Bouclier web de avast ? (ashwebsv.exe)

[CDavid2005]

Bonjour à tous,

Voilà mon problème :

Avec l'anti-virus Avast, je détecte par moment une activité importante de son module ashwebsv.exe (bouclier WEB) pouvant aller jusqu'à 50 à 60 % du taux d'occupation processeur en même temps que celui de mon pare-feu (Ashampoo Firewall). Ce qui fait que mon pare-feu occupe les 40 à 50 % restant du taux d'occupation du processeur. Donc, du coup, j'ai la totalité du temps processeur occupé par mon pare-feu et ce module d'Avast. Quand je désactive le module d'Avast puis le ré-active l'instant d'aprés je constate que tout redeviens normal avec un taux libre du processeur variant entre 3 et 15%.

Je vais maintenant lister les opérations que j'ai effectué :

- j'ai vérifié mon pc afin de détecter un éventuel problème d'infections diverses avec SpyBot (résident
de SpyBot actif), Spyware Doctor (résident actif), AVG Anti-Spyware (résident actif) et Avast 4.8
- j'ai vérifier les paramètres de mon pare-feu (Ashampoo Firewall - celui de Windows étant bien sûr désactivé)
- j'ai vérifié le mappage des ports de mon modem (neuf box)
- j'ai analysé mes processus au démarrage avec Process Explorer
- j'ai analysé mon log HijackThis
- j'ai vérifié mes paramètres de connexions d'Avast (mises à jour auto, ports utilisés)
- j'ai fait le ménage avec CCleaner, Regseeker et MagicTweak

Je n'ai trouvé rien d'anormal si ce n'est le fait que le démarrage de l'ordinateur s'est extrèmement rallongé (environ 3 minutes de plus) depuis la mise à jour d'Avast 4.7 vers la 4.8 sur laquelle j'ai un doute.

Est-ce déjà arrivé à quelqu'un d'autre que moi ? N'ayant pas trés envie de changer d'anti-virus, quelles solutions me proposeriez-vous ?

S'il le faut, je peux afficher le rapport d'HijackThis et de Process Explorer....

Merci pour votre aide.

PS: j'utilise le navigateur FireFox
PPS: avavnt la mise à jour d'Avast, je n'avais jamais eu ce problème (ni même de ralentissement au démarrage).
-----

[CDavid2005]

Re-Salut,

J'ai remarqué que le défaut se faisait ressentir sur deux PC différent (ou même 2 install de XP différentes sur le même PC) avec les mêmes programmes... ce qui écarte donc tout problèmes matériels ou de mise à jour qui foirent. Que ce soit l'occupation processeur ou le ralentissement au démarrage....

Par ailleur, j'ai essayé la solution consistant à ré-installer Avast dans sa version précédente. J'arrive aux mêmes résultats : dans la version précédente, pas de problèmes mais aprés la mise à jour, ça recommence à déconner. Et ce, dans les 3 cas : sur 2 install diférentes de XP sur un PC et sur un autre PC.

A noter que j'utilise les mêmes programmes, à savoir : Ashampoo Firewall comme pare-feu, Spyware Doctor et AVG Anti-Spyware comme protection résidente.

Je vais aussi essayer soit de désactiver totalement le pare-feu, soit d'utiliser un autre pare-feu (solution préféré que de remplacer Avast).

Dans le cas ou je changerais de pare-feu, quel est votre avis sur les meilleurs gratuits ? Avant j'utilisais McAfee Personnal Firewall en version AOL qui me semblait pas trop mal mais n'était plus mis à jour....

Merci pour vos réponses...

[yoda1234]

Je vais aussi essayer soit de désactiver totalement le pare-feu, soit d'utiliser un autre pare-feu.

Dans le cas ou je changerais de pare-feu, quel est votre avis sur les meilleurs gratuits ? Avant j'utilisais McAfee Personnal Firewall en version AOL qui me semblait pas trop mal mais n'était plus mis à jour....

Bonjour,

un test sur les différents pare-feux: http://www.matousec.com/projects/fir...ge/results.php

(solution préféré que de remplacer Avast).

