Antivir ne scanne plus jusqu'au bout

[ivy]

Bonjour.

 

J'ai mis un précédent message dans « analyse rapport HJT » à propos d'un pb avira -> ici. Je n'ai pas eu de réponse, ça ne doit donc pas être un pb de sécurité, mais un problème logiciel.

depuis quelques jours, antivir ne termine plus les scans. Il s'arrête sur la ligne : C:\Windows\Microsoft.NET\...\Microsoft.DirectX.Direct3DX.dll

et tout plante.

Au début du scan, il saute de 20 directement à 60%, comme s'il « oubliait » plein de fichiers.

 

J'ai essayé avec les droits administrateur, en mode sans échec, j'ai fait une « mise à jour produit », mais rien n'y fait, ça s'arrête toujours à 65%.

 

OS : vista édition familiale premium, à jour, Avira, édition de base, à jour. J'ai le pare-feu de windows (*pas* zone alarm).

 

Quelqu'un a une idée ?

 

Merci pour votre aide

[galimatias]

Bonsoir,

 

C'est pas vraiment une idée mais c'est certainement ce que je ferai :

je téléchargerai une version up to date

 

je le désinstallerai proprement (avec REVO)

 

et après un Reboot à froid (autant s'offrir ce luxe) je réinstallerais cette version téléchargée.

 

après le constat de l'inanité de mes premiers efforts,

je me poserai les questions du pourquoi ne veux t il plus tourner correctement.

 

et un p'tit effort de mémoire sur ce que j'ai fait pour traumatiser Windows ces dernières heures/derniers jours

 

Un p'tit d'oeil avec Process Explorer pour essayer de voir l'intrus

un regard aux événements

 

Et quelques données complémentaires descriptives du problème

je reviendrai ici

Je viens de lire sur le forum que l'origine de ce problème pourrait être un effet de bord entre ZA et Antivir : es tu dans cette configuration ?

Non, essaye le sans ton Firewall.

Qu'en penses tu ?

Modifié le 27 mai 2008 par galimatias

[ivy]

bonjour.

 

nouveau scan sans le firewall, qui, comme spécifié au-dessus *N'EST PAS* zone alarm, mais celui de windows.

ça se bloque toujours sur : C:\Windows\Microsoft.NET\...\Microsoft.DirectX.Direct3DX.dll

c'est quoi cette dll ? j'en ai vraiment besoin ?

 

après le constat de l'inanité de mes premiers efforts,

je me poserai les questions du pourquoi ne veux t il plus tourner correctement.

ça fait une semaine que je me pose ces questions, c'est bien pour ça que je viens chercher de l'aide ici

 

et un p'tit effort de mémoire sur ce que j'ai fait pour traumatiser Windows ces dernières heures/derniers jours

on a viré des restes de norton via HJT avec l'aide d'un membre du forum sécurité de zébulon (encore merci ).

j'ai viré thegimpshop via total uninstall pour installer photofiltre, via total uninstall.

euh, je ne vois que ça. qu'est-ce que j'aurais pu faire pour traumatiser windows ???

(au passage : cet ordi sert un peu pour open office et va sur le net, uniquement via sandboxie, on télécharge uniquement des fichiers pdf, jamais de film, ni de musique, ni de jeux. tous les logiciels ont été installés à la mise en route, il y a seulement deux mois, depuis 01, zébulon, ou les sites des éditeurs).

 

Un p'tit d'oeil avec Process Explorer

merci de m'indiquer comment faire pour te montrer tout ce qui tourne sur l'ordi. pour que tu me dises ce qui va ou non. les copiés-collés depuis le gestionnaire des tâches ne fonctionnent pas.

 

 

pour essayer de voir l'intrus

de quel intrus parles-tu ?

 

j'ai posté un log hijackthis, il y a près d'une semaine, dans le forum ad hoc, personne ne l'a relevé.

 

 

Et quelques données complémentaires descriptives du problème

euh, je crois que j'ai tout décrit, je ne vois pas ce que je peux ajouter. je répète donc :

- scan s'arrête à environ 65%

- sur la ligne : C:\Windows\Microsoft.NET\...\Microsoft.DirectX.Direct3DX.dll

- tout plante

- lors du scan, il passe directement de 20 à 60%

- les mises à jour s'effectuent parfaitement.

merci de m'indiquer quelle est l'info que j'essayerais de taire et qui pourrait résoudre le problème.

