Doute AntiVir

[antivir+comodo_pro]

Récemment je ne sais pas ce qu'à fait mon cousin mais son pc ne démarrait plus sauf en mode sans échec (y'avait un écran noir après le chargement de Windows XP pro, on voyait juste le curseur de la souris). Le PC était démarré en "mode sans échec + prise en charge réseau" mais impossible de mettre à jour les programmes.

J'avais fait un scan avec AntiVir le jour même où le PC était planté. La base virale avait 1 ou 2 jours de tard mais il avait quand même trouvé un virus: "Trojan horse TR/Dldr.Agent.kht.2" et 7 warning. Après sa suppression tout est rentré dans l'ordre. Mais là n'est pas la question.

===> Ce que je ne comprends pas c'est comment le virus a réussi à s'installer sur le PC puisqu'il était en "protection maximale" (le guard était réglé sur "scan when reading and writing + all files + unpack runtime compressed files + scan archive"), alors que le scan, lui, détecte tout?

Moi-même il y a quelques mois, je m'étais chopé un trojan qui empêchait le pc de démarrer après avoir tapé le mdp. Mais à l'époque j'étais en "protection standard". En faisant un scan du pc en mode sans échec il l'avait détecté.

===> On dirait donc que le bouclier temps réel - même en protection maximale - est moins efficace que le scan à la volée, POUR LA MEME BASE VIRALE. Le bouclier peut laisser passer quelques virus et seul le scan est vraiment véloce...

Mais il reste quand même pour moi le meilleur antivirus gratuit. Maintenant je suis sur d'une chose SCAN >>> GUARD. Donc je vous conseille de faire un scan de temps en temps.

[Malekal_morte]

Salut,

Difficile à dire, faut voir où les fichiers infectieux étaient car ils étaient par exemple dans un point de resto...
Faut voir ce que ton cousin répond quand le guard s'ouvre etc..

[Contact75]

(...)
On dirait donc que le bouclier temps réel - même en protection maximale - laisse passer des virus. Seul le scan est vraiment véloce...

Idem avec Antivir (la complète) et Bitdefender internet security. On a l'impression que le bouclier est en "amont", c'est a dire qu'il travaille avant infection potentielle pour certains types d'infections. Par contre d'autres sont bloquées dès lors qu'elles s'activent.

Mais bon c'était des infections volontaires en "0-day", mais toujours est il que ce n'est qu'au scan que cela a été détecté (dans les 2 heures qui ont suivi) car la base de définitions de virus avait été mise à jour.
Ceci explique peut etre cela.

Idem du reste quand je me sers d'un scan d'antispyware, cela reveille parfois des infections (du moins celle que je garde dans un coin pour tests) que l'anti virus détecte (mais pas le prog antispyware). M'enfin là elles ne sont pas actives...

[antivir+comodo_pro]

Merci pour vos réponses. Maintenant je comprends pourquoi avant, dans la notice de Kaspersky, il demandait d'effectuer régulièrement un scan.

[constantine]

Bonjour,
j'ai eu un peu la même blague; c'est-à-dire, antivir a été chercher(guard) une infection(bagle) que j'avais renommé (par sécu)dans sandboxie.Mais celle-ci avait été télécharger au moins 15 jours avant. Serait il possible que certaine infection deviennent plus active en ouvrant tel ou tel programmes? Puis je comprend pas comment antivir arrive à passer au dela de sandboxie? Ceci dit tant mieux...

[géto21]

Bonjour,

@ constantine,

Puis je comprend pas comment antivir arrive à passer au dela de sandboxie? Ceci dit tant mieux...

Voir le schéma http://forum.malekal.com/viewtopic.php?f=36&t=2908

La bulle créée par Sandboxie (bac à sable) protège en écriture le DD. Les applications présentes sur le DD (AV par exemple) peuvent lire les fichiers contenus dans ce bac à sable et dans le cas de l'AV émettre une alerte s'il détecte un malware. Ce procédé est très utile car si tu veux sauver un téléchargement du bac à sable vers ton DD, tu peux le faire en connaissance de cause et ne pas infecter ton ordinateur.

[constantine]

Salut géto21,
ouais c'est sur que c'est mieux, mais ca me fait un peu "tiquer" car si antivir arrive à lire ce qui est dans sandboxie,l'inverse peut ètre vrai, non?
je veux dire par la que un malware pourrait pouvoir sortir de sandboxie vu qu'il y a une porte d'entrée.
Je sais que malekal était pas sur de savoir si tout est bloqué dans le bac à sable et en partie les fichiers .exe...
Maintenant, c'est toujours un programme que j'utilise couramment et que j'adore

[antivir+comodo_pro]

Je ne connaissais pas ce freeware Sandboxie, je vais essayer ça.

Sinon, quelqu'un sait quand sortira la v8 d'AntiVir? Il paraît que c'était prévu pour le 8 avril 2008 mais toujours rien. Merci

[géto21]

Re,

ouais c'est sur que c'est mieux, mais ca me fait un peu "tiquer" car si antivir arrive à lire ce qui est dans sandboxie,l'inverse peut ètre vrai, non?

Dans le principe l'inverse n'est pas possible, car c'est comme si il y avait 2 canaux : 1 pour la lecture et 1 pour l'écriture, et comme celui de l'écriture n'existe pas (sauf action volontaire de ta part), il est donc impossible qu'une écriture soit pratiquée sur ton DD ; moi en un an de cette pratique ce n'est jamais arrivé.

Virtuel : à l'image de notre échange sur ce forum, je te lis, tu me lis, mais je ne peux te faire une tape amicale sur l'épaule et toi pas plus ...!

Je pense même que dans un avenir très proche, ce type de virtualisation sera intégré dans les solutions de sécurité AV/AS.

@ antivir+comodo_pro, il existe également une solution de virtualisation qui est "Returnil".

[constantine]

ah oui,ok, je comprend déja beaucoup mieux ce que tu veux dire,merci
et j'ai pas eu l'occas de te dire merci pour tes conseils "photo".
donc je profite...encore merci

[antivir+comodo_pro]

J'ai testé Sandboxie et ça m'a l'air efficace. J'ai essayé de dl des trucs sur emule (j'ai pas réussi à trouver de virus: c'est juste pour tester la fiabilité du logiciel) et ils atterissent dans le dossier de Sandboxie.

Sinon à ce qu'il paraît, suite à un bug, la version 8 d'Antivir sortira la semaine prochaine (pas avant ce WE) au lieu du 8 avril.
Vivement qu'il sorte, on verra des tests AVAST VS ANTIVIR (qui ont tous les 2 bénéficiés d'une grosse màj) dont j'attends le test de Malekal avec impatience!

[g113]

Bonsoir,

je reviens au sujet initial de ce post et j'ai aussi le meme soucis, à savoir que je viens de lancer un scan et antivir me trouve un trojan que le guard n'a pas vu pourtant bien configuré, je n'ai jamais eu d'alerte le concernant.

c'est bizarre

j'ai la version prémium .

[Malekal_morte]

dans quel fichier ? le nom du trojan ?

[g113]

TR/CRYPT.XPACK.GEN dans c program files easy internet signup hpwait window.exe

j'ai envoyé a avira le rapport du scan

a+

[Malekal_morte]

Mouais.. c'est rien.

Toute façon, si tu as installé Antivir et que tu n'as pas fait de scan.. et que tu ne t'es pas rendu dans le répertoire... Normal que le guard n'est rien dit.

Sinon ça été ajouté plus tard dans une définition virale.