Les FAQs, ou foires aux questions, dont des listes de questions/réponses
les plus courantes qui permettent aux internautes de trouver
rapidement une solution à leur problème dans
le cas d'une question fréquemment posée.
Comment se protéger efficacement
contre les virus? Se protéger des virus nécessite de respecter quelques
conseils simples : appliquez les correctifs
de vos logiciels dès qu'ils sont disponibles (afin d'empêcher
les virus d'utiliser une faille pour faciliter leur propagation
ou contourner les dispositifs de sécurité), installez
un antivirus
et mettez-le régulièrement à jour (sinon il
ne sera pas efficace contre les nouveaux virus) et restez prudent
face à toute pièce jointe ou à tout fichier
d'origine non sûre (il peut contenir un virus inconnu ou non
détecté). Vous trouverez plus de détails dans
notre fiche
complète. Ces recommandations ne comportent pas de difficulté
particulière : il faut simplement prendre le temps de les
intégrer à ses habitudes d'utilisation et ensuite
on les applique sans même y penser!
Comment démarrer mon ordinateur
en mode sans échec? Au démarrage de l'ordinateur, pressez la touche F8 (touche
de fonction généralement située au-dessus des
touches "9" et "I") ou éventuellement
Ctrl (en bas à gauche du clavier) dans le cas des anciennes
versions de Windows, sélectionnez "mode sans échec"
avec les touches de direction (ou "mode sans échec avec
prise en charge réseau" si vous avez besoin d'accéder
à Internet, par exemple pour utiliser notre antivirus
en ligne), puis pressez la touche "Entrée".
Si l'ordinateur est déjà allumé, éteignez-le,
patientez 30 secondes, puis rallumez-le en pressant F8. En mode
sans échec il est normal d'observer certains changements,
dont une baisse de la résolution d'affichage. Initialement
conçu pour permettre un démarrage de Windows même
en cas de conflit logiciel ou matériel grave en ne chargeant
en mémoire qu'un minimum de services et de pilotes, le mode
sans échec est aussi très utile voire indispensable
pour parvenir à supprimer certains virus, spywares ou adwares,
afin de les empêcher de bloquer leur suppression ou d'interférer
avec les logiciels de sécurité chargés de leur
désinstallation.
Des dizaines de messages infectés
envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé?
Comment arrêter ça? Si vous recevez des messages infectés c'est parce qu'au
moins un de vos correspondants est contaminé : le virus aura
probablement trouvé votre adresse dans son carnet d'adresses
et se sera envoyé automatiquement à tous ses contacts,
dont vous-même. Pour arrêter cela, il faut prévenir
votre correspondant pour qu'il analyse son disque dur avec un antivirus
à jour ou avec un utilitaire
de désinfection gratuit si vous avez identifié
le nom du virus. La plupart des virus récents pratiquent
l'usurpation d'identité afin de vous empêcher de retrouver
la personne infectée : ils s'envoient en utilisant comme
adresse d'expéditeur une adresse falsifiée ou celle
d'un contact innocent figurant dans le carnet d'adresses de la personne
infectée. Dans ce cas, si vous recevez un grand nombre de
messages infectés ou si vous souhaitez absolument faire quelque
chose vous pouvez tenter de prévenir une fois (et une seule)
l'ensemble de vos correspondants pour leur demander de vérifier
leur disque dur avec un antivirus à jour afin que la personne
infectée puisse supprimer de son ordinateur le virus qui
vous bombarde de messages.
