nicM

Bonjour horrus agressor, Sacles, Merci à vous, au fait, pour les commentaires sympas C'est vrai que nous assistons en ce moment à un véritable mouvement de fond : Naguère réservés à quelques geeks (il faut bien le dire), les HIPS deviennent de plus en plus un outil commun, c'est-à-dire utilisé - qu'ils le sachent ou non - par une grande partie des utilisateurs de PC. Ca a commencé avec les firewalls, qui se sont perfectionnés graduellement pour faire bonne figure dans les tests de type leaktests, et ayant besoin pour cela de fonctionnalités avancées, autrefois réservées aux HIPS. Kerio a été parmi les premiers, avec son HIPS module, ou encore Outpost, Zone Alarm pro (et ce qu'ils appellent l'OS-firewall"). Comodo en est un bel exemple, aussi. Puis les antivirus ont commencés eux aussi à intégrer ce genre de composants, pour pouvoir bloquer les menaces contre lesquelles ils ne disposent pas de signature : Kaspersky AV avec son PDM, F-Secure 2006, et surtout la version 2007 avec DeepGuard, McAfee Viruscan Plus (et son module "SystemGuards"), Sophos et son "Endpoint Security and Control"), DrWeb 5 est annoncé comme disposant lui aussi d'un tel module. Les anti-spywares s'y collent eux-aussi : Spyware-Terminator a été le premier à intégrer un HIPS. Spyware Doctor s'y met, en ayant racheté Novatix (l'éditeur de CyberHawk) en vue de son intégration dans l'anti-spyware. Au fur et à mesure, chaque internaute installant une suite de sécurité ou un antivirus, puis un firewall séparémment dispose ainsi finalement d'un HIPS : On est bien loin de la confidentialité des HIPS d'il y a encore deux ans ... Une des raisons est que les auteurs de malwares sortent de nouvelles variantes de leurs spywares/trojans trop rapidemment pour que la protection traditionnelle, par détection au travers de base de donnée, ne puisse suivre : La détection et la prévention générique (sans signatures) devient indispensable pour pouvoir "suivre le rythme". Certains éditeurs d'AV ou antispywares avouent dans des articles, souvent sur leurs blogs, que la détection par signature devient de moins en moins viable, à cause de cette rapidité avec laquelle les malwares changent pour éviter la détection : L'analyse et la publication de nouvelles signatures devient quasi-impossible. Les fichiers changent aujourd'hui d'heure en heure, alors qu'auparavant il fallait un ou plusieurs jours pour que les malwares changent suffisemment pour "échapper" à la détection par la signature publiée pour une variante précédente d'un même malware. Cet article illustre bien ceci, mais il est en anglais : http://www.pctools.com/news/view/id/181/ Ainsi, les HIPS ou assimilés sont appellés à se répandre de plus en plus, et seront probablement un outil "banal" à plus ou moins long terme, comme peuvent l'être un antivirus aujourd'hui, ou un firewall : Tantôt les antivirus ou firewall l'intégrent eux-même, tantôt les HIPS autonomes deviennent plus accessibles et faciles à gérer (cf Prevx, Online Armor, disposant de mode où les décisions sont prises automatiquement, dans la mesure du possible. Ou encore CyberHawk, qui cherche à déterminer si le comportement est susceptible de trahir une intention malicieuse, avant de soumettre un changement système à acceptation. Primary Response SafeConnect marche de manière à peu près identique, lui-aussi) pour les utilisateurs. Evolution intéressante, quoi qu'il en soit - on a pas fini d'en parler ... Sacles, oui tu as raison pour Prevx, il a 3 modes séparés, avec une plus ou moins grande interaction avec l'utilisateur. Enfin je disais qu'il fait tout pour "prendre les décisions à la place de l'utilisateur" en ce que c'est globalement la particularité de Prevx, toute versions confondues, par rapport aux HIPS classiques : Même en mode "Expert", il n'offre pas autant de contrôle qu'un HIPS classique; certaines détections ne se font qu'en mode 'heuristic reporting', par ex, et ne permettent pas de choisir OUI ou NON, comme avec d'autres HIPS. Il y a simplement communication du comportement ayant déclenché l'alerte aux serveurs de Prevx. Donc là encore, pas d'intervention requise de l'utilisateur. Bonne fin de soirée,

