FAQ
AVG 8.5 FAQ Virus » Généralités
Veuillez noter que même le logiciel de sécurité le plus performant ne peut protéger efficacement l'ordinateur si le code malveillant exploite une défaillance du système d'exploitation installé.
Le plus souvent, la mise à jour du système d'exploitation est configurée et activée dans un processus automatique par défaut. Cela signifie que le système d'exploitation vérifie régulièrement la présence de nouvelles mises à jour. Si une nouvelle mise à jour est disponible, elle est automatiquement téléchargée par le système d'exploitation. Il est possible de modifier ce paramètre afin de l'adapter à vos besoins.
Windows XP SP2 :
Cliquez avec le bouton droit sur "Poste de travail}" sur le bureau (ou dans "Démarrer"menu ->, "Poste de travail")-> "choisissez"les propriétés" -> passez à l'onglet "Mises à jour automatiques
Windows Vista:
Cliquez avec le bouton droit sur "Poste de travail" sur le bureau (ou dans "Démarrer"menu -> "Poste de travail") -> choisissez "Propriétés" -> cliquez sur le lien "Windows Update" -> cliquez sur le lien "{Modifier les paramètres
Vous avez le choix entre les options suivantes :
- Installation automatique.
- Télécharger automatiquement les mises à jour et avertir lorsqu'elles sont prêtes à être installées.
- Avertir en cas de nouvelles mises à jour, mais sans les télécharger.
- Désactiver les mises à jour automatiques.
Il n'est pas recommandé de désactiver complètement les mises à jour.
Effectuez les étapes suivantes pour vérifier la disponibilité de nouvelles mises à jour pour le système d'exploitation MS Windows :
- Cliquez sur le menu «Démarrer» -> «Mise à jour Windows»
(Sinon, vous pouvez ouvrir directement la page Web Microsoft www.windowsupdate.com pour télécharger et installer les mises à jour)
Au cours des dernières années, nous avons constaté une prolifération de virus informatiques, surtout de type "ver", diffusés principalement par e-mail. Ce phénomène produit une réaction de panique chez les utilisateurs, amplifiée par une catégorie de messages particuliers dits CANULAR qui jouent sur cette peur pour propager des rumeurs complètement infondées.
Ces messages de fausse alerte sont en général composés sur un même schéma. Ils annoncent un virus particulièrement dangereux qui se propage vite et invite l'utilisateur à prendre une mesure de protection. Dans le cas le plus bénin, ils demandent à l'utilisateur d'envoyer le message à chaque membre de sa liste de contacts ("chaîne"), provoquant l'effondrement du système e-mail par saturation de messages. Dans un cas plus grave, le message demande à l'utilisateur de supprimer un fichier suspect alors qu'il s'agit d'un fichier système parfaitement VALABLE. La suppression du fichier en question peut créer des problèmes graves (certains programmes ne fonctionneront plus ou le système tout entier peut se bloquer).
Le CANULAR le plus connu ressemble à ceci :
Vérifiez bien que vous n'avez pas attrapé ce virus. Il m'a été transmis
(par erreur) et il semble qu'il ait été communiqué à toutes les personnes
dans mon carnet d'adresses. Il est fort probable que vous l'ayez reçu.
Si c'est le cas, contactez toutes les personnes dans VOTRE CARNET D'ADRESSES
car le
programme envoie AUTOMATIQUEMENT un message contenant le virus à toutes les personnes qui y figurent
.
Le nom du virus est jdbgmgr.exe et ni
McAfee ni Norton ne le détecte. Il s'installe sur votre système pendant 14 jours
avant d'effacer tous vos fichiers.
Pour le supprimer et l'éradiquer, effectuez immédiatement la procédure suivante
:
1. Aller à DEMARRER -- RECHERCHER --FICHIERS OU DOSSIERS
2. Dans NOMME, tapez jdbgmgr.exe et cliquez sur RECHERCHER.
Vérifiez que vous le cherchez bien dans l'unité (C)
******NE CLIQUEZ PAS DESSUS S'IL APPARAIT********
3. Si le virus apparaît *(icône représentant un
petit nounours), le fichier correspondant s'appelle jdbgmgr.exe
4. *****SURTOUT NE L'OUVREZ PAS************ Faites un clic droit dessus
et SUPPRIMEZ-le. Le fichier sera envoyé directement à la Corbeille.
