Certains regretteront que les outils classiques de défense que sont les firewalls et les antivirus soient absents de ce test. L'équipe de Rootkit Unhooker a préféré se consacrer aux utilitaires spécialisés.


L'appréciation des résultats des tests est complexe car il faut pouvoir valoriser ...

• les techniques utilisées pour la détection des intrus et sanctionner celles qui peuvent être facilement contournées,
• la fragilité de l'utilitaire face aux attaques (désactivation ...)

Pour chaque rootkit il faut apprécier ...

• la détection, partielle ou de tous les composants,
• l'indication plus ou moins précise de l'emplacement sur le disque,
• la possibilité de neutraliser les composants actifs et/ou restaurer dans leur état initial les éléments crochetés du système.

L'équipe de Rootkit Unhooker a choisi une évaluation globale, allant de -1 à 5, avec des possibilités de + ou de – pour chaque note. Les notes de 3 à 5 correspondent aux ARKs satisfaisants à bons. De 0 à 2, ils sont au mieux médiocres. Tout ce qui est en dessous de 0 est considéré comme très mauvais. Il y a pire avec l'appréciation « n/a » ou « -infini » pour les outils les plus inadaptés à une détection générale.


Résultat ...

• Les plus mauvaises appréciations correspondent à des ARKs obsolètes ou qui comportent des insuffisances et même des erreurs de conception ...
  AVG (Grisoft), RkUncover (BitDefender), catchme (Gmer), les ARKs de Joanna Rutkowska (les premiers, maintenant trop anciens), Helios (MIEL e-Security), Hook Analyzer (Resplendence), Hook Explorer (iDefense), Rootkit Detective (McAfee), Panda ARK (Tucan - Panda Software), Process Master hf (Octopod), Raide (Peter Silberman), RkDetector (Andrès Tarasco), Rootkit Buster (Trend Micro), Safe'n'Sec RkTrap (Safensoft), VICE.
• Guère mieux, UnHackMe (payant - Greatis software) reçoit la mention « -infini ».
• Encore mauvais, Process Master (Octopod) et Hidden Finder (payant - WenPoint) ont -1.
• Déjà un peu mieux, SafetyCheck, Antivir (payant - Antivir), Blacklight (payant - F-Secure), Seem et Sophos ARK recoivent une note entre 1- et 1+
• A l'étage au dessus se trouvent Rootkit Revealer (Sysinternals) avec 2- et AVZ (Zaytsev Oleg) avec 2.

Enfin se trouvent les logiciels dont les analyses donnent des résultats satisfaisants ...

IceSword ... 3- ... Note ... Mises à jour rares, évolution non garantie.
DarkSpy ... 3 ... Note ... Mises à jour rares, évolution non garantie.
Gmer ... 4 ... Note ... Il est déconseillé de le faire fonctionner en même temps que RkUnhooker.

.../...



Quelles sont les performances de vos défenses ? Les comparaisons effectuées à base de tests traditionnels par des professionnels vous ont renseigné sur leur réactivité vis à vis des malwares habituels. Mais qu'en est-il pour les nouvelles techniques d'infiltration et de camouflage ?


Dans la liste des rootkits PoC (proof of concept) disponibles gratuitement sur « rootkit.com » il y a beaucoup de « vieux » rootkits dont certains, comme Hacker Defender, ont eu leurs heures de gloire mais sont maintenant détectés par tous les anti-malwares convenables. D'autres, comme Vanquish, peuvent encore donner du fil à retordre, surtout à ceux qui n'actualisent pas leurs utilitaires de défense.

