Ладно, давайте оставим TDL4 пока в покое. По моему не менее интересным является ZeroAccess.
Лично для меня он примечателен тем что способен выводить из строя антивирусы. NOD когда доходил до него, руткит отправлял систему в синий экран, а после загрузки NOD выдавал ошибку "Ошибка обмена с ядром"(Примерно такая ошибка). В даун уходил MBAM, а сегодня и Хитман Про. Но руткит не инфицирует MBR.

EVE N, я не углублялся в SysInspector и глубокие настройки. Я просто как обычный юзер скачал последний дистрибутив с офф.сайта, установил, обновил и включил сканирование Smart  

Avast Internet Security (AIS) 6.1.1289.
TDL4 - успешно обнаружен и удален скрытый загрузочный объект в MBR. MBR при удалении руткита не пострадал.
Rustock.C - успешно обнаружен, но удалить его аваст не смог.
Примечание: TDL4 был обнаружен во время обычного сканирования, а не во время бут. Это показывает очень высокий уровень лечения данного вредоноса.

AIS 6.1.1289 проверю.  
Сейчас посмотрел на АМ последний тест. Они заврались. Добавляя плюсы касперскому, они начали путать антивири .
В тесте написано что нод лечит заражение Рустоком, но лично у меня кроме детекта ничего не происходит

ESET Smart Security 4.2 давно у меня был объектом интереса. На реальной машине стояли KIS 2011, AIS 6, BDIS 2011 и сейчас стоит Symantec NIS 11. На реальной машине я не мог проверить их в битве с руткитами TDL4(Olmarik), ZeroAccess, Rustock.с(у меня попросту не было сэмплов да и операционку жалко). Но читая журнал "хакер" за 2007(или 2008, не помню)год я натолкнулся на статью Криса Касперски по реверсу руткита Rustock.c. И там была ссылка на сайт с сэмплами которые выкладывают там(сайт легальный и на главной странице есть предупреждение о том что большинство сэмплов живые),я не буду рассказывать о рустоке, а сразу к делу
На виртуалку(VirtualBox) я скачал сэмплы и Smart Security и заразил тестовую систему руткитами предварительно проверив на вирустотале на наличие детекта в не активном виде. После того как система была заражена я поставил Smart security и результат меня очень сильно удивил.
Вот результат(руткиты в активном виде):
TDL4 - не обнаружен, хотя в неактивном виде детект на него присутствует.
ZeroAccess - не дал себя просканировать отправив систему в синий экран и после перезагрузки выведя из строя нод.
Rustock.c обнаружен, но удалить его нод не в состоянии.
Итог:ни один из представленных двух руткитов(TDL4 and Rustock.C, ZeroAccess в счет не входит так как выводит из строя и блокирует практически все антивирусы и антивирусные утилиты) не были удалены обычным антивирусом
А теперь о ESET Smart Security не заглядывая во внутрености.
Очень хороший в плане скорости и детекта в неактивном состоянии мальвари.
На 30% быстрее Norton'a(хотя нортон с его очень высоким уровнем детекта считается одним из самых быстрых).
Базы обновляются меньше чем за 5 минут. Не перегруженный интерфейс и отсутствие проблем ЛК.    
Моя оценка 8 из 10.

http://forum.kaspersky.com/index.php?showtopic=216382
"Уважаемые форумчане, пожалуйста, помогите разобраться с проблемой! Суть в следующем: нахожусь в Интернете, KIS 2011 внезапно выдаёт сообщение о том, что базы повреждены и отключает защиту, попутно пытаясь закрыть все активные соединения с сетью. Кроме того KIS пишет об отсутствующей у меня лицензии, хотя с ней всё в порядке!!! Пытаюсь обновить базы, повторно пишет то же самое. Защита выключается, а Центр поддержки Windows начинает выдавать угрожающие сообщения о риске заражения и о необходимости включения отключенного антивира. С третьего или с четвертого раза всё-таки удается обновить базы, после чего всё резко приходит в порядок как по щелчку. Антивир включается, начинает шустро работать, сообщения о сбоях исчезают. В чём дело-то было в таком случае и не будет ли повторения такой ерунды? Заранее спасибо за ответ.""
Или вот еще:
"У меня тоже самое сейчас случилось !

