Вирусы и антивирусы. Всё, что можно. :)

[Гром]

Я тут сталкиваюсь с тем, что от меня пошли письма к людям, пока только один откликнулся но боюсь, что он не единственный получивший, просто пока не пишут.

Старый NAV глючит - и делает только real-time protection а сканировать зараза не хочет.
Надо посмотреть все файлы и т.д.

Какой антивирус сегодня лучший и кто его может закинуть мне...
Помогите.

[ysv_]

Мне нравится AVP. Стоит и дома, и на работе. Доволен! Но забросить его, к сожалению, не могу . Для пересылки слишком большой

[Гром]

Заброс по ftp образ диска.
Но если не можешь то не надо - у кого еще есть мнения. :?:

[RXL]

AVP Lite (сроде так именуют) на ихнем сервере бесплатно (временно конечно).

[Lex]

Я тоже avp пользуюсь. И вполне доволен

[Fireworm]

Мне очень нравится TrendMicro Правда это больше для корпоративных сетей.

[Serega]

А я иользуюсь STOP, более быстрого и удобного не встречал

[baldr]

На мой взгляд, хорошего антивируса пока что не существует, но из существующего отстоя выбираю AVP...  :?

[Гром]

Всем спасибо - но есть несколько дополнений.

1. Поподробнее о каждом.
2. Кто может сделать имидж жиска в Nero и запихать мне на ftp??

[MOPO3]

А я вот пользую AVG и доволен им  

[Алексей++]

AVP - я яго всегда юзал и никаких (пока) проблем.

попробуй поискать сайт журнала Chip (адрес я не могу найти    - сам удивился)

прислать тоже не могу - нет у меня таких денег! (он около 12 метров)
а из института такое не позволят...

[Джон]

http://www.free-av.com/ -бесплатный, предохраняться пойдёт, ну... а лечиться - "format c:"  

[grozny]

Смысл простой: приходит письмо с зип-файлом в аттаче. В зипе лежит файл с именем "document.txt <20 пробелов - :twisted:> .exe" .

Типа "опытные" юзеры щёлкают на  якобы txt-файле (в эксплорере полное имя-то обрезается, и на дабл-клик запускается троян ) 8) . Сама экзеха упакована UPX0, около 22 кб. В общем, препаривал экземпляр сёдня с утра в корпоративной почте

В общем, пользуйтесь Фаром и Батом для безопасного... гм, чтения почты...

Novarg able to deceive even experienced Net users...

Symantec Corp. ... has rated the worm a 4 on a scale of 1 to 5, with 5 being the most widespread virus outbreak.

Antivirus companies have yet to agree on a name for the malicious program, which is also being called MiMail.R, Shimg, and Mydoom. The name of the attached file is randomized, but often arrives as  body.zip, document.zip, message.zip, readme.zip or text.zip. The subject line of the infected e-mail can say "Hello," but often it is simply left blank.


"This worm is taking off like a rocket, with well over 20,000 interceptions in just 2 hours of it being discovered," said Ken Dunham, director of malicious code at iDefense Inc.

 
http://msnbc.msn.com/id/4065701/

[mj]

мне за день его раз 20 прислали... правда и ящиков у меня много...

а то я уже чуть со скуки не помер, за пол года ни одного вируса и спама не более 2-ух писем в день...

[Антон (LogRus)]

забавный вирь. он мне одинрас пришел атачем text.zip внутри "text.doc                                                           ~.scr", а второй раз text.pif внутри похожи как брать близнецы. Я правда почту под линуксом смотрю или через веб интерфейс. Казлы в общем. Ну хоть развлёкся отправителя посканил файлы, посравнивал да и ваше интерсней обычного спама.

[Гром]

Самое плохое, что я получаю ответные сообщения, хотя ничего сам не шлю, что я послал вирус кому - то.
Предупреждение, видимо в связи с тем, что адрес мой в огромном колличесте рассылок - заразились многие компы с моим адресом в адресной книге и троян рассылает себя от моего имени.
Я чист и почта с моего компа ен может быть заражена, просьба всех войти в положение и отнестись с пониманием к происходящему.

[Алёна]

Гром,
что это за вирус и как его распознать,
по моему мой домашний компьютер разажен. Но точно не знаю. Касперский не распознает. Сейчас скачаю обновление, пожет что найду

[Sashok]

grozny, интересно, что использовали старый трюк, а народ ловится как никогда интенсивно. По-моему, этот фокус с пробелами в имени описывали года полтора-два назад...