Bonsoir michte, horrus agressor, Michte, je vois que tu as maintenant installé DSA : Si tu as le moindre problème, n'hésite pas à nous en faire part. Prevx 2, avec lequel tu as hésité, est certainement plus facile d'utilisation, en ce qu'il fait tout pour prendre les décisions "à la place de l'utilisateur". DSA reste cependant globalement moins "bruyant" que d'autres HIPS, comme Process Guard, ou SSM par ex, à ce niveau là.

Voilà le résultat : * Les 2 sont compatibles, DSA et RegProt * Mais RegProt est inutile lorsque DSA est installé : Lorsqu'un changement est apporté à une clé que les 2 programmes surveillent conjointement, DSA intercepte le changement avant que RegProt ne puisse se manifester. DSA procède par crochetage direct en mode noyau, tandis que RegProt ne fait que "sonder" le registre à intervalle de temps régulier, c'est-à-dire qu'avec DSA, il faut l'autorisation pour créér/modifier une clé, alors qu'avec RegProt, le changement est détecté en scannant le registre, c'est à dire cycliquement. Il peut arriver qu'une clé soit déjà créée avec RegProt, lorsqu'il soument le changement à acceptation; avec DSA, en principe, non. Surtout, DSA contrôle beaucoup plus de clés que ne le fait RegProt... Cela étant, il est possible que RegProt puisse compléter DSA, dans certains tests effectués lors de la review mentionnée plus haut, il a été démontré que parfois, la protection registre de DSA est deffectueuse : Elle ne détecte pas certains changements qui sont pourtant compris dans des clés contrôlées. Un petit problème de fiabilité, qui devrait être corrigé dans les prochanes versions, dixit l'équipe de Privacyware. De même, lorsque certains "kernel-hooks unhookers" ont eu l'occasion de sévir (cf tests supra), la protection registre de DSA a été complètement "désactivée", réduite à néant : Lorsque ces kernel-hooks sont restorés dans leur état d'origine, la protection du registre par "polling" (scan cyclique), elle, n'est pas affectée ... Donc voilà, dans l'absolu, rien n'empêche d'utiliser les 2, étant donné qu'il ne produisent pas de conflits, fonctionnant de manière différente. nicM

Bonjour michte, Tu parles bien de RegProt de Diamondcs?? Si c'est bien le cas, il ne devrait pas y avoir de problèmes, mais je vais installer RegProt par dessus DSA pour tester, pour pouvoir te dire s'il y a conflit ou incompatibilité quelconque. Quoi qu'il en soit, cette protection ne sera pas désactivable dans DSA, puisque la protection du registre est intégrée au module "Application Security", qui tourne de manière permanente.

Bonjour, Sortie récente de la version 1.22 d'IceSword, téléchargeable ici : http://www.majorgeeks.com/download5199.html Ajout d'un module de scan des hooks (à l'instar de Rootkit Unhooker), par rapport à la version 1.20. ** ATTENTION** Il s'agit d'un anti-rootkit très puissant, à ne pas utiliser si l'on n'est pas accoutumé à ce genre d'outils !!!

