15 replies to this topic

[Plop]

Bonsoir,

Pour la petite histoire, ma licence de Trend finissant bientôt, et cherchant à économise 30€, j'ai cherché parmi les tests de Vigen et autres joyeux lurons de ce forum, l'AV gratuit qui irais bien avec ma licence de Mbam Pro.

Et c'est AVG qui m'a le plus intéressé de par son module comportemental 'Identity Protection. De là mai venu l'idée de testé ces 2 produits sur du long termes (2 ou 3x / semaines et ceux pendant 1 mois) dans un windows 7 32 bits virtualisé avec virtualbox en suivant les paramétres de Vigen dans un autre post et qui tourne pas top mal.

Alors attention, ce sont des tests sans prétentions, sur des url fraîches annoncé comme 'Réaltime' par le site de liens et qui propose pas loin de 100 liens par heures. Les test seront effectués à partir d'internet explorer 9, filtre smartscreen desactivé, celui ci ne m’intéressent pas puisque j'utilise Chrome sur mon host. les AV sont mis à jours avant chaque test. Alors pour les résultats, pas de videos; je remonte que quelques infos de ce qui s'est passé durant les tests au cas ou ça intérreserai des passants qui aime lire.


Pour info, sauf cas impossibilité, je ne rechargerai jamais d'instantané de Virtualbox entre chaque test, afin de voir combien de jours, ce duo peut il protégé mon système.

----------------------------------------------------------
Test du 01/11/2011 sur les 4 dernieres heures de liens en quasi realtime (test environ 300 liens)


Security defender passe Rogue apparue en 02/2011
scan a la demande de MBam Pro. le resident ne voyait rien.
Mbam detecte le rogue, mais n'étant pas en mode sans échec, au redemarrahe, celui-ci est toujours là.
Même manip en mode sans échecs, Mbam ne trouve rien cette fois ci! es du à l'erreur d'avoir tenté de le supprimer sans passer par le mode sans échec des le début?

Netoyage avec Combofix. le rogue est suprimé. redemarrage, memoire ok.
je continu les liens,

SocialRibbons LP5 passe. uninstall permis. RAS en memoire

skymonket et Guardmailru passent. page de demarrage modifié et barre d'outil ajouté avec mon autorisation.

un exploit java en memoire. mais Mbam bloque l'IP

Redemerage pour AVG qui aurra demandé plusieurs fois durant le test.

Scan Mbam Pro: O traces
Scan Hitman pro: O traces
Scan MalAware (1 minute): O traces
TDSSKiller: RAS

Pourtant Guardmailru et SputnikHelper sont actif. passage par les uninstall; reste rien en

méloire. Chelou des malewares qui permettent leurs desinstall.



_______________________________________________________________

Test du 02/11/2011 sur la derniere heures de liens en quasi realtime (test environ 70 liens)

Ultrasurf passe. puis killer par ID AVG
mais un serveur proxy à été installé; je m'en aperçoi car plus de connexion intenet.

logiciel Carmen electra sex tente de s'installer. Avg bloque, mais je peut toujours continuer
l'installation du logiciel. Ecran de veille modifié. je desinstall

mIRC + passe. je desinstall. RAS en mémoire.

USB kill passe en memoire. ID avg le detecte quelques seconde plus tard

un truc chinois passe (115br_u_1.exe en mémoire) qui appele des potes:
QQPCDonload.exe > j'autorise l'acces du firewall. Mbam bloque l'IP. je desinstall
reste en memoire
ppap.exe semble aavoir été telechargé quelques minutes plus tard. IP bloqué par mbam. PPTV un logiciel chinois se lance peut de temps plus tard. sortie firewall de windows que j'accepte pour voir.
50% mini du cpu actif
les service tssysk et tcsafebox se sont créés
module complémentaire internet explorer s'install.
je desinstall tout ce qui peut être desinstallé. les services tssysk et tcsafebox partent avec.