[Алёна]

Нет, мне возращаются письма которых я не отправляла.
И адресов этих я не знаю

[RXL]

Алёна, такие письма сразу стирай не раздумывая.

[Алёна]

Я их и стираю.
Потом еще удаляю из папки удалённых.

А где физически хранятся поступившие файлы :?:  что бы на всякий случай проверить и там. А то (как я уже жаловалась) проверка всего копмьютера  занимает много времени

[Musication]

I`m Musication,but I want speaking, what for they  are doing?

[Алёна]

Я незнаю что они делают, Но когда тебе возвращаются письма, которых ты не  посылала, приходится задуматся.
Ночью проверила компьютер Касперским, но он ничего не нашел
Буду надеятся, что это и вправду Глючит почтовый сервер.

P.S.  Musication просьба писать по русски, а то при моем знании английского может искажатся смысл.

[XpyDi]

Это Novarg.
Для тех, кто думает, что он заражен читайте:
http://www.kaspersky.ru/news.html?id=145357396
Качайте программу ftp://ftp.kaspersky.com/utils/clrav.zip

Описание червя:
http://www.viruslist.com/viruslist.html?id=144488783

[Sashok]

I`m Musication,but I want speaking, what for they  are doing?

P.S.  Musication просьба писать по русски, а то при моем знании английского может искажатся смысл.

Присоединяюсь! Поскольку при знании английского, продемонстрированном Musication'ом тоже искажается смысл... Прошу прощения, но не хотел никого обидеть...

[Гром]

Musication, we are format our hard drives.
My favourite command is format c:

Вот примерно так

[RXL]

Я незнаю что они делают, Но когда тебе возвращаются письма, которых ты не  посылала, приходится задуматся.
Ночью проверила компьютер Касперским, но он ничего не нашел
Буду надеятся, что это и вправду Глючит почтовый сервер.

Это специально делается - такие письма труднее классифицировать на спам/не спам. Мне такие уже пол года приходят.

[grozny]

I`m Musication,but I want speaking, what for they  are doing?

P.S.  Musication просьба писать по русски, а то при моем знании английского может искажатся смысл.

Присоединяюсь! Поскольку при знании английского, продемонстрированном Musication'ом тоже искажается смысл... Прошу прощения, но не хотел никого обидеть...

Aye, matey

[Алексей++]

Musication, we are format our hard drives.
My favourite command is format c:

And than install  Doors2000 . For new Viruses.  :twisted:

[Dimyan]

А вот мне еще ни одного письма с вирусом не приходило:wink:  (покрайней мере Касперский не засек, а я его каждый день обновляю и каждый вечер компик на проверку ставлю) !!!
(тьфу, тьфу, тьфу,
  тук тук тук (это я по дереву ))

[Алёна]

Please, write in Russian.
Or even synchronously translate written.
My interpreter translates not absolutely correctly, and own knowledge does not suffice.
grozny, and your phrase it(he) has not transferred(translated)

Переводить не буду, это высказывание для тех кто предпочитает английский.

Касперский до сих пор вируса не видет. А передложенная выше утилита вызывает сбой. (да ещё и загружается через DOS).

[grozny]

grozny, and your phrase it(he) has not transferred(translated)

удивительно, что морской жаргон 17-18 вв. не включен в лексикон вашего автопереводчика, ага    :twisted:

Хотя во многих книжках (включая детские) и голливудовских блокбастерах (Pirates of the Carribean или Peter Pan не смотрели? дык вот там наслушаетесь aye-aye captain, argh  и т.п.) используется чаще чем нужно. Поэтому есть речевой штамп, навязший в ушах и легко вспрыгивающий на язык.

Короче, если перевести на нынешний разговорный, то типа "без базару, пацаны".

[grozny]

Я их и стираю.
Потом еще удаляю из папки удалённых.

А где физически хранятся поступившие файлы :?:  что бы на всякий случай проверить и там. А то (как я уже жаловалась) проверка всего копмьютера  занимает много времени

Ты каким почтовым клиентом пользуешься?

1. Если Аутлуком или Аутлук Экспресс, то аттачи хранятся по умолчанию в "C:\Documents and Settings\<username>\Application Data\Microsoft\Outlook" .

У Аутлук Экспресса директория лежит рядом "C:\Documents and Settings\<username>\Application Data\Microsoft\Outlook Express". Про экпресс мог соврать - я его вынес сов всеех машин, до которых дотянулся.

