Author Topic: Vous n'êtes plus protégé... ! !  (Read 19557 times)

0 Members and 1 Guest are viewing this topic.

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #15 on: April 23, 2014, 12:00:10 AM »
Effectivement, j'ai confondu anti-malware et anti-rootkit.
Je commencerai donc par passer ce nettoyeur de rootkits.

Sur cette page http://www.avast.com/fr-ch/uninstall-utility qu'on trouve en recherchant aswclear il est indiqué :
- Téléchargez avastclear.exe sur votre bureau
- Désactivez le système d’autoprotection avast! ou redémarrez Windows en Mode sans Echec
- Exécutez l'utilitaire téléchargé
Je pense que aswclear est un autre nom du même logiciel avastclear.

Dès demain, je reprends tout ça dans l'ordre :
- Décocher, dans paramètres - dépannages, "Activer le module d'auto-défense d'avast!".
- Redémarrer en mode sans échec et utiliser avastclear.exe.
- Redémarrer et retirer tous les fichiers qui restent d'avast, en C:\Program Files\AVAST Software, C:\Program Files\AVAST Software etc. vider la corbeille... (je ferai une recherche des dossiers et fichiers nommés "avast").
- Nettoyer le registre avec Ccleaner puis vérifier ce qui y reste avec RegCleaner.

Ensuite, j'essaie d'installer à nouveau la version 9.0.2018 et je vous tiens informés.

Merci à tous, j'espère que ça sera concluant.
À demain mercredi.
« Last Edit: April 23, 2014, 10:25:42 AM by alain17610 »

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #16 on: April 23, 2014, 10:44:31 AM »
Bonjour à tous,

Tout d'abord, MalwareBytes anti-rootkits dernière version n'a rien trouvé.
RogueKiller trouve des éléments de type PUM que je suis en train de lister.

Et, pour lilie, voici la liste des fichiers trouvés avant désinstallation dans le dossier qu'elle m'a indiqué.
Je ferai de même après désinstallation.



À plus tard.

Offline chris..

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 2887
Re: Vous n'êtes plus protégé... ! !
« Reply #17 on: April 23, 2014, 10:54:57 AM »
hello,
jette aussi un œil dans le dossier Persistent Data (le dernier dossier en bas de ta capture) et notamment le fichier setup.log qui doit te donner des informations sur le déroulement de l'installation et donc éventuellement sur ce qui se passe mal.
nb:les experts avast demandent de leur envoyer sur leur serveur ftp pour essayer de trouver eux même ce qui cloche.
« Last Edit: April 23, 2014, 10:57:02 AM by chris05 »

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #18 on: April 23, 2014, 11:02:54 AM »
Le dossier Persistent Data est vide.

Et voici le rapport de RogueKiller qui a trouvé plusieurs éléments :

___________________________________________________________________________________________________

RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Al1 [Droits d'admin]
Mode : Recherche -- Date : 04/23/2014 10:17:36
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[DNS][PUM] HKLM\[...]\CCSet\[...]\{B6F5F714-DC1D-404C-B7D2-9587883934EC} : NameServer (8.26.56.26,156.154.70.22 [UNITED STATES (US) - PHILIPPINES (PH)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS003\[...]\{B6F5F714-DC1D-404C-B7D2-9587883934EC} : NameServer (212.27.54.252,212.27.53.252 [FRANCE (FR) - FRANCE (FR)]) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[Faked][Fichier] wadv08nt.sys : C:\WINDOWS\system32\drivers\wadv08nt.sys [-] --> TROUVÉ
[Faked][Fichier] slwdmsup.sys : C:\WINDOWS\system32\drivers\slwdmsup.sys [-] --> TROUVÉ
[Faked][Fichier] ntmtlfax.sys : C:\WINDOWS\system32\drivers\ntmtlfax.sys [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[122] : NtOpenProcess @ 0x80574BC1 -> HOOKED (C:\WINDOWS\system32\drivers\mbamchameleon.sys @ 0xAE29B184)
[Address] SSDT[128] : NtOpenThread @ 0x80590CFC -> HOOKED (C:\WINDOWS\system32\drivers\mbamchameleon.sys @ 0xAE29B2D0)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD5000AAKB-00H8A0 +++++
--- User ---
[MBR] 765e3156e37e2eb3e9d541f8c1dc0fdb
[BSP] b7e78fb0893cc3c520c29b14ec9ee649 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 56329 MB
1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 115362765 | Size: 420610 MB
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_04232014_101736.txt >>

________________________________________________________________________________________

Je continue, à plus tard.



alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #19 on: April 23, 2014, 06:24:47 PM »
Bonjour à tous,

Dans la réponse #4 j'écrivais :
Quote
Il se pourrait que ça vienne d'un trop grand nombre de dossiers et sous-dossiers à parcourir pour Avast mais ça m'étonne que les versions 8 aient fonctionné sans problème.

Je l'installe sur un autre partition que la partition système.
D:\Util\Sécurité\Anti-virus\Avast

Eh bien, en installant en C:\Program Files\Avast Software\Avast, ÇA FONCTIONNE ! ! !   ;D

La version 9 n'est apparemment pas prévue pour parcourir plusieurs partitions, ni plusieurs dossiers autres que ceux qui ont été utilisés pour sa construction.