[galimatias]

Bonjour,

 

Je ne vois que deux axes

 

le premier est le conflit entre deux applicatifs : mais lequel ?

 

essaye de ne pas lancer ou bien de les killer avec un ProcessExplorer

le framework (si il y a lieu !),

ATnotes.exe,

HP Health Check\hphc_service.exe,

 

 

A propos de « Microsoft.DirectX.Direct3DX.dll » voir : http://www.thezbuffer.com/articles/386.aspx

 

- Et de vérifier le paramétrage d’Antivir (mais je te soupçonne de ne pas avoir attendu cette suggestion pour l’avoir déjà mise en œuvre )

 

- et Ton observateur d’événement ne te donne rien pas N° id ?

 

- Et puis au passage de Speedfan sur l'onglet SMART : tout est ok sur le disque scanné par Antivir?

Cordialement

Modifié le 28 mai 2008 par galimatias

[ivy]

salut, merci pour la réponse

 

j'ai un peu de mal à m'en sortir ^^

 

 

le premier est le conflit entre deux applicatifs : mais lequel ?

 

essaye de ne pas lancer ou bien de les killer avec un ProcessExplorer

le framework (si il y a lieu !),

ATnotes.exe,

HP Health Check\hphc_service.exe

j'ai viré ATnotes, ça ne scanne toujours pas jusqu'au bout.

je ne trouve pas le framework ni hp health check dans process explorer...

je mets une copie de ce que je trouve :

 

Process PID CPU Description Company Name

System Idle Process 0 97.73

Interrupts n/a Hardware Interrupts

DPCs n/a Deferred Procedure Calls

System 4

smss.exe 388

csrss.exe 460

wininit.exe 508

services.exe 556

svchost.exe 764

igfxsrvc.exe 2620 igfxsrvc Module Intel Corporation

unsecapp.exe 3628 Sink to receive asynchronous callbacks for WMI client application Microsoft Corporation

WmiPrvSE.exe 3692

svchost.exe 820

svchost.exe 856

svchost.exe 960

audiodg.exe 1116

svchost.exe 1040 0.76

dwm.exe 320 0.76 Gestionnaire de fenêtres du Bureau Microsoft Corporation

svchost.exe 1060

taskeng.exe 264 Moteur du Planificateur de tâches Microsoft Corporation

taskeng.exe 3312

taskeng.exe 1000

SLsvc.exe 1148

svchost.exe 1200

svchost.exe 1384

spoolsv.exe 1620

avguard.exe 1644

svchost.exe 1656

sched.exe 2040

IAANTmon.exe 804

svchost.exe 2192

RichVideo.exe 2240

SbieSvc.exe 2284

svchost.exe 2316

svchost.exe 2376

SearchIndexer.exe 2456

XAudio.exe 2664

hpqWmiEx.exe 2700

HPHC_Service.exe 948

TrustedInstaller.exe 3496

lsass.exe 568

lsm.exe 576

csrss.exe 520

winlogon.exe 656

IAAnotif.exe 1536 Event Monitor User Notification Tool Intel Corporation

QPService.exe 1696 HP QuickPlay Resident Program CyberLink Corp.

MSASCui.exe 412 Windows Defender User Interface Microsoft Corporation

hpwuSchd2.exe 2072 hpwuSchd Application Hewlett-Packard

avgnt.exe 2180 Antivirus System Tray Tool Avira GmbH

igfxtray.exe 2296 igfxTray Module Intel Corporation

hkcmd.exe 2364 hkcmd Module Intel Corporation

igfxpers.exe 2388 persistence Module Intel Corporation

jusched.exe 2396 Java Platform SE binary Sun Microsystems, Inc.