2. The Bat! : аттачи лежат по умолчанию

"C:\Program Files\The Bat!\MAIL\<account name>\"

[Гром]

Dear user of  Shelek.com gateway e-mail server,

We warn  you about  some attacks on your e-mail  account.  Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow  the instructions.

For  more information see the attached file.

Attached file protected  with the  password  for security reasons. Password is 76505.

Sincerely,
   The Shelek.com team                              http://www.shelek.com

Вот такое письмо мне от меня (моей комманды) как польщователю пришло сегодня.
В файле письма - вирус - не открывайте письма идущие на английском и на русском от моего имени - отныне я в каждое письмо буду включать в Сабжект свой опознавательный ник !ГРОМ!

Вот именно так - все остальные письма с shelek.com вирусы.

Удачи вам.

[Vint Pro]

В файле письма - вирус - не открывайте письма идущие на английском и на русском от моего имени - отныне я в каждое письмо буду включать в Сабжект свой опознавательный ник !ГРОМ!

Вот именно так - все остальные письма с shelek.com вирусы.

Удачи вам.

А если это сообщение прочитает тот, кто рассылает эти письма?

[Sashok]

Вопрос возникает: это просто кто-то от неумения направить энергию в мирных целях, или мы кому-то дорогу перебежали?

[Dimyan]

Да может завидуют, у нас тут братство как ни как  

[Гром]

----Нет скорее судя по аглицкому и незнанию ситуации на сервере, что это частный сервер - это просто робот лепит.

[Anonymous]

ГРОМ, в Яндекс-почте появилась надпись

Внимание! В Сети идет новый вирус — обычно это выглядит как приаттаченный файл формата zip, в самом письме текст обычно по-английски, подделывающийся под текст службы тех. поддержки, либо предлагающий общаться. Мы не рекомендуем открывать пересланные архивные файлы, закрытые паролями!

____________________
1153

[Гром]

Гость 1153 , понял

[Алёна]

отныне я в каждое письмо буду включать в Сабжект свой опознавательный ник !

А теперь скажите что такое Сабжект

[Sashok]

Алёна, Сабжект - это от английского subject, что означает "тема".

А вообще - учи английский язык. Поможет в понимании слэнга.  

[Алёна]

Учу третью неделю.

Уже прошли алфавит и настоящее время    

[Алексей++]

Алёна, 10% уже есть  

[Алёна]

10% уже есть

Нет 0,000000000000000001 %

[.]

Собираю вирусы для тестирования антивирусного ПО.
НЕ ДЛЯ РАСПРОСТРАНЕНИЯ!
Буду презнателен за каждый присланный вирус.
лучше архивировать каждый вирусованный файл с паролем, пароль можно положить в тело письма, а вирусованный архив приаттачить.

tarc@mail.ru

[Заяц]

TJSoft, я тебя, как админ тут, засыпать могу!!! Не боишься? Нет, без шуток! У нас на серваке тормозится в день до 30-50 штук.

[PSD]

Неужиле разных?
Или только тел?


(мой личный рекорд чистил сетку 259345 тел, 28 разновидностей )

[Заяц]

PSD, не, разнообразием, прав, не блещуть.
И то хорошо!

[Harry]

У меня тоже есть такая коллекция, правда небольшая (выбирал дрянь повреднее). Могу поделиться

[Harry]

Кстати, насчет антивирусного ПО - у меня один кейген Нортон Антивирус грохнул. Начисто, как hacktool. Вот обидно было...

[.]

Мне действительно ОЧЕНЬ надо. Если можно, пожалуйста, поделитесь! буду только благодарен

[.]

ЗЫ: я сам админ:у нас и своих вирусов было когда-то полно, но мы их все вылечили, а как новая эпидемия, то мы их сразу лечим.

[.]

Так что присылай вирусы

[Harry]

Отослал немного. Самое вкусное оставил на потом - надо будет разархивировать осторожно, чтоб самому не подхватить...  

[.]

я под FreeBSD сижу, поэтому не подхвачу заразу

[.]

:oops: не дошли
Видимо, их нашли. ты мог бы запаролить архив?
Если файлы маленькие, они могут остаться не запароленными, поэтому можешь из заархивировать в tar и добавить в архив.