5. Une fois le fichier disparu, allez à la CORBEILLE et
SUPPRIMEZ-le aussi. Si possible, VIDEZ la Corbeille
sous FICHIER.
Si vous avez trouvé ce virus dans votre système, envoyez immédiatement ce
message à toutes les personnes dans votre carnet d'adresses.
C'est la meilleure mesure de protection que vous pouvez effectuer de votre côté. L'utilisateur qui reçoit un message avec ce type de contenu doit consulter les pages Internet consacrées aux programmes anti-virus, notamment www.icsa.net, www.avg.com ou http://en.wikipedia.org/wiki/Hoax. Ou n'importe quelle page dédiée aux problèmes de virus. L'utilisateur peut aussi envoyer un message au service de support technique des sociétés de lutte contre les virus et consulter le personnel spécialisé dans ce domaine.
L'utilisateur qui diffuse ce type de message en toute innocence produit précisément l'effet recherché par l'auteur du CANULAR. Rappelons que les alertes diffusées par les entreprises de lutte contre les virus sont formulées de manière plus professionnelle, ne sont pas émises depuis des adresses inconnues ni diffusées de manière non sollicitée.
Il est impossible d'ouvrir certains fichiers pour les vérifier, car ils sont constamment utilisés par le système d'exploitation Windows ou par une autre application en cours d'exécution. De même qu'il n'est pas possible de les vérifier, de même ils ne peuvent pas être infectés par un virus.
Les cookies ne sont ni des virus, ni des codes malveillants. Les cookies ne sont que des fichiers texte et ne constituent donc pas une menace pour votre ordinateur.
La principale fonction des cookies est d'identifier des utilisateurs et, éventuellement, de préparer des pages Web pour leur consultation. Lorsque vous entrez dans un site Web qui utilise des cookies, vous pouvez être amené à fournir des informations personnelles (nom, centres d'intérêt...) dans un écran réservé à cet effet Ces informations sont envoyées à votre navigateur Internet sous la forme d'un cookie. A votre prochaine visite du site Web, le navigateur envoie le cookie au serveur. Le serveur peut alors utiliser ces informations pour vous présenter des pages Web personnalisées.
Si vous ne voulez pas utiliser les cookies, le paramétrage de votre navigateur Internet permet d'accepter/inhiber le fichier cookie. Pour en savoir plus :
http://www.microsoft.com/info/cookies.mspx
la question " Si vous souhaitez contrôler les cookies que vous recevez"
Si vous utilisez un navigateur Mozilla Firefox, vous trouverez des informations supplémentaires à :
http://mozilla.gunnars.net/firefox_help_firefox_cookie_tutorial.html
Pour en savoir plus sur les fichiers cookie, voir aussi :
http://fr.wikipedia.org/wiki/Cookie_%28informatique%29
Vous pouvez aussi paramétrer AVG pour qu'il ne détecte pas les cookies sur votre ordinateur :
1. Paramètres du Bouclier résident
- Ouvrez l'interface utilisateur AVG
- cliquez deux fois sur le composant Bouclier résident AVG
- décochez l'option
"Analyser les cookies"
- et appuyez sur le bouton "Enregistrer les modifications"
2. Paramètres d'analyseAVG
- lancez l'interface utilisateur AVG
- Ouvrez Analyse de l'ordinateur
-choisissez "Modifier les paramètres d'analyse" dans l'élément "Analyse complète de l'ordinateur
- Dans la fenêtre récemment ouverte, décochez "Détecter les cookies"
3. Paramètres d'analyse programmée
- ouvrez Interface utilisateur AVG
- choisissez "Paramètres avancés dans le menu
Outils- faites défiler l'élément "Programmation" et sélectionnez "Analyse programmée"
- rendez-vous à l'onglet
"Comment faire l'analyse" et décochez l'option "Détecter les cookies"
Ces fichiers (par exemple, des documents ou des archives) sont protégés par des mots de passe. Par conséquent, l'analyse n'a pas réussi à vérifier leur contenu. Si vous connaissez le mot de passe et ouvrez l'archive, le contenu est vérifié immédiatement par le Bouclier résident AVG. Ce composant AVG n'autorise pas l'ouverture/le lancement, à partir d'une telle archive, de code susceptible d'être infecté.
