Discussion :

[lolofromparis]

Bonjour,

Quelle déception de constater que Avast anti virus (dernière version) hurle à la mort à chaque exécution ou compilation du moindre projet Delphi, détruisant le fichier litigieux ! J'ai bien pensé désactiver l'antivirus pour compiler (ok), mais en exécutant le programme ainsi créé alors l'antivirus réactivé hurle à nouveau... (je n'ai pas testé l'exécution du .exe créé sur un autre PC)

Je suis sur un PC Win Xp pack 3, à priori propre (Avast OK, Malwarebyte's OK, RogueKiller OK, j'ai lu avec attention http://www.developpez.net/forums/d12...robleme-avast/).

J'ai installé Delphi 7 aujourd'hui à partir de votre site.

Je suis preneur de la moindre idée qui me rassurerait sur ce que je pense être des ''faux positifs' et m'orienterait sur la façon de régler le problème (pas question bien sûr que mes programmes fassent réagir l'antivirus sur les ordinateurs des utilisateurs !)

Merci par avance,
Cordialement,

[SergioMaster]

Bonjour,
Ce trojan ne serait pas un trojan dit de réputation ? (la plaie des développeurs) l
j'ai le même problème avec Norton , mais il est facile de paramétrer l'Antivirus.
(ce même problème arrive quelque soit IDE , Lazarus/Delphi quelque soit la version,VB etc ...)

La technologie 'SONAR' qui consiste a rechercher sur la toile si le programme a bonne réputation est bien évidemment dans le cas d'un exe créé totalement inutile .

Il est vrai que les compilations de programme Delphi 7 (pas l'IDE) ont subi l'attaque d'un virus il y a très longtemps de ça ,ici les détails
plus de réponses sur les virus et delphi en faisant une recherche dans le forum Delphi (il y a d'ailleurs un post récent avec Avast justement )

[tourlourou]

Ne serait-ce pas un répertoire de destination de l'exe interdit ou sensible aux yeux de l'antivirus ?

[GoustiFruit]

Les antivirus n'aiment pas trop non plus les .exe qui "morphent" sans arrêt, parce que les virus se greffent souvent aux exe et modifient ainsi leurs caractéristiques.
La plupart des antivirus permettent d'exclure des processus de leur analyse, à voir dans les réglages d'Avast.
Sinon c'est une autre bonne raison pour développer dans une machine virtuelle :-)

[lolofromparis]

Merci Messieurs. J'ai continué ma recherche et effectivement découvert l'attaque de 2009. Pas de 'sysconst.bak' dans mes dossiers et pas d'écart probant dans la comparaison bit à bit des fichiers du zip téléchargé et de l'installation...

Alors bon partons sur une alerte de 'réputation', et acceptons l'idée de désactiver l'antivirus au moment de la compilation.

Mais comment gérer l'alerte de l'antivirus sur mon PC, sur un autre PC, chaque fois, dans un jour dans un mois, que je voudrais utiliser mon exécutable ? !

Voici en zip joint (mot de passe 'lolo') un programme : une fenêtre avec un bouton et une zone de texte, si on appuie sur le bouton le texte 'click !' s'affiche dans la zone de texte (Ouaoh !).

J'ai pu faire le .exe, et il fonctionne, en désactivant l'antivirus, mais son exécution sur deux PC différents (avec antivirus actif bien sûr) conduit à des mises en quarantaine immédiates.

Je tente de reprendre la programmation Delphi après près de dix ans d’inactivité, le monde a bien changé mon bon monsieur ;-)

Merci pour votre aide, je continue mes recherches...
Cordialement,

[tourlourou]

Bonjour,
J'ai passé l'exe sur le scanner en ligne de jotti : 9+/32 dont ClamAV qui trouve un PUA.Win32.Packer.BorlandDelphi, pour lequel on peut lire sur le net : http://ac3filter.net/wiki/Antivirus_notes.

[Ph. B.]

Bonjour,

Quelle déception de constater que Avast anti virus (dernière version) hurle à la mort à chaque exécution ou compilation du moindre projet Delphi, détruisant le fichier litigieux ! J'ai bien pensé désactiver l'antivirus pour compiler (ok), mais en exécutant le programme ainsi créé alors l'antivirus réactivé hurle à nouveau... (je n'ai pas testé l'exécution du .exe créé sur un autre PC)

C'est un inconvénient des détections à base de signature. Cela peut générer des faux positifs...
Comme je l'ai dit ICI, utiliser un scanneur de fichier en ligne, jouer sur le paramétrage d'AVAST, remonter la fausse détection à AVAST (en général, dès une des mises à jour suivante, le problème disparait)...