UnlockerAssistant.exe 2480

sidebar.exe 2680 Volet Windows Microsoft Corporation

sidebar.exe 3772 Volet Windows Microsoft Corporation

SbieCtrl.exe 2776 Sandboxie Control tzuk

soffice.exe 3508 OpenOffice.org 2.4 OpenOffice.org

soffice.bin 3548 OpenOffice.org 2.4 OpenOffice.org

firefox.exe 1936 Firefox Mozilla Corporation

SandboxieRpcSs.exe 2828 Sandboxie COM Services (RPC) tzuk

SandboxieDcomLaunch.exe 996 Sandboxie COM Services (DCOM) tzuk

explorer.exe 3112 Explorateur Windows Microsoft Corporation

hh.exe 896 Exécutable de l'aide HTML Microsoft® Microsoft Corporation

procexp.exe 1976 0.76 Sysinternals Process Explorer Sysinternals - www.sysinternals.com

 

 

 

 

 

A propos de « Microsoft.DirectX.Direct3DX.dll » voir : http://www.thezbuffer.com/articles/386.aspx

ok, j'ai lu, je pense comprendre les mots, mais je ne sais pas si je peux supprimer cette dll ou pas

 

 

- Et de vérifier le paramétrage d’Antivir (mais je te soupçonne de ne pas avoir attendu cette suggestion pour l’avoir déjà mise en œuvre )

hihi, oui, le tuto de malekal est mon livre de chevet

j'ai quand même vérifié pour voir s'il y avait eu une modification (normalement, elle est protégée) : rien à signaler.

 

 

- et Ton observateur d’événement ne te donne rien pas N° id ?

euh, hm, je ne suis pas sûre de comprendre ^^. je vois des ID de processus, mais je ne sais pas à quoi ça correspond ^^

 

 

- Et puis au passage de Speedfan sur l'onglet SMART : tout est ok sur le disque scanné par Antivir?

pardon, je ne comprends pas du tout la phrase... je dois faire quoi en clair ?

 

j'ai essayé une restauration système, trois semaines en arrière, ça n'a pas fait de différence.

j'ai de nouveau essayé de scanner en MSE, ça bloque toujours. en fait, c'est ça que je ne pige pas : en MSE, je n'ai que les services indispensables, ça signifie qu'un des services indispensables à windows entre en conflit avec antivir, tout à coup ???

 

bref, je suis un peu perdue...

 

merci pour ton aide en tout cas

[galimatias]

Moi, celui ci je le tuerais bien un coup pour voir :

HPHC_Service.exe 948 et éventuellement ses ascendants/ descendants

HP Health Check service, comes with HP laptops from factory and is not needed to run the system better.

 

La dll est de directX, tu peux toujours la tuer (ou bien mieux la déplacer ...) au pire il te faudra réinstaller DirectX

(je crois qu'il y a sur le site de Zeb un package DirectX9 à télécharger après une désinstallation propre avec REVO et non un truc de sauvage...) Mais je n'y crois pas trop mais ...

 

Dans ton Observateur d'évènements tu as des noms de processus et des id avec le nom. Avec ça tu peux rechercher avec Google ou bien avec téléscope (métamoteur) et obtenir quelques informations te permettant de prendre position.

Entre deux de tes visites quels sont les évènements nouveaux ?

 

Speedfan te donne les températures et sur son onglet SMART, si ton HD, y apparait il y aura alors une description avec qualification du degré de gravité éventuelle des problèmes rencontrés : c'est frustre mais on peut commencer par ça (je crois) pour chercher une piste.

 

Dans les pistes à explorer encore, ça ne te dirais pas,

si tu as bien voulu attendre ma suggestion )

(je te soupçonne d'être encore en avance !)

un coup de defrag contig (de sysinternals)

un p'tit coup de Kaspersky on line ?

un p'tit coup de CCleaner fichier puis BdR

et toujours le tout avec modération .

 

Dernière chose : bonne chance !

Modifié le 29 mai 2008 par galimatias

[galimatias]

Argg

 

ne serais tu point dans la situation où l'antivirus de Windows tournerait concurremment à ANTIVIR ???

 

MSASCui.exe

 

Windows Defender

 

Programme de détection de malware de microsoft

 

Tue le !

[ivy]

encore merci pour la réponse

 

pas grand chose de neuf, malheureusement.

 

Moi, celui ci je le tuerais bien un coup pour voir :

HPHC_Service.exe 948 et éventuellement ses ascendants/ descendants

HP Health Check service, comes with HP laptops from factory and is not needed to run the system better.

Argg

 

ne serais tu point dans la situation où l'antivirus de Windows tournerait concurremment à ANTIVIR ???

