Auteur(s) : Jaime Création : 07/07/2009 Mise à jour : 22/09/2009

 

Antivirus Firewall Orange/Securitoo
Version 6

Analyse manuelle,
antivirus, antispyware, et antirootkit.

Rappel

Dans les Paramètres avancés \ Protection Virus et Spywares \ Analyse manuelle, ne cochez pas "Analyser tous les fichiers" pour un simple contrôle.

Dans certains cas ce paramétrage peut doubler le nombre de fichiers à analyser.
Il nous a été transmis des rapports d’analyse avec plus de 200 000 fichiers analysés (bien écrit deux cent mille !). Alors qu’une analyse complète porte en moyenne sur 100 000 fichiers. L’utilisateur qui nous avait transmis ce rapport se plaignait de la longueur de l’analyse, que parfois sa machine se bloquait (figeait), et qu’il était obligé de couper le courant électrique.

Pour lancer une analyse

Deux possibilités :

Soit en ouvrant l'Antivirus Firewall, cliquez sur Protection virus et spywares, puis sur "Analyser mon ordinateur".

Soit par clic droit sur l’icône qui se trouve dans la zone de notification, puis sur "Protections virus et spywares".

Nous avons cinq propositions :

1) Analyser la cible
Une fenêtre s’ouvre, elle permet de naviguer dans l’Explorateur Windows pour sélectionner le fichier à analyser.

2) Analyser les disques durs
Lance une analyse complète.

3) Recherche rapide de programmes malveillants
C’est une analyse antispyware, logiciel espion.
Voir ce tutoriel : http://astucexp.over-blog.fr/article-10934235.html

4) Analyse rapide du rootkit
Un rootkit est un fichier qui s’installe comme un fichier système, (de root = racine et kit = équipement ou trousse).
Voir ce tutoriel : http://astucexp.over-blog.fr/article-10730656.html

5) Effectuer analyse complète de l’ordinateur
Lance une analyse totale de la machine.

Analyse d'un fichier

Pour analyser un seul fichier, intéressant lorsqu’on télécharge un fichier que l’on ne connaît pas afin de s’assurer qu’il est sain.
Ou lorsque nous recevons un message électronique avec pièce jointe d’un expéditeur que nous ne connaissons pas.

Cherchez dans l’Explorateur Windows le fichier à analyser.
Clic bouton droit dessus, et dans le menu contextuel cliquez sur "Recherche de virus et de spyware dans..."

Toutes ces analyses se font en cinq étapes, la dernière donne le rapport d’analyse.

cliquez sur le bouton Afficher le rapport pour le consulter, et voir l’action effectuée en cas d'infection.

Vous avez un virus

Choix lors d'une détection

En temps réel

Dans cette alerte en temps réel, il est conseillé par défaut "Nettoyer (recommandé)".

Par précaution, et surtout si vous hésitez, choisissez toujours la mise en quarantaine en cochant "Quarantaine".
Vous pourrez toujours restaurer en cas de faux positif, ou si l'une de vos applications rencontre un problème.

L'objet détecté sera neutralisé. Cela vous vous laissera tout le temps pour demander conseil sur un forum.

Le chapitre "Solliciter une aide sur un forum" ci-dessous vous indiquera les informations à transmettre pour obtenir une aide efficace.

Lors d'une analyse manuelle ou programmée

Dans cette alerte, l'action par défaut est "Nettoyer".

Par précaution, et surtout si vous hésitez, choisissez toujours la mise en quarantaine en cochant "Quarantaine".
Vous pourrez toujours restaurer en cas de faux positif, ou si l'une de vos applications rencontre un problème.

L'objet détecté sera neutralisé. Cela vous vous laissera tout le temps pour demander conseil sur un forum.

Le chapitre "Solliciter une aide sur un forum" ci-dessous vous indiquera les informations à transmettre pour obtenir une aide efficace.

Si vous n'avez pas fait de choix (action par défaut)

En temps réel

Si vous avez choisit l’action par défaut dans une Analyse en temps réel, et que vous avez eu une alerte "L’objet n’a pas pu être nettoyé …….. " avec dans le cadre soit "Objet renommé" ou "Echec", cela ne signifie pas que l’objet n’a pas été traité et qu’il peut être encore dangereux. Un objet renommé ne peut plus s’exécuter, il n’est plus actif.

L’action de renommer un objet renomme l’extension, exemple ".exe" par ".0xe", .dll par .0ll, etc.
(le chiffre zéro et non la lettre O).

Il se peut aussi que l’objet se trouve dans une archive, et qu’il ne puisse pas être nettoyé. Tant que l’objet est dans une archive il n’est pas dangereux.

Lors d'une analyse manuelle

Dans une analyse manuelle, vous pouvez avoir cette information "Certains éléments (1) n’ont pas pu être nettoyés", même cause, même effet.

Cela vous vous laissera tout le temps pour demander conseil sur un forum.

Le chapitre "Solliciter une aide sur un forum" ci-dessous vous indiquera les informations à transmettre pour obtenir une aide efficace.