Scan à la demande de Mbam: 1 menace trouvé. trojan fakealert sur un fichier avi.
Mbam demande de redemarrer, ce que je fait; également demandé plusieurs fois par AVG.
Apres redemarrage à priori RAS en mémoire. Retour à la normal côté CPU.

Scan Hitman pro: serveur proxy installé. Apres vérif, serveur proxy est bien décoché. action faite tout à leur, à part ça RAS
Scan MalAware (1 minute): 1 traces. adultscreensaver.
Combofix fait le ménage sur pas mal de fichier avi et quelques autres dechets.
TDSSKiller: RAS


__________________________________________________________________
apres ses 2 rounds, 90 menaces en quarantaine pour AVG.
et 19 pour Mbam pro.

Pour un premier constat; AVG fait tres largement son boulôt. Il lui manque un 'Web protection Addon de Trend, et ça serait formidable'.
Alors dans la version payante il y'a bien un webguard, mais que vaut il? Vraiment dommage que TRend ne vende pas ce produit et qu'il faille acheté un antivi-virus pour en profiter.

Quand même asssez déçus pour le moment par MBam Pro qui lui n'est pas gratuit. certes par cher, mais il évolue finalement tres peux. Son webguard protége je dirais sur 10 ou 30% des liens au grans max; bon après il bloque aussi des troyens, bots qui serait passé sur la machine.

Surpris par l'efficacité de Combofix pourtant bien moins connu est bien meilleurs en nettoyage que mbam dans les cas qui se sont presentés durant ces 2 tests.

Dans les 2 rounds, si c'était ma femme qui devait se débrouiller, la machine serait partit en réparation!!! la 1er fois, le rogue, et la 2em le serveur proxy qui bloque ma connexion. Bon après nettoyage, la machine à l'air propre; et est en tous cas parfaitement utilisable. Mais j'en ai pas fini avec elle héhé.

dsl pour les fautes, je tape vite fait mes notes durant les tests qui prennent vraiment beaucoup de temps, enfin surtout quand ça passe et qu'il faut nettoyer.
Si vous avez des remarques ou demande, ba n’hésitez pas.
bye.

[vigen]

Je suis ce test :-) Bonne idée en tous cas.

[Plop]

Merci Vigen,

test du 03112011 environ 150 liens testé dans les 3 dernières heures.


L'ID d'AVG fait un boulot monstre. Pas mal de chose passe en mémoire et son kill dans la foulée.
Si Mbam Pro ne faisait pas web guard, il en deviendrai presque inutile. J'exagère un peu, quelques mise en quarantaine par le résident. C'est surtout son webguard qui travail.

Sur l'ensemble des liens, un faux mirc encore, et un faux flashget en mémoire. Apres 2 redémarrage en fin de test et coup sur coup demandé par AVG, Mirc disparu, il ne reste que le flahget.

Nettoyage de Mbam pro qui aura détecter 1 menace.
Hitman pro: 0, sauf le serveur proxy modifié, bizarre, décoché dans 'Ie'
Superantispaware: 1 tace d'un rogue inactif
TDSSKiller: RAS

Je désinstalle flashget, RAS en mémoire, la machine se porte bien. Pas eu besoin de combofix.

A noter qu'il me semble que le linkscanner (module surf shiel) ne bloque que les Exploits et il le fait d'ailleurs très bien. J'essaierai de tester prochainement une spéciale exploits et de noter le nombre qui passe. Le module search shield dans la version gratuite peut a mon avis être désinstallé puisque ça affiche dans une recherche google du vert partout sauf si page contient un exploit à priori. Je remplacerai par wot, un peu plus tard.

Bilan du 3em round, Pas trop mal dans l'ensemble. ça s'agite pas mal en mémoire des fois, mais l'ID d'AVG est là, et le webgaurd de MBAM pro aide bien dans ces moments.
+

[EboO]

Merci pour ces retours ça donne une autre idée de la protection.