 

MSASCui.exe

 

Windows Defender

 

Programme de détection de malware de microsoft

 

Tue le !

- je ne peux pas tuer HPHC, même en administrateur. il se rallume trois secondes plus tard. je peux juste le suspendre, ce que j'ai fait.

- MSASCui.exe, je peux le killer sans problème sauf que mon scan antivir s'arrête toujours au même endroit : ça ne change rien, que ce soit avec ou sans MSASCui.exe

 

Entre deux de tes visites quels sont les évènements nouveaux ?

aucun, tout reste très stable dans process explorer, se passe pas grand chose.

 

Speedfan te donne les températures et sur son onglet SMART, si ton HD, y apparait il y aura alors une description avec qualification du degré de gravité éventuelle des problèmes rencontrés : c'est frustre mais on peut commencer par ça (je crois) pour chercher une piste.

speedfan me dit que tout va bien (je pense) :

 

Almost every EIDE or SATA hard disk includes S.M.A.R.T. data. That information is collected by the drive itself and contains data that the manufacturer considered relevant to check reliability. The data is made up of several attributes that have a current value, a worst one, a threshold, some raw data, and some flags. Basically, when any attribute's current value is below its threshold, the hard disk is considered unreliable and likely to fail. By using several techniques, this report tries to give a wider range of info, basing its analysis on advanced comparisons with normal values based on real hard disks and on expert-like checks. The final results are not to be taken as an absolute truth, but they are a very good approach to what a professional would say about your hard disk status.

Your hard disk is a SAMSUNG HM160HI with firmware HH100-10.

The average temperature for this hard disk is 37C (MIN=25C MAX=51C) and yours is 37C.

Your hard disk's S.M.A.R.T. attributes are now being analyzed and a full report about the reliability, health and status of your hard disk is generated:

Your hard disk is not below any attribute threshold. This is good.

Your hard disk was never below any attribute threshold. This is good.

Your hard disk is now being compared to real data used to define normal values for your specific hard disk model. This way, the analysis can automatically use proper operating ranges. The images give you an idea of how each attribute is within such range. Current and raw values are shown for easier reference for experienced users. There are 2048 hard disk models in the current archive.

 

 

Attribute

 

Current

 

Raw

 

Overall

 

 

Raw Read Error Rate

 

100

 

95

 

Very good

 

 

Spin Up Time

 

252

 

1937

 

Very good

 

 

Start/Stop Count

 

99

 

1407

 

Very good

 

 

Reallocated Sector Count

 

252

 

0

 

Very good

 

 

Seek Error Rate

 

252

 

0

 

Very good

 

 

Seek Time Performance

 

252

 

0

 

Very good

 

 

Power On Hours Count

 

99

 

614

 

Normal

 

 

Spin Retry Count

 

100

 

2

 

Normal

 

 

Calibration Retry Count

 

100

 

66

 

Very good

 

 

Power Cycle Count

 

100

 

523

 

Very good

 

 

Unknown attribute 184

 

252

 

0

 

Very good

 

 

Unknown attribute 187

 

100

 

148

 

Normal

 

 

Unknown attribute 188

 

252

 

0

 

Very good

 

 

Unknown attribute 190

 

63

 

50 14 37

 

Very good

 

 

GSense Error Rate

 

99

 

13381

 

Very good

 

 

Power Off Retract Count

 

100

 

26

 

Very good

 

 

Load Cycle Count

 

99

 

16082

 

Very good

 

 

Hardware ECC Recovered

 

100

 

2328

 

Very good

 

 

Reallocated Event Count

 

252

 

0

 

Very good

 

 

Current Pending Sector

 

100

 

1

 

Normal

 

 

Offline Uncorrectable Sector Count

 

252

 

0

 

Very good

 

 

Ultra DMA CRC Error Rate

 

200

 

0

 

Normal

 

 

Write Error Rate

 

100

 

0

 

Normal

 

 

Soft Read Error Rate

 

252

 

0

 

Very good

 

All of the attributes of your hard disk have normal values. This is good.