[Алексей++]

стреляюсь, помогите ( )

некий вирус (это уже несомненно) долбит комп,

причём в папке system32 появляются файлы без расширения типа
F:\WINDOWS\system32\TFTP1280

(система у меня на диске F)

начинаются с TFTP и заканчиваются цифрой (разными, было  380, вроде)

в этом файле касперский находит (причём иногда запоздало - при запуске проверки system32) вирус Backdoor.Win32.Rbot.gen   

.

иногда без видимых причин  винда выкидывает окно

причём урла на диалоге не постоянная ( другие сейчас не вспомню)

Иногда вылетает другое окно (снимка сейчас нет) - после него ваще перезагрузка автоматом идёт

Пытался лечить через format F , но тут же эта фигня возникла снова !!!!!!

подскажите что делать

[baldr]

Открути винт (все), отнеси его на другой комп, где стоит Каспер с новыми базами, поставь его туда и сделай полную проверку.

[Джон]

Запусти FileMonitor и посмотри кто эти файлы создвёт.

[Алексей++]

у нас тут компы в сети - поэтому надежды особо нет (думаю другие тоже заражены) могу дома попробовать - но там неоткуда обновить базы

лана, попробую, попытка - не шутка...

[Алексей++]

Джон , это где такой монитор?

[Алексей++]

кстати, TFTP1280 - виндовский экзешник, MZ в начале файла имеется

This program requires Microsoft Windows - присутствует

[baldr]

Может, dll....
А вообще если хочешь все почистить - отключи всех от сети и на каждом - лечебные мероприятия.

[Алексей++]

вообще говоря, жалется только мой комп... может у меня он один заражён.

ЗЫ не хочет обновляться из инета касперский, сволота! - это чё за финиш?

[baldr]

Ключи устарели, может. У меня то же самое.

[Джон]

Дык, http://www.sysinternals.com/

[aks68]

Вот Википедия вчера подсказала

(События 24.04)
1184 до н. э. — По преданию, в этот день древние греки смогли проникнуть в Трою при помощи троянского коня.

(http://ru.wikipedia.org/wiki/24_%D0%B0%D0%BF%D1%80%D0%B5%D0%BB%D1%8F)

Так-что с праздником уважаемые!!!

PS: Приятно однако осознавать, что юзаешь технологию (или она тебя) 3000 летней давности   

[x77]

хацкеры

[Джон]

Юзать? Троянов? Хммм... "Оригинально!" (с)

[Pu]

Юзать? Троянов? Хммм... "Оригинально!" (с)

Джон, а чего странного? я юзал троянов... в нормальных руках некоторые из них являются очень неплохими средствами удаленного управления компами... Во всяком случае некоторые очень даже ничего.

[Джон]

Тогда это были уже не трояны по определению.

[Pu]

ну по определению антивири постоянно ругались на наличие троянов у меня на компе. потому как в нехороших руках эти проги дают полный контроль за компом. за файловой системой и за железом.

[x77]

в хороших руках полный контроль дают Remote Desktop (для пендосов на винде), RAdmin (для наших на винде) и VNC (для всех остальных риальных пацанофф).

[RXL]

x77, по моему личному опыту, Remote Desktop значительно лучше конкурентов. Я пользовался (и продолжаю по необходимости) RAdmin, VNC и PCanywhere. Скажу, что у RD трафик меньше, отклик меньше и размер десктопа автоматически изменяется. Если поставить на свою тачку AdminPack2003, то еще появится и доп.галочка "подключиться к консоли". Конечно, RD лучше пускать по защищенному каналу.

[x77]

RXL, Ром, ты что имеешь в виду под консолью?

в ремоут десктопе ярлык подключения представляет собой ссылку на обычный тестовый файл. ты открываешь это файл в Notepade'е, и вставляешь там строчку:

connect to console:i:1

после этого ты всегда будешь логиниться в нулевую сессию. ты это имеешь в виду?

[RXL]

x77, именно.

[Ochkarik]

дорвался называется то халявного интернета...
теперь шлю smtp траффик по всем портам, гигабайтами((((
доктор веб - молчит как партизан...
AVZ ересь какую то показывает. то ли перебдел, то ли не нашел... то ли вылечил - непонятно.
завтра еще рабочий комп лечить - как не пойму((((

кругом засада...