Ceux que nous vous proposons d'essayer sont assez récents. Ils déconcertent beaucoup de logiciels commerciaux. Heureusement, leur neutralisation n'est pas compliquée.
Ce sont des rootkits simples pour Windows XP dont le seul effet est de contourner les logiciels de défense et non de nuire de quelle manière que ce soit. « BadRkDemo » ne fait pas partie de la sélection car il a provoqué trop d'instabilités sur des PCs « sales ». Le choix s'est porté sur des rootkits stables mais on ne peut jamais jurer de rien. Un 'BSoD' peut facilement arriver avec un système détérioré.
/!\ Attention /!\ Procédez à un nettoyage le plus complet possible de votre PC avec vos outils habituels et, éventuellement, à une réparation de Windows avant de les essayer.

Votre antivirus pourrait avoir inclus certains d'entre eux dans sa base de connaissance et donc empêcher leur téléchargement. N'en tenez pas compte et obligez-le à les accepter.
Aucun des rootkits proposés ici ne se lance tout seul. Ils attendent que vous le décidiez. Lancez-les donc vous même en cliquant sur leur processus de lancement ".exe" ... vous vous comporterez ainsi comme un internaute qui a cliqué sur une pièce jointe à un email, sur n'importe quoi dans un site piégé ou qui a mis un CD/DVD à DRM vicieux dans son lecteur.
En bons lecteurs/membres d'Open-Files, vous ne faites jamais ça, mais cette fois, c'est pour la bonne cause ... tester ce sur quoi vous comptez pour que votre PC ne soit pas espionné et ne devienne pas un zombie de plus parmi ceux qui encombrent Internet.




Ces deux rootkits sont ceux de démonstration mis au point par l'équipe de Rootkit Unhooker ...

• « RkU Test Rootkit » date de septembre 2006. Il devrait être détecté et neutralisé par toute défense après son lancement manuel.
• « Unreal.A » a maintenant plus d'un mois d'existence. Quelles défenses ont évolué assez vite pour trouver et stopper ce rootkit ?

Pour certains usagers qui contrôlent leurs défenses obsolètes, le système de neutralisation/désinstallation prévu sera le bienvenu.

Plus d'explications, la manière de les neutraliser et leur téléchargement se trouvent dans le sujet RkU – Rootkits -> RkU Test Rootkit -> Unreal.A

Comment procéder aux essais ...

• Lancez un à un chacun des deux rootkits. Si vos logiciels de protection ont de réelles capacités de détection en temps réel des intrusions, ils devaient immédiatement lancer une alerte. Notez-la ou faites un screenshot. Précisez si les rootkits ont été bloqués.
• Vérifiez avec RkUnhooker si les rootkits sont actifs en mémoire.
• Si vos défenses n'ont rien signalé procédez avec votre antivirus à un scan de la mémoire et signalez toute trouvaille.
• Un scan du disque n'est pas nécessaire dans ce cas car il indiquerait tout au plus que les fichiers de ces rootkits font partie de la base de connaissance de l'antivirus.

Faites nous part des résultats de vos essais, réussites ou échecs de détection, en précisant quels sont les logiciels utilisés. Ajoutez des screenshots en cas de détection de « Unreal.A » afin de les transmettre à Rooktit Unhooker.

Bon test !

@+

Bonjour à tous,


Mon antivirus et mon firewall n'ont rien signalé.

J'ai aussi Winpooch mais j'ai un problème.Avant de lancer les rootkits il signalait un process inconnu. Comment savoir ce que c'est ?




A+

Salut !!!

Désolé de répondre aussi tard. Je n'étais pas disponible.
Quelles étaient tes défenses qui n'ont pas détecté les rootkits ?

Je ne suis pas étonné que Winpooch non plus ne les ai pas détecté. Avais-tu rajouté des règles particulières ou était-il en standard ?
Le cas du !! Unknow file !! pourrait peut être venir d'un logiciel qui protège son identification mais je ne vois pas comment.
Ca pourrait aussi venir d'une identification impossible suite à une manipulation quelconque. Aurais-tu effectué une suppression de processus suivi d'une relance de ce processus ? Si oui, sur quel logiciel ?
Ca pourrait aussi être un bug de Winpooch.