 

NOTE : your hard disk has 1 pending sectors. Those are sectors that couldn't be properly read and that the hard disk logic is waiting for a write operation to try to remap to a spare sector (if available). According to the Reallocated Sector Count attribute, your hard disk seems to have available spare sectors. A simple disk surface scan won't be enough to force the remap operation. You need a read/write surface scan to remap the sector. The best option should be a tool that knows about what should be read from that sector so that it has some option to apply the best fix to the missing data.

 

The overall fitness for this drive is 90%.

The overall performance for this drive is 90%.

The link to get back and see a new report about this hard disk in the future is this. Consider that new hard disks and new checks are added over time.

 

 

Dans les pistes à explorer encore, ça ne te dirais pas,

si tu as bien voulu attendre ma suggestion )

(je te soupçonne d'être encore en avance !)

un coup de defrag contig (de sysinternals)

un p'tit coup de Kaspersky on line ?

un p'tit coup de CCleaner fichier puis BdR

et toujours le tout avec modération .

non non, je ne suis pas du tout en avance

- defrag contig, j'ai pas osé télécharger, j'ai peur de ne pas savoir l'utiliser (lignes de commande qu'ils disent !)

- je CCleane et défragmente au moins une fois par semaine. dans la BdR, je dois faire quoi ? (j'y connais rien !)

- kaspersky en ligne : veut pas avec vista...

 

euh... voilà

merci

[galimatias]

pour contig http://technet.microsoft.com/en-us/sysinte...s/bb897428.aspx

Power Defragmenter GUI est une interface graphique spécialement créée pour utiliser Contig, le génial et non moins puissant outil de défragmentation de Sysinternals. Utilisant les API de Windows, Contig va droit au but. Svelt, sans fioriture et rapide ; merci Mark Russinovich. Oh, et les deux sont freeware.

Commencez par rapatrier Contig et Power Defragmenter GUI. Décompréssez les deux archives dans un même dossier et ouvrez Power Defragmenter GUI.exe.

 

Avec CCleaner /registre tu cherches les erreurs et avant la correction tu sauvegarde les clefs retirées. !

 

Mais peux tu aller dans le centre sécurité et regarder quel antivirus y est activé?

Et si c'est celui de Windows : de l'arrêter !

 

Le roman de speedfan ne donne rien ce me semble, en lecture rapide.

 

Donc de tout ceci, il reste la liste des processus qu'il convient d'identifier un à un.

Ton observation de l'existence de" ton PB même en mode sans échec devrait quand même permettre de converger rapidement vers ce qui est en conflit .

C'est la seule chose que je vois à faire (ici et maintenant) si la manip sur le centre de sécurité ne donne rien.

 

 

Etudiez les erreurs des journaux de l'observateur d'évènements :

 

http://fspsa.free.fr/eventid.htm

 

 

Cordialement et bon courage

Modifié le 31 mai 2008 par galimatias

[galimatias]

Rebonsoir

sur Zébulon on peu lire :

 

C'est malheureusement un bug connu : une mauvaise interaction entre Antivir et un autre programme. As-tu ZoneAlarm comme pare-feu? C'est probablement lui le coupable (ou peut etre une surcouche d'antiviurs avec un Kaspersky?).

 

En tout cas rien de bien grave, il te suffit d'ignorer (dans les propriétés de ton Antivir) le scan sur le fichier où s'arrête le scan

Inutile de désinstaller quoique ce soit. Par contre, toujours vérifier que l'on possède la dernière version du logiciel, quel qu'il soit (la mise ajour de la base données virale, chaque jour, n'est PAS la mise a jour du logiciel)

 

Tu trouveras ici des informations plus complètes, mais en anglais, sur le forum d'Avira, le créateur d'Antivir :

http://forum.avira.com/wbb/index.php?page=...5788#post345788

 

 

Merci Chano, tu avais raison, c'était effectivement ça.

Tout marche tout à fait normalement et j'ai pu faire un scan

....

Donc tu paramètres ton antivir de sorte qu'il ne scan plus le fichier où il bug.

Ceci dit vérifies ton paramétrage, c'est quand même pas sain le saut quantique d'Antivir !

 

Il reste que même si le problème est contourné il est toujours là, quand tu auras acquis l'assurance qu'il n'y a pas de reste d'un anvirus précédent qui bloque il faudrait essayer de comprendre et identifier le conflit.

 

Bonne soirée