[Алексей++]

файервол надо ставить И антивирус нормальный

[Ochkarik]

хех... нормальный - это какой?
собстно его и AVZ не идентифицировал...
ток по факту наличия левой библиотеки через HijackThis в загрузке...
запостил на Virus.info, пока ждал ответа смотрю - левак какой то, ну сам пофиксил при помощи HijackThis, потом на virus.info ответ аналогичный появился. выслал им... посмотрим что скажут.

по ходу AVZ на карантин мое обучение пользованием socket-ами поместила:)

[Джон]

Ща какой то вирус в инете, сегодя в новостной ленте на вокзале мельком прочитал, перелопачивает mp3 в wav и вешает дополнительно код, который сгружает трояна.

[RXL]

Ochkarik, а ты часом, вместо драйверов, вирусо-писательством не занимался? А то как они могут так концентрироваться без наличия халявного инета... 

Вообще, первым делом "Диспетчер задач" и вырубить все подозрительное.
Потом не дурно посмотреть, что в автозагрузке в реестре (*/Software/Microsoft/Windows/CurrentVersion/Run*) и поубивать подозрительное.
Совсем хитрые вирусы убиваются KAV (скачать его можно бесплатно и пользоваться "пробной лицензией") или другим не менее толковым антивирусом.

Профилактика вирусов: не пользоваться IE (разве что в исключительных случаях, предварительно подзакрутив ему гайки в настройках) и проверять весь привнесенный извне софт (ну, думаю, что дистрибутив винды или DDK можно не проверять).

Кажется, я опять боян написал 

[zubr]

Руткит в диспетчере не увидишь, да и антивирусы в основном против руткитов бессильны. Опять таки руткиты, как правило, как драйвера регистрируются, автозагрузка - слишком заметно. Самый надежный способ - система не под админом + хороший файервол, имхо.

[Ochkarik]

zubr, угу, все так) теперь вот думаю... насчет работы из под админа... просто не ожидал что антивирусники его так смело пропускают. причем я так понял большинство!

RXL, куда мене до вирусо.... а диспечер задач и Run я первым делом проверил, но это не единственный ключик в реестре откуда запустится можно) это самый очевидный...
короче вычистл)
путем AVZ + HijackThis
и ребятам с virus.info спасибо, хороший ресурс... да и сам не оплошал)

по пути грохнул нечаянно драйвер от соньковского Protector-a который отпечатки пальцев сверяет...
ща поеду рабочий комп чистить.... кофу ток допью)

[Джон]

Ром, в данном случае боян только на пользу.

Ну и раз пошла такая пьянка... Я антивирусниками и файерволлами не пользуюсь. Тормозят они меня. Просто стараюсь аккуратно и чисто по инету шарахаться. Но и на старуху бывает порнуха. В этому случае (важно! всё время ведём лог удалённых/изменнённых файлов и ключей реестра - или в текстовом файле - копипастом, или в крайнем случае на бумажке):

1. "Выдернуть вилку из розетки" (с) (интернетовскую конечно) - чтобы зараза не обновлялась и подкреплений из инета не ждала. Ни в коем случае не перезапускать систему! Скорее всего враг написал чего-нить в run список. И вот тогда уже будут кранты. Пока система работает запущенные системные бинарники не могут быть инфицированы. Что явно произойдёт после перезапуска.

2. Игнорируем все сообщения (если таковые имеются) о том, что ваш комп заражён, особенно те, которые прдедлагают "вылечить" его немедля, сгрузив супер-пупер антивирус. Такие окошки даже лучше не закрывать, а просто убивать (см ниже) - кто их знает, на что они реагируют.

3. Обычно вирусы затыкают диспетчера, надо его разблокировать (ключ в реестре, ща не помню, но легко находится в гугле). В нём, как Рома уже сказал,  выявляем врага. Если есть возможность - вместо диспетчера используем Process Expolorer Руссиновича. Кстати для этого периодически ради интереса заглядываем в список запущенных процессов, чтобы иметь представление о его метаморфозах. Завершаем все запущенные программы типа браузера и тп. Если они не хотят этого длать - убиваем их процессы. Это позволит легче выявить врага в списке.

4. Бесплатная прога unlocker - самая незаменимая прога в этом случае, лучше любого антивиря. Удаляет запущенные dll/exe причём показывает кто их использует, так можно всю цепочку отследить.

5. Запускаем Regmon, всё того же Руссиновича, и выявляем неизвестых, которые что-нить прописывают без нашего ведома в реестр. Убиваем их и чистим реестр от их бедлама.

6. Чистим автостарт и run ключ в реестре от всего подозрительного.