@+

Comme antivirus j'avais AVG freeware et comme firewall Kerio 2.1
Pour Winpooch, oui je crois que j'ai fais des essais pour tuer des processus, mais je ne sais plus lesquels.

A+

J'ai essayé hier soir avec Clamwin à la placa de AVG. C'est pareil, il ne voit rien du tout.
Quelqu'un saurait-il avec quoi détecter les rootkits de ce genre?

A+

Salut a tous

voici déja une première réponse, test du rootkit RKU demo 12

mon antivirus est office scan de trend micro version réseau, mise a jour du serveur tous les jours et mise à jour des station a chaque démarrage de session.



Il détecte 3 fichiers suspect dont deux troj
PE GENERICZ
TROJgeneric
TROJgeneric


je vais bientot faire le test avec l'autre rootkit

@+ Salluste

Salut ,

quel est l'emplacement de ces fichiers ?

Les trois fichiers sont apparus a cet emplacement:

C:\Windows\downloadedprogramfiles\conflict.1\USDR6V_00001_D18M3107NETinstaller.exe
C:\Windows\downloadedprogramfiles\USDR6V_00001_D18M3107NETinstaller.exe
C:\system Volume information \_restore\{....}\A00231030.EXE

j'espere que cela t'aidera les deux premiers sont troj generic

@+

Tu as eu un message sur ton pc de SystemDoctor 2006 ?

Passe SmitfraudFix et poste le rapport .
http://siri.urz.free.fr/Fix/SmitfraudFix.php

Salut et merci d'avoir fait le test.
Est-ce que ces emplacements et exécutables correspondent en quoi que ce soit avec la détection du rootkit de démonstration faite par RkUnhooker ?

@+

P.S. Les rootkits à l'essai -> ICI

C'est le résultat de Trend Micro

J'ai bien compris, merci.
Ce qui est intéressant, c'est de savoir ce que vaut ce résultat par rapport à celui de RkUnhooker.

@+

j'ai essayer de tester les deux rootkit de test avec pc cillin internet security, Le probleme est que le scan ne se fait pas en entier, la machine reboote a peut près a 75% du scan des fichiers, il teste bien les failles de securités et les spy. j'ai desactivé pas mal de programme pour avoir plus de mémoire mais le résultat est pareil. Deplus impossible de scanner en mode sans echec. C'est sur cette même machine que j'ai testé les rootkit et le logiciel office scan. Est ce du a un problème de mémoire car pcc cillin demande trop de ressources? en desavtivant certain programme j'ai quand même vu un petit résultat, il indiquer scan incomplet et ne detecté que des failles de sécurité windows

@+

Ce n'est pas totalement impossible mais j'ai un gros doute. Le redémarrage intempestif du système est le plus souvent lié à une instabilité dont les causes possibles sont un conflit entre deux logiciels, l'altération du noyau etc.
Dans ton cas, il serait possible d'incriminer la présence des rootkits,. Cependant, au cours des tests effectués par l'équipe de Rootkit Unhooker avec ces rootkits, aucune instabilité n'a été signalée. Il se pourrait qu'il existe un conflit lié à la présence d'éléments actifs de deux antivirus, celui de PC Cillin et celui d'Office Scan incomplètement désinstallé.

Une autre possibilité serait que PC Cillin ait les fichiers des rootkits sur le disque dans sa base de connaissance et essaye sans y arriver de les détruire. Dans ce cas cependant, pourquoi PC Cillin n'aurait-il envoyé un message d'alerte préalable ?
D'autre part, le scan du disque fait-il suite à un scan de la mémoire ? Si oui, et au niveau de la mémoire, PC Cillin a-t-il signalé quelque chose ?
Pour remonter au tout début des opérations, PC Cillin a-t-il déclenché une alerte au moment du lancement de ces rootkits ?

Confirmes-tu de cette manière que PC Cillin n'a rien vu des deux rootkits ?

