[LOGICIEL] Anti virus gratos?

[gailuron66]

<----c'est ça!! une question qui court ???

[bouk]

non ca c'est une question qui marche vite...

[theocrite]

[mogwai93]

Je rajoute :

- si tu as un poste fonctionnant sur DOS (une vieille machine, on va dire)

ou si tu veux tester via un CD de boot (comme Ultimate Boot CD)

utilise F-Prot

- si tu es sous Windows

soit Avast (cf Gailuron)

soit Antivir

Meme si je trouve qu'Avast est tres bon, Antivir m'a trouvé des restes de virus qu'Avast ne m'avais pas trouvé.

Les 2 sont un peu lent dans le scan (à mon gout), même en laissant les param par défaut.

Avast est en français pour les anglophobes et skinable

alors qu'Antivir est en anglais et pas du tout skinable

par contre faudrait que je teste la correction des données en cas de détection de virus, car pour le moment, aucun des 2 ne m'a proposé cette option (je ne dois pas etre tombé sur les bons virus )

C'est sûr que ce n'est pas la vitesse de scan de Norton.... ca doit être pour cela qu'il oublie certains virus....

[gailuron66]

pour la corections des donnés, chez avast ça s'appelle "reparation", pour cela il génére une base de donné appelé :VRDB

avast propose toujours cette option de reparation lorsque il trouve un virus, mais il faut que ce soit un fichier réparable, si le fichier est un virus il ne pouras pas le reparer puisque ce n'est pas un fichier windows.

autre chose:

si tu a lu mon test avec NOD32, tu as du voir que avast est capable de suprimer un virus dans un RAR sans effacer et sans extraire le RAR, donc tu recupere le contenu du RAR sans le virus !

autre chose encore:

il te vire les virus dans la restauration systeme d'XP........c'est pas beau ça ???

extrait du fichier d'aide, (tout n'est pas en français dedans), pour la VRDB:

VRDB

VRDB stands for "Virus Recovery Database"; it was known as "Integrity Database" in previous avast! versions. The aim of VRDB is to help in case when, despite all the security measures, a virus gets inside the computer and the files are infected. With the help of VRDB, it is possible to repair infected files (turn them exactly to their original state). VRBD is announced by an icon with letter "i" in the system tray (next to the clock). If the icon is animated, the database is being created right now.

VRDB PRINCIPLE

avast! creates an integrity database, i.e. it stores information about the actual state of the files, doing it three version back of each file. The database creation/maintenance is performed either when the computer is idle, or when the screen-saver is running (any screen-saver, not only the avast! one). This database, once it is created, is updated each three weeks (this value may be changed by editing avast4.ini).

If any file is infected by a virus, it is possible to repair it, i.e. turn it to its original state. If there are multiple versions of the file in the database, you can choose which version you want to restore.

SETTINGS

The settings of VRBD can be changed by clicking on the icon in the system tray with the right mouse button. There are three options:

• Generate VRDB when computer is idle. avast! will create its database only when the computer is idle, i.e. when it is not used.

• Generate VRDB only when screen-saver is running. avast! will create its database during the time screen-saver is running. It may be any screen-saver, not only the one included in avast!

• Disable VRDB generation. avast! will neither create, nor update the database. If you select this option, it will not be possible to repair virus infected files in the future!

traduction par systran, (c'est mieux que rien !):

VRDB

VRDB représente "la base de données de rétablissement de virus" ; on l'a connu en tant que "base de données d'intégrité" dans l'avast précédent ! versions. Le but de VRDB serait d'aider au cas où quand, en dépit de toutes les mesures de sécurité, un virus obtient à l'intérieur de l'ordinateur et les dossiers sont infectés.  Avec l'aide de VRDB, il est possible de réparer les dossiers infectés (les tourner exactement à leur état original). VRBD est annoncé par une icône avec la lettre "I " dans le plateau de système (à côté de l'horloge). Si l'icône est animée, la base de données est créée en ce moment. 

