Перейти к содержанию

Recommended Posts


в таблице результаты тех, кто участвовал. остальные не участвовали.

не получили VB100%: Аваст, Касперский, Доктор Веб, F-Secure, F-Prot ну и мелочь всякая

напомню, что продукт получает VB100% если у него 100% на коллекции Wildlist (1й столбец) и нет фолсов (последний столбец), все остальные столбцы просто так, видимо для общего развития

Доктор Веб не получил потому, что не взял 16 Wildlist самплов и 3 раза сфолсил

Касперский потому как 1 раз сфолсил.

при этом ВирусБастер и AVG, которые не взяли кучу самплов из неWildlist коллекции, VB100% получили. Я радуюсь таким тестам.

ну да забыл, у Eset как всегда в тестах VB100% результат 100%. и почему у него в других тестах так не получается? вон в тесте Клементи у него 7 фолсов, да и это была веселая история http://www.wilderssecurity.com/showthread.php?t=210120 :rolleyes:



Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

потому что затачивается под эти тесты. Еще интерснее, что в жизни у них еще хуже, чем в тестах. Например,, у контактников.....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

в том же выпуске VB опубликован материал AV-Test.org на тему лечения активного заражения

вот выдержки:

System cleaning: getting rid of malware from infected PCs


Maik Morgenstern

AV-Test.org, Germany

Andreas Marx

AV-Test.org, Germany

Editor: Helen Martin

Some test results

In this section we will present a few small-scale test results, which illustrate some of the common problems encountered but also show that some products are able to handle the system cleaning task successfully. These results have been published in the German ComputerBild magazine [4].

The test was carried out at the beginning of 2008 on Windows XP (32-bit, SP2) and the products (in their most current versions) were updated and then frozen on 7 January 2008. The test was carried out as described above.

The results presented here are from tests run against five samples taken from the then-current WildList – meaning that signature-based detection of the original sample should be guaranteed. There were three rather easy ones: Win32/Rbot!FB26, Win32/Spybot!ITW203 and Win32/Stration!69F2, as well as Win32/Feebs!8897, which uses rootkit techniques, and Win32/Rontokbro!E517, which tries to terminate AV software. The behaviour of the latter two samples complicated the cleaning process for some of the products.


Table 1.

While all products were able to detect the malware samples in an inactive state, there were some problems when they were already installed and active on the system. G DATA and BullGuard failed to detect the Win32/Feebs!8897 infection due to its use of rootkit technologies and were consequently not able to clean the system. All the others were able to detect and disable this threat, however only Kaspersky and Norton achieved full removal. The remaining products didn’t handle the ‘ShellServiceObjectDelayLoad’ registry entry that was used to restart the malware on reboot and could possibly cause false positives if not removed.

The other problematic sample was Win32/Rontokbro!E517, which terminated seven out of the ten tested AV products or prevented them from scanning. Only BullGuard, Kaspersky and Norton were able to deal with the sample and disable it. However, there were still some problems. The malware disabled the editing of the registry with the ‘DisableRegistryTools’ entry and none of the products dealt with this. While it is perfectly understandable for this entry not to simply be set back to the default value – which would allow editing of the registry again and may be different from the pre-infection state – it is not clear why this change was not reported to the user. An analysis of the sample in the lab certainly detected the change and it is also safe to assume that most users do not prevent access to their registry. This makes it pretty clear that the disabled registry would in most cases be the result of the malware behaviour and should therefore be reported.

Another issue was the modified hosts file. The Norton product did clean some parts of it, especially those that affected Symantec addresses, but it left a lot of other bad entries. The other two products that were able to handle this sample simply moved the file into the quarantine. While this effectively disables the malicious intent, it also removes user entries that may be necessary for the system to work as expected.

The other samples didn’t pose any serious problems to the AV products: the Win32/Rbot!FB36 sample challenged BitDefender, BullGuard and F-Secure a little with its run registry entry that was left behind by these products, but Win32/Spybot!ITW203 and Win32/Stration!69F2 were both handled effectively by all products.


Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин

Все же технари особые люди, более правильные и честные, чем мы маркетологи.

The Virus Bulletin tests are real, and they do have some value *if* you understand what the tests mean.


