Avast путает Win32.Gael.3666 и Win32:Tenga (Исправлен)

Non-English Boards Русский
1

Собственно подхватил вирус с флешки.
Аваст его пропустил, потом нашел зараженный процесс но ни вылечить ни заблокировать его не смог.
Зато переместил в карантин кучу других файлов.
Вирус опознается как Win32:Tenga.

При тестировании во время загрузки, не лечит, а только удаляет.

Запустил DrWeb CureIT v6. Он опознал вирус как Win32.Gael.3666 и вылечил все файлы.

Теперь ОС грузится, программы запускаются.

Аваст у меня бесплатный, 7 версии, авто обновления включены. Две системы XP x86 и Win7 x64. Поведение одинаковое на обоих системах.

2

файл отправьте в лабораторию http://www.avast.com/ru-ru/contact-form.php?loadStyles
лечить аваст нормально не умеет, ни для кого не секрет. сомневаюсь что в скором времени пофиксят лечение ))

3

Ясно, спасибо за ответ, если честно не доводилось до этого лечить при помощи аваста, восновном он блокировал заразу до заражения.
Буду знать что он не лечит.
Файл был отправлен автоматически и не один.)
Без лечения конечно не полноценный антивирус выходит…

4
Без лечения конечно не полноценный антивирус выходит....
скажу по секрету, что нормально лечат всего полтора антивируса. Вот [url=http://safetygate.ru/forum/index.php?topic=1319.45]здесь [/url] можете посмотреть наши тесты. По сути лечит только Битдефендер и иногда (по половинке :) ) это КИС, Веб и Mse. Многие вендоры официально отказываются от этой функции в сторону предотвращения заражения.
5

Современные программы имеют настолько сложный и разнообразный код, а сами зловреды настолько сложны, что “выкусывание” зловредов становится чрезвычайно трудной задачей. Можно удалить тело зловреда, если оно представляет отдельный файл, но как быть с остатками его “жизнедеятельности”? Для этого может потребоваться значительное увеличение как размеров антивируса, так и потребляемых им ресурсов. Поэтому антивирусу лучше заниматься прежде всего предотвращением заражений, а удаление заражений оставить отдельным утилитам.

6

military, спасибо за инфу.

George Yves.
Допустим. Согласен, что если вынос функции лечения в другой продукт позволит повысить качество основного продукта, и снизить стоимость его разработки, то это обосновано.

Но, есть несколько но.
Аваст

  1. не заблокировал угрозу
  2. не остановил заражение (примерно 4000 заражённых файлов за сутки работы без тревог)
  3. не определил правильно вирус
  4. не предложил скачать или купить продукт, который лечит, а просто начал с компетентным “лицом” удалять все исполняемые файлы в системе

Имхо, вреда от такого лечения столько же, сколько от вируса, после обоих мы имеем не рабочую систему.

И это все при том, что вирусу уже лет и лет.

я уже молчу о том что скорость проверки намного ниже чем у того же бесплатного CureIT

Прошу прощения за тон, я не знаю имеете ли вы отношение к разработчикам, но коль вы взяли на себя роль адвоката дьявола, то мои эмоции достались вам ))

7

Сорри за оффтоп, не нашел как писать тут в личку…

Military, былобы еще очень интересно узнать сколько ресурсов жрет тото или иной АнтиВирус.
Так сказать вы исследовали только качество, а если еще знать цену в рессурсах компа, то можно найти оптимальный вариант.

Я лично использовал и веб и кис, и отказался из-за низкой скорости работы. Кис вообще тормозит любую систему до уровня старого компа.

п.с. было бы прикольно если бы антивирусы не только на сам файл смотрели а еще и на окружение, я когда в папке с фотками увидел exe файл, сразу понял что вирус, но было поздно.

8

К сожалению, должен заметить, что виновника заражения Вы можете увидеть в зеркале. По Вашим словам, вирус попал на Ваш компьютер через флэшку, а это значит, что Вы нарушили одну из главных антивирусных процедур.

После подключения флэшки (или любого другого внешнего носителя) Аваст проверяет расположенный там в корне файл автозапуска autorun.inf. Если этот файл изменён вирусом, то Аваст его блокирует, не позволяя запуститься вирусу. На этом автоматическое сканирование завершается. Дальше пользователь должен не открывать флэшку из меню автозапуска, а закрыв его, открыть папку Мой компьютер и произвести сканирование флэшки из контекстного меню Проводника. Только после проверки и (возможного) удаления вирусов флэшку можно открывать.

