# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Касперский, Symantec Norton, Dr.web - ложные срабатывания

## Lexxus

Здравствуйте, не знал, где создать тему, решил пихнуть сюда.

Зафиксированы ложные срабатывания на клиент античита myAC

Ув. Зайцев Олег, обращаюсь к Вам, посмотрите эту программу, в ней нет вирусов и чего-то зловредного.
Этот античит написан командой dedicated-server.ru для серверов, работающих на движке HL1 (gold source) и HL2 (Source Engine).

Вышеприведенные антивирусы (Касперский, Symantec Norton, Dr.web) - детектят программу как вирус.

Пожалуйста отпишитесь.

P.S. Если кто может помочь с другими антивирусами - окажите помощь.

Спасибо.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Arakcheev

DrWeb - http://vms.drweb.com/sendvirus. В категорию "Ложное срабатывание".

----------


## Гриша

> Вышеприведенные антивирусы (Касперский, Symantec Norton, Dr.web) - детектят программу как вирус.


Не вижу фолсов:

http://www.virustotal.com/analisis/1...259-1263469471
http://www.virustotal.com/analisis/7...911-1263469487

Только у нортона на второй...

У вас старые базы или наоборот новее чем на ВТ?

----------


## Torvic99

А тут както интересно, при загрузке нод32 выругался - 


> 14.01.2010 13:35:43    IMON    архив    http://virusinfo.info/attachment.php...8&d=1263468471    вероятно модифицированный  Win32/Statik  приложение    Связь завершена


отключил нода, скачал архив, распаковал и опять проверил нодом и он ничего не нашел.

----------


## Lexxus

*Гриша*, я основываюсь на данных пользователей:




> Windows XP 5.1.2600 Service Pack 3 сборка 2600 
> KIS 2010 версия: 9.0.0.736 (a.b)


(Срабатывает)




> kis 9.0.0.736 детектит acdev.sys как "троянская программа Packed.Win32.Krap.v"





> dr.web5


 - тоже срабатывает

А вот:




> WinXP Pro SP3 с последними обновлениями, NOD32 Antivirus v4.0.314.0 (476
> Никаких ошибок или каких-то аномальных сообщений





> Win7 x32 + Avast - нормально.



У меня на работе Symantec Norton (Лицензионный, ибо работаю в правительстве Москвы) - дедектит как Suspicious.Graybird.1

*Arakcheev*,  спасибо, сейчас отправлю

----------


## Гриша

> kis 9.0.0.736 детектит acdev.sys как "троянская программа Packed.Win32.Krap.v"


Дрова нет в архиве, или вы решили что его сами извлекут и уберут фолс?  :Smiley:  Нужен конкретный образец.

----------


## Lexxus

*Гриша*, драйвер создается при запуске программы.

----------


## Гриша

> Гриша, драйвер создается при запуске программы.


Ну вот его и давайте.

----------


## Lexxus

Выложу вечером драйвер, который создался у меня на XP Sp2...

----------


## Lexxus

*Гриша*, вот, пожалуйста

----------


## tnn

https://www.virustotal.com/analisis/...301-1263491445

----------


## craftix

Подтверждаю слова *Torvic99*, точно такая же фигня. Точ в точ. Нод добавил файл в подозрительные и попросил отправить в лабораторию. Отправил. Может через некоторое время исправят.

----------


## Lexxus

*craftix*, спасибо.

*Добавлено через 2 часа 41 минуту*




> 15.01.2010 9:46:55 Файл C:\Downloads\myac160b\acdev.sys, обнаружено: троянская программа 'Packed.Win32.Krap.v'. 
> Сигнатуры 15.01.2010 6:24:39
> KAV 6.0 для Воркстанции 6.0.2.690



Не пофиксили  :Sad:

----------


## Lexxus

уже больше недели прошло, а воз и ныне там.

KIS продолжает детектить как вирус.

Что странно, саппорт Касперского также молчит))) Скоро пойдет вторая неделя молчания.

----------


## DVi

http://support.kaspersky.ru/virlab/helpdesk.html
Тип запроса: ложное срабатывание

----------


## Lexxus

*DVi*, отсылали, 5 человек точно  :Smiley: 
я думал, Зайцев Олег имеет какое нибудь отношение к касперскому, думал, он ускорит процесс.

Сколько вообще запрос обрабатывается? Судя по продолжающимся жалобам пользователей (KIS почему-то большинство) - они даже не смотрят.

----------


## Гриша

> DVi, отсылали, 5 человек точно
> я думал, Зайцев Олег имеет какое нибудь отношение к касперскому, думал, он ускорит процесс.
> 
> Сколько вообще запрос обрабатывается? Судя по продолжающимся жалобам пользователей (KIS почему-то большинство) - они даже не смотрят.


