FAQ

L'infection Gumblar se propage par le biais des fichiers PDF et Flash (.pdf et .swf), qui sont dans la plupart des cas téléchargés de serveurs ftp, où elle crée des copies des fichiers susmentionnés.

Les utilisateurs d'applications Adobe Acrobat Reader ou Adobe Flash Player comportant des vulnérabilités non corrigées sont suceptibles d'être infectés par des exploits cachés dans les fichiers .pdf et .swf. La sécurité du serveur FTP est compromise par la recherche des connexions enregistrées avec les serveurs FTP ; il est donc conseillé de modifier les mots de passe après la suppression de l'infection.

L'infection du programme malveillant nommé Gumblar est détectée par AVG sous la désignation de cheval de troie Agent2.HYG ou Defiler, des variantes du cheval de troie Exploit ou Exploit.PDF.

Notez que des éléments de type JS/Psyme ou JS/Downloader risquent d'être détectés dans le dossier "Fichiers Internet temporaires" si vous avez visité des pages Web infectées. Il n'est pas possible de réparer cette infection parce qu'elle  fait partie intégrante de cette page Web.

La solution la plus simple pour éliminer l'infection consiste à supprimer les fichiers temporaires du navigateur Internet Explorer. Voici comment procéder :

• lancez Internet Explorer
• cliquez sur le menu "Outils"
• choisissez "Options Internet..."
• cliquez sur le bouton "Supprimer les fichiers..."
• désélectionnez l'option "Supprimer tout le contenu hors connexion"
• confirmez l'opération en cliquant sur le bouton "OK"
• procédez ensuite à une analyse complète du système pour vous assurer que l'infection n'est plus détectée par AVG

Les noms et emplacements peuvent varier légèrement en fonction de la version Internet Explorer utilisée.

Notez que l'infection peut être détectée plusieurs fois par AVG si vous visitez à nouveau la page Web infectée.

Quand une analyse AVG détecte un virus, l'état Infecté, Incorporé signifie que le fichier incriminé est à l'intérieur d'une archive (ZIP, RAR ou CAB, etc.) ou fait partie d'une archive auto-extractible (EXE). AVG détecte effectivement le fichier, mais ne peut pas ni le supprimer automatiquement d'un fichier archive et compresser à nouveau l'archive sans le fichier infecté, ni mettre le fichier automatiquement en Quarantaine à des fins de sécurité des données.

Pour ce cas de figure, nous avons choisi le mode de suppression interactif.

Pour supprimer ce type de fichier infecté, procédez comme suit :

1. Mettez le fichier en Quarantaine– si la taille de l'archive est inférieure à 5 Mo.

Choisissez Résultats d'analyse (exécutez AVG->choisissez menu Historique->cliquez sur Résultats d'analyse). Dans le Résultat d'analyse marquez la ligne contenant l'infection (cliquez sur la ligne signalée par un point d'exclamation)->sélectionnez le bouton Placer en quarantaine.

2. Supprimez l'archive – il est impossible de mettre en Quarantaine des fichiers d'une taille supérieure à 5 Mo.

Attention : vérifiez que cette archive ne contient pas de données importantes !

Choisissez Résultats d'analyse (exécutez AVG->choisissez le  menu Historique->cliquez sur Résultats des analyse) et dans le Résultat d'analyse, marquez la ligne contenant l'infection (cliquez sur la ligne signalée par un point d'exclamation gris)->sélectionnez le bouton Aller à fichier. Vous accédez directement au fichier archive, que vous pourrez supprimer en faisant un clic droit sur son nom et un clic gauche sur l'option "Supprimer" du menu.

Veuillez noter le point suivant

Si vous avez supprimé le fichier archive il vous faudra aussi vider la Corbeille dans laquelle le fichier archive supprimé a été placé :

• Double-cliquez sur l'icône Corbeille sur votre Bureau
• Sélectionnez le menu Fichier et l'option Vider la corbeille

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64 :

Pour ces configurations, nous conseillons l'utilisation du produit AVG CD de secours (pour en savoir plus sur ce produit, cliquez ici). AVG Rescue CD est une version portable de la plate-forme de Windows PE basée sur AVG. Ce CD amorçable permet d'effectuer une reprise après incident pour le cas où le système d'exploitation ne pourrait plus être chargé normalement (par exemple, en raison d'une infection importante). AVG Rescue CD charge d'abord la version temporaire du système d'exploitation Windows PE, puis exécute AVG, qui peut ensuite être utilisé de la manière habituelle pour détecter et supprimer les virus ou les codes espions.

