может ли быть ошибка эвристического анализа?

[Alex Sommer]

Я уже, наверное, надоел всем своей недоверчивостью, но я знаю, что при эвристическом анализе возможны ошибки ( то есть хорошую программу можно спутать с вредной ). Поэтому, по идее должны быть предупреждения, что файл возможно (!) инфицирован. ( надеюсь, что тут вы со мной согласитесь ) И вот, собственно, сам вопрос: многими антивирусными программами определяется вирус Win32.Neshta.a Некторые же пишут что файл ( файлы ) в порядке.

В реестре у меня в HKCR\exefile\shell\open\command стоит верное значение "%1" %*

И, наконец, самая важная причина, почему я так думаю. В некоторые солидные каталоги программного обеспечения добовляют программы только прошедшие полный антивирусный контроль. Так вот файлы, определяемые как инфицированные, в такие каталоги добавляются. Значит, вреда в них не было найдено.

И все-таки не должно ли сообщаться, что файл "возможно" инфицирован?

[Ig0r]

Здравствуйте, Alex Sommer!

 

Если программа детектируется как Virus.Win32.Neshta.a, то это, видимо, срабатывание не эвристика, а сигнатурного сканера. Если есть конкретные сомнения в правильности срабатывания, то файл необходимо отправить на newvirus@kaspersky.com в запароленном архиве. Вам скажут точно вирус это или ложное срабатывание.

[Alex Sommer]

В том то и дело, что отправлял уже файлы на этот e-mail. Не знаю проверяли ли сканером или "смотрели" код, но я думаю за пару часов можно было только сканером проверить. Вы уж извините меня такого "Фому", но вот странно это просто как-то... Хотя теоретически можно предположить что внедряемый код безвреден, к примеру. Еще раз извините, но я в полном недоумении...

[den]

1) Если антивирус классифицирует объект как нибудь, в данном случае как Virus.Win32.Neshta.a, значит это сигнатурный сканер опредлелил. Эврестик не может классифицировать объект, просто пишет подозрительный или возможно заражён.

2) Я не понял, Вы отправляли объект в ЛК? попробуйте через личный кабинет пошлите файл в запаленном архиве (пароль напишите в письме), тогда в течении суток Вам ответят. (как правило ответ придёт гораздо раньше)

[Vsoft]

Alex Sommer , может быть Ваша система заражена, а можеть быть и нет. Эвристический анализатор тут НЕ ПРИДДЕЛАХ

Да и вообще странно тут всё как-то, для того чтоб найти что подозрительное значение в рееестре, сигнатурный антивирус находит угрозу, смотрит нужно ли выполнять какое-либо лечение (САМа программа просто так не будет изменять\удалять какие-либо ключи реестра, она работает строго по расписанию т.е. по тому что есть в базах,процедурам лечения), максимум что может сделать эвристический анализатор так это крикнуть что файл подозрителный (!) не о каком лечении и речи быть не может (!) Как Вы себе представляете какой-то файловый инфектор каторый заразил кпримеру winlogon.exe ? а каспер кричит мол HLLP (!) иии ? да не чего максимум что он может сделать так это удалить файл , вылечить не сможет , нет не каких процедур лечения

Изменено 26 февраля, 2008 пользователем Vsoft

[den]

Лучше всего добавить в карантин, потом разобраться с помощью ЛК.

[Alex Sommer]

Я уже почти готов капитулировать... Запись в реестре действительно создается. А еще совсем недавно проверял Веббером и он ничего не обнаруживал. А теперь проверяю - и он меня пугает "страшной" надписью. Но у них по-крайней мере есть возможность послать файл в случае ложного срабатывания ( то есть они согласны, что такое возможно ) Я думаю не только они должны-бы согласиться, что возможно ложная тревога. Да и вообще-то это тоже собственно можно назвать вирусом - заставить антивирусную программу ложно срабатывать. А все exe-шники в карантин я не могу поместить... Трудновато как-то потом будет. Я уже писал как-то на форуме, что когда в компьютере конфликт двух антивирусных программ, то тоже все кругом определяется как вирус. Все равно так и останусь Фомой неверующим. Уж лучше компьютер без антивирусной программы, работающий вполне нормально и не медленно и без ошибок и пароли не ворующий и без глюков, чем постоянно хрюкающий впустую компьютер. А svchost всегда несколько раз и запускается - это майкрософт так придумала, так что это нормально и это не для поедания ресурсов системы - так и было задумано.

[den]

У меня OP.CACHE хрюкает каспер как hidden- угроза...ЛК сказала что это не вредоносных объект и я успокоился. Есть подозрение что аутпост создаёт это т кэш.