Ce message signifie que le document contient une macro. Une macro est une liste d'instructions qui automatise ou simplifie une opération dans un document. C'est une partie du fichier document qui permet, par exemple, de faire un calcul à l'aide de valeurs fixes. Le message ne signifie pas pour autant que le fichier contient un virus. Si le fichier est infecté, AVG indique le nom exact du virus dans le résultat de l'analyse.
Il est inutile de s'inquiéter. La modification est liée à un changement au niveau de l'ordinateur (installation/désinstallation, mise à jour Windows, configuration etc.).
Vous pouvez accepter ces modifications. Si un virus est détecté, son nom est affiché dans le résultat de l'analyse AVG.
AVG affiche le message suivant : Attention : extension cachée. exe
Certains virus se cachent en doublant l'extension de leur nom de fichier. Par exemple, le virus VBS/Iloveyou joint un fichier ILOVEYOU.TXT.VBS aux messages e-mail. Etant donné que l'option par défaut sous Windows est de masquer les extensions de fichier connues, le fichier apparaît sous le nom ILOVEYOU.TXT. Quand vous ouvrez ce fichier, vous n'ouvrez pas un fichier texte .TXT, mais vous exécutez un fichier script .VBS.
Comme cette technique est de plus en plus répandue, nous avons ajouté la détection des doubles extensions à AVG. Il existe bien évidement des exemples d'extensions doubles tout à fait anodines telles que uninstall.rar.bat, qui fait partie de certaines installations de l'utilitaire de compression RAR.
Le mode sans échec de Windows est un moyen de réamorcer le système d'exploitation, qui vous permet de résoudre des problèmes ou d'effectuer des tâches administratives ou de diagnostic. En mode sans échec, le système d'exploitation ne charge que le minimum de logiciels nécessaire à son fonctionnement. Comme il ne charge que les pilotes vidéo de base, il est possible que vos programmes n'aient pas leur aspect habituel.
Mise en œuvre :
- Redémarrez votre ordinateur.
- Dès l'apparition du message "Démarrage de Windows...", appuyez sur la touche F8 du clavier.
- A l'aide des touches de direction, sélectionnez l'option Mode sans échec dans le menu.
- Appuyez sur la touche Entrée du clavier pour lancer le Mode sans échec.
La majorité des virus qui existent aujourd'hui (Chevaux de Troie, vers Internet, Vers, etc.) crée leurs propres fichiers qui ne contiennent rien d'autre que le corps du virus. Dans ce cas, le seul moyen d'éliminer l'infection est de supprimer le fichier infecté. Une fois mis en Quarantaine dans AVG, le fichier est supprimé de son dossier d'origine, est encodé, puis enregistré dans un fichier non exécutable dans un dossier caché. Votre PC n'est donc plus infecté.
S'il ne vous manque aucun fichier de données et que vos applications s'exécutent normalement, vous pouvez supprimer les fichiers mis en Quarantaine AVG .
Pour supprimer sélectivement des fichiersen Quarantaine dans AVG -> sélectionnez les fichiers -> puis Supprimer. Il est aussi possible de supprimer intégralement en une seule action le contenu de la Quarantaine :
- Double-cliquez sur l'icône AVG sur votre bureau-> sélectionnez le menu "Historique", choisissez l'option "Quarantaine" ->, puis cliquez sur le bouton "Vider la Quarantaine" .
Un Cheval de Troie est une application malveillante qui ne peut pas s'auto-propager. Les premiers Chevaux de Troie étaient de véritables utilitaires. Malheureusement, au démarrage, ils endommageaient (au moins en partie) le contenu des disques durs.
Aujourd'hui les Chevaux de Troie les plus répandus sont dits "à porte dérobée" (BackDoor Trojans). Ils activent un accès à distance sur des ordinateurs infectés, ainsi que des keyloggers dans le but de glaner autant d'informations privées que possible sur l'ordinateur infecté et de les transmettre via Internet.