More often than not it seems that the researchers at the antivirus companies are completely at odds with sales and marketing. What has been fun for me is that when I present at trade shows and other venues and ‘in the wild’ is mentioned I can explain exactly what that means to people. Yes, I actually tell them that a VB100% award does not mean a product detects close to everything that is out there.

Randy Abrams

Director of Technical Education



Тесты, проводимые журналом Virus Bulletin, реальны, и их результаты имеют определенную ценность, *если* вы понимаете, каков их смысл.


Часто создается впечатление, что антивирусные эксперты в антивирусных компаниях совершенно не могут найти общий язык со службами продаж и маркетинга. Мне нравится, что, когда я выступаю на отраслевых выставках и других мероприятиях и упоминаются вредоносные программы «в дикой природе» (in the wild), я могу точно объяснить людям, что это такое. Да, и я в самом деле говорю им, что получение награды VB100% не означает, что продукт обнаруживает почти все вредоносные программы, какие только есть.

Randy Abrams

Director of Technical Education


Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

гы гы, гы гы

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Eset попса, как он берет VB100, вероятно, интересная будет история...

сколько им не искал - всегда в третьей очереди оказывается... прямо природный феномен! :-)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя


Уже есть аккаунт? Войти в систему.


  • Сообщения

    • PR55.RP55
      Образ:  http://rgho.st/6XQWrPGf7
    • PR55.RP55
      + Получается, что по файлу есть две записи. Полное имя                  C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
      Имя файла                   NVTRAY.EXE
      Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
      Сохраненная информация      на момент создания образа
      Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ [СЕТЕВАЯ_АКТИВНОСТЬ]
      Процесс                     32-х битный
      File_Id                     506B36F01C4000
      Linker                      10.0
      Размер                      1820520 байт
      Создан                      25.01.2013 в 17:04:40
      Изменен                     03.10.2012 в 06:28:55
      TimeStamp                   02.10.2012 в 18:48:16
      EntryPoint                  +
      OS Version                  5.0
      Subsystem                   Windows graphical user interface (GUI) subsystem
      IMAGE_FILE_DLL              -
      Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
      Цифр. подпись               Действительна, подписано NVIDIA Corporation
      Оригинальное имя            nvtray.exe
      Версия файла      
      Версия продукта   
      Описание                    NVIDIA Settings
      Производитель               NVIDIA Corporation
      Доп. информация             на момент обновления списка
      pid = 3020                  USER01-PC\USER01
      CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
      Процесс создан              21:14:29 [2018.10.16]
      С момента создания          01:02:58
      CPU                         0,00%
      CPU (1 core)                0,00%
      SHA1                        99F3E0CA5C45ED5061E0131ABC12758F051A795F
      MD5                         D610CDEDF1F702EB0A86B0FBD9BB49E5
      Ссылки на объект            
      Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
      Образы                      EXE и DLL
      Загруженные DLL             ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
      ADVAPI32.DLL                C:\WINDOWS\SYSTEM32
      COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_5.82.7601.17514_NONE_EC83DFFA859149AF
      COMCTL32.DLL                C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.7601.17514_NONE_41E6975E2BD6F2B2
      COMDLG32.DLL                C:\WINDOWS\SYSTEM32
      CRTDLL.DLL                  C:\WINDOWS\SYSTEM32
      DNSAPI.DLL                  C:\WINDOWS\SYSTEM32
      DWMAPI.DLL                  C:\WINDOWS\SYSTEM32
      FWPUCLNT.DLL                C:\WINDOWS\SYSTEM32
      GDI32.DLL                   C:\WINDOWS\SYSTEM32