Pour plus d'informations sur la création d' AVG Rescue CD, consultez la rubrique 491 des FAQ.

• Consultez la page Web l'Encyclopédie des virus et cherchez le nom exact du virus indiqué dans le résultat de l'analyse.
• Si vous ne le trouvez pas, contactez le service de support technique en joignant le fichier d'exportation du résultat de la dernière analyse à votre mail :
  

Exécutez le programme AVG (interface standard ou avancée) et choisissez Résultats d'analyse dans le menu Historique. La liste des analyses effectuées s'affiche. Double-cliquez sur l'analyse la plus récente (voir la date) pour obtenir la liste complète des virus détectés (éventuellement présents), y compris le chemin d'accès, le nom et l'état de l'objet infecté. Une fois l'analyse ouverte, cliquez sur l'option "Exporter les données dans le fichier..." option. Envoyez-nous ensuite ce fichier pour que nous puissions l'examiner plus en détails.

VCLEANER.EXE permet de supprimer des virus spécifiques, y compris leurs variantes. Pour plus d'informations, consultez la page Web indiquée ci-dessous.

Utilisation :

Téléchargez vcleaner.exe et exécutez-le sur l'ordinateur infecté.

Remarque : certains virus peuvent arrêter la suppression en cours d'exécution. Dans ce cas, renommez vcleaner.exe en choisissant un nom quelconque avec l'extension exe (ex. vcleanbis.exe). Relancez votre ordinateur en mode sans échec (conseillé) puis lancez l'outil de suppression sur l'ordinateur infecté.

D'autres outils de suppression sont disponibles sur la page Web indiquée.

Essayez de mettre à jour votre système AVG et relancez de nouveau l'analyse complète de l'ordinateur. Si aucune infection n'est détectée, mais si vous avez toujours des doutes, consignez le fichier dans une archive protégée par un mot de passe (en utilisant WinZip, WinRar, PowerArchiver, etc.), joignez l'archive à un message e-mail et envoyez-le à notre adresse virus@avg.com. Expliquez pourquoi vous nous envoyez le fichier et indiquez le mot de passe permettant d'ouvrir l'archive. Enfin, envoyez-nous le message e-mail.

Si AVG détecte un fichier infecté sur l'ordinateur et si ce fichier a été confiné dans le composant Quarantaine alors que vous êtes certain qu'il est inoffensif, il est possible qu'il s'agisse d'une fausse alerte.
Si tel est le cas, nous allons préparer un correctif dès que possible.
Tous les antivirus produisent inévitablement des fausses alertes de temps à autre.

Pour résoudre ce problème, envoyez-nous le fichier incriminé à des fins d'analyse, directement depuis le programmeAVG comme suit :

• Ouvrez l'interface utilisateur AVG.
• Sélectionnez le menu "Historique", choisissez l'option "Quarantaine".
• Cliquez avec le bouton droit de la souris sur la fausse détection, puis sélectionnez l'option de menu contextuel "Envoyer pour analyse".
• Spécifiez votre adresse électronique
• et confirmez

Ce fichier sera envoyé à nos spécialistes d'analyse de virus et nous vous informerons des résultats obtenus.

Cette rubrique de la FAQ décrit l'infection rootkit TDSSserv.sys/MSQPD*.sys, qui est généralement liée à l'infection Antivirus 2009.
Les signes de cette infection sont les suivants :

• Des avertissements factices sur une infection incitant l'acheteur à se procurer une application antivirus factice qui supprimerait efficacement l'infection (par exemple Antivirus 2009 ou Antivirus XP).
• L'arrière-plan du bureau se transforme en message d'avertissement et ne peut pas être rétabli.
• L'accès au gestionnaire de tâches et à l'éditeur du registre est désactivé.
• Les pages Web sont redirigées vers des pages erronées du navigateur Internet.
• Windows ne peut pas être mis à jour (la page www.windowsupdate.com est inaccessible).
• AVG ne peut pas être mis à jour.
• AVG détecte les infections à l'aide de l'analyse Anti-Rootkit comme pilotes ou fichiers masqués dans des fichiers système. Les noms des fichiers détectés commencent par 'TDSS'/'MSQPD' par exemple TDSSserv.sys, tdsslog.dll, TDSSl.dll, msqpdxserv.sys.