Совсем забыл про тебя  :Smiley: 

Файл в обработке, в ближайшее время детектирование будет исправлено.

----------


## Lexxus

*Гриша*, спасибо  :Smiley: 

То, т.к. клиент античита тоже имеет свойство обновляться, то буду выкладывать тут новые версии *клиента* с разрешения разработчика античита. Если на то будут причины.

Сообщите, когда можно просить юзеров обновить антивирус и проверить.

----------


## Nexus

Надо же.
Отослал Авире, проверили. Ответили - малваре, TR/Agent.V.21. Хотя запрос был на исправление ложного срабатывания. Она его тоже детектила.
Придется на форум им писать )))

----------


## DVi

> буду выкладывать тут новые версии *клиента* с разрешения разработчика античита.


А не проще убедить этого разработчика не использовать найденный на просторах инета малварный пакер? Раз уж вы с ним на короткой ноге.

----------


## Lexxus

*DVi*, с чего вы взяли, что он малварный?
Ни один антивирус не детектит его, даже антивирь из Microsoft ))

Касперский капризничает на драйвер, NOD не капризничает, Dr.Web уже тоже не капризничает, symantec пофиксили ошибку (ругалось на myAC.exe)

P.S. Я думаю он сам знает чем лучше паковать, т.к. программист по образованию и занимается этим в повседневной жизни, и, возможно, на то есть свои причины  :Wink: 

Я, к сожалению, не программист, и не понимаю всех этих премудростей.


*Nexus*,  тоже отсылал, только мне ответили, что ложное срабатывание  :Shocked: 
в авире, видимо, определиться тоже не могут, ну и "специалисты"

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

> Я, к сожалению, не программист, и не понимаю всех этих премудростей.


Значит Вам не следует спорить.

----------


## Юльча

я не програмер но общее представление о пакерах имею.
и меня тоже с начала обсуждения топика мучал вопрос: почему бы не воспользоваться другим нормальным упаковщиком (а их выбор достаточно велик), чем каждый раз дергать сапорты нескольких антивирусов 

*Lexxus*, поинтересуйтесь этим вопросом у програмеров пишущих "ваш" античит  :Wink: 

*Добавлено через 6 минут*




> kis 9.0.0.736 детектит acdev.sys как "троянская программа Packed.Win32.*Krap*.v"


мне как раз на днях попадался вирь который сдетектили только те антивирусы которые среагировали на упаковщика
пример



> CAT-QuickHeal 	10.00 	2010.01.20 	Win32.PE.Packed.Win32.*Krap*.af.4


судя по всему ваш пакер очень даже малварный )

----------


## Lexxus

> и меня тоже с начала обсуждения топика мучал вопрос: почему бы не воспользоваться другим нормальным упаковщиком (а их выбор достаточно велик)


Велик, но разработчик говорит, что альтернативы нет. Значит, есть на то какие-то причины использовать его, разве нет? )
Просто, софт как таковой не несет ничего зловредного (если кто-то понимает, что означает анти-чит)...

P.S. Вы еще *sXe-Injected* посмотрите  :Smiley:  Я как Russian Support заявляю, что вирусов и в этом античите тоже нет. Но его детектят вирусы. Правильно, также упакован  :Wink:  Только разработчик этого античита из Аргентины.


P.P.S. Неужели тут нет людей сидящих на dedicated-server.ru? Не верю  :Smiley: 
max_rip точно сидит

----------


## priv8v

А для чего он упакован? Если для того, что бы сократить его размер, то не ясно зачем использовать какую-то экзотику для упаковки - все равно она не сильно выиграет (если вообще выиграет) у того же UPX. 
Если же упаковка в данном контексте == защита от реверсера, то нужно смирится с детектом и подходить к убиранию фолсов индивидуально к каждому антивирусу.

----------


## Юльча

> Значит, есть на то какие-то причины использовать его, разве нет? )


возможно, тогда очень интересно услышать эти причины  :Smiley:

----------


## Lexxus

*priv8v*, вы правы, как раз защита, т.к античит на ранних версиях (1.01-1.06 ) ломали как семечки.
а теперь некоторые грызут локти и используют иные методы для игры с читами, их не то, что ни один античит не пропалит,  но даже и антивирусы (если сделают такие вирусы).

----------


## priv8v

*Lexxus*, а если поверх всего упаковать фемидой? некоторые из антивирусов должны успокоится - хотя, это уже танцы с бубном будут ))))

----------


## Kuzz

> а если поверх всего упаковать фемидой? некоторые из антивирусов должны успокоится


и подключатся другие))

----------


## Lexxus

*priv8v*, но не все ж  :Smiley: 

вообщем, тогда сделаемс так, как только разработчик выпустит релиз, то снова все выложу сюда и тогда пофиксите  :Smiley:

----------