Si tu recommences un test, lance un des rootkits puis l'autre.
- Si tes logiciels de défense ont une capacité réelle de détection en temps réel des intrusions, ils devraient déclencher une alerte dès ce moment là. Dis-nous s'ils l'on fait et vérifie la présence des rootkits avec RkUnhooker (fais un screenshot si tu as le temps).
- Procède à un scan de la mémoire et dis nous ce qui a été détecté.
- Le scan sur le disque est accessoire et ne peut que démontrer que les fichiers des rootkits sont connus (trop tard).

@+

Salut!!!

Pour le reboot c'etait bien un problème mémoire car avec un ajout d'une barette de 512 le scan c'est bien passé. J'ai fait le test avec les 2 rootkits de test mais chose interressante c'est que j'avais desinstallé le rku test et pour faire le test je l'ai reinstallé, j'ai un message d'alerte m'indiquant un risque minime. apres 46 min de scan le résulatat est le suivant il détecte 3 RAP générique qui doivent être les programmes engendrés par les rootkits. pc cillin reconait donc les rootkit

@+

salluste

Je suis content de savoir que quelque chose a détecté les rootkits.
Cependant, il faut savoir ce qui a été détecté et comment.

- PC Cillin a-t-il détecté ces rootkits au lancement de leurs drivers ou plus tard (trop tard) par le scan du disque alors que les rootkits sont installés ?
- Que détecte-t-il au juste ? Quels messages envoie-t-il (détails ou screenshots) ? Est-ce toujours et seulement ... - Précise-t-il quels sont les fichiers incriminés et où ils sont sur le disque ?
- Les éradique-t-il ... de la mémoire ? ... du disque ?

Peux-tu nous donner des précisions ?

As-tu comparé la détection faite par PC-Cillin et celle de RkUnhooker ?

Note ... Aucun des processus .exe des rootkits de démo ne s'appelle comme le décrit PC-Cillin et ils ne se trouvent dans le répertoire C:\Windows\downloadedprogramfiles\ que si tu les y a mis toi même.
Aurais-tu attrapé un spyware quelconque ?

@+

Bonjour à tous,

J'ai essayé le Rku demo rootkit avec Antihook qui signale la tentative d'installation du driver et propose de le stopper.



J'ai pas encore essayé avec Unreal.A rootkit.

A+

Je n'ai pas eu le temps de faire le test que tu m'a demandé cause exam, pour PCCILLIN j'ai regardé le journal ( mais rien de bien précis, juste RAP généric), il l'enleve bien car j'ai nettoyé puis scanné de nouveau et la il a rien trouvé. Neanmoins, après le nottayage j'ai ré installé les deux rootkit et pour RK test il m'a dit modification système risque faible et pour unreal rien du tout. Ce qui a mon avis que meme s'il détecte RKU le mal est fait, il suffit juste de créer un rootkit "drivers" disant que l'on modifie le drivers l'utilisateur l'accepte et .........
Je ne sais pas si tu es du même avis que moi car comme tu le sais je suis encore novice sur les rootkits

@+

Salluste

Bravo pour avoir trouvé un HIPS qui sait arrêter le lancement d'un driver ... au moins de celui-ci. Dommage qu'il soit payant maintenant.

Tiens-nous au courant dès que tu l'aura testé avec le rootkit Unreal.A

@+

Tu confirmes donc qu'en fait les premières détections ne correspondaient pas aux deux rootkits de test.

J'aurais bien aimé voir ce message concernant le RK démo. Indiquait-il un chemin quelconque ?
Ca ne m'étonne pas qu'il ne détecte rien de Unreal.A.

Toute détection 'à postériori' (scan à la demande par exemple) est mieux que rien mais laisse aux malwares le temps de commettre leur forfait. Le détection des intrusions en temps réel est préférable, mais souvent moins efficace.
Je n'ai pas bien compris ... Peux-tu expliquer autrement ?