Tu as dû le lire un certains nombre de fois ici, mais je me permet d'insister:

http://forum.malekal.com/ftopic3528.php
et 15 jours pour intégrer une infection très répandue:
http://forum.zebulon.fr/backdoorwin3...q-t123168.html
Pourquoi insister avec cet AV désormais dépassé?

[CDavid2005]

Merci pour les liens Yoda1234. J'avais trouvé entre temps ce lien sur les test de différents pare-feu et fut attiré par Commodo Firewall Pro que j'ai testé en gardant Avast. Conclusion : un problème sur deux de résolu, c'est à dire l'occupation processeur du pare-feu conjointement avec Avast. Par contre le démarrage est toujours aussi long...

Autre essai : j'ai remis Ashampoo Firewall avec Avira Antivir comme anti-virus (au revoir Avast... snif...). Conclusion : plus de longueur au démarrage.... enfin.

Le test en lien date de Mai 2007.... que j'avais aussi déjà vu...

Par contre le lien du forum Zebulon je ne l'avais pas vu .... et est intéressant malgrés les quelques mois passés entre-temps. Je vais donc continuer à utiliser Avira Antivir et le comparer avec Avast sur mon autre Install de XP (même PC) qui d'ailleurs ne subit aucun ralentissement au démarrage (???) et semble ralentir le processeur beaucoup moins de fois (???) malgrés l'utilisation conjointe avec Ashampoo Firewall.

Par ailleurs, je vais tout de même changer mon pare-feu et ré-installer Commodo Firewall conjointement avec Avira Antivir sur une install et garder le duo Ashampoo Firewall - Avast sur l'autre Install (toujours le même PC).

Conclusion : le problème n'est pas résolu mais contourné...

Je suspecte donc un conflit d'Avast avec un module Windows.

En tout cas, merci Yoda pour tes liens.

[A voir en vidéo sur Futura]

[kryok]

Salut

Par ailleurs, je vais tout de même changer mon pare-feu et ré-installer Commodo Firewall conjointement avec Avira Antivir sur une install

Sage décision, mais :

et garder le duo Ashampoo Firewall - Avast sur l'autre Install (toujours le même PC).

Conclusion : le problème n'est pas résolu mais contourné...

Je suspecte donc un conflit d'Avast avec un module Windows.

En tout cas, merci Yoda pour tes liens.

Pour paraphraser Yoda1234 sur Avast :
Pourquoi insister avec cet AV désormais dépassé? et qui n'a toujours pas été amélioré significativement depuis le test de Malekal;

alors qu'Antivir est disponible gratuitement?

@+

[CDavid2005]

Bonne question kryok....

Tout simplement par curiosité... Entre-temps j'ai voulu tester (aussi par curiosité) le pare-feu Online Armor qui me semblait pas trop mal. Conclusion : celui-ci double le temps de démmarrage (et même +) de l'ordinateur (de moins de 2 minutes il passe à 4 minutes 33)....

J'ai donc remis Commodo Firewall. Surprise : celui-ci me créa un conflit de connexion avec Online Armor que je venais juste de désinstaller... AAARRGG. Plus possible de se connecter si le pare-feu (Commodo Firewall) est actif. J'ai donc remis Ashampoo Firewall. Du coup, plus de problèmes....

Conclusion : sur l'install ou j'ai Ashampoo + Avast (encore problèmatique) je vire Avast 4.8 pour mettre soit, Avira Antivir, soit Avast 4.7.

En clair, je me prends la tête pour rien.... Je garde Avira Antivir et Ashampoo Firewall en attendant de trouver un autre pare-feu.

Merci des tuyaux....

[JPL]

Encore un programme qui se désinstalle de façon dégue.....sse

[Towl]

Comme tu as l'air de tester des applications, je te conseille de créer une machine virtuelle (vmware, virtualbox ...). C'est vraiment l'idéal pour ce genre de truc : tu crée ta machine virtuelle, tu fait un snapshot, t'installes et tu testes le logiciel. Et ensuite, tu fais un retour arriere sur ton snaphot et tu te retrouve avec un système d'exploitation tout propre. Plus besoin de se prendre la tête à désinstaller le bazar.