En lisant les fichiers log qui étaient dans C:\Document and Settings\All Users\Application Data\Avast Software\log, j'ai vu un fichier qui s'était créé et qui continuait à se remplir.
Son nom : logging.log
Il contenait, entre-autres, cette ligne :
23/04/2014   15:09:31   SQL command 'INSERT OR REPLACE INTO Paths (Time, Path, ShortHash, LongHash) VALUES (1398258571, ?, 2749248064, ?);' failed, error 8 (attempt to write a readonly database)

Il y avait aussi, dans le fichier Event.log :
23/04/2014   15:09:28   AAVM - initialization error: g_tdi.Initialize failed! (logName: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\log\nshield.log), 00000000.

J'ai copié sur un traitement de texte ce que j'ai pu relever.
Si ça intéresse quelqu'un, je pourrai l'écrire dans une prochaine réponse.   ;)
Là, j'en ai marre ! ! !  :P  et je vais regarder un film que j'ai enregistré il y a quelques jours.

À plus tard,
A.M.

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #20 on: April 24, 2014, 12:18:19 PM »
Pour jefferson santiag,

I placed a link towards this page on the page in English http://forum.avast.com/index.php?topic=148645.60 Réponse # 65.

Bye

Offline chris..

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 2887
Re: Vous n'êtes plus protégé... ! !
« Reply #21 on: April 24, 2014, 01:15:35 PM »
Salut,
pour info , j'ai aussi plusieurs partitions en plus de la partition système winxppro Sp3 et je peux installer avast 2014 où je veux.

Par contre:
Quote
(attempt to write a readonly database)
Peut être normal de ne pas pouvoir créer des dossiers sur des emplacements en lecture seule.

Quote
23/04/2014   15:09:28   AAVM - initialization error: g_tdi.Initialize failed! (logName: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\log\nshield.log), 00000000.

Les problèmes de chargement de pilotes "_tdi" sont souvent dût à un blocage du parefeu (windows,comodo,...) .
Il ne me semble pas avoir vu précédement quel parefeu tu utilisais (ou utilisais dans le passé) ?
Have a look on an very old post about "g_tdi" and avast "won't turn on":
http://195.74.76.34/index.php?PHPSESSID=2g5nn2fop0lmkbafek1eaglgk4&topic=20710.msg174820#msg174820


« Last Edit: April 24, 2014, 01:17:29 PM by chris05 »

Offline jefferson sant

  • Starting Graphoman
  • *
  • Posts: 6677
  • volunteer
Re: Vous n'êtes plus protégé... ! !
« Reply #22 on: April 24, 2014, 02:22:23 PM »
déjà signalé à supprimer les logiciels malveillants qualifié
attendre, si aucune réponse
vous créez un enregistrement dans ce forum http://www.sosvirus.net/
g3n-h@ckm@n,devrait vous aider à résoudre le problème, mais il a quitté le forum d'avast, plus encore à faire leur travail de façon indépendante.

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #23 on: April 24, 2014, 02:44:59 PM »
Pour chris05 :
Comme pare-feu j'utilise toujours ZoneAlarm qui est ancien mais à qui j'indique moi-même les sites que je désire bloquer quand ils se présentent, tels que a567ec45-8fb3-4f51-ae56-832ce5586e07.exe ou d'autres dont le nom est plus clair mais dont je vais voir la provenance sur un moteur de recherche avant d'accepter ou refuser.
D'ailleurs, quelle que soit la partition sur laquelle est installé Avast, ce pare-feu bloquera en fonction du nom du site ou du fichier que j'aurai bloqué lors d'un précédent essai de connexion de celui-ci.

Toujours est-il que, sur mon ordi, c'est la seule solution que j'ai trouvée. Alors je ne chercherai pas plus loin, les développeurs d'Avast trouveront sûrement une solution vu le nombre de ceux pour qui la version 9 pose un problème, sur différents types de Windows.

Pour jefferson santiag :
Je n'ai plus de virus, éradiqués lors d'un précédent scan au démarrage, ni de rootkit (non vus par Malwarebytes-anti-rootkit mais vus par RogueKiller). Et, quelle que soit l'autre éventuelle cause, en installant la version 9 de Avast sur le dossier proposé en C:, ça marche.

Merci encore d'avoir pris ma question en considération.
À bientôt,
A.M.

alain17610

  • Guest
Re: Vous n'êtes plus protégé... ! !
« Reply #24 on: May 01, 2014, 02:15:50 PM »
Bonjour à tous,

Enfin, c'est RÉSOLU !  :P

Ce qui a attiré mon attention sur la cause possible était que, avec firefox, les téléchargements des fichiers pdf (pas les autres) ne se faisaient que dans un dossier de C: mais pas dans un dossier de D:
Ça bloquait le navigateur, laissait le téléchargement en cours, empêchait l'arrêt, même avec le gestionnaire de tâches.

Il semblait que les liens nécessaires entre partitions n'existaient pas.

C: était en FAT32 et les autres partitions en NTFS.

Depuis que j'ai passé C: en NTFS, ça fonctionne correctement, aussi bien AVAST installé dans un sous-dossier de D: que mes télé-chargements de pdf.

Je vais passer le lien de cette réponse sur la page en anglais.
C'est peut-être la même cause chez quelques-uns de ceux en panne d'Avast.

À bientôt,
A.M.