[loumax]

Salut Plop

Tu peux aussi essayer Kaspersky Virus Removal Tool conjointement aux outils que tu utilise déjà.
D'autres outils plus spécifiques ici.

[Plop]

Bonsoir,

Ok Loumax; c'est juste qu'il faut le téléchargé à chaque fois car pas de maj et le scan est long. Je verrai si besoin.

Test du 06112011:

Après avoir remarqué qu' AVG et Mbam pro donnaient des résultats différents pour leur filtrage web selon le site d'url utilisé, et étant donnée, que je ne peux savoir sur quel site les éditeurs achetent t'ils ou non des listes d'urls, j'ai donc pris la décision de faire un test sans ces filtres, afin de connaître réélement leurs niveau de protection. ça peut être sujet à discussion, étant donné que j'affaibli un peu les produits; mais je pense que tout testeur à déjà du se poser la question si les tests d'url que l'on récupères sur des sites forcément connus des éditeurs sont biaisé ou non.

Alors, démarrage du test, et ça commencé bien, AVG détecte la plupart des menaces; en général, seul quelques pup avec un faible rate sur Virus Total passent. Rien de bien méchant je pense. (précision le filtrage des pup/lpi est actif dans AVG)
Miracle, Le rogue Privacy protection se lance et se fait repérer par l'ID d'AVG dans la foulée. Le rogue est kill. ça fait plaisir.

Je continu, et la je tombe sur un rootkit Zero.Access. AVG repère la menace et la supprime; tout du moins c'est ce qui laisse croire quelques secondes. Soudain, Mbam pro plante, AVG est désactivé. Bon là j'ai compris; je lance TDSKILLER, 2 menaces (rootkit) redémarrage; rien de changé. je recommence en mode sans échecs, idem la réparation ne se fait pas. Lasse de repartir en mode sans échec, Je lance donc Combofix dans la session normal. Combofix détecte le rootkit et annonce que le celui-ci s'active ou un message dans le genre là, Combofix fait redémarrer la machine d'urgence; la machine ne cesse de reboot dans le mode de réparation sans y arriver.

Alors heureusement que c'est pas sur ma vrai machine, parce-que là je sèche

Bilan: Encore une fois la machine est bonne pour réparation. Alors certes, j'ai désactivé le filtrage web de Mbam Pro, mais que font les résidents. Si AVG qui est gratuit à tenté quelque chose, il n'en ai pas de même avec Mbam pro qui lui ne l'est pas et n'a absolument rien vu.

S'il y'a bien une amélio à faire dans le produit AVG, c'est sa capacité détection et de nettoyage des rootkits. Pour Mbam Pro, je dirai qu'il se laisse trop souvent tuer sans bronché. C'est une faiblesse importante je trouve pour un produit qui a fait ça renommé pour ça capacité de nettoyage de machines infectés; et donc il est forcément la cible de toute menace. Quel est donc l’intérêt de la version pro si comme pour la version gratuite, en cas d'infection il faille démarrer mbam.exe en lui ayant changé son nom! Alors je suis surement un peu dur avec Malewarebytes, mais faut dire que j'en attendrai beaucoup plus de sa part par rapport justement à ça renommée.

Ce message a été modifié par Plop - 06 novembre 2011 - 20:16 .

[loumax]

Hello !

Regarde ICI

[Plop]

Bonsoir,

Merci Loumax pour ce sujet intéressent; des qu'un rootkit re-passera; j'espère que je pourrais le dé-loger avec la vidéo.

Test du 07112011: 3 ou 4 heures d'url de la journée sur 3 sites différents. Désactivation du filtrage web de Mbam pro comme lors du precedent test.

Pour info, la machine étant morte lors du précédent test, j'ai rechargé un instantané tout beau tout propre.