Pour supprimer un Cheval de Troie il suffit de supprimer le fichier détecté.
Si vous désirez exclure un "programme potentiellement dangereux" de toute analyse AVG (par exemple si vous utilisez un programme ou utilitaire publicitaire, qui pourrait être dangereux, mais que vous utilisez en toute connaissance de cause), définissez une exclusion dans le Bouclier résident AVG et les analyses d'AVG de cette façon :
- Ouvrez le programme AVG -> "Outils" menu -> "Paramètres avancés" -> "Exceptions PUP" -> cliquez sur le bouton Ajouter une exception afin d'ajouter une nouvelle exception.
- Recherchez à présent le fichier à exclure de l'analyse AVG. Si vous n'êtes pas certain que l'emplacement de ce dossier est statique, cochez l'option Tout emplacement - ne pas utiliser le chemin complet.
- Enregistrez le paramètre en cliquant sur le bouton Ajouter.
Ces exceptions peuvent seulement être utilisées dans le cadre de programmes potentiellement dangereux. Si vous créez une exception pour un fichier viral (cheval de Troie, ver Internet, ver, W32...), ce fichier sera encore détecté par les analyses AVG et le Bouclier résident AVG.
Ces exceptions ne sont pas employées par le scanner de mail AVG.
Remarque : les exceptions concernent des fichiers et non des dossiers.
Des «Programmes potentiellement dangereux» agissent parfois comme des virus ou des spywares. Ils sont généralement installés de manière légitime puisqu'ils sont inclus dans un autre programme (souvent désigné comme un programme «AD-Supported program» faisant l'objet d'un contrat de licence utilisateur final invitant l'utilisateur à indiquer s'il accepte, outre le programme voulu, l'installation d'un programme supplémentaire, à savoir le programme potentiellement dangereux).
AVG est en mesure de détecter certains programmes potentiellement dangereux et de supprimer les fichiers. détectés.
Remarque : la suppression des programmes potentiellement dangereux peut endommager le programme principal (AD-Supported program) avec lequel ils ont été installés.
Il est également possible de créer une exception pour les fichiers détectés potentiellement dangereux. Ces fichiers rangés dans la catégorie des exceptions ne seront plus considérés comme des menaces.
La manière d'ajouter un fichier aux exceptions PUP est décrite ici.
Le programme AVG est muni du composant Anti-rootkit permettant de détecter les rootkits actifs. Ce composant peut détecter les rootkits selon un ensemble de règles prédéfinies. Notez que tous les rootkits sont détectés (pas seulement ceux qui sont infectés). Si le programme AVG détecte un rootkit, cela ne veut pas automatiquement dire que ce dernier est infecté. Certains rootkits peuvent être utilisés comme pilotes ou faire partie d'applications correctes.
La liste des applications correctes qui utilisent la technologie des rootkits est fournie ci-dessous :
Daemon Tools
- Le fichier détecté est :
- C:\Windows\System32\drivers\al887uj6.sys
- Son nom peut changer à chaque fois qu'AVG supprime le rootkit
- Après la suppression et le redémarrage, le pilote masqué est détecté à nouveau (restauré par l'application).
Alcohol 120%
- Le fichier détecté est :
- C:\Windows\System32\drivers\ajp34rie.sys
- Son nom peut changer à chaque fois qu'AVG supprime le rootkit
- Après la suppression et le redémarrage, le pilote masqué est détecté à nouveau (restauré par l'application).
User Profile Hive Cleanup Service (Service de purge de la ruche du profil utilisateur)
- Le fichier détecté est :
- C:\Windows\System32\drivers\uphcleanhlp.sys
- uphcleanhlp.sys sert à arrêter définitivement la session d'un utilisateur qui se déconnecte.
- L'éditeur est Microsoft Corp.
Vous trouverez des informations supplémentaires à cette adresse :
http://en.wikipedia.org/wiki/Rootkit
Une analyse AVG peut signaler la présence d'un objet potentiellement dangereux sur certains fichiers éventuellement infectés ou présentant une menace. Voici des exemples de ce genre d'objets : fichiers masqués, cookies, clés de registre suspectes, archives ou documents protégés par un mot de passe, etc.
