comment les anti-virus désinfectent les fichiers système?

[roger44]

Bonsoir
J'ai constaté que mon anti-virus Stopzilla ne désinfecte pas les fichiers explorer.exe et svchost.exe. Il dit l'avoir fait et si on rescan tout de suite après il ne trouve rien, et puis quelques jours après il les retrouve infectés. Un fieffé monteur.

En ce qui concerne explorer.exe, il me suffit d'arrêter le processus pour pouvoir remplacer l'infecté par le fichier propre du dllcache.

Pour svchost c'est plus difficile puisqu'on ne peut pas terminer ce processus. Donc il faut boot du le CD SP2, réparer, et puis il me présente le DOS command line où tout est possible. (il y a peut-être plus simple)

Comment font les 'grands' comme Norton, Kaspersky etc dans ces cas? Arrivent-ils à nettoyer les fichiers system Windows en cours d'execution?

Merci de votre savoir.
-----

[golfo57]

Bonjour à tous,

Je ne connais pas Stopzilla, donc je ne peux te répondre sur son fonctionnement. Par contre:

Comment font les 'grands' comme Norton, Kaspersky etc dans ces cas? Arrivent-ils à nettoyer les fichiers system Windows en cours d'execution?

Là je ne comprends pas bien, mais quand on fait un scan AV, on le fait en mode sans échec et rien n'est démarré, du moins c'est ce que je pense. @+

[JPL]

De toutes façons même les meilleurs antivirus n'arrivent pas toujours à faire une désinfection complète. Le coup du malware qu'on croit avoir supprimé et qui se réinstalle est un grand classique du genre. C'est pour cela que les membre du groupe antimalware de FS utilisent des outils spécialisés qui peuvent différer selon le type d'infection rencontré, mais dont l'usage inconsidéré peut être redoutable.

En outre l'infection des fichiers (du système ou autres) était le mode d'action des virus classiques d'autrefois. Actuellement c'est beaucoup moins utilisé au profit de l'installation d'exécutables soigneusement cachés et de bricolages de la base de registre.

[roger44]

En fait, ma question est un peu bête. Dans la mesure où le virus arrive à modifier un fichier comme svchost.exe qui tourne en permanence, un bon anti-virus doit pouvoir le modifier aussi.

[A voir en vidéo sur Futura]

[JPL]

Qui t'a dit qu'un virus pouvait modifier svchost.exe ? Par contre il y a (ou il y a eu) divers malwares qui ont pris le nom de ce fichier pour abuser les utilisateurs crédules (le vrai est dans c:\windows\system32).

Et pour préciser le vocabulaire il n'existe plus que très peu de vrai virus (infectant des fichiers) actuellement. C'est pourquoi il vaut mieux parler de malwares, ceux-ci étant de nature très variée.

[roger44]

C'est celui-là, selon Threatexperts en 2009 :

ThreatExpert's Statistics for Win32.Virut.Gen.4 [PC Tools]:

Win32.Virut.Gen.4 [PC Tools] is also known as:
Threat Alias Number of Incidents
W32/Virut.gen.a [McAfee] 1,619
PE_VIRUT.AV [Trend Micro] 978
etc

Il rajoute quelques ko de code uniquement aux fichiers .exe, c'est forcément une modification qui n'affecte pas le fonctionnement. Je l'ai probablement pris sur le téléchargement d'un driver Sagem.

Ce problème est résolu depuis que je l'ai éliminé manuellement de explorer.exe et svchost.exe, bon débarras, ça traînait pendant plusieurs semaines puisque stopzilla ne l'éliminait pas en réalité.

Ma question est simplement est-ce que les anti-virus des 'grands' font mieux que stopzilla, je ne suis pour abonné à ce dernier toute la vie.