KIS2012 отключает защиту , пишет , что невозможно проверить соответствие баз лицензионному соглашению , статус лицензии недействителен . И это при том , что сам же показывает , что до даты окончания лицензии ещё далеко .

После перезагрузки компьютера всё заработало , но через 10 минут ситуация повторилась .

Такого безобразия раньше ( за 3 года что я использую Касперского ) никогда не было ! Кроме того , почему собственно защита ОТКЛЮЧАЕТСЯ , даже если произошёл глюк с лицензией , да и по вине отнюдь не моей ? Раньше , насколько я понимаю , например , при истёкшей лицензии Касперский просто прекращал обновляться , но НЕ отключал защиту . Я до такого не доводил никогда, но , помнится , читал , что именно так и происходило . Почему защита теперь ОТКЛЮЧАЕТСЯ ? А если бы я сейчас находился во враждебной веб-среде и подцепил бы троян ? При том , что лицензия-то мной добросовестно оплачена . Вообщем , что-то я разочаровался в Касперском ."

http://forum.kaspersky.com/index.php?showtopic=216186
Установка КИС 12 на систему пораженную руткитом TDL3(Olmarik)
Полный фейл, а вот и ответ на это "Виртуал бокс не есть платформа для тестов"
Это жесть.
http://forum.kaspersky.com/index.php?showtopic=215765
"Перезагружаем компьютер модем (роутер) оставляем подключенным к сети:
1.Windows загружаеться
2.Значок Касперского в трее грузиться около минуты
3.За время загрузки значка Касперского в трее запускаем Firefox
4.Быстро набираем URL любого ресурса в браузере и вуаля компьютер без защиты находиться в Сети.

Это Ваш хвалёный продукт, господа не позорьтесь, доработайте продукт, а потом выпускайте его в продажу."
 
Cмотрим с поста №122
Спор кто у кого плагиатит технологии: Symantec vs Kaspersky
Вообще наверно многие замечали то что касперский вирусы детектит в 98% случаев сиганатурно, то есть по устаревшей технологии. Где хваленная эвристика? Ложняки ловит?.
Я люблю побаловаться с обходом касперского. Последний раз я лихо обошел касперского немого в дебаггере отредактировав троян ZeuS. Я инструкцию запуска перенес в неиспользованную часть с помощью команды JMP и этим простым трюком я затер сигнатуры Зевса в касперском и он детектил его только эвристикой, а значит изменение точки входа даже на байт(с 60 на 61) отправит касперского в ад. На этот трюк купились только 5 антивирей среди которых был касперский. А после внедрения ASProtect сдались все антивири кроме McAfee - GW Edition. На данный момент должен быть уже обнаружен ESET'ом так как я использовал вирустотал, Symantec защитой SONAR(Проактивка использующая эвристику и облачные технологии и отслеживающая поведение) уже детектит "мой" зевс.

Я поражаюсь ЛК. Честно, еще не вышела русская версия касперского 2012, а уже патч С тестят.

http://forum.kasperskyclub.ru/index.php?showtopic=6759
Может уже все видели, но лично я впервые.
Дядя Женя, что не можете конкурировать с Symantec, McAfee и Trend Micro так надо облить грязью того кто дышит в спину?
Хотя тест Fail NOD32? меня если честно удивил. Eset: Smart Security 4.2 по защите обошел только CA Internet security и Microsoft: Security Essentials 2.0.
А тройка лучших это Symantec, BitDefender и Kaspersky. Единственное что понятно на 100% это высокий результат Симантек, действительно защита от Zero-day выше всяких похвал, то что невозможно взять по базам вышибает эвристика, а если уже и эвристика бессильна, то в дело вступают облачные технологии.

Есть способ, но он влечет за собой некоторые проблемы.
Способ заключается в том что бы заблокировать запись в ветку Winlogon и запись в автозапуск посредством не ХИПС, а посредством операционки. То есть сделать эти ветки доступными только для чтения. Но появится некоторые проблемы, да локеры прописатся не смогут, но и нормальные программы тоже.