Теперь об антивирусе,о котором я уже раньше вскользь упоминал.Похоже,его новые версии очень даже неплохие.Имя этого антивируса - Vexira Antivirus.Лично мне он понравился.Адрес сайта:
http://www.centralcommand.com/index.html
Итак,смотрите,что у меня показали тесты этих файлов:

Файлов в папке: 7 226

DrWeb 4.29b с базой на 19.01.2003

Проверено: 7375
Инфицированных: 6575
Модификаций: 107
Подозрительных: 166
Всего найденных: 6848
Время: 03.07 мин

AVP 3.5.1.6 с базой на 19.01.2003

Проверено: 7227
Инфицированных: 7226
Время: 01.43 мин

Norman Virus Control 5.5 с базой на 14.01.2003

Проверено: 7237
Инфицированных: 6052
Время сканирования: 51.44 мин

F-Prot Antivirus 3.12d с базой на 19.01.2003

Проверено: 7236
Инфицированных: 5945
Подозрительных: 943
Всего найденных: 6888
Время сканирования: 03.40 мин

Vexira AntiVirus с базой на 08.10.2002

Проверено: 7227
Инфицированных: 6490
Время Сканирования: 04.20 мин

Eset NOD32 с базой на 19.01.2003

Проверено: 7227
Инфицированных: 2252
Время сканирования: 0.38 мин

eTrust InoculateIT с базой на 17.01.2003

Проверено: 9418
Инфицированных: 8878
Время сканирования: 02.39 мин

Учитывая,что эта база 100% заточена под Касперского,результаты DrWeb,F-Prot,InoculateIT и Vexira можно без преувеличения считать просто отличными!Особенно отличился эвристический анализатор F-Prot,я уже давно отмечал,что он очень мощный.Кстати,эвристик у Vexira,ещё,по-моему,слабоват.Но в целом Vexira - молодец!Обратите внимание,с какими древними базами я сканировал файлы Vexira!
О Нормане.Поразило время сканирования,почти час...
InoculateIT.Очень мощный антивирус!И эвристик хорош!Супер!

imho забегая вперёд можно сказать что biomednet был прав в том что имеет смысл рассматривать 4-6 самых распространённых антивирей, F-Prot видимо пятый
интересно что результаты DrInvizzi для Каспера и Вэба чуть лучше чем при первых тестах - производители или читают топик или реагируют оперативно на письма в суппорт

Spybot
Отчеасти не согласен с тобой. Как мне кажется, нужно составить список из антивирусов которые есть вообще и начать их тестировать по двум направлениям: функциональные возможности и качество работы.
Я так думаю, что можно найти из общего списка что-нибудь интересное. Хотя лидеры будут, видимо, те же

Цитата:

или реагируют оперативно на письма в суппорт

Блин, ну просил же не писать. Сейчас окажется что какой-нить антивир взял первое место потому что всю базу отправили в суппорт....
А ключа для нормана и впрямь небыло.
В этом все и дело. теперь достал.
А макафю счас посмотрим...

A кто-то может проверить Stop 4.065? Выглядит неплохо и обновляется ежедневно

Я в тяжелом шоке от Макафи
Проверено 7585
Найдено 7370
Из них
Вылечено 3098
Удалено 2397
Карантин(подозрительные) 2897 !!!! Это если эвристика нашла, то я в шоке...
McAfee

Добавлено
Народ, быстро признавайтесь - кто-нить отправлял базу Макафям?

Добавлено
Обнаруженная проблема -
некорректная работа с вирусами
Win95.Rat.463 (зависание)
win.95.Rat.505 (зависание, после принудительной выгрузки макафи исходный файл из 4 кило превратился в 1109 Кило (практически мегабайт!)
Вот и все проблемы....

Добавлено
Так-с, ключик к норману достали, будем проверять-с....

Добавлено
Идет тестирование нормана
Первое впечатление - неудобный интерфейс и невозможность custom setup
Однако обновление баз и изменение конфигурации проходит быстро и без перезагрузки системы.
Эвристические сообщения есть....
имена паковщиков выдаются...
(Кстати у Доктора Вэба проблема - он не со всеми паковщиками работает. Это из его собственных сообщений... так бы он видимо еще больше нашел вирусов. )
Вот еще что- и у макафи и у нормана во время сканирования нет статистики....