[CDavid2005]

C'est une idée assez intéressante Towl. Mais j'avais remarqué une différence de fonctionnement des applis entre un machine virtuel sous vmware et la config réelle. D'une part, mon matériel n'est pas gérer comme périphérique virtuel sous vmware et d'autre part les performances sont moindres...

Bien sur, tu vas me dire que tout dépend des applis testés, demandant ou non une importance aux limitations des machines virtuelles. Mais il est vrai que pour tester l'efficacité d'un pare-feu ou d'un anti-virus la config matérielle est peu importante...

A mon avis, vmware se préterait mieux à tester les applis que virtualbox ou virtualpc car plus rapide.

Mais je me pose quand même une question. La michine virtuelle, n'est-elle pas déjà protégé par le pare-feu et l'anti-virus de l'ordinateur hôte ? Si c'est le cas, devrais-je désactiver les protections de l'ordinateur hôte pour tester les protections de la machines virtuelle ? Ou dois-je mapper les périphériques virtuels des protections de l'ordinateur hôte pour ne pas devoir les désactiver ?

J'utilise actuellement vmware. Si quelqu'un a une idée elle est la bienvenue.

[Towl]

Hum, je n'ai jamais rencontré de différences de fonctionnement entre machines virtuelles et machine physique pour ma part (concernant le logiciels de sécurité).

Après je ne sais pas comment se comporte windows pour gérer ses machines virtuelles, mais il est probable qu'effectivement l'anti virus et le firewall interfèrent :s J'avais pas pensé à ce soucis, vu que moi j'ai un linux dessous, et que je peux lui spécifier de ne pas surveiller une interface réseau.

Après faut voir aussi ce que tu souhaites tester. Tant que ca reste des trucs basiques (interface, configurabilité, etc), je pense que ca ne pose pas de soucis d'avoir une autre protection en dessous.

Essaye de regarder si tu as un moyen de dire à ton firewall de ne pas surveiller l'interface réseau de vmware, peut etre que cela suffira, mais j'ai comme un doute. Sinon si tu as deux cartes réseaux, essaye de voir si vmware permet de "donner" la carte physique à la machine virtuelle et non à la machine phyisque. Xen le peut, mais je connais pas assez vmware pour savoir s'il le fait.

[CDavid2005]

En fait, vmware créé un périphérique d'interface ethernet virtuel en le rajoutant dans les périphériques Windows hôte possédant donc son propre masque de sous-réseau (192.168.1.x). Maintenant la question est de savoir si je peux indiquer à mon pare-feu de libérer totalement l'accés de ce périphérique à internet. J'avais idée de désactiver la surveillance des connexions LAN uniquement ou bien d'utiliser la fonction de masquage LAN en spécifiant l'adresse IP du périphérique virtuel. Cela pourrait peut-être fonctionner.

Sinon, j'utilise aussi Mandriva Linux 2008 sur lequel j'ai installé vmware player que je n'ai pas encore essayé. La question du masquage réseau ne se poserait donc plus.

Si je comprends bien Xen est un programme Linux. Sous quelle version de Linux es-tu Towl ? Est-ce qu'il est comparable à Vmware ? Saurais-tu s'il existe une version de Wmware workstation 5 en packetage RPM (existe en tar.gz) ? Est-ce que Xen permet la création de machine virtuelle (contrairement à vmware player) ?

[igor51]

Bonjour à tous,

je viens de lire tout la discussion. Très interressant comme test.

Donc je vais le reprendre dans le bonne ordre.

Avast dispose d'un "bouclier web" dont je n'ai jamais compris l'utilité, par contre, ce que je sais c'est que souvent, ce module rencontre des problèmes avec les Firewall comme Zone Alarm.


Tu fais différent test sur ton machine, mais rien que le fait d'installer, modifier des choses sur ton système rendent ses testes complétement différent, le fait que les applications se désinstallent n'importe comment peu rendre ton système complétement foireux. Donc je te conseille vivement de faire tous ses testes sous vm.

