Analyse Windows Defender hors ligne ne fonctionne pas

[Netcom_jll]

Bonsoir,

J'ai essayé de lancer à plusieurs reprises une analyse hors ligne sans succès :
L'ordinateur redémarre puis signale le lancement de windows defender hors ligne, puis 3 secondes après redémarre à nouveau en mode normal.
J'ai utilisé l'outil FRST. Cela a donné les trois fichiers accessibles depuis les adresses :

https://pjjoint.malekal.com/files.php?i ... 5f7t8x7c12
https://pjjoint.malekal.com/files.php?i ... 6q12j8y9x6
https://pjjoint.malekal.com/files.php?i ... 6t14g10x13

Quelqu'un peut il me dire ce qui ne vas pas ?

Merci

[Malekal_morte]

Salut,

Tu entends quoi par hors ligne ?

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
Java
Nero
Panda Cloud Cleaner
RegHunter
SpyHunter
VirusKeeper

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!

[Netcom_jll]

Bonjour,
Merci pour les conseils.

Pour ce qui est de windows defender hors ligne, c'est une option de windows 10
Je suppose que windows doit redémarrer en mode sans échec en effectuant une analyse durant la séquence de démarrage.
Pb : ça ne marche pas. Bizarre ?

Defender hors ligne.jpg

[Parisien_entraide]

Bonjour,

Mais quel est le but de ton analyse ?

Si Windows Defender ne détecte aucune menace en analyse rapide et/ou complète, tu n'as pas besoin de lancer une analyse hors-ligne qui est destinée à éradiquer des éléments récalcitrants.

Même si https://docs.microsoft.com/fr-fr/window ... er-offline (qui n'est pas clair je le conçois)


Ensuite et à savoir : Windows n'affiche, après le scan, que l'historique des menaces et non celui des analyses

Si Windows Defender n'a détecté aucune menace, le scan hors ligne ne dira rien, ne fera rien et relancera le PC à l'issue (et parfois en indiquant une jauge à 50%) comme si il n'avait pas fini le scan

[Netcom_jll]

Bonjour,

Merci pour la réponse, cependant, et si j'en avais besoin ?
Par exemple demain, je ferais comment alors ?
J'aimerais tout de même savoir pourquoi cela ne fonctionne pas.

Bonne soirée

[Parisien_entraide]

Bonjour,

Visiblement tu n'as pas lu...

Je te remets la ligne en rouge

[Netcom_jll]

Bonjour,
Merci pour la réponse. Je comprend que windows defender est capable de détecter les virus et qu'il n'y a pas besoin de l'analyse hors ligne pour cela.
Cependant le scan hors ligne est utile pour éradiquer des éléments récalcitrants qui auraient été détectés auparavant..

Que ce passe t'il lorsque je demande à Windows 10 d'effectuer une analyse hors ligne sur mon PC ?
- J'ai, avant de lancer l'analyse, un message m'avertissant que l'analyse hors ligne peut durer plus de 15 minutes.
- lorsque je lance l'analyse hors ligne, l'ordinateur redémarre et, très rapidement, une fenêtre apparaît qui m'indique que l'analyse hors ligne a débuté.
- moins de 2 secondes après l'apparition de cette fenêtre, l'ordinateur redémarre à nouveau tout à fait normalement (en ligne).

Il ne sert à rien de s'énerver et cela, en général, ne résout rien.
Quelqu'un pourrait me dire si il a constate le même comportement de windows 10 en demandant une analyse windows defender hors ligne ?
C'est peut être normal après tout, mais j'aimerais m'en assurer.
Merci pour vos réponses.
JL

[Parisien_entraide]

Visiblement il y a un soucis de compréhension

Qu'est ce que tu ne comprends pas dans la phrase :

"Si Windows Defender n'a détecté aucune menace, le scan hors ligne ne dira rien, ne fera rien et relancera le PC à l'issue (et parfois en indiquant une jauge à 50%) comme si il n'avait pas fini le scan" ?

Tu veux t'assurer de quoi ? Du fonctionnement normal d'un programme TEL QUE DECRIT PAR MICROSOFT dans sa documentation ?