[lolofromparis]

Et bien merci chers internautes pour vos conseils.

J'ai passé mon ordinateur par plusieurs anti_pleins_de_choses (y compris stinger de Mac Affee) qui n'ont pas trouvé grand chose, et j'ai toujours 9 alertes sur 22 sur le scanner en ligne de jotti sur un programme delphi de 1 ligne.

Alors soit j'ai des malwares sur mon PC (mais aucun soft ne les détecte c'est pas de pot)

Soit c'est un faux positif et je ne vois pas comment, quelle que soit la configuration de mon antivirus, je vais obtenir un .exe qui ne fera pas sonner l'antivirus des PC utilisateurs.

Soit c'est la version de Delphi téléchargée qui est vérolée, mais j'y crois pas et puis pourquoi aucun antivirus ne l'aurait trouvée ?

Bref je ne sais pas utiliser Delphi 7. J'abandonne et retourne benoitement à mon VBA pour Excel ;-)

Bon courage, et merci encore.

[Ph. B.]

Bonjour,

Soit c'est un faux positif et je ne vois pas comment, quelle que soit la configuration de mon antivirus, je vais obtenir un .exe qui ne fera pas sonner l'antivirus des PC utilisateurs.

En prenant le bon antivirus ?
Je dis cela car j'ai testé votre exécutable avec AVG 2013 : il ne trouve rien !
Antivir sur un autre poste détecte TR/Symmi.17557.1 Trojan

Jotti obtient 9 déclenchement sur 22 (et Antivir en ligne ne détecte rien !)
VirusTotal obtient 10 sur 46 (et Antivir en ligne ne détecte rien !)

J'ai repris vos sources, les ai examinées, les ai recompilées (resources comprises)
Antivir ne dit plus rien !
Jotti obtient 8 déclenchement sur 22 (et Antivir en ligne ne détecte toujours rien !)
VirusTotal obtient 9 sur 46 (et Antivir en ligne ne détecte toujours rien !)

Pour moi, il y a de très fortes chances que cela soit un faux positif. Il faudrait poursuivre le test en complétant l'exécutable (en rajoutant des composants), cela a toutes les chances de faire disparaitre la soi-disante infection...

Soit c'est la version de Delphi téléchargée qui est vérolée, mais j'y crois pas et puis pourquoi aucun antivirus ne l'aurait trouvée ?

Le problème des signatures quand elles sont à (trop) large spectre...

Bref je ne sais pas utiliser Delphi 7. J'abandonne et retourne benoitement à mon VBA pour Excel ;-)

Il ne faut pas se décourager pour si peu...
De plus, un exécutable détecté à tort aujourd'hui ne le sera plus demain ou dans quelques jours et l'inverse pour un autre...

[lolofromparis]

Merci Philippe B pour vos recherches et encouragements.

Je ne désespère pas de revenir à Delphi bientôt, Mais je vais concentrer mon attention sur VBA, univers Cro$oft au boulot oblige.

Autant j'ai galéré avec ce faux positif, autant j'ai apprécié la qualité de ce forum !

Merci encore et à bientôt sans doute.
Laurent.

[tictac08]

J'ai le même problème, sauf que ce n'est pas avec Delphi mais VB.NET

Avast hurle et me dit que c'est un programme suspect, mais j'ai trouvé pourquoi, mon logiciel récuperait des frappe de touche pour vérifier si c'était une lettre ou un chiffre.

J'ai découvert en enlevant l'évenement "KeyPress".

Je ne sais pas si votre logiciel utilisait un système simillaire.

[Meaou]

Antivir sur un autre poste détecte TR/Symmi.17557.1 Trojan

Gdata me trouve le même:



protocole avec delphi 7:
créer une nouvelle application, enregistrer le projet sous "Project1".
Executer.

Déjà détecté comme virus.
En revanche ce qui m'ennuie, c'est que si je rajoute deux ou trois fonction à la noix ou un memo et un bouton, bon ok ce n'est plus détecté comme virus, en revanche, j'ai le firewall qui buzz parce que qu'un evenement veut accrocher.



Or, est il normal de faire un hook sur smss.exe sur un programme sans fonctions, mais avec un memo et un bouton ?
Ca me semble un comportement curieux.

[damene]

Bonjour

moi travaille avec Avast Gratuit.

