Я помню просто феноменальный по значимости тест антивирусов, где «исследователь» проверял разными интивирусами какой-то древний архив и смотрел сколько вирусов в архиве (нераспакованном) обнаружат разные приложения. Так вот, clamav у него оказался плохим по той, причине, что обнаружив в архиве первый вирус, он его не стал дальше его проверять. В общем-то идея вполне здравая (особенно для антивируса на почтовом сервере, для которого он в основном и предназначен). Какой смысл выяснять много ли ещё вирусов в архиве, если известно, что он заражён и открывать его уже заведомо небезопасно?
Ложное срабатывание. Вообще, делай, как знаешь — от антивируса на гне пользы не будет, но и вреда тоже (ибо ресурсы не жрёт, разве что при обновлениях).