Bonsoir ipl_001, Et merci ! J'ai fait une page d'accueil simple, pour que le lien soit moins long : http://membres.lycos.fr/nicmtests/index.html Les pages en français seront prêtes ce week-end nicM

Bonjour, Voici une évaluation réalisée sur Dynamic Security Agent , un freeware de type HIPS, c'est-à-dire de prévention. http://membres.lycos.fr/nicmtests/Dynamic-...s/DSA_index.htm Ont été utilisés 80 tests au total, dont une dizaine de troyens, 5 AV killers, 5 backdoors, 4 vers, 27 rootkits, 22 keyloggers, et 6 "kernel-hooks unhookers", une sorte de brute épaisse apparemment très récente, peu connue. Ceux-ci sont visiblement destinés à bypasser, puis litérallement à tuer les HIPS ou firewalls qui seraient susceptibles de bloquer leur installation, en des circonstances "normales". Le site est en anglais (désolé ), mais je vais traduire en français les 2 pages principales, l'introduction, et le bilan (dernière page), d'ici la fin de la semaine. Sans tout dévoiler dans ce post, il est clair que les résultats sont très bons, DSA a été très efficace tout au long des tests réalisés. Les seuls points sur lequel il est un peu juste, sont les keyloggers, et ces "brutes épaisses" dont je parlais ci-dessus. Encore qu'étant donné leur récente apparition (postérieure à la sortie de la version courante de DSA), il ne pouvait pas faire grand chose de plus. Les samples ont été choisis pour leur virulence, je veux dire par là que la note obtenue est vraiment bonne, tout particulièremment pour un programme gratuit (sans citer de noms, plusieurs HIPS plus connus, et payant, ne font pas aussi bien ). Je précise que ces tests ont été menés de manière indépendante, le rôle de Privacyware n'ayant été que de donner son accord final pour la publication de cette review (en effet, les "benchmarks" sont soumis à autorisation écrite avant publication, aux termes du contrat de licence du programme). Voilà, en espérant que ce travail se révèle utile à certains nicM

Bonsoir sogno, Une des raisons pour laquelle j'ai posté dessus est que, justement, il a une version française : C'est assez rare pour être mentionné, Lol. Maintenant, si la qualité de la traduction suit ou pas, c'est à voir . En tout cas, tiens nous au courant, puisque tu sembles l'avoir installé : Ayant justement Rollback installé sur la machine de test, je ne veux pas le désinstaller juste pour essayer celui-ci (avec Rollback, c'est tout un cirque pour réactiver le logiciel après réinstallation : contact du support pour activation à distance, etc ). la différence majeure avec Rollabck et Fdisk-ISR est qu'il ne permet pas de conserver une session "protégée" sur plusieurs sessions Windows, ici tout disparaît au redémarrage. Enfin pour un programme gratuit, c'est déjà pas mal . Il me faisait plus penser à ShadowSurfer, qu'on pouvait aussi avoir gratuitement il y a déjà un moment. En tout cas, on compte sur toi pour les commentaires sur le programme , car comme indiqué plus haut, je me désiste. Précision : Télécharger le programme sur le lien posté dans le 1er message uniquement, car quelques sites de téléchargement français proposent bien un Returnil, mais ce sont des versions précédentes (datant de 2006), différentes de celle-ci qui est gratuite.

Bonjour, Sortie récente de Returnil Virtual System Personal Edition, C'est un programme de virtualisation : Lorsque la protection est activée, tous les changements effectués sur le disque dur (création, effacement, modifications fichiers, etc) sont effectués sur une zone virtuelle, ce qui permet "d'annuler" tous ces changements au redémarrage de l'ordinateur. Cela permet par exemple d'installer un programme en mode protégé, pour l'essayer, sans prendre de risques, en ce que le programme en question, et toutes les modifications qu'il aura effectué sur le système, sont détruites au redémarrage. Contrairement à d'autres programmes du même type, Returnil n'utilise pas une zone réservée du disque dur, ou même une partition séparée (par ex SteadyState, anciennement Microsoft Shared Computer Toolkit), mais créé un clone de la partition système en mémoire; tous les changements effectués en mode protégés sont donc cantonnés à ce clone chargé en mémoire, et n'atteignent à aucun moment le disque dur. Le mode protégé n'est pas permanent : Il est n'est qu'activé que manuellement, lorsque l'utilisateur le désire. Il suffit de redémarrer pour quitter le mode protégé, et annuler tous les changements intervenus sur le système pendant l'utilisation en mode protégé (programmes installés, malwares installés, etc). Le programme est en français , assez rare. Et il est gratuit. Lien : http://www.returnilvirtualsystem.com/index...rvspersonal.htm ...Par contre, désolé, je n'ai pas pu l'essayer (ayant déjà un programme de virtualisation installé). nicM