Tu as la possibilité de faire une analyse Hors ligne de ton propre chef, mais si il n'y a RIEN il ne se passera RIEN

Le fonctionnement NORMAL de l'application est suggéré par Windows Defender LUI MEME,

Extrait :

"si Windows Defender détermine que Windows Defender hors ligne doit être exécuté, il invite l’utilisateur sur le point de terminaison à effectuer cette opération."

autre cas :
"Le besoin d’effectuer une analyse hors connexion est également affiché dans le gestionnaire de configuration de point de terminaison Microsoft si vous l’utilisez pour gérer vos points de terminaison."

Le fait qu'il indique que cela durera 15 minutes c est une phrase générique et qui n 'est qu'indicative
Tu as la même chose avec un CHKDSK


Ce qui n 'empêche pas comme nombre d'outils Microsoft de lancer le programme en dehors du mode de fonctionnement défini

Là c'est comme si WIndows lançait une défragmentation parce que programmée, et que toi ensuite tu veuilles faire la même chose juste après et que tu ne comprennes pas que l'outil indique qu'il n'y pas besoin de défragmenter (et en plus il ne se lancera pas)

[Netcom_jll]

Réponse finale à la question :
J'ai lancé une analyse avec Malwarebyte et il a trouvé une PUM.
C'était une modification d'une clé registre qui désactivais l'utilisation de Windows Defender Hors ligne.
Malwarebyte a rétabli la valeur par défaut de cette clé registre et j'ai pu lancer une analyse Windows Defender Hors ligne qui s'est déroulée en apparence normalement même si aucun malware n'a été découvert. C'était peut être les restes d'une précédente infection que j'ai eu il y a plusieurs mois.
Voila, en espérant que cette discussion puisse, sinon être utile, éclairer d'autres utilisateurs.

Si quelqu'un a une suggestion a me faire, suite à cette découverte, je suis preneur.
Sinon je pense avoir maintenant la réponse à la question que je me posais, ce qui pour moi clos le sujet.
Bonne journée à tous et merci à ceux qui ont répondu à ma question.
JL

[Parisien_entraide]

Il est quand même étonnant que vu tout ce qui était installé lors de ton analyse FRST (dont MBAM) ne soit jamais apparu ce PUM (qui n'est pas obligatoirement une infection mais du fait d'un programme installé)

Il faut se rappeler que l'installation d'un AV tiers DESACTIVE la protection Microsoft, donc modifie des clés de registre

Sont ou étaient installés sur ton PC :

AV: Total AV (Enabled - Up to date) {B185458D-38B3-A010-10F7-3D378DAA6032}
AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Disabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Panda Dome (Enabled - Up to date) {7425ED3D-720F-1F3F-3E50-4C1ACD76499D}

sans compter les RegHunter, SpyHunter;VirusKeeper

Là en rétablissant une clé de registre qui n'avait pas lieu d'être, tu as sans doute modifié le fonctionnement des protections installées
Le lancement de Windows Defender Hors ligne s'effectuait auparavant mais ne se poursuivait pas pour X raison dont celles déjà évoquées
Là le lancement de Windows Defender Hors ligne s'effectue MAIS se poursuit alors qu''il ne devrait pas

Tu as le log de MBAM ?

[Netcom_jll]

OK c'est peut être cela l'explication et non un reste d'infection.
J'ai déjà re-désinstallé Malwarebyte. Le log est il toujours accessible ?

Depuis que j'ai posté les 3 fichiers, j'ai suivi les recommandations données par Malekal_morte en réponse à mon premier message.
Avant la réinstallation aujourd'hui de Malwarebyte dont l'analyse a trouvé le PUM, J'avais désinstallé Panda Cloud Cleaner, VirusKeeper, RegHunter et Spy-Hunter5 : il n'aurait dû rester que Windows defender.

Explications : J'ai testé pas mal d'antivirus pour me faire une opinion ayant eu une infection il y a quelques mois.
J'ai commis l'erreur d'en utiliser plusieurs en même temps en plus de Windows defender.
Cependant, j'avais désinstallé tour à tour Total AV, Malwarebytes, Avast, Panda Dome, Bitdefender, Avira et AVG.