Alors pour ce qui à passé: quelques Malwares passent. Notamment, un faux skype, des casinos, ainsi que quelques applications inconnues. Rien pour mètre en péril la machine.
A noter, un dropper 'readme.exe' passe en mémoire et download 2 de ses potes. AVG les détectes et les supprimes. Le Dropper finit par être détecté et supprimé quelques minutes plus tard par l'ID d'AVG. Bon point.
Une tentative d'install d'un proxy; l'adresse n'est pas passée, mais la connexion ne se fait plus. Dans les paramètres, le case serveur proxy est sélectionné.

3 menaces sont détecter par mbam pro en fin de test lors d'un scan à la demande.
Plus d'une centaine de menaces dans la quarantaine d'AVG (je les comptes pas précisément et AVG n'indique pas le nombre total).
Mbam pro lui compte 74 éléments.
TDSSKIller: 0
Hitman pro: un troyen -> une dll d'un des logiciels installé durant le test. A noter qu'après envois au cloud, certains éléments suspicieux ne sont pas détecté comme Malware; et pourtant il le sont probablement.

Au vue de ce seul test, je dirai qu'AVG et Mbam pro font un bon couple (aujourd'hui). Le problème, c'est que la qualité de protection est variable suivant les jours!
+

Ce message a été modifié par Plop - 07 novembre 2011 - 23:11 .

[EboO]

Au vue de ce seul test, je dirai qu'AVG et Mbam pro font un bon couple (aujourd'hui). Le problème, c'est que la qualité de protection est variable suivant les jours!

Je pense que tu as tout résumé dans cette phrase : c'est bien le problème des tests instantanés qui ne révèlent l'efficacité d'un produit qu'à un instant t et dont la conclusion hâtive peut être erronée.

[loumax]

Au vue de ce seul test, je dirai qu'AVG et Mbam pro font un bon couple (aujourd'hui). Le problème, c'est que la qualité de protection est variable suivant les jours!
+

Je serais tenté de dire, suivant aussi "la qualité" des malwares exécutés !

Pour les tests réaliser sous VM, il faut bien garder à l'esprit que cela ne te donnera qu'un aperçu de ce qu'il se passerait sur un système "réel", je m'explique :
lorsque je réalisais des tests d'antivirus, je testais sous VM et ensuite sur ma partition dédiée, or ces tests réalisés avec les mêmes malwares donnaient des résultats totalement différents (c'est de cette façon que j'avais testé Malwarebytes pro).

Conclusion, certains logiciels sécuritaire (et d'autres peut-être) ne sont pas à 100% de leurs capacités dans un environnement virtuel.

[Plop]

Dernier roman; après promis je vous embêtes plus.

Me revoilà après une batterie de tests qui se sont effectués la semaine dernière et ce weekend.

Alors premier chose, il ne servait à rien que je continu mes test avec le duo AVG free 2012 et Mbam pro, qui ne protégeaient pas suffisamment ma machine
Je me suis donc penché sur 2 choses:
- La première, ajouter une analyse comportemental gratuite pour combler celle d'AVG qui ne vas pas assez au bout des choses. Alors le seul gratuit étant Threatfire de Pctools.
- La deuxième, ajouter un filtrage web; là, je me suis orienté vers K9 web protection.


---------------------

> 3 tests effectués sur 3 journée différentes. plusieurs sites d'url testés avec pour config uniquement les moteurs comportementaux (Identy protection d'avg et Threatfire) d'actif. Mbam pro éteint; les moteurs antivirus d'AVG idem. K9 web protection Idem.

Alors pour tout dire; je fus agréablement surpris ; Aucun rootkit et rogues n'ont pu s'installer. Jamais la VM n'a été mis en danger; C'est tout bonnement excellent. Je suis retombé sur un rootkit de type Z.Access; comme a son habitude, IdentyProtection réagit, fait le nettoyage; seulement à cette étape habituellement, la machine aurait tout bonnement été rootkité au redémarrage. Apres le nettoyage d'AVG donc, bon surprise, Threatfire réagit par 2 fois, coup sur coup; la machine est tout bonnement sauvée!

