FAQ Virus

Les FAQs, ou foires aux questions, dont des listes de questions/réponses les plus courantes qui permettent aux internautes de trouver rapidement une solution à leur problème dans le cas d'une question fréquemment posée.

Comment se protéger efficacement contre les virus?
Se protéger des virus nécessite de respecter quelques conseils simples : appliquez les correctifs de vos logiciels dès qu'ils sont disponibles (afin d'empêcher les virus d'utiliser une faille pour faciliter leur propagation ou contourner les dispositifs de sécurité), installez un antivirus et mettez-le régulièrement à jour (sinon il ne sera pas efficace contre les nouveaux virus) et restez prudent face à toute pièce jointe ou à tout fichier d'origine non sûre (il peut contenir un virus inconnu ou non détecté). Vous trouverez plus de détails dans notre fiche complète. Ces recommandations ne comportent pas de difficulté particulière : il faut simplement prendre le temps de les intégrer à ses habitudes d'utilisation et ensuite on les applique sans même y penser!

Des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
Si vous recevez des messages infectés c'est parce qu'au moins un de vos correspondants est contaminé : le virus aura probablement trouvé votre adresse dans son carnet d'adresses et se sera envoyé automatiquement à tous ses contacts, dont vous-même. Pour arrêter cela, il faut prévenir votre correspondant pour qu'il analyse son disque dur avec un antivirus à jour ou avec un utilitaire de désinfection gratuit si vous avez identifié le nom du virus. La plupart des virus récents pratiquent l'usurpation d'identité afin de vous empêcher de retrouver la personne infectée : ils s'envoient en utilisant comme adresse d'expéditeur une adresse falsifiée ou celle d'un contact innocent figurant dans le carnet d'adresses de la personne infectée. Dans ce cas, si vous recevez un grand nombre de messages infectés ou si vous souhaitez absolument faire quelque chose vous pouvez tenter de prévenir une fois (et une seule) l'ensemble de vos correspondants pour leur demander de vérifier leur disque dur avec un antivirus à jour afin que la personne infectée puisse supprimer de son ordinateur le virus qui vous bombarde de messages.

Une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
Certains antivirus envoient automatiquement un message d'alerte à l'adresse d'expéditeur d'un courriel infecté, qui est supposée être celle de l'internaute dont l'ordinateur est contaminé. Utile il y a encore quelque temps, cette fonctionnalité est obsolète car la plupart des virus se propagent désormais en utilisant comme adresse d'expéditeur une fausse adresse spécialement forgée pour l'occasion, voire l'adresse d'un contact innocent figurant dans le carnet d'adresses de la personne infectée. Aujourd'hui, si vous recevez ce type d'alerte, c'est donc le plus souvent parce que l'ordinateur d'un internaute ayant votre adresse sur son disque dur est infecté : avertissez le cas échéant vos plus proches correspondants en leur recommandant de vérifier leur disque dur avec un antivirus à jour. Si vous êtes administrateur d'une passerelle antivirus, désactivez l'envoi d'un message d'alerte à l'adresse d'expéditeur d'un courriel infecté car, outre la confusion chez nombre de destinataires, ces messages sont responsables d'une partie non négligeable de la hausse de trafic observée en cas d'épidémique de virus de messagerie.

Mon antivirus signale qu'un fichier infecté est "uncleanable" et refuse de le nettoyer. Que faire?
Un fichier infecté indiqué "uncleanable" (non nettoyable) doit être supprimé : utilisez pour cela le bouton "Supprimer" ou "Delete" de l'antivirus. Cela arrive principalement lorsque le fichier concerné est le virus ou le troyen lui-même : par définition vous ne pouvez pas le nettoyer autrement qu'en le supprimant. Attention : si le fichier supprimé était un fichier sain qui a été infecté il faut ensuite le restaurer à partir du CD-Rom de l'application auquel il appartient, ou bien procéder à la réinstallation de l'application concernée.