Une alerte m'indique qu'un virus a été
trouvé dans un message que j'ai envoyé. Mon ordinateur
est-il infecté? Certains antivirus envoient automatiquement un message d'alerte
à l'adresse d'expéditeur d'un courriel infecté,
qui est supposée être celle de l'internaute dont l'ordinateur
est contaminé. Utile il y a encore quelque temps, cette fonctionnalité
est obsolète car la plupart des virus se propagent désormais
en utilisant comme adresse d'expéditeur une fausse adresse
spécialement forgée pour l'occasion, voire l'adresse
d'un contact innocent figurant dans le carnet d'adresses de la personne
infectée. Aujourd'hui, si vous recevez ce type d'alerte,
c'est donc le plus souvent parce que l'ordinateur d'un internaute
ayant votre adresse sur son disque dur est infecté : avertissez
le cas échéant vos plus proches correspondants en
leur recommandant de vérifier leur disque dur avec un antivirus
à jour. Si vous êtes administrateur d'une passerelle
antivirus, désactivez l'envoi d'un message d'alerte à
l'adresse d'expéditeur d'un courriel infecté car,
outre la confusion chez nombre de destinataires, ces messages sont
responsables d'une partie non négligeable de la hausse de
trafic observée en cas d'épidémique de virus
de messagerie.
Mon antivirus signale qu'un fichier infecté
est "uncleanable" et refuse de le nettoyer. Que faire? Un fichier infecté indiqué "uncleanable" (non nettoyable) doit
être supprimé : utilisez pour cela le bouton "Supprimer" ou "Delete"
de l'antivirus. Cela arrive principalement lorsque le fichier concerné
est le virus ou le troyen lui-même : par définition il ne peut pas
être nettoyé (c'est-à-dire éliminer uniquement
la portion de code malicieux) puisque la totalité du fichier
est hostile. Attention : si le fichier supprimé était un
fichier sain qui a été infecté il faut ensuite
le restaurer à partir du CD-Rom de l'application auquel il appartient,
ou procéder à la réinstallation de l'application
concernée.
Mon antivirus refuse de supprimer un fichier
infecté parce qu'il est en cours d'utilisation ("Can
not access"). Comment procéder? Dans ce cas il faut recommencer l'analyse après avoir
démarré l'ordinateur en mode
sans échec (touche F8 au démarrage de l'ordinateur).
Si ça ne donne pas de résultat, essayez de supprimer
le fichier manuellement : notez le nom et l'emplacement du fichier,
pressez simultanément Ctrl + Alt + Suppr pour accéder
au Gestionnaire des tâches (sous Windows NT/2000/XP), terminez
le processus correspondant au fichier infecté puis supprimez
ce fichier comme habituellement. Attention : si le fichier supprimé
était un fichier sain infecté sans pouvoir être
nettoyé il faut ensuite le restaurer à partir du CD-Rom de
l'application auquel il appartient voire réinstaller l'application
concernée.
Mon antivirus m'indique ne pas pouvoir
désinfecter le répertoire C:\RESTORE ou C:\System
Volume Information\_restore. Comment faire pour éliminer
complètement les virus?
Il faut désactiver la restauration automatique du système avant
de scanner l'ordinateur avec l'antivirus, car Windows interdit aux
programes de modifier les fichiers présents dans le répertoire
concerné. Faites un clic droit sur l'icône Poste de
travail du bureau Windows, choisissez Propriétés puis
suivez les manipulations détaillées dans cette
copie d'écran afin de cocher la case "Désactiver
la restauration du système". Pensez à rétablir
la restauration automatique du système après la désinfection.
Un virus indiqué par Secuser.com
ne figure pas dans la liste des virus détectés par
mon antivirus pourtant à jour, est-ce normal? Si une alerte vient tout juste d'être lancée
via Secuser
Alerte, il se peut que la définition du nouveau
virus ne soit pas encore disponible : patientez quelques minutes
ou quelques heures le temps que votre éditeur élabore
un antidote. Dans le cas contraire, vérifiez que le
virus n'est pas connu sous un autre nom chez votre éditeur
d'antivirus en effectuant une recherche
dans Secuser.com. Les éditeurs adoptent parfois des
noms différents pour le même virus, que vous
trouverez listés dans nos fiches virus dans la rubrique
"ALIAS".