Ce que je ne m'explique pas, c'est pourquoi Total AV en particulier apparaît encore comme (Enable -Up to date) alors qu'il a été désinstallé il y a déjà plusieurs semaines.

[Parisien_entraide]

Il est possible que le fait de la multiplication des AV en soit la cause, mais il est possible aussi que le désinstalleur de TOTAL AV soit mal foutu et laisse en place des fichiers orphelins et clés de registre et/ou ne remette pas l'AV de microsoft en place

Est ce que tu pourrais reposter un rapports FRST puisque tu as fais du nettoyage depuis que je puisse voir les changements intervenus ?
Je doute d'un fix pour cela mais il reste d'autres approches pour nettoyer (je verrais cela demain sauf si malekak s'y penche avant)

[Netcom_jll]

OK, je ferai ça demain.
J'avais une sauvegarde récente de Windows 10 que j'ai rechargée et j'ai recommencé la manip avec MBAM.
voila, les mêmes causes produisant les mêmes effets ... j'ai les résultats de l'analyse MBAM :

MBAM_résultat.jpg

CR de l'analyse :
Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 15/05/2020
Heure de l'analyse: 01:10
Fichier journal: 2bd7d9a4-9638-11ea-832f-0c5415a22b27.json

-Informations du logiciel-
Version: 4.1.0.56
Version de composants: 1.0.896
Version de pack de mise à jour: 1.0.23838
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10 (Build 18362.836)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: CABERNET\JLL

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 553302
Menaces détectées: 9
Menaces mises en quarantaine: 9
Temps écoulé: 10 min, 21 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 2
PUP.Optional.TotalAV, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\TotalAV_RASAPI32, En quarantaine, 1670, 795108, 1.0.23838, , ame,
PUP.Optional.TotalAV, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\TRACING\TotalAV_RASMANCS, En quarantaine, 1670, 795108, 1.0.23838, , ame,

Valeur du registre: 1
PUM.Optional.DisallowRun, HKU\S-1-5-21-3256080869-3597777073-3117349121-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\DISALLOWRUN|3, En quarantaine, 6236, 250851, 1.0.23838, , ame,

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 2
PUP.Optional.TotalAV, C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\TotalAV\5.0.0, En quarantaine, 1670, 795099, , , ,
PUP.Optional.TotalAV, C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\TOTALAV, En quarantaine, 1670, 795099, 1.0.23838, , ame,

Fichier: 4
PUP.Optional.TotalAV, C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\TotalAV\5.0.0\avira32redist.zip, En quarantaine, 1670, 795099, , , ,
PUP.Optional.TotalAV, C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\TotalAV\vdf_1582841317.zip, En quarantaine, 1670, 795099, , , ,
PUP.Optional.TotalAV, C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\TotalAV\vdf_1584822594.zip, En quarantaine, 1670, 795099, , , ,
PUP.Optional.TotalAV, C:\USERS\ADMINISTRATEUR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTALAV.LNK, En quarantaine, 1670, 795103, 1.0.23838, , ame,

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)


(end)

Et Voici ce qu'en dit Malwarebyte

PUM-Optinal-DisallowRun.jpg

Les 9 éléments ont été mis en quarantaine.

[Parisien_entraide]

J'ai dormi et j'y vois plus clair :-)

Déjà, pour TOTALAV lis bien cela : https://www.malekal.com/antivirus-total ... sentation/
Ce qui est (relativement) amusant c'est que d'après la capture image, derrière ils ont collé de l'AVIRA 32 bits

Je suppose que tu t'es fais avoir avec un comparatif de ce genre ou une recherche google

2020-05-15_043759.jpg

Si tu l'as encore, il est possible de le virer complètement et proprement (fichier orphelin et clés de registre) avec Revo Uninstaller ou Geek Uninstaller (en version gratuites)

https://www.malekal.com/revo-uninstalle ... acilement/
ou
https://www.malekal.com/geek-uninstalle ... s-windows/


Ensuite pour remettre les fonctions de Defender (il y a des fichiers .reg prêts à l'emploi suivant les cas de figure)


https://www.malekal.com/impossible-dact ... -defender/


et pour affiner

viewtopic.php?f=36&t=65877

[Netcom_jll]

OK
En effet, c'est bien cela.
Merci pour les infos.
JL