Remarque :
Lorsqu'elle est associée à un fichier, la mention Information indique que vous pouvez en savoir plus sur la détection correspondante dans la rubrique FAQ 1618.
L'avertissement se rapporte à un fichier qui ne peut pas être analysé (archive protégée par un mot de passe) ou à des fichiers potentiellement suspects (fichiers cachés, cookies, etc.). De tels fichiers ne présentent pas de menace directe pour l'ordinateur ou sa sécurité. Les informations relatives à ces fichiers sont généralement utiles lorsque la présence d'adwares ou de spywares est décelée dans votre ordinateur. Se l'analyse AVG ne détecte que des avertissements, aucune action n'est nécessaire.
Cette rubrique décrit brièvement les exemples les plus courants de tels objets :
- Fichiers masqués
Les fichiers masqués sont non visibles (par défaut), et certains virus ou autres menaces peuvent empêcher leur détection en stockant leurs fichiers avec cet attribut. Si AVG signale un fichier masqué que vous suspectez d'être dangereux, vous pouvez le mettre en quarantaine et nous l'envoyer pour analyse. - Cookies
Les cookies sont des fichiers texte bruts utilisés par les sites Web pour stocker des informations propres à l'utilisateur. Elles permettent ultérieurement de charger un contenu personnalisé d'un site Web, de saisir automatiquement le nom d'utilisateur, etc. Pour plus d'informations consultez la rubrique FAQ consacrée à la détection. - Clés de registre suspectes
Certains programmes malveillants stockent leurs informations dans la base de registre de Windows. De cette manière, elles sont chargées au démarrage ou peuvent s'immiscer dans le système d'exploitation.
Si vous le souhaitez, vous pouvez modifier les paramètres d'analyse d'AVG de sorte que seuls les avertissements qui vous intéressent seront affichés :
- ouvrez l'interface utilisateur d'AVG
- cliquez sur Analyse de l'ordinateur
- cliquez sur "Modifier les paramètres d'analyse"
- vous pouvez également modifier ces paramètres dans le menu Outils - Paramètres avancés
Pour obtenir plus d'informations sur les fichiers détectés par AVG, consultez la section FAQ portant sur les virus.
Dans certains cas, la détection par AVG de certains fichiers affectés par un virus particulier peut être déclenchée par un fichier non infecté. Cette détection s'appelle une fausse alerte. En nous envoyant des fichiers qui ne devraient pas être détectés comme une menace, vous nous permettrez d'améliorer notre logiciel et de nous assurer que seuls les fichiers infectés seront détectés par AVG.
Des exemples typiques de fausse alerte sont les fichiers qui se trouvent dans votre ordinateur depuis longtemps (anciens documents, sauvegardes, etc.) ou des fichiers exigés par certaines applications commerciales.
Si vous pensez qu'AVG a détecté un fichier inoffensif sur votre ordinateur, vous pouvez nous l'envoyer directement à partir de la quarantaine (cliquez dessus avec le bouton droit, puis sélectionnez l'option de menu contextuel "Envoyer pour analyse"). Nous allons ainsi vous informer du résultat de notre analyse comme décrit sur ce site Web
The first version of this virus which is recognized by AVG as Downadup (alternativelly I-Worm.Generic) has been detected at the end of November / begining of December, 2008. Currently there are over 300 unique versions of this virus. AVG detects and protects against all known variants of the worm.
The main method of infecting computers used by this virus is a security vulnerability in Windows operating systems, which is described in MS Security Bulletin MS08-67 released on October 23, 2008 (including links for respective Windows update files). Apart from using this security vulnerability, the virus spreads also across local networks by attacking weak passwords for shared folders, and using the Autorun function on removable devices.
To protect against the virus, it is necessary to install the mentioned Windows update and make sure your AVG is fully up-to-date. In case your computer is infected by this virus, it may not be possible to update your AVG correctly. In order to allow correct AVG update, please proceed as follows:
- Open Start -> Run.
- Type 'cmd'.
- In the opened command line windows type the following command and press Enter:
net stop dnscache - It will be possible to update your AVG now. Once updated, run an AVG scan to remove the infection:
AVG -> Computer Scanner -> Scan whole computer - When the scan is finished, please restart your computer.