Mon antivirus a détecté
un virus qui n'est pas référencé dans la liste
des virus de Secuser.com, est-ce normal? Les éditeurs d'antivirus adoptent parfois des noms
différents pour le même virus : vérifiez
tout d'abord que le virus n'est pas référencé
sur Secuser.com sous un autre nom en effectuant une recherche.
S'il s'agit d'un nouveau virus, ou d'un alias non indiqué
dans nos fiches, vous pouvez nous
écrire pour nous le signaler et nous envoyer le
cas échéant un exemplaire du message infecté.
Si vous souhaitez connaître les effets d'un virus détecté
par votre antivirus mais non encore référencé
par Secuser.com, consultez la documentation de votre antivirus
qui inclue généralement une encyclopédie
des virus.
Après avoir ouvert un fichier mon
antivirus a émis une alerte indiquant qu'il contenait un
virus. Mon ordinateur est-il contaminé? Si vous avez visualisé une telle alerte c'est que votre
antivirus est équipé d'un moniteur
qui veille en permanence sur votre système. L'accès
au fichier infecté a été bloqué avant
l'exécution du virus, donc votre ordinateur n'a pas été
contaminé : votre antivirus vous a simplement informé
du caractère malveillant du fichier concerné. Supprimez
ensuite le message infecté.
Que signifie Win32 ou W32 dans le nom
complet d'un virus (par exemple Win32/Sober.Y)? La présence de Win32 ou W32 dans le nom d'un virus signifie
que ce dernier concerne les systèmes d'exploitation Windows
développés pour les ordinateurs équipés
d'un processeur 32 bits, soit les versions des années
1995-2005 (dont Windows XP). Cette notation est utilisée
pour déterminer du premier coup d'oeil quel système
un virus est capable d'infecter. Dans notre exemple Win32/Sober.Y,
il est possible de conclure que le virus Sober.Y cible les versions
récentes de Windows, donc qu'il ne peut pas s'exécuter
sur des ordinateurs fonctionnant sous des versions anciennes (dont
Windows 3.1, système 16 bits) ni sous un système d'exploitation
différent (Apple, Linux, etc.).
Mon antivirus signale la présence
d'un virus nommé Exploit. IFrame. FileDownload mais ne peut
pas l'éliminer. Que faire? Exploit.IFrame.FileDownload (également HTML/IFrame_Exploit)
n'est pas un virus mais le nom donné par certains éditeurs
d'antivirus à une vulnérabilité des navigateurs
Internet Explorer 5.01 et 5.5 qui permet à un virus
de s'exécuter automatiquement au moment où l'utilisateur
d'Outlook ou Outlook Express tente d'ouvrir le message infecté
ou de le consulter au travers du volet de visualisation (voir
le bulletin de sécurité MS01-020).
Certains antivirus recherchent cette vulnérabilité
indépendamment des virus car sa détection peut
révéler la présence d'un virus ou d'un
autre malware
inconnu, donc non détecté par le moniteur
de l'antivirus. Pour corriger cette faille datant de mars
2001 et empêcher définitivement son exploitation,
les utilisateurs d'Internet Explorer doivent mettre à
jour leur logiciel via le service WindowsUpdate
ou en appliquant le Service
Pack correspondant à leur navigateur.
Mon antivirus affiche une alerte au virus
Bloodhound Packed ou Bloodhound Exploit. A quoi cela correspond-il? Bloodhound n'est pas le nom d'un virus mais de la technologie
de détection heuristique de l'éditeur Symantec.
Votre antivirus est donc a priori Norton Antivirus et il vous
signale avoir détecté un possible virus inconnu,
qu'il n'a pas dans sa base de signatures de virus mais dont
l'analyse du code laisse craindre qu'il s'agisse d'un programme
malveillant. A moins que vous ne soyez certain que ce soit
un fichier sain, il vaut mieux traiter ce fichier avec prudence,
mais il faut garder à l'esprit qu'il peut aussi s'agir
d'une fausse alerte. Si vous souhaitez connaître le
véritable nom du virus concerné, patientez quelques
jours le temps que sa signature soit disponible, mettez à
jour votre antivirus puis analysez à nouveau le fichier
suspect. S'il s'agit bien d'un nouveau virus, il devrait alors
être détecté sous son nom définitif.