@+

P.S. Les rootkits à l'essai -> ICI

Bonjour,

Je n'ai pas pas encore eu le temps de tester tout ceci. Cela viendra ...

Juste ce petit message pour proposer un autre rootkit (avec driver) qui agit principalement en ring3 et qui a pour but de masquer les processus voulus.

HideToolz

Sous xp sp2, avec nod32 à jour et un compte administrateur = déploiement sans problème.
Les processus masqués sont remontés par tous les outils travaillant en kernel.

++

Les résultats de tes essais seront les bienvenus.

Cacher les processus voulus ? C'est intéressant tout plein cà ...
Je vais l'essayer dès demain.

@+

Bonjour à tous.

Quand ce n'est pas pour cacher un logiciel espion, à quoi ça sert de cacher un processus ?

A+

Dans le cas de 'HideToolz', pas à grand chose. C'est essentiellement un petit rootkit de démonstration et de test. Je reviendrais la dessus.

Autrement, cacher des processus peut servir à tous ceux qui ne veulent pas que des intrus voient ce qui fonctionne dans leur PC sans pour autant avoir recours à une pesante machine virtuelle ... exemple : des employés qui ne voudraient pas que leur chef (ou leur patron) se rende compte qu'ils utilisent au travail des logiciels de P2P prohibés
Par extension il faudrait aussi cacher des dossiers et des fichiers, mais pour ça il y a déjà des tas de logiciels.

"Pour vivre heureux, vivons cachés"


@+

Merci, ce petit outil est intéressant. Dommage qu'il ne soit pas davantage développé.

HideToolz n'essaie pas tant de se cacher que de camoufler des processus pour que des outils ordinaires comme le gestionnaire de tâches de Windows ne les voie pas ... Il ne chercha pas à cacher les fenêtres des logiciels dont les processus sont camouflés ...
Parmi les processus en fonction dans un système de test, j'ai choisi de cacher HideToolz lui même et PaintDotnet. Effectivement, le gestionnaire de tâches de Windows (qui fonctionne en 'ring3') ne les "voie" plus.


IceSword et RkUnhooker par contre voient toujours ces deux processus et les signalent "cachés".


Le rootkit HideToolz a un driver (nom aléatoire) bien ancré dans la SSDT mais que RkUnhooker n'arrive pas à éradiquer.

Il est possible de tuer des processus avec ce petit outil. Ca fonctionne bien avec des logiciels ordinaires comme PaintDotNet mais échoue avec IceSword ou RkUnhooker.

Quelques petits développements complémentaires (cacher aussi les fenêtres des processus, les fichiers et dossiers ...) et HideToolz pourrait devenir un utilitaire hautement pratique.

@+

Re ...

Un des antivirus récents, Comodo Antivirus gratuit, détecte le lancement de rku_demo ... celui du processus puis celui du driver si le processus est accepté (comme le feraient de très nombreux débutants pressés).

Malheureusement il ne stoppe pas l'exécution du driver.

@+

Bonjour à tous.

Et pour Unreal.A, comment ça c'est passé avec Comodo antivirus ?

A+

Comodo antivirus détecte le démarrage du "launcher" ...

... ensuite, après aceptation (comme le feraient de très nombreux débutants pressés), plus rien. Le driver passe ni vu ni connu.

Les utilitaires qui repèrent le driver de Unreal.A sont vraiment rares. Ceux qui le neutralisent, encore plus.

@+

Pour repérer le driver de Unreal.A, il y a bien sûr RkUnhooker et aussi la dernière version connue de IceSword 1.20, grâce à ses nouvelles techniques (reprises par RkU) et sans doute la version actuelle de Gmer. Je posterai peut-être des screenshots ...

Pour les autres logiciels et à part un que je présenterai peut-être bientôt, je ne sais pas. Il faudrait que les adeptes des logiciels communs nous informent ...