A la compilation je reçois le message suivant :

"Le programme s'execute dans SandBox.
Cela signifie qu'il ne peut endommager votre ordinateur même s'il est malveiltant".

Apparait un bouton 'Terminer maintenant'.

Je clicke dessus.

Apparait un deuxième bouton 'Continuer l'exécution'.

Je clicke dessus.

Le programme est alors compilé.

Le nom du Programme est mémorisé par Avast.
A la comppilation suivante, la compilation se fait sans problème.

[Pierre GIRARD]

Ce qui m'étonne le plus, c'est que tout le monde n'as pas ce genre d'ennuis.

Serait-il possible de faire un bilan récapitulatif avec :
- Version de Delphi.
- Version de Windows.
- Les antiVirus indiquant un problème.
- Les solutions apportées (quand elles existent).
- Etc...

[Meaou]

- Version de Delphi: delphi 7 pro
- Version de Windows: vista
- Les antiVirus indiquant un problème: gdata, voir aussi sur la copie d'écran plus haut


- Les solutions apportées (quand elles existent): je ne sais pas, je teste un truc, j'edit si ca marche.
Edit: voilà, j'ai tenté d'oter des "uses" et avec tout au minimum:
"Controls, Classes, Forms, StdCtrls;""
ca le fait quand même.

[Meaou]

Même probleme:
http://www.progtown.com/topic1036464...f-viruses.html

même nom de virus.
Il faut savoir que ma version avec le memo et le bouton reste encore detectée par certains antivirus (3 sur la liste, avec comme nom eldorado machin)

[Paul TOTH]

Merci Messieurs. J'ai continué ma recherche et effectivement découvert l'attaque de 2009. Pas de 'sysconst.bak' dans mes dossiers et pas d'écart probant dans la comparaison bit à bit des fichiers du zip téléchargé et de l'installation...

Alors bon partons sur une alerte de 'réputation', et acceptons l'idée de désactiver l'antivirus au moment de la compilation.

Mais comment gérer l'alerte de l'antivirus sur mon PC, sur un autre PC, chaque fois, dans un jour dans un mois, que je voudrais utiliser mon exécutable ? !

Voici en zip joint (mot de passe 'lolo') un programme : une fenêtre avec un bouton et une zone de texte, si on appuie sur le bouton le texte 'click !' s'affiche dans la zone de texte (Ouaoh !).

J'ai pu faire le .exe, et il fonctionne, en désactivant l'antivirus, mais son exécution sur deux PC différents (avec antivirus actif bien sûr) conduit à des mises en quarantaine immédiates.

Je tente de reprendre la programmation Delphi après près de dix ans d’inactivité, le monde a bien changé mon bon monsieur ;-)

Merci pour votre aide, je continue mes recherches...
Cordialement,

moralité, il faut utiliser delphi 6 que seul ClamAV détecte en virus...alors que ce même programme sous delphi 7 est bcp moins apprécié

[Pierre GIRARD]

Pas de chance, j'ai réussi à l'ajouter ... mais il ne marche pas. Dès que j'ajoute le composant sur un TForm, il y a un "Access Violation".

[Jipété]

Yep !

Serait-il possible de faire un bilan récapitulatif (...)

- Version de Delphi. = D7 perso
- Version de Windows. = w2k sp4
- Les antiVirus indiquant un problème. = Avira Antivir Personal à jour, qui détecte TR.symmi 17557.1 et me supprime l'exe
- Les solutions apportées (quand elles existent). = recompilation et exécution --> RAS.

[Meaou]

2 Précisions qui me semblent importante:
Le 30 Novembre 2010 à 8h06, je compile un programme avec un label "désolé je ne pouvais pas vous donner ça" (destiné à remplacer un programme expiremental) et c'est tout.
Tout se passe bien, jusqu'a a peu pres l'an dernier ou Gdata 2013 (je ne suis plus sur), me détecte ce programme comme virus.
J'en deduis que si le probleme est chez nous, que celui ci est alors vieux (puisqu'une compilation de 2010 est detectée comme virus).

Autre precision: j'ai eu cet espece de virus delphi qui faisait des malwares des qu'on compilait et c'est aussi assez vieux.
La question c'est:
Je prends un OS neuf, j'installe un delphi 7 perso dessus (donc un systeme vierge). Est ce que ca fait "virus" ?
Si oui c'est un faux positif, sinon c'est chez nous.

Un personne sachant gerer les OS virtuels mieux que moi aurait elle l'amabilité de tester ?