PRINCIPE DE VRDB

avast ! crée une base de données d'intégrité, c.-à-d. elle stocke des informations sur l'état réel des dossiers, les faisant  dos de trois  versions de chaque dossier. La base de données creation/maintenance est exécutée l'un ou l'autre quand l'ordinateur est à vide, ou quand l'écran-épargnant court (tout écran-épargnant, non seulement l'avast ! un). Cette base de données, une fois qu'elle est créée, est mise à jour chaque  trois semaines  (cette valeur peut être changée en éditant avast4.ini).

Si n'importe quel dossier est infecté par un virus, il est possible de le réparer, c.-à-d. le tournent à son état original. S'il y a des versions multiples du dossier dans la base de données, tu peus choisir que la version tu veulent reconstituer. 

ARRANGEMENTS

Les arrangements de VRBD peuvent être changés en cliquetant sur l'icône dans le plateau de système avec le bouton de souris droit. Il y a trois options : 

• Produire de VRDB quand l'ordinateur est à vide. avast ! créera sa base de données seulement quand l'ordinateur est à vide, c.-à-d. quand il n'est pas employé. 

• Produire de VRDB seulement quand l'écran-épargnant court. avast ! créera sa base de données pendant l'écran-épargnant de temps court. Ce peut être n'importe quel écran-épargnant, non seulement celui inclus dans l'avast ! 

Neutraliser la génération de VRDB. avast ! la volonté ni ne créent, ni mettent à jour la base de données. Si tu choisis cette option, il ne sera pas possible de réparer les dossiers infectés par virus à l'avenir !

édité:

pour la RELATIVE lenteur du scan t'as qu'a faire comme moi:

je ne scanne jamais :8

pourquoi ??

parceque la seule operation que je fais regulierrement c'est un scan avec ad-aware et celui-ci lorsqu'il fouille, remus suffisamment les fichiers pour faire réagir avast qui bloque le virus avant meme qu'ad-aware ai affiché quelque chose.

elle est pas belle la vie ???? :8 :8

ensuite:

Meme si je trouve qu'Avast est tres bon, Antivir m'a trouvé des restes de virus qu'Avast ne m'avais pas trouvé.

c'est quoi les restes ???? .............................il sont pas entier ???

puis faut pas confondre un spy avec un virus, c'est pour ça que mes scans je les fais avec ad-aware et pas avast, le resultat viral et le meme avec la detection de spy en plus :8

[mogwai93]

c'est sur, que pour supprimer un virus dans une archive, sans supprimer l'archive complète, peux d'antivirus le font.

encore faudrait-il voir comment ils reagissent dans les cas limites :

- multiarchive

- cas où le fichier vérolé se trouve à moitié sur 2 archives

- fichier vérolé compressé à l'interieur d'une archive (--> test recursif de compression, quel niveau de profondeur ?)

je sais, je chipote

pour les restes :

il faut regarder les reparations effectuées.

la "plupart" des antivirus ne suppriment pas totalement le virus

et laissent quelques traces (le virus étant néanmoins innofensif, car une bonne partie de son code a disparu)

PS: je n'ai jamais dit que je n'aimais pas avast :langue: (au cas où, on ne sait jamais)

[gailuron66]

t'as pas lu mon test avec nod32 :8 (compressé 3X !!)

http://www.pcinpact.com/forum/sujet_26439_40.htm

mais je n'est pas essayé avec une archive multiple, je supose qu'il le detecteras ne serais ce que dans le fichier TMP de winrar, (par exemple), lorsque il seras utilisé pour afficher l'archive avant de l'extraire :8

j'ai jamais dis dit que je n'aimais qu''avast........................j'aime aussi les merguez !!

[Duke98]

heu enfin bon un virus dans une archive non executable ca fait rien....

j'ai gardé pendant longtemps chez moi des virus dans un fichier zip (je m'etais amusé à regarder comment ca marchait, sur des exemples ou le code source était fourni)

rien de special ne s'est jamais passé tant qu'on clique pas sur l'exe le com le le pif ou bat (ouai un virus avec un script batch certains antivirus actuels sont incapable de les détecter, c'est assez imprssonnant.... mais qui sait que le batch existe de nos jours )

[gailuron66]

c'est vrais que ça ne fais rien, c'est pour ça qu'avast les laisse telecharger et ne le signale que, si la fonction de recherche d'info de l'explorateur est activé, ne le signale donc que rien quand passant le curseur sur le fichier.

et si c'est une archive executable........elle est analysée.

mais si on est parano, on peut parametrer avast pour que il les arrete avant telechargement par exemple pour les mails:

[mogwai93]

Un petit test que j'ai fait qui plaira sans doute à Gailuron :

J'ai essayé avec le virus W95/CIH.A que tout le monde doit connaître.