A noté que lors d'un des test, Mbam pro inactif c'est fait tous simplement supprimé (mbam.exe). ça devient une habitude! Processhacker également. Seul dégât répertorié. Sans doute un des rogues, qui a du avoir le temps de commencer un peu le boulot avant de se faire kill. La cause probable, il peut se passer parfois plusieurs dizaines de secondes avant que des comportements suspects soit découverts.
A noté également, quelques applications potentiellement dangereuses passent en mémoire; rien de dramatique je pense et tous ne sont pas actif après un redémarrage de Windows.

> 1 test avec AVG free 2012 (tout modules actif), Threatfire et Mbam pro (filtrage web actif). Et bien là je peux dire que c'est hyper efficace et rassurant. Absolument rien de sérieux n'est passé, et pourtant IE en a vu passé des urls.

> 1 test avec en plus K9 web protection; alors là je suis pas mécontent de retrouvé un filtrage à la Trend. Rien n'a redire, il serait assez difficile de tester des urls avec. Il bloque pas moins de 90% des liens sur les sites. (certes connus)


---------------------

La configuration suivante est elle lourde?
AVG Free 2012 : 129MB pour l'ensemble de ses modules.
Threatfire: 15MB
Mbam Pro : 114MB
K9 web protection: 9MB
Firewall 7

Donc un total de 267MB.

Au niveau processeur, c'est léger tant qu'il n'ya pas de menace active. AVG et Threatfire peuvent faire bosser le processeur pendant les phases de mise en quarantaine sous un régime soutenu et pendant quand même relativement longtemps.

----------------------

Bilan probablement final. ç'est désormais installé sur ma machine et je ne pense pas continuer de tests qui prennent vraiment beaucoup de temps.

Points positif:
Défense complète; avec donc le firewall de 7 + celui de mon rooter, un antivirus sur base de signatures, de l'analyse comportemental, du filtrage web et du contrôle parental.

C'est léger en utilisation normale et c'est efficace au vu de mes tests.

K9 web protection est très proche de l'efficacité de Trend. Sachez que c'est aussi un logiciel de contrôle parental complet et petit bonnus, il permet de supprimer les web advertissements. le genre de truc qui vous agresse quand vous rentrez sur un site comme Clubic par exemple.

Le filtrage par IP de Mbam pro est efficace notamment pour les droppers/trojans. Tres réactif sur les nouvelles menaces. Un nettoyeur qui reste efficace, mais ... qui va pas aussi loin que Combofix par exemple.

Une solution low cost (ce que je recherche en cette période difficile) . Seul Mbam pro est payant au prix de 19€ avec un code reduc pour une licence à 'vie'. entre guillemet, car aucune véritable évolution depuis plus d'1 an maintenant et je n'ai écho d'aucune Béta en préparation sur leurs forum. Alors c'est pour quand cette 1.60?

Alors je suis pas là pour faire de la pub à un produit payant, et pour une utilisation normal avec un cerveau qui dirige les clics, et le désire dune solution efficace et gratuite, Mbam pro n'est pas forcément nécessaire.

Points négatif:
Le Identity protection d'AVG est à améliorer. Attention, je ne dis pas qu'il est mauvais, bien au contraire. Mais le fait de devoir en installer un 2em me permet pas de le placer dans les points positifs. J'espère une amélio de ce côté là.

Mbam pro est lourd en mémoire. Il se fait kill sans bronché; heureusement que les moteur comportemental sont là pour lui. les MAJ sont à télécharger complètements toutes les heures soit 7Mo. Alors ça peut être gênant pour des jeux en réseaux. Mbam pro démarre en différé, et ne protège donc pas au démarrage de windows. Pourtant le filtrage IP serait je pense nécessaire.

Voilà, a+ et merci de m'avoir lu.

Edit: je préciserai le temps de démarrage de chacun avec l'aide de soluto dans un prochain post. (beaucoup plus long à démarrer qu'avec Trend Titanium par exemple) et je corrigerai éventuellement mes fautes d’orthographes dans la mesure du possible

Ce message a été modifié par Plop - 21 novembre 2011 - 21:01 .