@+

Re ...

Screenshots de détection du rootkit Unreal.A par IceSword 1.20 et RkUnhooker 3.30 ...

Pour RkU, notez que ce n'est pas Unreal.A qui est 'Hidden from Windows API' (dans ce cas, c'est rku_demo) car n'est pas de cette manière que se cache Unreal.A

@+

Merci Txon. Ca fait au moins deux logiciels gratuits qui détectent le rootkit Unreal.


Il n'y en a pas d'autres ?


A+

Pour Unreal.A je ne sais pas encore, mais Spyware Terminator bloque le lancement du rootkit rku_demo (RkU Test Rootkit).

Après l'ordre de [Bloquer] RkUnhooker et Icesword ont confirmé que le driver "Rkdemo12.sys" n'est pas présent dans le noyau.

@+

C'est bon ça !

J'ai vu que Spyware Terminator est un antispyware.
Est-il un des meilleurs ?
Est-il assez simple pour être utilisé par les débutants ?

A+

Je le teste en ce moment ... et il bloque aussi le driver du rootkit Unreal.A ...

Après l'ordre de [Bloquer] RkUnhooker et Icesword ont confirmé que le driver "unreal.sys" n'est pas présent dans le noyau.

@+

Il est payant ou gratuit ?

Si tu parles du rootkit, Unreal.A, il est gratuit

Si tu parles du logiciel, , il est gratuit aussi (autrement, je laisserais à des "pros" de la sécurité payante le soin de démontrer ce qu'il vaut et à de "vrais newsers" le soin d'en vanter les mérites).

@+

hello

Spyware Terminator travaille avec son driver :
c:\windows\system32\drivers\sp_rsdrv2.sys

Il hook certaines fonctions de la SSDT :


Ce qui lui permet de travailler et d'empêcher (en autre) la création de nouveau service ou le lancement de nouveau driver. Maintenant imaginons, on lance dans l'ordre RkU puis Spyware.
On unhook la fonction ntLoadDriver.
Derrière, il sera incapable de détecter les chargements de nouveau driver ... Bon c'est plutôt logique.

A l'air de bien bosser, et propose certaines options intéressantes.
Sinon un poil lourd à mon avis :



++

Ca confirme que Spyware Terminator est très bon, non ?


A+

Donc plutôt lourd en consommation RAM mais efficace ...
Merci à tous les deux

Il se pourrait bien que Spyware Terminator soit un des meilleurs HIPS gratuits du moment, en effet.

Encore faut-il prendre en compte le contexte de fonctionnement. Les performances et résultats de chaque logiciel de sécurité sont variables selon ceux qu'il complète plus ou moins bien.

Si on se réfère à Spyware Terminator et aux tests réalisés par les membres d'Open-Files (Test des défenses I - résultats provisoires), il est peut-être plus performant que Spybot S&D version 1.4 avec son tea-timer, mais pas vraiment plus efficace que Winpooch (surtout quand des règles particulières y sont rajoutées à celles de base).

Spyware Terminator me semble très simple à comprendre pour les débutants et sans aucun doute plus performant que Ad-Aware et d'autres "vieux" antispywares qu'il peut remplacer sans problème.


@+

Sa consommation RAM varie bien sûr suivant son fonctionnement en cours et l'intégration ou non de l'antivirus optionnel ClamWin.
Pour l'instant, je n'ai pas noté un utilisation inférieure à 45 Mo ou supérieure à 80Mo. C'est à comparer avec les ~12Mo nécessaires au processus de Winpooch, les ~30Mo requis par ceux du firewall Comodo et les ~100Mo à ~120 Mo que consomment en crête des antivirus comme Avast! ou Antivir.