De plus, il est "assez facile" de le supprimer à la main avec un éditeur hexa (enfin pour ceux qui s'y connaissent un peu).

Il se divise en 2 parties : 2 à 3 octets sont modifiés dans l'entete du fichier executable, puis le code du virus dans une zone vide (pas d'ecrasement de l'exe)

- une partie de la signature : "CIH v1.2 TTIT".

Donc, l'antivirus doit détecter, puis corriger les 2-3 octets modifiés, puis mettre à 00 le code du virus.

J'ai désactivé le VRDB d'Avast, pour voir...

Logiciels utilisés pour la compression :

ARJ 2.50a Fr

WinRar 3.00 Fr

Elles ne sont pas trop récentes, mais ca devrait suffire.

Avast

Antivir

avec les dernières mises à jour

Tests :

Compression Maximale

ZIP

RAR

RAR Multi Archive 1.44

RAR Multi Archive Solide 1.44

ARJ

ARJ Multi Archive 1.44

Résultats :

Antivir :

Détection : 100%

Suppression du virus : 0%

Suppression du fichier contenant le virus : 0%

Avast :

Détection : 100%

Suppression du virus : 0%

Suppression du fichier contenant le virus : 50% (ZIP, RAR, RAR Multi Archive 1.44)

Pour info, j'ai essayé f-prot pour dos

il a réussi à corriger le fichier vérolé, en corrigeant les "2 premiers" octets, puis en supprimant le virus.

mais seulement quand le fichier n'était pas archivé.

Conclusion :

Avast et Antivir suppriment le fichier quand celui-ci n'est pas archivé (si l'on ne tient pas compte de la demande)

La compression solide pose qqs problèmes pour la correction.

Bon point pour Avast, qui arrive à supprimer les fichiers vérolés à l'intérieur des archives.

F-prot s'en tire "pas mal" pour une utilisation avec ultimatebootcd.

[Im-GoD]

Je profite de ce topic pour poser une question qui me tracasse.

Faute de trouver ou il pourrais bien se cacher, un virus peut-il se cacher dans un fichier de jeux ?????

Je m'amuse a configurer mon anti-virus et j'aimerais bien pousser l'audace d'exclure certain dossier et fichier pour réduire le temps du scan.

Je planifie d'exclure tout ce qui se rattache a l'anti-virus lui-meme, les anti-spywares ainsi que les jeux.

Mais advenant qu'un virus ne puisse se loger dans les fichier de windows due au scan de l'anti-virus ainsi que des anti-spywares répétitifs , je me suis poser la question a savoir si un virus pouvais de lui-meme chercher a trouver refuge dans des fichier de jeux pour éviter les soupsons.

[mogwai93]

oui, c'est possible

surtout si le jeu n'est pas un original.....

normalement les virus se logent dans le repertoire de windows

ou dans les sous-repertoires de program files utilisés par windows (shared_dll, ..)

voire meme, pourquoi le virus ne sait-il pas le jeu lui-même afoin d'éviter tout soupcons...

[K-Lee]

Pour info, j'ai un copain qui à chaque réinstallation se choppait un virus, il était logé sur sa copie pirate d'Office 2000, donc dans un jeu, c'est tout à fait possible.

[Im-GoD]

Comme tel mon jeu est un original, donc pas de probleme de ce coter la.

Parcontre si y'a aucun moyen d'exclure tout ce qui passe par (program files), ca veux donc dire qu'on ne pourrais rien exclure du scan.

Y'a pourtant l'option d'exclusion dans l'anti-virus..... je comprend pas trop ce que je peux exclure en sachant que tout ce qui s'installe sur un PC passe par program files .

