Только начал такой процедурой пользоваться, антивирус Dr.Web стал видеть в программе вирус AdWare Adware.ResearchAd.origin.

Как от этого можно избавиться? Я ж не вирус пишу   
А если искать все (*.*), антивирус молчит.

Наверное аналогичный код использовался вирусописателями для нахождения заражаемых файлов
Можно попробовать просто чуть-чуть изменить алгоритм, например завести Path + '*.exe'  в отдельную переменную
или проверять подходит ли расширение файла уже в цикле

неверная проверка. а если это скрытая допустим директория?

Т.е. ругается в процессе поиска или при сканировании файла?

Upgrader, знакомая ситуация. Тут 2 выхода. Либо глушить веба, либо слать им образчик "вируса", чтобы они поправили сигнатурки. 

При проверке файла на вирусы (и антивирус на лету проверяет все запускаемые файлы)

Не знаю, пробовал по-всякому твой код, у меня Dr.Web молчит. Проверял на virustotal.com

  Так еще зависит от версии компилятора + сочетание с другим кодом. Не бывает таких маленьких сигнатур, чтобы только одну процедуру включали. 

Аналогично, компилятор delphi 7, на вирустотале не один антивирь не ругается, даже параноидальная панда.

А вообще в одном из стареньких номеров "Хакера" была статья по несложным методам "чистки" кода - разбив строковых констант, вынос нескольких инструкций в отдельную процедуру, изменение точки входа и т.д.

  

Ну поэтому я и использовал две версии компилятора, а так же пробовал оконное и консольное приложение, так же писал после процедуры поиска запуск всех exe с пом. WinExec(в этом случае suspisious выдали Panda и VBA32). Насчёт длины сигнатур, это всё понятно. Но они бывают абсолютно разными, к тому же сегодня сигнатуры в классическом варианте в АВ не используются почти.

Специапльно скомпилировал такой код и проверил на virustotal.com:



Резалты:



Это сообщение отредактировал(а) W4FhLF - 22.1.2008, 17:46

С расширением exe нормально, а с xls - вирус.   
В данный момент нужно как раз xls

Это сообщение отредактировал(а) Upgrader - 22.1.2008, 17:53

Держи эту строку зашифрованной, чтобы АВ не смог её проэмулировать, а перед передачей в функцию расшифровывай отдельно. 

такой код оптимизатор компилятора превратит в '*+.exe'   
нужно

А я сейчас взял и удалил эту строку   
FindFirst(Path + '*.*', faAnyFile, SR) = 0

Без нее тот-же самый вирус!   

А с ней но со звездочкой нет вируса....

может какая-то левая компонента (не каждый раз) заражает выходной код , а что такой вирус можно написать
(может глупость ляпнул , не пинать)
Нужно убирать компоненты с формы и смотреть исчезнет ли вирус
Или вирус уже в системе (другой который еще не видит веберь) и заражает этим вирусом вновь созданные или переписанные файлы.Можно проверить - переписать файл с одного места на другое и если он заразится значит у вас проблемы.

зы. Нод32 рулит

Это сообщение отредактировал(а) SlaUr - 25.1.2008, 14:33

Upgrader, просто для справки. Я один раз писал прогу которую все антивирусы считали за вирус. я долго думал что могло быть, а потом поставил антивирь всебе и оказалось что у меня пол компа заражено, вирус заражал только что созданный exe.

gambit,
Конечно это не такой случай   

Аналогично, DrWeb ругается, если делать сервис, который добавляет определённого пользователя в админы 

Серьёзно, надо другой антивирь ставить. Мой nod32 молчит по поводу процедуры.  

я так понимаю, что добавляя в свою программу процедуры UrlDownloadToFile или ShellExecute вы, по мнению антивируса, начинаете писать вредоносный код?

у меня делфи 7 и антивирус Avira Free Antivirus. дык стоит добавить одну строчку с такой процедурой и всё - троян! да и в других антивирусниках похожая ситуация.  ну ладно я, мне не влом в исключения добавить, но такую ахаяную антивирусами прогу люди качать не будут! чтож мне слать свой исходник всем антивирусникам, чтобы они сигнатуру правили - да и поправят ли - ещё вопрос. чтож делать?

http://forum.vingrad.ru/forum/topic-353080.html