@+

Bah c'est marrant chez moi le processus shield de ST est à moins de 2 mo
Et il m'a fait grimper les résultats au teste de défense II de façon spectaculaire
Winpooch ne veut par contre plus se lancer - j'en parlerai ailleurs

Spyware Terminator n'utilise pas qu'un seul processus mais trois. Le processus SpywareTerminator.exe quand il est "au repos" ne consomme effectivement même pas 2Mo. Cependant, une fois en fonction, il peut avoir besoin de plus de 30Mo (et il y a les deux autres).

Ne veux-tu pas faire référence au "Test des défenses I" (et pas II) ? Ca aurait été intéressant d'avoir le détail de tes résultats.

Ce n'est pas forcément étonnant, surtout si tu n'as pas complètement désinstallé Spyware Terminator. Il faut se méfier de toute incompatibilité possible entre deux logiciels de sécurité de même nature.

@+

Bonjour à tous,

que pensez-vous de Boclean, l'anti-malware racheté par Comodo qui est passé dans le gratuit :

http://www.comodo.com/boclean/boclean.html

Je l'ai installé il y a peu sur mon PC, je peux dire que je suis pour l'instant agréablement surpris, il ne m'a pas créé d'incompatibilité, il est léger, facilement paramétrable car pas trop d'options, et, en plus il est discret

Le seul hic, je ne sais pas ce qu'il vaut réellement au niveau défense active (rôle primordial, j'en conviens, pour un anti-malware) et je trouve très peu de feedbacks sur le net

c'est pourquoi je demande l'avis, à vous, les pionniers en matière de securité

A+

Salut,

En fait ce n'est pas tout à fait exact. Spyware Terminator, quand il est en mode résident, n'a que 2 processus et consomme très peu 7-8 Mo en gros. Par contre, quand on double clique sur l'icône du systray là se lance un 3ème processus nettement plus gourmand, de l'orde de 30 mo à lui tout seul (+ les deux autres)

Il s'agissait effectivement du test de défense I, qui me donne 100 - 70 - 75 avec donc Kerio 2.1.5 et ST (plus vaccinations de spywarebalster et spybot), mais pas d'antivirus

Quant à Winpocch, il a été installé bien avant ST, et a planté bien avant aussi, tout seul alors qu'il marchait. Faudrait que je le désinstalle à l'occasion.

Merci de ton intérêt. Bonne fin de We

Ta réponse concernant les processus de Spyware Terminator ne contredit pas la mienne. Il se démontre cependant que dès le moindre scan effectué par ST, son troisième processus se met en route.

Tu es en train de confirmer que les antispywares empiètent peu à peu sur le domaine des antivirus. Même s'ils n'ont pas de virus proprement dits dans leurs bases de connaissances, ils sont de plus en plus à même capables d'empêcher leur installation grâce à leurs fonctions de prévention.

C'est assez curieux. Chez moi, winpooch a toujours été stable. Quelle version as-tu?
En effet, une désinstallation complète/réinstallation sur un système "propre" de la dernière version peut arranger bien des choses. Attention cependant, le fonctionnement simultanée de plusieurs logiciels de même catégorie peut entraîner des conflits, des incompatibilités. SpywareTerminator, SpywareBlaster, Spybot et Winpooch sur un même PC, ça risque de faire beaucoup ... un peu trop de défenses "proactives" différentes peut-être. Tiens-nous au courant.

@+

ClOsTRidiUM, j'avais essayé une ancienne version de Winpooch et je n'avais jamais eu d'ennui. Les règles sont difficiles à créer quand on y connait pas grand chose comme moi, mais c'est tout ce que je lui reproche. Quelle version t'a posé des problèmes?

Txon, tu dis que "les antispywares empiètent peu à peu sur le domaine des antivirus". Qu'entends-tu par là au juste ? En sens contraire ce n'est pas vrai?

A+

Spyware Terminator a été expliqué en détail et testé par Txon.

http://infomars.fr/forum/index.php?showtopic=298

Assez balaise ce ST mais il a besoin d'un complément pour surveiller le Registre.


A+