Vous pouvez aussi utiliser notre antivirus
en ligne pour analyser le fichier suspect. Si vous obtenez
un message d'alerte "Bloodhound Packed" alors que
vous ne tentez d'ouvrir aucun fichier, vérifiez que
votre ordinateur est bien à jour dans ses correctifs
de sécurité en utilisant WindowsUpdate,
car il se peut qu'un virus tente d'infecter l'ordinateur en
exploitant une faille du système afin de s'exécuter
automatiquement et à votre insu pendant la connexion
Internet.
Mon antivirus détecte une menace
nommée DeadLink. Mon ordinateur est-il infecté? Si vous avez utilisé l'outil Damage Cleanup Service
(DCS) de l'éditeur Trend Micro, DeadLink n'est pas
un virus mais le nom générique donné
aux entrées de la base de registres de Windows inutiles
ou pointant vers des fichiers disparus, d'où le terme
de deadlink ("lien mort", en anglais). Votre ordinateur
n'est donc pas infecté. Vous pouvez par contre nettoyer
la base de registres et éviter des messages d'erreur
parasites en supprimant ces entrées inutiles, résultant
d'une probable désinstallation ou désinfection
incomplète.
Après avoir scanné mon disque j'ai trouvé
un virus "Joke". Comment s'en débarraser? Les "jokes" sont de faux virus. Ces programmes
simulent le comportement des virus (affichage d'une cascade
de boîtes de dialogue, déplacement du pointeur,
faux formatage, etc.) mais sont en réalité inoffensifs. Comme
leur nom le laisse entendre, ils sont conçus pour faire rire...
leur expéditeur. Pour vous en débarrasser, supprimez simplement
le fichier détecté comme étant une "joke" et au besoin redémarrez
votre ordinateur s'il est devenu instable.
Un message m'indique que mon ordinateur
est menacé par Backtera Virus ou Serwab. Est-ce sérieux?
A l'heure où nous écrivons il n'existe pas de
virus nommé Backtera. Le virus Serwab
n'a quant à lui pas connu de propagation importante,
n'est pas un virus destructeur et est bien détecté
par les antivirus. Ces deux noms de virus sont utilisés
par un éditeur douteux via des messages publicitaires
inquiétants ou de fausses alertes afin d'inciter les
internautes à télécharger un programme
nommé WinAntiVirusPRO 2006. Il ne faut pas tenir compte
de ces messages d'alerte et nous déconseillons même
vivement l'installation du programme concerné.
Mon logiciel anti-virus Kaspersky affiche
une alerte "Worm.Win32.Huhk.c". Mon ordinateur est-il
infecté?
Si la détection a eu lieu aux environs du 19/12/07 et concerne
le fichier explorer.exe, il s'agit certainement d'un faux positif
(fichier sain détecté à tort comme infecté
à cause d'une signature défectueuse). Ce faux positif
a été corrigé par Kaspersky : mettez à
jour ses signatures de virus puis recommencez l'analyse. Si le virus
Worms.win32 huhk.c n'est plus détecté, c'est qu'il
s'agissait bien d'un faux positif et donc que votre ordinateur n'était
pas infecté.
Mon logiciel anti-virus Avast affiche
une alerte "Win32:Ardamax-EL". Mon ordinateur est-il infecté?
Si la détection a eu lieu aux environs du 18/11/07 à
l'ouverture du logiciel Microsoft Access, il s'agit certainement
d'un faux positif (fichier sain détecté à tort
comme infecté à cause d'une signature défectueuse).
Ce faux positif a rapidement été corrigé par
Avast : mettez à jour ses signatures de virus (clic droit
sur son icône dans la barre des tâches > Mise à
jour > Mise à jour de la base virale) puis ouvrez à
nouveau Access. Si le troyen Win32:Ardamax-EL n'est plus détecté,
c'est qu'il s'agissait bien d'un faux positif et donc que votre
ordinateur n'était pas infecté.