Salut horrus agressor, OK je comprends mieux maintenant Je ne connaissais pas cette astuce pour PG, et effectivement, ça doit le rendre plus efficace, car dans le mode par défaut, il arrive que des exécutables se lancent sans qu'il ne puisse les arrêter, au démarrage (ils sont généralement mis automatiquement sur "allow once", ou non). Par contre, pour SystemSafety, inutile de changer quoi que ce soit, il est déjà sur "boot start", mode automatique, c'est-à-dire chargé le plus tôt possible au démarrage système (valeur 0x0 sur Start).

Bonjour, Bien sûr, j'imagine . Mais la version Pro est aussi disponible en version d'essai : Regarde dans le 2ème lien que j'ai posté ("ici"). Pour info, EQSecure marche très bien pour moi, les problèmes ne sont pas systématiques. Quant à DSA, je réserve ma réponse... Ptite surprise à venir . Par contre, je ne comprends pas l'objet de ton post sur le driver de SystemSafety : Veux-tu dire que tu as changé son mode de démarrage? Si oui, c'était inutile, il est chargé au démarrage par défaut (start sur 0x0). Ben.. Rien - pour l'exe du moins (juste une mention de la .dll, dans Winlogon\Notify). A moins que j'aie mal regardé, ce qui est tout-à-fait possible.

Re-bonjour horrus agressor, Pas de problème : regarde ici pour voir quelle version de Prosecurity t'intéresse le plus a priori. Téléchargement, ici. Pour EQSecure, il faut aller voir ici : http://www.eqsecure.com/bbs/read.php?tid=3870 (je met un lien vers la section anglaise de leur forum, car le site lui-même n'est qu'en chinois ; dans le post, il y a le lien de téléchargement). Il n'y a pas de tutorial pour l'instant, que ce soit pour l'un ou l'autre. Sinon, pour le démarrage de SSM, comme je disais, il y a des chances pour qu'il ne démarre qu'avec son service, qui n'est peut-être pas listé dans mmc, ni l'onglet services de msconfig, mais existe bel et bien (cf clé registre indiquée dans post précédent).

Bonjour, Hum, il ne s'agit pas de faux-positifs, puisque Icesword (comme les autres) ne fait que rapporter les fonctions "hookées" de la SSDT, que ces hooks soient malicieux ou non : Aucune distinction par le programme lui-même, c'est à l'utilisateur de s'y coller. Si tu as des soucis avec RKU et Gmer, c'est normal, mais il suffit de les utiliser dans le bon ordre pour qu'ils coohabitent sans problèmes, à savoir : Si RKU est lancé APRES Gmer >> plantage. Par contre, aucun souci pour lancer Gmer après RKU... Quant à Comodo FW.. si mes souvenirs sont bons, j'avais du dire déjà l'an dernier qu'il n'y avait aucun rapport entre ce dernier et la "Comodo toolbar"... Je ne pense pas avoir été contredit par les faits depuis , mais les préjugés ont décidément la peau dure. SSM il est très bien, mais j'ai montré 2 rootkits qui le bypassent, aussi bien en version free que pro, il y a quelques temps (le problème n'est d'ailleurs toujours pas fixé) : Actuellement, Prosecurity est plus avancé, concernant la protection contre les rootkits (voir ici : http://www.wilderssecurity.com/showthread.php?t=174012 EQsecure, testé aussi, est prometteur, en effet. J'avais du en parler ici, mais le post a disparu avec le récent problème de serveur sur Zébulon Cependant, certaines personnes ont des problèmes de stabilité avec la version 3.3; il faudra voir ce que donne la 3.4. Intéressante question, le mode de démarrage de SystemSafety : Je n'avais jamais fait attention à ce détail auparavant. Pas de clé Run en effet, pas dans la liste des services non plus... Donc je pense qu'il doit démarrer par le biais de son service, System Safety Monitor 2.0 Core Engine, dont le driver s'appelle safemon.sys (HKLM\system\CurrentControlSet\Services\Safemon, mis sur 0.0 en start mode). C'est lui qui doit lancer l'exe, j'imagine. Je me trompe peut-être Edit : Si, EqSecure propose un mode de réglage individuel, presque trop fourni à la limite