Mon antivirus refuse de supprimer un fichier infecté parce qu'il est en cours d'utilisation ("Can not access"). Comment procéder?
Dans ce cas il faut supprimer le fichier manuellement. Notez le nom et l'emplacement du fichier et faites Ctrl + Alt + Suppr pour accéder au Gestionnaire des tâches (sous Windows NT/2000/XP) afin de terminer le processus correspondant au fichier OU redémarrez Windows en mode sans échec. Supprimez ensuite le fichier concerné comme habituellement. Si les fichiers infectés indiqués en cours d'utilisation sont nombreux vous pouvez profiter du mode sans échec pour scanner le disque dur avec votre antivirus. Attention : si le fichier supprimé était un fichier sain infecté sans pouvoir être nettoyé il faut ensuite le restaurer à partir du CD-Rom de l'application auquel il appartient, ou bien procéder à la réinstallation de l'application concernée.

Mon antivirus m'indique ne pas pouvoir désinfecter le répertoire C:\RESTORE. Comment faire pour éliminer complètement les virus?
Il faut désactiver la restauration automatique du système avant de scanner l'ordinateur avec l'antivirus, car Windows interdit aux programes de modifier les fichiers présents dans le répertoire concerné. Faites un clic droit sur l'icône Poste de travail du bureau Windows, choisissez Propriétés puis suivez les manipulations détaillées dans cette copie d'écran afin de cocher la case "Désactiver la restauration du système". Pensez à rétablir la restauration automatique du système après la désinfection.

Un virus indiqué par Secuser.com ne figure pas dans la liste des virus détectés par mon antivirus pourtant à jour, est-ce normal?
Si une alerte vient tout juste d'être lancée via Secuser Alert, il se peut que la définition du nouveau virus ne soit pas encore disponible : patientez quelques minutes ou quelques heures le temps que votre éditeur élabore un antidote. Dans le cas contraire, vérifiez que le virus n'est pas connu sous un autre nom chez votre éditeur d'antivirus en effectuant une recherche dans Secuser.com. Les éditeurs adoptent parfois des noms différents pour le même virus, que vous trouverez listés dans nos fiches virus dans la rubrique "ALIAS".

Mon antivirus a détecté un virus qui n'est pas référencé dans la liste des virus de Secuser.com, est-ce normal?
Les éditeurs d'antivirus adoptent parfois des noms différents pour le même virus : vérifiez tout d'abord que le virus n'est pas référencé sur Secuser.com sous un autre nom en effectuant une recherche. S'il s'agit d'un nouveau virus, ou d'un alias non indiqué dans nos fiches, vous pouvez nous écrire pour nous le signaler et nous envoyer le cas échéant un exemplaire du message infecté. Si vous souhaitez connaître les effets d'un virus détecté par votre antivirus mais non encore référencé par Secuser.com, consultez la documentation de votre antivirus qui inclue généralement une encyclopédie des virus.

Après avoir ouvert un fichier mon antivirus a émis une alerte indiquant qu'il contenait un virus. Mon ordinateur est-il contaminé?
Si vous avez visualisé une telle alerte c'est que votre antivirus est équipé d'un moniteur qui veille en permanence sur votre système. L'accès au fichier infecté a été bloqué avant l'exécution du virus, donc votre ordinateur n'a pas été contaminé : votre antivirus vous a simplement informé du caractère malveillant du fichier concerné. Supprimez ensuite le message infecté.