7. Производим поиск (по возможности по всем дискам и партишн) файлов, которые были изменены в предполагаемый период заражения и после него. Анализируем список. Явно подозрительные - убиваем, остальные переименовываем до неузнаваемости.

8. Желательно с другого компа лезем в инет и на основе лог-данных (имена файлов, ключи реестра) ищем инфу о вражине и проверяем все пункты, которые он поразил, и которые мы пропустили.

9. Ща не помню, надо дома глянуть, как файл называется, там короче инфа о регистрации. Если вирус его изменит, то после удаления вы не сможете зайти в систему (ХР), получите сообщение об активации, но она не прокатит. Я был просто взял этот файл с другого компа - всё заработало. Потом я просто сделал бэкап этого файла.

Вроде всё.

[Алексей++]

Джон, а мои антик и файервол почему то совершенно не тормозят Даже когда игру большую запускаю - ничего не отрубаю

[RXL]

Леш, у тебя, возможно, мониторинг отключен. Иначе антивирус проверяет все, к чему прикасаются процессы.

[Джон]

Лёш, по хорошему, если ты защищаешся - мне на работе просто деваться некуда - положено, то должна быть включена проверка всех изменений файлов. И если их очень много, то... Короче с врубленным NAV я компилю проект 25 минут, если я его останавливаю - то 18.

[Ochkarik]

http://www.virustotal.com/ru/analisis/975878bec13dc96fa167be3465a0a8c2
мто что у меня было...

[Алексей++]

я бы вот ещё пункт добавил :
10 . всё таки ставим файервол и антивирус

[Алексей++]

защита включена постоянно, а фаер даже проверяет, кто куда пытается соваться - в сеть ли, в другой процесс ли , даже в тот же авторан (везде, где возможно). Не ощущаю тормоза! А вирусы давно уже не беспокоют - всё прерывается с самого начала, если что

[Ochkarik]

Джон, кстати я в свое время от каспера отазался по той же причине... тормозил зараза.
а веб отказывается не так хорош... не ожидал.

из 34 антивирусников только 5 отлавливают...

[Джон]

У нас на работе NAV, файер, последние апдейты и тп - обязанность, для страховщиков. Иначе не оплатят ущерб, если нашим софтом клиентов заразим. Типа борьба с халатностью.

А я сам заражался дома два раза по собственной глупости, порождённой усталостью, когда глазки уже слипаются. Попадался в элементарные ловушки - вместо нужного файла по недосмотру сгружал один раз экзешник, а другой раз картинку векторную - wmf, а сгрузился файл - wma. Я главное смотрю на него и удивляюсь, чёт не то написано, а сам всё-равно тычу - открываю. Ну и... вот.

[zubr]

Джон, блокировка диспетчера процессов ключом реестра и прописывание в авторан - это детские шалости (в лучшем случае студенты). Серьезные вирусы идут через перехват NT-функций на уровне ядра, путем скрытия своих процессов, а также обхода файерволов. Причем есть такие гады, которые умудряются примазаться к процессам, используемым в системе броузерам, поэтому файрвол тут бессилен (ну не запретим же мы работу броузеру).
Как говорил мой ротный - на каждую хитрую ж-пу есть х-й с винтом, а на х-й с винтом есть ж-па с закоулками. Извиняюсь за грубость.

[Джон]

zubr, я поделился своим опытом. И потом это первая реакция при заражении. Принцип простой - все что запущено - либо экзешник, либо dll - найти и убить их - наша задача. Конечно надо импровизировать. Браузеры и всё ненужное вырубать сразу. Я например смотрю изменённые файлы и вырубаю все папки, даже если это известный мне софт. Его-то восстановить всегда можно.

Ну а ежели мы заговорили про серьёзные виры, то от них ваще защиты нет - от новых. Ибо все антивири ищут по известной сигнатуре, я ещё ни одного не знаю, у которого эвристический алгоритм работал бы на 100%. Те сначала заражаемся, выясняем сигнатуру, обновляем БД, после этого начинают антивири работать. Ну а про файер ты уже сказал.

[zubr]

Насчет эвристического анализа - это в точку. У меня DrWeb, работая в резидентном режиме, однажды выскочил на запуске своей програмы (прогу скомпилировал, запустил в отладчике, а тут доктор - это вирус), причем прога ну совершенно безобидная, ни к сети, ни к вебу не имеющая отношения, и в реестр даже не лезла.