Tu n'as rien à modifier avec ta machine host au niveau du pare feu, on se sert de cela pour recupérer les nouvelles infections et ça marche très bien.

Vmware worstation est la version payant de vmware, mais les autres sont gratuits. Sous windows tu as virtualbox, VirtualPC, sous linux QEMU et bien d'autre. LEs testes que tu réaliseras seront tout à fait réaliste.

@Towl : as-tu déja essayé d'installer Xen, j'i lu deux trois truc dessus et il semble que ce soit assez sympathique pour le configurer ( sans compter que la recompilation du noyau dur assez longue ^^ )

Bonne journée

[Towl]

Pour ce qui est de vmware sous Windows, ce que je ne sais pas, c'est si les antivirus / firewall peuvent "débloquer" l'interface vmware et les flux passant de l'interface physique (ta carte réseau) à vmware. Si c'est possible, alors tant mieux ca simplifiera ta tache.

Sous linux, c'est assez simple de dire à iptables (en supposant que tu ais un firewall) de ne pas filtrer ce qui est à destination de ta machine virtuelles.
Ensuite, rien ne t'empeches de créer une image sous windows et de l'utiliser sous linux. Ou d'utiliser la version de vmware workstation pendant 30j. Sinon tu as virtualbox qui marche très bien, à condition de ne pas avoir besoin de l'usb, auquel cas il te faut prendre la version payante. Quand à Qemu, il est pas mal, mais faut aimer la ligne de commande. Si c'est juste pour des petits tests comme cela, je te conseille plutot virtualbox ou vmware.

Sinon je ne crois pas qu'il existe de rpm de vmware workstation, mais il s'installe très facilement. Il suffit de le décompresser et d'executer le fichier d'installation.


Pour Xen, il s'agit à l'origine de paravirtualisation et non de virtualisation. C'est à dire que les performances sont grandement améliorées, mais il faut un système d'exploitation modifié (d'ou la recompilation noyau mentionnée par igor51). Depuis la version 3 il permet de faire de la virtualisation classique si le processeur le supporte (à partir des AMD64x2 et Core2duo sur Intel de mémoire). Et dans ce cas la, la machine virtuelle n'a plus besoin d'etre modifiée (la machine hote si).
Il s'agit à mon sens du meilleur logiciel de virtualisation du marché, mais il est peut etre très frustre à utiliser (besoin de connaitre un minimum ton linux pour en profiter). C'est pour cela que je te le déconseille.

Pour ma version d'OS, ca dépend de l'humeur (et de ce que je fais). En gros ma configuration c'est :
- debian etch en systeme hote
- debian etch / debian sid / gentoo / red hat enterprise / windows 2000 / windows XP / Windows 2003 / windows Vista / windows 2008 (ca a du bon d'avoir acces au MSDN pour pas gd chose ) / FreeBSD / OpenBSD / OpenSolaris en machine virtuelles

@igor51
L'installation de Xen en lui meme ne pose pas vraiment de problèmes si tu as une bonne distribution. Sous debian, "apt-get install xen-linux-system-2.6.18-6-xen-amd64 xen-tools xen-hypervisor-3.0.3-1-amd64 debootstrap" suffit à l'installer.
Cela installe l'hyperviseur Xen, le noyau préconfiguré, etc.
Pour installer les machines hotes, ce n'est pas beaucoup plus dur "xen-create-image --hostname ma_machine_virtuel --ip 192.168.0.1" une fois que tu as modifié le fichier de conf de xen-tools (très lisible).
La coonfiguration par défaut suffit à la plupart des besoins : les machines virtuelles et la machines hote sont connectée à un switch virtuel qui leur donne acces au réseau.
Par contre dès que tu as envie de faire un chouilla plus compliquer (un réseau qui ne peut communiquer qu'entre X machine virtuel, un autre entre les autre, un peu de routage etc), alors la faut te plonger les mains dans le camboui, te torturer un peu le cerveau, et tu n'en ressort pas forcément sain d'esprit

[CDavid2005]

Apparemment Vmware ne permet pas de filtrer les périphériques physiques de l'hôte mais seulement les périphériques virtuels qu'il rajoute lors de l'install. J'ai testé le filtrage de ce périphérique grâce au masquage de mon pare-feu et le résultat semble satisfaisant puisque en faisant un scan Spyware-doctor sur l'ordinateur virtuel ainsi que sur l'hôte je constate une différence de détection.