Mon antivirus signale la présence d'un virus nommé Exploit. IFrame. FileDownload mais ne peut pas l'éliminer. Que faire?
Exploit.IFrame.FileDownload (également HTML/IFrame_Exploit) n'est pas un virus mais le nom donné par certains éditeurs d'antivirus à une vulnérabilité des navigateurs Internet Explorer 5.01 et 5.5 qui permet à un virus de s'exécuter automatiquement au moment où l'utilisateur d'Outlook ou Outlook Express tente d'ouvrir le message infecté ou de le consulter au travers du volet de visualisation (voir le bulletin de sécurité MS01-020). Certains antivirus recherchent cette vulnérabilité indépendamment des virus car sa détection peut révéler la présence d'un virus ou d'un autre malware inconnu, donc non détecté par le moniteur de l'antivirus. Pour corriger cette faille datant de mars 2001 et empêcher définitivement son exploitation, les utilisateurs d'Internet Explorer doivent mettre à jour leur logiciel via le service WindowsUpdate ou en appliquant le Service Pack correspondant à leur navigateur.

Mon antivirus affiche une alerte au virus Bloodhound Packed ou Bloodhound Exploit. A quoi cela correspond-il?
Bloodhound n'est pas le nom d'un virus mais de la technologie de détection heuristique de l'éditeur Symantec. Votre antivirus est donc a priori Norton Antivirus et il vous signale avoir détecté un possible virus inconnu, qu'il n'a pas dans sa base de signatures de virus mais dont l'analyse du code laisse craindre qu'il s'agisse d'un programme malveillant. A moins que vous ne soyez certain que ce soit un fichier sain, il vaut mieux traiter ce fichier avec prudence, mais il faut garder à l'esprit qu'il peut aussi s'agir d'une fausse alerte. Si vous souhaitez connaître le véritable nom du virus concerné, patientez quelques jours le temps que sa signature soit disponible, mettez à jour votre antivirus puis analysez à nouveau le fichier suspect. S'il s'agit bien d'un nouveau virus, il devrait alors être détecté sous son nom définitif. Vous pouvez aussi utiliser notre antivirus en ligne pour analyser le fichier suspect.

Après avoir scanné mon disque j'ai trouvé un virus "Joke". Comment s'en débarraser?
Les "jokes" sont de faux virus. Ces programmes simulent le comportement des virus (affichage d'une cascade de boîtes de dialogue, déplacement du pointeur, faux formatage, etc.) mais sont en réalité inoffensifs. Comme leur nom le laisse entendre, ils sont conçus pour faire rire... leur expéditeur. Pour vous en débarrasser, supprimez simplement le fichier détecté comme étant une "joke" et au besoin redémarrez votre ordinateur s'il est devenu instable.

Dans une alerte il est question d'un virus Worm.Somefool.Gen-1 ou Worm.Somefool.Gen-2 mais ce virus ne figure pas dans votre liste.
Worm.Somefool.Gen-1 et Worm.Somefool.Gen-2 ne sont pas réellement des virus mais correspondent à une signature commune à plusieurs virus de la famille Somefool/Netsky. Il s'agit en effet d'une détection générique (d'où le "Gen") destinée à limiter le nombre de mises à jour de l'antivirus et à favoriser la reconnaissance de nouvelles variantes comportant des caractéristiques similaires, donc la même signature générique. En contrepartie, ces variantes ne sont pas identifiées selon leur nom commun (virus Netsky.B, Netsky.D, Netsky.P, etc.), à moins d'utiliser un autre antivirus disposant des signatures spécifiques lui permettant de reconnaître chaque variante du virus.

Une alerte m'indique que mon ordinateur est infecté par Backdoor.Blarul.A, que faire?
Eliminez ce troyen en utilisant votre antivirus habituel ou avec l'antivirus gratuit AntiVir (rappel : une backdoor n'est pas un virus et n'est donc pas capable de se répliquer et d'infecter d'autres fichiers ou ordinateurs). ATTENTION : Symantec, éditeur de Norton Antivirus, indique qu'un faux positif dans ses définitions de virus antérieures au 24/02/04 fait que son antivirus peut déclencher une alerte Blarul.A alors qu'il analyse un fichier sain. Les utilisateurs de Norton doivent donc mettre à jour leurs définitions de virus avant de supprimer tout fichier détecté comme étant Backdoor.Blarul.A.