Ele está a ver a coisa no sentido limitado da questão.
Uma box com av a correr em system account, protegido por uma password, e com o user em limitado nunca vai ver vírus system-wide a menos que o dito explore uma falha que permita privilege elevation. Um AV semidecente não só procura assinaturas estáticas como tambem padrões, logo pequenas mudanças no código não dão em nada, o padrão continua quase igual. Um bocado como as análises de DNA. Nem sempre se tem 100% de acerto, mas aos 99% já se tem que chegue... E quanto a packers, os melhores AV's fazem de-packing recursivo até terem o ficheiro original, só depois checkam o ficheiro (e dai se explcia diferenças de tempo entre um Kaspesky e um Antivir...).
Ok, isto era o mundo ideal, passando ao mundo real...
A maior parte do povo não tem uma pass no AV pq dá muuuito trabalho... Não tem uma pass na conta de admin pq dá muuuito trabalho... Não usa uma conta limitada pq, claro está, dá muuuito trabalho. E depois quando lerpa, lerpa em grande estilo...
Os AV's não são infalivéis e a parte heuristica nem sempre está nos melhores dias. Nada a fazer. E não conhecem vírus obscuros nem packers home-made. Assim, calro que é fácil passar um vírus. Se formos nós a escrever o dito e a distribuição for limitada, provavelmente nucan será apanhado... Raios, as vezes coisas de distribuição bem grande não são apanhadas quanto mais...
No fim do dia continua a ser um ponto irrelevante. IMHO o povo não precisa de AV's, precisa é de mudança de hábitos.