      GDIPLUS.DLL                 C:\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.GDIPLUS_6595B64144CCF1DF_1.1.7601.17825_NONE_72D273598668A06B
      IMM32.DLL                   C:\WINDOWS\SYSTEM32
      IPHLPAPI.DLL                C:\WINDOWS\SYSTEM32
      KERNEL32.DLL                C:\WINDOWS\SYSTEM32
      LPK.DLL                     C:\WINDOWS\SYSTEM32
      MSCTF.DLL                   C:\WINDOWS\SYSTEM32
      MSIMG32.DLL                 C:\WINDOWS\SYSTEM32
      MSVCRT.DLL                  C:\WINDOWS\SYSTEM32
      MSWSOCK.DLL                 C:\WINDOWS\SYSTEM32
      NAPINSP.DLL                 C:\WINDOWS\SYSTEM32
      NLAAPI.DLL                  C:\WINDOWS\SYSTEM32
      NSI.DLL                     C:\WINDOWS\SYSTEM32
      NTDLL.DLL                   C:\WINDOWS\SYSTEM32
      OLE32.DLL                   C:\WINDOWS\SYSTEM32
      OLEACC.DLL                  C:\WINDOWS\SYSTEM32
      OLEAUT32.DLL                C:\WINDOWS\SYSTEM32
      PNRPNSP.DLL                 C:\WINDOWS\SYSTEM32
      PROFAPI.DLL                 C:\WINDOWS\SYSTEM32
      RASADHLP.DLL                C:\WINDOWS\SYSTEM32
      RPCRT4.DLL                  C:\WINDOWS\SYSTEM32
      SECHOST.DLL                 C:\WINDOWS\SYSTEM32
      SHELL32.DLL                 C:\WINDOWS\SYSTEM32
      SHLWAPI.DLL                 C:\WINDOWS\SYSTEM32
      USER32.DLL                  C:\WINDOWS\SYSTEM32
      USERENV.DLL                 C:\WINDOWS\SYSTEM32
      USP10.DLL                   C:\WINDOWS\SYSTEM32
      UXTHEME.DLL                 C:\WINDOWS\SYSTEM32
      VERSION.DLL                 C:\WINDOWS\SYSTEM32
      WINMM.DLL                   C:\WINDOWS\SYSTEM32
      WINNSI.DLL                  C:\WINDOWS\SYSTEM32
      WINRNR.DLL                  C:\WINDOWS\SYSTEM32
      WINSPOOL.DRV                C:\WINDOWS\SYSTEM32
      WINSTA.DLL                  C:\WINDOWS\SYSTEM32
      WS2_32.DLL                  C:\WINDOWS\SYSTEM32
      WSHTCPIP.DLL                C:\WINDOWS\SYSTEM32
      WTSAPI32.DLL                C:\WINDOWS\SYSTEM32
      Прочие файлы                отображенные в память
      OLEACCRC.DLL                C:\WINDOWS\SYSTEM32
      LOCALE.NLS                  C:\WINDOWS\SYSTEM32
    • PR55.RP55
      Тек. статус                 [Запускался неявно или вручную]
      Сохраненная информация      на момент создания образа
      Статус                      [Запускался неявно или вручную]
      Доп. информация             на момент обновления списка
      CmdLine                     "C:/Program Files/NVIDIA Corporation/Display/nvtray.exe" -user_has_logged_in 1
       --------------------- Было несколько образов  с аналогичными данными. Как видно Инфо. в несколько усечённом виде. ---------------------------- " Насчет отображения всех сертификатов, что использованы в ЭЦП " И как я помню в наших любимых драйверах от NVIDIA два сертификата.          
    • Алена Орлова
      Хотите сделать татуировку? Или перекрыть старую и некачественную работу? Записывайтесь в нашу студию! Предлагаем услуги мастера художественной татуировки. Опыт работы более 12 лет. Работаем во всех стилях, все материалы одноразовые, студия в самом центре города. Разработка индивидуального эскиза по вашей идее в подарок Больше работ через личные сообщения
        Услуги сертифицированного мастера пирсера Любые виды проколов, установка любых микродермалов. Для очень нежных есть обезболивающая мазь. Все материалы стерильны, мастер принимает в оборудованной студии в центре города. Украшение для прокола можно приобрести у нас Для уточнения цен на проколы пишите в личные сообщения
    • demkd
      Насчет отображения всех сертификатов, что использованы в ЭЦП я еще подумаю, ну а пока исправление редкой критической ошибки.
       o Исправлена критическая ошибка при работе с удаленной системой возникающая при отдаче команды на удаление ссылок на все отсутствующие объекты,
         если установлен флаг bNetFastLoad и список автозапуска еще ни разу не загружался.  o В окно информации о файле добавлено время последнего запуска некоторых файлов (в основном тех что запускал пользователь).
         Только для новых билдов Windows 10.