Bonjour, Voici un lien vers un article de fond (en anglais), réalisé sur le module Proactive Defense de KAV 6, en vue d'évaluer son efficacité contre différents types de malwares, et d'attaques : http://ssta.over-blog.fr/article-10792223.html Je précise que c'est d'avantage le module PDM qui a été testé, plutôt que le scanner, même si vous remarquerez que chaque test comprend une mention quant à la détection - ou non - des fichiers malicieux par le scanneur. Cela n'était bien sûr pas prévu au départ, mais les tests se sont étalés sur une période d'un an, avec pour résultat une multitude de tests effectués. Autant dire qu'il est peu envisageable de les consulter en une seule fois ... Pour un accès direct aux pages de tests, voir ici : http://ssta.over-blog.fr/article-10458365.html En espérant que ce travail se révèle utile à ceux qui s'interrogaient sur l'efficacité réelle du module PDM, souvent mis à rude épreuve. D'autres HIPS seront traités à l'avenir, selon une méthodologie inspirée de celle qui fut utilisée pour cette série de tests; avec la différence que les prochains tests seront plus courts, pour d'évidentes raisons. nicM

Bonjour, Regrun n'est certainement pas un rogue, mais c'est vrai qu'il n'est pas très exposé, comparé à d'autres programmes du même type. Je pense que ce manque de "visibilité" est du, d'une part à la présence de multiples versions -standard, gold, platinum, etc (peu évident de s'y retrouver, en toute franchise), d'autre part au fait que le programme ne soit à la base destiné qu'à la protection du registre (alors qu'en pratique il en fait plus, protection fichiers système, etc, mais les fonctions sont peu détaillées sur le site). Juste mon opinion J'ajoute : Une comparaison des versions, pour essayer de s'y retrouver : http://www.greatis.com/security/detail.htm#FULL

Bonjour Ganil, Si IE est à éviter comme navigateur courant, en effet, il est à utiliser en priorité pour les scans en ligne. Version FF de Housecall : http://fr.trendmicro-europe.com/consumer/h...call_launch.php Pour les autres, je ne pense pas qu'il y ait des versions FF-friendly, malheureusement. Juste une remarque : Pas la peine d'en faire 36, non plus, ne perd pas ton temps Kaspersky on-line est évidemment bon pour la détection, mais ne nettoie pas, par contre, si tu n'as toujours pas d'AV installé, tu peux alors te tourner vers AOL AVS, qui utilise Kaspersky sous une interface aux couleurs d'AOL, et est gratuit : http://www.activevirusshield.com/antivirus/freeav/index.adp? Il est très léger, excellent. Assures-toi juste d'utiliser une adresse mail secondaire, pour l'inscription, au cas où AOL se met à envoyer du spam (ce qui n'est pas le cas jusque là). Plutôt que de multiplier les scans AV, essaie plutôt un scan antispyware/antitroyen, comme cleui d'AVG/Ewido. Ou mieux, télécharge le petit fichier Ewido Microscanner, qui ne nécessite pas d'installation, et ne nécessite pas de rester en ligne le temps du scan : http://www.ewido.net/en/onlinescan/ (lien Microscanner dans le bas de la page). Il nettoie, s'il trouve quelque chose, aussi. A plus, nicM