Если бы Вы правильно и полностью выполнили эту классическую процедуру, то вирус не смог бы попасть к Вам на компьютер.

=========

Чтобы использовать систему личных сообщений, а также изменить свой профиль, все новички форума должны набрать не менее 20 сообщений.

9

u010602, по поводу потребления ресурсов это все индивидуально. Вот здесь мы выкладываем результаты потребления ресурсов. У каждого по разному, вы понимаете что влияют различные факторы и магнитный бури в том числе. :slight_smile:
Например в той теме наверное у одного меня каспер очень много кушал, различные танцы с бубном мне не помогли. На том же форуме можно почитать отзывы об авасте, и там и здесь и на других формах тоже можно сделать вывод, что все индивидуально. Например я пользуюсь бета версией аваста, успел пару дней попользоваться первой бетой, сейчас второй текущей пользуюсь, ни каких глюков, багов, бсодов нет было. (для успокоения сделал бэкап системы).
Скажите, получается аваст сигнатурно не определял вирус, заражение, отсюда следовательно и даже попробовать лечить не мог. нужна сигнатурна для лечения. Или же заражение файлов обнаружил сразу?
Экран поведения, песочница столи в режиме Спрашивать ли на автомате?
Если вирус остался, скиньте пожалуйста в ЛС поиграться. Может и в самом деле откопаем баг? например у некоторых антивирусов (Нортон) есть очень интересные механизмы (фичи) защиты, но они в основном защизают от попадания файлов из инета, на флешках же антивирус хуже работает (из-за того что те фичи (Download Isight) не предназначен для флешок). Может и у аваста чего такого? это мысли в слух…

10

Авто запуск на флешке отключен, для просмотря использую TotalCommander. Проверку флешек, скачаных файлов и прочих источников вручную ни провожу ни когда, считаю это не допустимым с точки зрения своего комфорта. Другими словами я скорее буду искать антивирус который сам все проверит где надо, чем буду сканировать и ждать пока проверят 16 гиг файло помойки, из которых мне нужны только 100 метров фоток.
Ну и в целом, у меня вызывает неприятные эмоции тот факт что мне пришлось морочиться с антивирусами, я как пользователь хочу чтобы антивирус работал как имунная система - не заметно для меня, без моего сознательного вмешательства.

п.с. как разработчик я вас конечно понимаю, это не баг а фича, а все юзеры тупые и не хотят хоть чуть чуть думать, а по факту так это и есть поэтому улыбаемся и чиним))

11

Military, спасибо за инфу еще раз)
Песочница включена, при обнаружении сначала лечит а потом спрашивает если не удалось.
Файл прикреплю.
Первый процесс на который кричал аваст был ВинАмп, он вылез и предложил мне проиграть флешку, раньше я такого не замечал. После этого аваст кричал что винамп заражает файлы, и отправлял файлы в карантин, но винамп не закрывал.
Через диспетчер винамп закрыть не удалось, сообщения об ошибки не было. Система лагала но согласно мониторам ресурсов ни диск ни цпу загружены не были.
В итоге все улеглось, система не перезагружалась дня
три. После перезагрузки файл userinit.exe оказался corrupted и вход осуществить не удалось.
Дальше загрузка в вин7, там все программы не являлись исполнимыми файлами. Пере установил аваст, запустил проверку, начались удаления.
Прервал и скачал доктора веба ).
Файл прикрепил. Сейчас аваст кричит на него, а в тот раз как то пропустил, мистика.

https://rapidshare.com/files/1880948347/iexplore.piz
это архив zip

ЛС я тут упорно не нахожу

12
считаю это не допустимым с точки зрения своего комфорта
Одна из глупейших сентенций. Может тогда, ради своего комфорта, не надо и раздеваться перед сном, ведь потом опять надо будет одеваться?
я как пользователь хочу чтобы антивирус работал как имунная система - не заметно для меня, без моего сознательного вмешательства.
Ещё одна глупость. Та же имунная система не работает незаметно. Мы все чихаем, кашляем и т.п., когда в нас попадает вирус, и никакая имунная система не может предотвратить заражение, если человек не использует профилактические меры - моет руки перед едой, делает прививки и т.д.
ЛС я тут упорно не нахожу
Повторяю: чтобы использовать систему личных сообщений, а также изменить свой профиль, все новички форума должны набрать не менее 20 сообщений.
13

Раздеваться перед сном дело добровольное, и вовсе не обязательное.
Я не против того чтобы мой компьютер чихал и кашлял.
Животные не соблюдают гигиену и нормально себя чухают.
Но в целом развивать дальше тему с аналогиями я не вижу смысла, это все оффтоп и исправить ошибку ни как не поможет.