Maintenant cela ne veut pas dire qu'Avast est mal fait son boulot par rapport à Avira Antivir. Je devrais les tester dans les mêmes conditions... sur deux machines virtuelles ayant les mêmes caractéristiques... mais aussi en intervertissant les anti-virus hôte-virtuel pour être sur d'avoir des résultats indicateurs. Ce que je n'ai pas encore fait faute de temps.

Je vais me contenter donc de vmware player sous linux et créé mes machines virtuelles sous Windows pour la suite de mes tests.Xen attendra un peu le temps que je me familliarise un peu plus avec linux...

Bien qu'il faille un certain temps pour tester des applis je ne manquerais pas de vous faire part de mes résultats. Je vais me centrer sur les différentes combinaisons pour comparaison des pare-feu et antivirus que j'ai cité plus haut.

Merci pour tes conseils Towl. Personnellement, je n'ai pas encore utilisé une Debian. J'ai débuté avec la Mandrake 9.2 (ce qui a mon avis est loin d'être ta première distrib). J'ai testé Ubuntu en version Gnome qui est pas mal non plus. Là où je risque de bloquer c'est la place sur mes disque-dur.... ARG.

Quelles distrib serait le mieux pour mes tests ? J'ai vu que tu utilises OpenSolaris en virtuel. Serait-elle adaptée en hôte ?

Quant au module web d'avast, j'ai remarqué que quand son bouclier est inactif certains exploits DCOM pénètre plus facilement le système. Ce qui permet au pare-feu de tester son efficacité puisque c'est justement le pare-feu qui le signale. En temps normal (bouclier web d'avast actif) c'est justement avast qui le signale. Ne connaissant pas encore bien Avira Antivir, soit je suis miro soit il ne m'a encore rien bloqué, soit mon pare-feu n'est pas aussi nul qu'il n'en a l'air (Asampoo Firewall 1.20).

[Towl]

J'ai débuté avec la Mandrake 9.2 (ce qui a mon avis est loin d'être ta première distrib).

Effectivement J'ai débuté avec la slack 3.0 en 1997 :s Mon dieu, je m'etais pas rendu copte que ca faisait si longtemps ...

Quelles distrib serait le mieux pour mes tests

On va faire dans le classique : elle que tu maitrises le mieux Pour vmware, ca marche sur toute les distribs, et franchement, ca ne t'apporteras pas de différences.

Là où je risque de bloquer c'est la place sur mes disque-dur.... ARG.

Avec 3-4Go d'espace disque, ca devrait largement suffir pour installer windows dessus.

J'ai vu que tu utilises OpenSolaris en virtuel. Serait-elle adaptée en hôte ?

Hum, Les Solaris sont suffisement différents des Linux pour te rebuter au premier abort Et je ne pense pas que vmware tourne dessus. Honetement, fait tes tests ave la solution que tu maitrises le mieux. Tu auras suffisement de problèmes avec cela pour ne pas t'en rajouter d'autres

[CDavid2005]

Bon et bien je me lance avec vmware player sous la Mandriva 2008. Quant à ma place disque-dur, malgrés mes 420 Go je vais essayé de faire un peu le ménage car il ne me reste "que" 60 Go de libre (j'envisage la création de plusieurs machines virtuelles dont Ubuntu, OpenSolaris et Debian).

Merci pour tes conseils Towl.

[invite60d8cbfa]

salut,
j'ai le même problème avec 99% d'occupation processeur avec avast4.8.
donc la seule solution est de mettre antivir????

Merci pour votre réponse!!

[yoda1234]

Bonjour,

je ne pense que l'on puisse te répondre sans détails.
Quelle est ta configuration? Système d'exploitation, par-feu etc...