Si votre système semble être infecté par les infections décrites ci-dessus, vous pouvez supprimer l'infection comme suit :

• Télécharger l'utilitaire AVGRTK_remover.
• Extrayez l'archive téléchargée dans un nouveau fichier.
• Identifiez le fichier AVGRTK_remover.vbs dans le dossier.
• Exécuter ce fichier en double-cliquant dessus.
• Le message de confirmation s'affiche.
• Redémarrer l'ordinateur.
• Mettre à jour AVG.
• Exécutez l'analyse complète d'AVG et supprimez toutes les infections détectées.

Cet utilitaire corrige également les accès désactivés aux fonctions système. Si vous ne pouvez pas utiliser certaines fonctions, exécutez l'utilitaire une seconde fois comme décrit ci-dessus.

L'infection est maintenant complètement supprimée. Si le problème persiste, contacter le service client.

Il est possible que votre ordinateur soit infecté par la fausse application antispyware appelée Antivirus 360. Cette application tente de s'identifier comme une application antivirus standard, mais en réalité, elle n'est pas produite par une vraie société d'antivirus. L'application ne fait que simuler de fausses menaces sur votre ordinateur et vous oblige à acheter sa version complète Malheureusement vous ne ferez que dépenser de l'argent en vain. L'infection peut avoir bien d'autres symptômes :

• Ralentissement de l'ordinateur
• Faux positifs sur des fichiers système importants
• Affichage de fenêtres popup indésirables
• Téléchargement d'autres virus et chevaux de Troie sur votre ordinateur

AVG détecte et supprime avec succès la plupart des variantes de l'application indiquée. Cependant, il existe beaucoup de nouvelles variantes générées chaque jour il donc possible que certaines d'entre elles ne soient pas détectées et supprimées par AVG. En cas de problème avec cette application factice d'Antivirus 360 et lorsqu'il est impossible de supprimer celle-ci à l'aide d'AVG, nous vous invitons à procéder de la manière suivante pour nous fournir toutes les informations nécessaires afin de corriger le problème et d'ajouter la variante manquante à la détection d'AVG :

• Résultats de l'utilitaire Autorun
  • Téléchargez l'utilitaire AvgProci en cliquant sur le lien suivant (nous vous recommandons de sauvegarder le fichier sur votre bureau) :
    avgproci_fr.exe
  • Exécutez le fichier téléchargé et suivez les instructions à l'écran pour générer des résultats de diagnostic.
• Pour contacter le support technique d'AVG
  • Exécutez le fichier runner.avgdx qui se trouve dans le dossier d'installation de l'outil AvgProci.
  • Entrez votre adresse de messagerie correcte dans le champ approprié de l' outil Diagnostics AVG.
  • Comme description saisissez "Antivirus 360 non détecté" ou quelque chose de similaire.
  • Ensuite, cliquez sur le bouton Joindre un fichier et joignez les résultats du diagnostic avgproci précédemment créés (fichier result.7z ).
  • Cliquez sur le bouton Diagnostiquer et envoyer les résultats. Ainsi, toutes les informations nécessaires seront envoyées au support technique d'AVG.

Lorsque le programme AVG détecte un virus sur un fichier système important, celui-ci n'est pas automatiquement supprimé. Cette fonctionnalité supplémentaire permet d'éviter la suppression accidentelle des fichiers système infectés assurant le fonctionnement du système d'exploitation.

Voici des exemples de fichiers système importants :

• "%WINDOWS%\system32\winlogon.exe"
• "%WINDOWS%\system32\user32.dll"
• "%WINDOWS%\explorer.exe"

Remarque : la variable %Windows% désigne souvent le dossier C:\Windows.

Lorsqu'un virus est détecté dans un fichier système, restaurez le fichier infecté à partir de la sauvegarde du système. Pour plus d'informations sur la restauration du système d'exploitation à l'état initial, consultez la base de connaissances de Microsoft : 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

Si l'infection persiste, contactez l'équipe du Support technique AVGà l'aide de l'option Obtenir de l'aide en ligne dans le menu Aide d'AVG. Pour plus d'informations sur les coordonnées du service client d'AVG, consultez la section : FAQ 1467 (Comment contacter le service client.