Если хотите без аналогии, то монитор файловой системы должен проверять все виды доступа к носителям информации, будь то чтение, запись или исполнение, в этом случае он по какой-то причине облажался.
Также как и база сигнатур. Соответственно это и есть тема разговора.

П.С.
я завел тему только для того чтобы сообщить об ошибке и ответить на вопросы которые возникнут у разработчиков. От military я узнал несколько новых вещей за что ему спасибо, от вас нет. Очень надеюсь что вы не сотрудник компании Аваст, потому что вы ведете себя довольно бесцеремонно, если вы не возражаете я бы хотел закончить наше с вами общение, и не захламлять тему нашими явно различными мнениями.

14

u010602
Извините, но я не могу оставить Ваше сообщение без ответа.

Раздеваться перед сном дело добровольное, и вовсе не обязательное. Я не против того чтобы мой компьютер чихал и кашлял.
Соблюдение правил гигиены дело не добровольное, а обязательное, если нет желания заболеть. То же относится и к гигиене компьютера.
Животные не соблюдают гигиену и нормально себя чухают.
Неправда. Посмотрите хотя бы на кошек, вылизывающих свой мех, или на обезьян, выискивающих друг у друга паразитов.
монитор файловой системы должен проверять все виды доступа к носителям информации, будь то чтение, запись или исполнение,
Экран файловой системы реагирует на [u]активные[/u] заражения. Если зловред не запустился (не появился в процессах), то найти его без принудительной проверки нельзя. И если Вы желаете увеличить вероятность его выявления, то повысьте уровень эвристического анализа.
Очень надеюсь что вы не сотрудник компании Аваст, потому что вы ведете себя довольно бесцеремонно,
[url=http://forum.avast.com/index.php?topic=93019.msg740748#msg740748]Кто есть кто на форуме.[/url] И не сваливайте с больной головы на здоровую говоря о бесцеремонности. Не я безаппеляционно и бесцеремонно утверждал здесь, что Аваст "облажался". Просто никогда нельзя забывать, что самый главный антивирус сидит перед экраном монитора компьютера.
15

Сигнатурно уже определяет файловым монитором. Отключил файловый монитор, оставил автопесочницу и экран поведения, на запуск реакции не было. Возможно, что не правильно поступил - в теории, на практике даже таким образом аваст рубит винлоки. Сначала оставил на 10 минут, перезагрузка, проверка mbam hitman, killswitch чисто. Оставил систему на час, завис, перезагрузка, запуск hitman pro и bsod (такое бывает при заражениях), повторный тест: заражение, оставил в простое на длительное время, жуткие тормаза, запуск killswitch , bsod, система зависает на загрузке. Мой личный вывод, что аваст таки не справился с тестом.
Мое мнение об авасте не поменялось, продолжаю им пользоваться и считаю его хорошим антивирусом. Свое мнение построил на тестах, легкий бесплатный аваст опережает по тестам некоторых платных антивирусов.
u010602, если аваст все же вам симпатичен, то возможно стоит с ним по лучше познакомиться. Вы ведь знаете, что пропускают все.
А остальные пользователи могут быть спокойны, теперь аваст сигнатурно обнаруживает вирус Win32.Gael. ))

16

Пофиксили, значит смысл в форуме есть, это гуд.
Аваст по прежнему буду рекомендовать ставить знакомым на домашние машины.

немного офтопа

Но если честно первый прокол был пару недель назад у знакомых, аваст пропустил винлок который бут сектор меняет, это второй раз. Надеюсь это не тенденция.
Антивирусами пользуюсь еще со времен досовского доктора веба. И заметил одни закономерность, со временем антивирусы портятся.
Так изначально бал веб, потом нод, потом касперский, теперь аваст.
И все они развивались по одной схеме, сначала были новыми, быстрыми и хорошо защищали. Потом затишье пару лет когда всем доволен. Потом редизайны, доработки и прочая не нужная ерунда, и тут они начинали пропускать раз за разом. И тут выплывал новый антивирус и по кругу.
С авастом кстати я уже 6 лет.