Merci, je fais ce que je peux avec l'anglais . Pour Process Guard, je crois malheureusement qu'il faudra faire avec (pas la peine d'attendre une nouvelle version corrigant la chose), apparemment la compagnie n'est plus aux affaires :P nicM

Le rootkit en question s'appelle Wopla (nom Antivir), mais je ne me souviens plus de la numérotation exacte. Il faut modérer en pratique l'impact de cette menace, car si PG est en effet incapable de déceler l'installation de ses services, il faut accepter l'exécution d'un paquet de fichiers temp avant que le rootkit ne puisse s'installer, et il m'a fallu configurer PG de manière à ne pas restreindre l'activité du troyen qui droppe le rootkit. Je veux dire que la protection Block driver/service install était bien activée, évidemment, mais que j'ai du réduire le niveau de protection à côté : Enlever des protections contre la modification, désactiver la protection contre les Golbal Hooks, etc. Ces protections ne concernent pas le rootkit, mais devaient être désactivées pour que le troyen puisse initialiser l'installation de ce dernier. Enfin il s'agit d'une configuration "de test", c'est ce que je veux dire. Je viens de poster quelques captures d'écran ici, si ça t'intéresse. A plus ,

Bonjour guidette, Pour les scans en ligne, il est préférable de désactiver l'antivirus de NIS, mais surtout pas NIS tout entier : Il faut ouvrir le panneau de configuration de NIS, et désactiver l'antivirus uniquement. Sinon, tu risques de désactiver le parefeu en même temps, ce qui est dangereux . Quant à l'installation d'un second AV en mode non-résident, ça n'est pas conseillé, car si c'était possible il y a 2 ans (en désactivant leur bouclier résident, et en les désactivant du démarrage), aujourd'hui les AV ont tendance à ne pas bien réagir à la désactivation de tous leurs modules. Par ex certains ne vont pas marcher du tout (même pour un simple scan, après une mise à jour), d'autres vont te demander un redémarrage... et vont être résidents après celui-ci. BitDefender 8 par ex, qui ne dispose pourtant pas de scan résident, ne marchera pas si tous ses modules sont désactivés. Avast posera soucis lui aussi. Le plus simple est d'effectuer des scans en ligne, puisque la plupart des AV proposent ce service. Ou d'installer un "standalone" scanner, comme MWAT, utilisant le moteur de Kaspersky, ou DrWeb Cureit, gratuits tous les deux. Ou Ewido/Avg Microscanner. Mais Kaspersky propose un scan en ligne, donc pas la peine de se compliquer la vie . Idem pour Ewido/AVG anti-spyware. Pour Kaspersky : http://webscanner.kaspersky.fr/ Pour Ewido/Avg : Le lien est celui du Microscanner. Voilà, brievemment

Bonjour L'indien, horrus, Oui, une fois qu'IceSword a lancé son service, il n'y a rien que PG puisse faire pour l'empêcher de terminer quelque processus que ce soit. Si mes souvenirs sont bons, il peut même terminer PG lui-même (à vérifier cependant, je me trompe peut-être, ayant fait ça il y a longtemps - version 1.12 d'IceSword, à l'époque). En fait, dès qu'un programme est autorisé à lancer un service, il peut ensuite faire à peu près tout ce qu'il veut; y compris bypasser PG. Pour info, je suis tombé récemment sur un rootkit qui est capable de lancer son service sans que PG n'y comprenne rien , et de le rouler ensuite dans la farine, en restaurant tous les hooks de la ssdt ( =PG ne voit plus rien, pas même les exécutions)... à suivre.

Juste en passant (je me répète lourdement ), Dans le cas d'IceSword, c'est inutile , vérifie par toi même.