Mon logiciel anti-spyware Spybot S&D
affiche une alerte "DSO Exploit". Mon ordinateur est-il
infecté?
Si votre anti-spyware est Spybot Search&Destroy, il s'agit
probablement d'une fausse alerte. Voir la fiche Artefact
DSO Exploit.
Dans une alerte il est question d'un virus
Worm.Somefool.Gen-1 ou Worm.Somefool.Gen-2 mais ce virus ne figure
pas dans votre liste. Worm.Somefool.Gen-1 et Worm.Somefool.Gen-2 ne sont pas réellement
des virus mais correspondent à une signature commune à
plusieurs virus de la famille Somefool/Netsky. Il s'agit en effet
d'une détection générique (d'où le "Gen")
destinée à limiter le nombre de mises à jour
de l'antivirus et à favoriser la reconnaissance de nouvelles
variantes comportant des caractéristiques similaires, donc
la même signature générique. En contrepartie,
ces variantes ne sont pas identifiées selon leur nom commun
(virus Netsky.B, Netsky.D, Netsky.P, etc.), à moins d'utiliser
un autre antivirus disposant des signatures spécifiques lui
permettant de reconnaître chaque variante du virus.
Une alerte m'indique que mon ordinateur
est infecté par CC/1000.B, que faire? Si votre antivirus est Antivir, il s'agit vraisemblablement
d'un faux
positif dans ses définitions de virus de janvier 2007,
une erreur qui fait que cet antivirus gratuit déclenche une
alerte alors qu'il analyse un fichier sain (notamment notepad.exe).
Ce faux positif a été rapidement corrigé :
mettez à jour vos définitions de virus puis recommencez
l'analyse du disque dur ou du fichier signalé comme infecté,
l'alerte CC/1000.B ne devrait plus apparaître.
Une alerte m'indique que mon ordinateur
est infecté par Backdoor.Blarul.A, que faire? Eliminez ce troyen en utilisant votre antivirus habituel
ou avec l'antivirus
gratuit AntiVir (rappel : une backdoor
n'est pas un virus et n'est donc pas capable de se répliquer
et d'infecter d'autres fichiers ou ordinateurs). ATTENTION
: Symantec, éditeur de Norton Antivirus, indique qu'un
faux
positif dans ses définitions de virus antérieures
au 24/02/04 fait que son antivirus peut déclencher
une alerte Blarul.A alors qu'il analyse un fichier sain. Les
utilisateurs de Norton doivent donc mettre à jour leurs
définitions de virus avant de supprimer tout fichier
détecté comme étant Backdoor.Blarul.A.
Quelle est la politique de Secuser.com
en matière d'annonce de virus? Il existe plusieurs dizaines de milliers de virus et plusieurs
milliers de virus sont actuellement en circulation. Plusieurs centaines
de nouveaux virus sont identifiés chaque mois, mais la majorité
ne quittent pas les laboratoires des éditeurs ou ne connaissent
pas de propagation significative. La médiatisation de ces virus
constitue par contre pour leur auteur une véritable récompense
(lire notre interview
de l'auteur du virus Perrun) qui les encourage à en créer de
nouveaux et détourne les internautes des vraies menaces, alors même
qu'il suffit de respecter quelques
règles simples pour se protéger contre tous les virus. Nous
avons donc choisi d'opter pour une information indépendante et objective,
plutôt que de diffuser les communiqués de presse des éditeurs d'antivirus,
qui ont un intérêt économique évident à faire parler d'eux et de
leurs produits. Nous surveillons ainsi en permanence Internet et
avertissons nos abonnés via la liste
gratuite Secuser Alerte de l'existence des menaces majeures
qu'ils ont un risque significatif de rencontrer. Si vous recevez
un virus inconnu, n'hésitez pas également à nous
en informer.