Для себя все же буду думать в фоновом режиме, по большей части не из-за того что пропустил а из-за того что вообще лечить не умеет. Ушибы лечить ампутацией это не дело.
Но и возвращаться к канителе с поиском ключей для платных антивирусов тоже не хочется, а с учетом того что лечат все с горем пополам, покупать один нет смысла.

17

George Yves, должен признать что вы умело меня провоцируете на перепалку, ну что ж попробую объяснить вам почему вы не правы.

Во первых эта табличка со значками по прежнему не говорит мне о том какую должность вы занимаете в компании аваст. Если честно это больше похоже на на какую-то шкалу пафоса. Евангелист это проповедник христианской религии, я боюсь что ваш чин проповедника на форуме ни чего не говорит о вашей компетентности в тех вопросах.

Во вторых что значит “не активное заражение”… Для того чтобы произошло заражение бинарный код (инструкции из которых состоит вирус) нужно так или иначе передать на исполнение центральному процессору. Другими словами вирус который лежит в файле ни кого заразить не может пока его не запустят. Поэтому все заражения - активные.

Но антивирусы уже давно сканируют не только процессы а также и все обращения к файлам, будь то чтение или запись, попробуйте переименовать заведомо зараженный файл, тот же аваст сразу его сунет в карантин, хотя он не запускался.

Вы постоянно пытаетесь меня исправить и научить, но при этом вы не поинтересовались как у меня настроен тот же аваст, эвристический анализ у меня всегда на максимуме, а также включен пароль на доступ к авасту и стоит проверка на опасные программы. Другими словами все что можно было выкрутить на максимум я выкрутил.

Ваше утверждение, насчет необходимости сканировать носители полностью было бы актуально лет 10 назад, сейчас весь удар ложится на монитор файловой системы, это его задача сканировать именно то что я запускаю а не все.

Теперь насчет облажался ли аваст.
Как по мне да, потому что это был худший сценарий который может быть.
Принес мне друг флешку, я ее вставил, вирус заразил всю систему, и все диски, ос перестала запускаться.
И это при том что антивирус был установлен, но ни сделал ровным счетом ни чего.
Но после всего аваст решил еще и стереть все исполняемые файлы.
Это был полный, 100% провал, хуже быть не могло.

И наконец вы почему то думаете что я пишу сюда о своей проблеме, и пытаетесь рассказать мне, как от нее избавиться. Если бы вы читали внимательно первый пост, то я с ней и так справился, комп чист и восстановлен, и это мой первый вирус за лет 7-8.
Я же писал сюда о проблеме аваста, как программы, мне было интересно есть ли здесь(русский форум) поддержка или нет. А то знаете ли ходит такое поверье: “Спросил на русскоязычном форуме… Объяснили что я дурак…”
Во многом благодаря таким вот евангелистам, которые думают что лучше всех все знают. Поверьте скорее всего это не так, а вы говорите банальности.

П.С. Если вы сотрудник компании аваст будьте добры представится, чтобы я мог переговорить с вашим менеджером. В противном случае будьте счастливицы и прощайте.

Модераторы еще раз сорри за офтоп, была бы личка не развел бы.

18

У сотрудников Аваста, присутствующих на форуме, имеется под аватаром надпись “avast! team” и значок в виде эмблемы Аваста. У меня этого нет, соответственно, я не сотрудник этой фирмы.

Насчёт того кто что думает и всех остальных отрицательных эмоций я только замечу, что здесь форум общественной поддержки, где каждый имеет право голоса. Но действительно, не стоит уподобляться двум баранам, не желающим разойтись на узком мосту, и поэтому прекратим наш спор в открытом форуме.

19
аваст пропустил винлок который бут сектор меняет
если интересно, то проблема решается переводом Аутосандбокс и Экрана поведения в режим спрашивать. Винлок может все равно запуститься, но после перезагрузки его не будет, в т.ч и винлока который меняет бут сектор. Вот здесь мы выкладывали результаты противодействий винлокам http://forum.avast.com/index.php?topic=98950.30
20

Поменял, спасибо.

Значит все таки мбр а не бут сектор. Я также включил в биосе защиту мбр. А вылечил через консоль восстановления винды fixmbr и fixboot командами. После перезагрузки аваст ни чего ни кричал и ситуация не повторялась, или я об этом не знаю))).

Вот думаю что стоит провести проверку всех дисков)