Bonjour horrus agressor, Le programme est certes un peu dépassé sur certains points (détection services, drivers, en particulier), mais il reste excellent -le meilleur je pense- quant à la détection dans le registre, et excellent dans la détection des fichiers cachés. Sans parler de sa fonction très pratique de copie de fichiers. Personnellement je l'utilise comme complément aux autres outils disponibles, et dans cette optique, aucun problème d'adaptation aux menaces les plus récentes, il suffit d'utiliser le bon outil pour chaque type de fonctions . Au passage, la version 1.20 est toujours la dernière en date, au regard du blog de l'auteur du programme (blog auquel je ne comprends pas un traître mot cela dit, lol). nicM

Bonjour tout le monde, Si je puis me permettre, j'avais aussi fait un petit tuto dessus, ou je parle d'autres aspects du programme . A vrai dire, le tuto date un peu, et maintenant, la plupart des modifs qui étaient nécessaire à l'époque sont activées par défaut, mais il reste deux-trois tuyaux, je pense, qui peuvent être utile: http://forumxp.net.free.fr/phpBB2/voir_tutoriaux.php?id=40 Sinon, 100% d'accord, DropMyRights est à conseiller à tous! nicM

Bonjour, Je viens d'installer cette version 4.23, pour voir. Pour ceux qui seraient hésitants, voici quelques captures du programme: Interface principale Fenêtre de configuration : ...Et la seule hypothèse dans laquelle le programme manifeste sa présence, une fois installé et configuré: Le nom du malware est le titre de la fenêtre. Le processus malfaisant a été tué sur le coup, et BOClean propose d'effacer le fichier. Un log peut être consulté après coup : ------------------------------ 04/26/2007 19:48:21: DISKTRASH MALWARE STOPPED by BOCLEAN! Trojan horse was found in memory. D:\Cµµµµµµµµµµµµµ\39.EXE contained the trojan. Active trojan horse WAS shut down. System now safe. Logged in user: nicM Parfois, au démarrage, BOClean peut aussi notifier du changement de signature d'un progamme, (soumis à autorisation ou non), car il procède systématiquement à un scan des processus lancés au démarrage. Utilisation mémoire : Sinon, il est possible (et conseillé) d'exclure du contrôle de BOClean les autres programmes résidents, tels antivirus, antispywares, etc. Ce qui se fait très facilement en ouvrant la fenêtre "Program Excluder" dans BOClean. Voilà, j'espère que cela permet de se faire une petite idée sur ce programme , que je conseille sans réserve. nicM

Bonjour pear, Euh, c'est une colle là! Disons différent, AVG AS est un scanner, sauf pour la version complète où un gardien résident protège le système. BOClean n'est pas un scanner, juste une protection en temps réel. Personnellement, je n'ai pas essayé Ewido depuis qu'il est sorti sous la marque AVG, mais la dernière version d'Ewido que j'ai essayé en résident était très lourde, je n'aurais jamais voulu de ça sur mes ordinateurs. Alors que BOClean, rien à dire, super léger. En détection, je n'ai jamais eu l'occasion de comparer directement les 2, mais j'ai été plus d'une fois impressionné par BOClean, lors de tests d'infection volontaires, qui a toujours détecté tout ce que je lui envoyait, à de très rares exception près. Enfin je ne parle que de ma petite expérience personnelle, là, hein . BOClean est particulièrement performant quand il s'agit d'intercepter une variante d'un malware qu'il a dans sa base de donnée, qualité due à la manière dont il opère, scan et contrôle du code en mémoire uniquement. Je ne suis pas sûr qu'Ewido/AVG soit aussi bon à ce niveau là, mais une fois encore, je ne connais pas la version actuelle. Je dirais que le mieux est de l'essayer, vu qu'il est maintenant gratuit (Quand j'ai acheté BOClean, il n'y avait pas même de version d'essai! ). Je l'utilise en couple avec Antivir, c'est une association redoutable.