[gailuron66]

Résultats :

Antivir :

Détection : 100%

Suppression du virus : 0%

Suppression du fichier contenant le virus : 0%

Avast :

Détection : 100%

Suppression du virus : 0%

Suppression du fichier contenant le virus : 50% (ZIP, RAR, RAR Multi Archive 1.44)

qu'entend tu par :

-"Détection : 100%"

bin il est detecté ou pas !!

-"Suppression du fichier contenant le virus : 0%"

il est pas virer ???

-"Suppression du fichier contenant le virus : 50%"

comprend pas

je ne comprend pas ces pourcentages

[mogwai93]

Oups, j'ai pas été très clair

alors:

si je prend les cas que j'ai testé

ZIP

RAR

RAR Multi Archive 1.44

RAR Multi Archive Solide 1.44

ARJ

ARJ Multi Archive 1.44

donc 6 cas , donc 100% si dans les 6 cas, le virus est détecté

50% si seulement 3 cas

....

donc

Avast et Antivir ont détecté tous les 2 le virus dans les 6 cas ci-dessus

Antivir en a "corrigé" aucun (le virus est toujours présent)

Avast a supprimé le fichier vérolé (mais pas le virus) dans 3 cas : ZIP, RAR, RAR Multi Archive 1.44

C'est plus clair maintenant ?

[gailuron66]

Avast a supprimé le fichier vérolé (mais pas le virus)

manque plus qu'a comprendre ça

yaplus de fichier verolé mais ya toujours le virus ........................où ça ????

PS:

vous marrez pas derriere!!!..............doit pas y avoir que moi qui comprend pas

[mogwai93]

comme tu le disais dans un de tes précédents posts :

soit le virus est le fichier

soit le virus est dans le fichier

Dans le cas du virus CIH, le virus est dans le fichier.

Avast a supprimé le fichier (donc plus de virus)

alors que l'on peut supprimer le virus sans supprimer le fichier (ce qu'a fait f-prot)

ce que je disais plus haut, il suffit de remplacer le code du virus par le caractere '00', et de retrouver les 2 codes dans l'entete du fichier exe.

plus clair ?

fatigué je dois etre

[gailuron66]

on y arrive

donc il n'y a plus de virus puisque le FICHIER le contenant à été effacé, mais uniquement LUI, sans toucher au reste de l'archive.

pour avast par exemple, il ne répare que les fichiers qu'il a sauvegardé avec la 'VRDB", fichiers qui sont donc des fichiers windows ce qui n'est pas le cas du fichier de ton test, enfin je pense ............tu aurais du lui laisser le temps de generer la "VRDB"

ça y est ????...............j'ai tout bien comprendu dans ma tete à moi que j'ai entre les oreilles qui me servent à tenir les lunettes posé sur le nez devant mon cerveau ??

[XZombi]

Tu n'as pas compris : Il parlait de suppression de virus, et non du fichier virolé.

[mogwai93]

pour avast par exemple, il ne répare que les fichiers qu'il a sauvegardé avec la 'VRDB", fichiers qui sont donc des fichiers windows ce qui n'est pas le cas du fichier de ton test, enfin je pense ............tu aurais du lui laisser le temps de generer la "VRDB"

en effet, ce n'est pas des fichiers windows

par contre, le fait qu'il doit genérer la "VRDB" est un point négatif pour moi

un antivirus doit pouvoir corriger sans faire une "copie de sauvegarde" des fichiers avant.

meme si ce genre d'antivirus permet un tres bonne correction des virus

donc point positif pour f-prot pour la correction des données

il n'a pas eu besoin de "VRDB"

[gailuron66]

t'as encore bue, XZombi

OK, mogwai93 c'est clair

[yaTaH]

Euh j'avais vu une image de avast qui faisait firewall , avast était en anglais , ptête parceque le gars a pas trouvé en francais

[gailuron66]

tu veus dire le bouclier reseau:

mais ce n'est pas un vrais firewall

[internenet]

salut!!

bon alors si ce n'est pas un "vrai" firewall .... a quoi ca sert?????????????