[EboO]

En tous les cas merci pour ces retours

[Plop]

Au niveau des perfs de ce quatuor sur mon system (I7 mobile), je ne ressent pas de ralentissement, quand à la navigation (câblé 24 mbps) pas plus qu'avec Trend. Seul le démarrage de Windows me semble peut être un peu plus long; Trend utilise un démarrage progressif.

A noter que j'ai exclu le répertoire d'AVG dans Mbam pro et vice versa à défaut d'avoir pris le temps de cibler les processus et dll à exclure. Aucune exclusion créée pour Threatfire et K9 web protection.

Est 'il possible de voir en vidéo un test de ce quatuor avec vos Protocols habituels et vos collections de malwares notamment ?

Petite astuce au passage pour supprimer le bandeau publicitaire en bas de l’interface d'AVG Free 2012, il faut supprimer les fichiers avec l'extension .MHTML dans le répertoire d'installation. La manipulation devra être refaite à chaque grosse mise à jour du logiciel (à l'exception donc des maj de base de signatures).

Edit: Attention à CCleaner, qui dans application efface des trucs d'AVG (normalement des fichier d'install) et qui m'a posé problème; à décocher.

Ce message a été modifié par Plop - 27 novembre 2011 - 15:14 .

[Plop]

Bonsoir,

Une Vidéo du trio AVG Free 2012 + Pctool Threatfire + K9 web protection (Mbam pro désactivé pour ce test)
A downloader sur Mediafire; c'est un petit fichier de 80Mo. Pas de son, donc passer vous un bon morceau de zic et survolé la vidéo si vous trouvé ça chiant

Pour gagner un peu de temps, je présente pas les logiciels et j'attaque direct,
1er partie avec les 3 (fin à 13mn)
2em partie: sans K9 web protection (fin à 29mm)
3em partie: Scan à la demande (fin à 35mn)
4em partie: j'aime pas quand ça passe trop bien. Donc une petite url de plus pour le fun ................... System dead.

http://www.mediafire...f25dsc6twjbxahk

A la fin des Scans (3em partie), pas grand chose de passé. Il reste des résidus comme Bestantivirus en partie stoppé par Threatfire dans la 2em partie, quelques truc dans le dossier de téléchargement et dans les fichiers temporaires. Je test pas beaucoup d'exploits, la machine étant à jour. Par contre en regardant bien les sites d'url de malwares, on se rend compte que c'est la 1er méthodes de contamination.

Pour la 4em partie, c'est un Rootkit ZeroAccess d'une url datant du 07/12/2011. Dans mes précédents test, Threatfire n'avait jamais failli devant ce type de menace.
A noter que ce rootkit avait vu son url bloqué dans la 1er partie.

Donc bilan, je sais pas ce que vous en pensez, mais pour du gratuit, je trouve ça très correct. Dommage pour le rootkit; mais K9 nous aurais protégé. Ensuite côté ralentissement système, c'est très réactif, le cpu travail à peine; le disque dur gratte un peu plus sous la vm que sur l’hôte avec la même configuration logiciel; quand à la navigation, pas de ralentissement mais avec une connection relativement véloce (Merci à la Auchan box et le réseau Numéricable).

Désolé pour les petits cafouillages , le manque de son, ma souris qui parfois se promène un peu à donner la tournie et le download (étant limité à 15 min sur Youtube).
Si vous avez des remarques, elles sont les bien venues.
a+

[vigen]

En cours de download.... ;-) Merci pour ce travail...

[Plop]

Salut Vigen,

Merci pour ton intérêt à ce post. Je sais pas si tu as eu le temps de voir ce 'test', mais t'en pense quoi de l'association AVG FREE 2012 - Pctools ThreatFire - K9 web protection par rapport aux versions non security suite de Norton ou surtout Kaspersky que tu as l'habitude de tester et donne souvent de bons résultats?