Добавлено
Идет тестирование нормана
Первое впечатление - неудобный интерфейс и невозможность custom setup
Однако обновление баз и изменение конфигурации проходит быстро и без перезагрузки системы.
Эвристические сообщения есть....
имена паковщиков выдаются...
(Кстати у Доктора Вэба проблема - он не со всеми паковщиками работает. Это из его собственных сообщений... так бы он видимо еще больше нашел вирусов. )
Вот еще что- и у макафи и у нормана во время сканирования нет статистики....
Интересно, по какому признаку некоторые вирусы удаляются с файлом а некоторые каранируются?
Не все из них неизвестные вирусы, отнюдь не все!
Что же теперь вручную считать?
Я посчитаю... число неизвестных.

Добавлено

Цитата:

Проверено: 9418
Инфицированных: 8878

не понял, откуда столько?


Добавлено

Цитата:

Учитывая,что эта база 100% заточена под Касперского

Хм, а сколько он пропустил?
В заточенной.....

Добавлено
NVCOD On Demand Scanner 5.40.00

NSE revision 5.40.33
NVCBIN.DEF revision 5.40 of 2003/01/14 (46949 variants)
NVCMACRO.DEF revision 5.40 of 2003/01/14 (9293 variants)
Total number of variants: 56242
The scanning started: 2003/01/20 10:07:43
ended: 2003/01/20 10:15:37
Scanning results:

Number of files scanned:7634
Number of files that could not be opened: 4
Number of archive files unpacked:8
Number of archive files not unpacked:12
Number of infections:6541
Блин, а сколько вылечено?!
Сколько подозрений?
где все?

Добавлено



ВОПРОСЫ к NORMAN ANTIVIRUS
где смотреть, что делать с quarantined файлами?
Где смотреть сколько вылечено и сколько неизвестных?

Добавлено



Цитата:

File C:\!!!_Virii\WINVIKB.EXE quarantined.
- File C:\!!!_Virii\WINVIKB.EXE deleted.

- File C:\!!!_Virii\WWRUS.DOC quarantined.
- Virus WM/Rats.B removed.
- File C:\!!!_Virii\WWVIR.DOC quarantined.
- Virus WM/Rats.C removed.

очень замороченный интерфейс. У Доктора намного интереснее.


Добавлено
Так, нашел я, что надо сделать, чтобы число вылеченных посмотреть у Нормана. Хиловатый антивирус.
И жутко тормозной. Просто хоть вешайся. Как каспер с избыточным сканированием и высшим приоритетом.
Такк, дождался
Norman Antivirus
NVCOD On Demand Scanner 5.40.00

NSE revision 5.40.33
NVCBIN.DEF revision 5.40 of 2003/01/14 (46949 variants)
NVCMACRO.DEF revision 5.40 of 2003/01/14 (9293 variants)
Total number of variants: 56242

Проверно 7634
Найдено 6541
Вылечено 888
Удалено 273
Помещено в карантин(интересно зачем) 5376
Ошибка работы с вирусом(несмог удалить файл) 4
* Could not unpack archive Vecna.Outsider.1382: Unable to decompress this file or format

Панда Платинум - Блин, придушил бы в колыбели! Откуда такие жуткие тормоза?! Если бы не количество найденых вирей, остановил бы тест. Сил моих нету.... 50% за несколько часов.
Каспер отдыхает! 3801/3796/3699 ( проверено-найдено-вылечено)

biomednet
Опять десять раз "Добавлено"! Бедные те, кто подписан на тему...

Цитата:

Карантин(подозрительные) 2897 !!!! Это если эвристика нашла, то я в шоке...
McAfee

Если выставлена опция Лечить, то всё что можно лечить (включая удаление), лечится или удаляется. Остальное идёт в карантин.

normalno mne sednja za den prislo 200 msg s foruma

Цитата:

biomednet
Опять десять раз "Добавлено"! Бедные те, кто подписан на тему...

Я во-первых, не понимаю, почему у вас такие глюки,- мне приходит по почте не вместе, а раздельно,
Во-вторых, обратитесь в службу тех. поддержки форума.
С целью, ччтобы в рассылке каждое сообщение шло отдельно.
Не знаю почему, но у меня каждое добавлено идет отдельным письмом...
Панду я пока придушил. До завтра.
Вот сколько часов прошло, а из 7 с лишним тысяч проверено только
4738, правда найдено уже 4624 и вылечено 2382, но система насмерть ваиснет. На каждый файл по несколько секунд.
Каспер с его якобы тормозами не идет никакое сравнение с ЭТИМ.
Или только у меня такой глюк?
И вот вопрос - почему скорость проверки плавно падает?!