Si le conseil est de réparer manuellement, il va falloir dans l’Explorateur Windows retrouver l’objet en suivant le chemin que donne le "Rapport d’analyse", en ayant réglé "Voir tous les fichiers et leurs extensions", soit supprimer manuellement l’objet, soit renommer l’extension.

Attention on ne fait pas n'importe quoi. Majuscules/minuscules importe peu mais le nom des objets doit être exact ainsi que les extensions.

Solliciter une aide sur un forum

Vous sollicitez de l'aide sur un forum.
Voici deux astuces qui pourront parfois vous aider.

Si vous pouvez accéder au rapport d'analyse

Une astuce qui parfois peut vous aider à obtenir une aide plus efficace :
Dans Protection virus et spyware, cliquez sur "Afficher..." (en bleu et souligné), même s'il est noté "Aucun nouveau rapport", ouvrez-le.
Le rapport d’analyse s’ouvre dans votre navigateur par défaut, IE ou Firefox.
Transmettez l'intégralité de ce rapport sur le forum.

Exemple de rapport ci-contre.

Avec ce rapport nous connaissons :
- le nom exact de la bestiole :
Trojan-Downloader.Win.32.Zlob.bng (virus).
- son chemin : D:\setup.exe.
- l’action effectuée  : renommé.

Ce que vous devez faire en plus et nous transmettre :
Cliquez sur le nom de la bête en bleu et souligné, une page de F-Secure s’ouvre, communiquez-nous l'adresse de cette page.
Pour cette bête Trojan-Downloader.Win.32.Zlob.bng (virus), voici le lien obtenu en ayant cliqué dessus :
http://www.f-secure.com/v-descs/trojan-downloader.shtml

Nous connaissons ainsi tout sur la bête, comment la supprimer automatiquement ou manuellement, et qu’il existe un outil pour la supprimer.
Egalement le fichier que vous devriez chercher sur le disque dur C:\ WINDOWS \ ABC.EXE en cas de suppression "manuelle".
Cette page est en anglais, si vous ne comprenez pas l’anglais il y aura toujours quelqu’un qui pourra la lire et donner des consignes.

Si vous ne pouvez plus accéder au rapport d'analyse

Par précaution ou crainte, vous avez refait une analyse.
Le nouveau Rapport d’analyse a écrasé le précédent. Vous ne pouvez donc plus accéder au rapport initial.

Si l’objet trouvé se trouve encore en Quarantaine, voici ce que vous devez faire.

Ouvrez Antivirus Firewall

Cliquez à gauche sur "Protection virus et spyware".

A "Eléments mis en quarantaine", cliquer à droite sur "Configurer…".

Une fenêtre s’ouvre, c'est la Quarantaine.

Naviguez dans les onglets, "Virus", "Spywares" et "Programmes à risque", pour trouver l’élément mis en quarantaine.

On voit le nom de la bestiole en bleu et souligné.
Transmettez-nous le nom exact, sans oublier les points ou espaces.

Cliquez dessus, comme pour le Rapport d'analyse, une page de F-Secure s’ouvre, transmettez-nous le lien.

Exemple pour cette bestiole :

Le nom exact : Trojan-Downloader.Win.32.Zlob.bng

l’objet étant le même, comme pour le rapport d’analyse, le lien obtenu sur F-Secure est le même :
http://www.f-secure.com/v-descs/trojan-downloader.shtml

idem nous connaissons tout sur elle.

Il se peut aussi que ce soit une page neutre.

Par exemple (en mini lien) : http://tinyurl.com/musx45

Transmettez-nous quand même ce lien, puisqu’il donne sur le moteur de recherche de F-Secure.
Une simple modification du nom pourrait nous permettre d’arriver sur la bonne page.

Si le lien de F-Secure donne le même conseil que celui-ci :

http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml
cela signifie qu’une de vos application a un comportement se rapprochant d’un rogue, logiciel crapuleux, s’inscrivant dans le registre ou la liste de démarrage.

Si dans le rapport d’analyse vous avez "ECHEC", la raison en est que dans le "Contrôle du système", bouton "Applications" elle est "Autoriser".
Ce contrôle exécute la consigne que vous avez donnée. Aucun logiciel crapuleux ne s’inscrit automatiquement dans cette liste si vous ne l’avez pas "Autoriser", parfois ignorant le danger ou ne sachant qu’elle décision prendre lors des alertes en temps réel.

Dans le lien de F-Secure il est conseillé d’analyser ce ou ces fichiers sur "VirusTotal". Le lien en français :
http://www.virustotal.com/fr/

Pour cela il va falloir désactiver le "Contrôle du système" en le décochant, le temps de l’analyse et de toutes les vérifications que vous allez faire.
Il risque de refuser ou bloquer une suppression si nuisible. Il exécute la consigne qui lui a été donnée.

Après analyse sur VirusTotal :

1) - Si le résultat de l’analyse est correct, ne touchez à rien, fausse détection. Par précaution complémentaire prenez conseil dans un forum.

Si le conseil sur un forum confirme une fausse détection, mettez ce ou ces fichiers en exclusion d’analyse, voir comment : http://astucexp.over-blog.fr/article-12260112.html

2) - Si le résultat est un rogue, logiciel crapuleux confirmé par un forum ; vous pouvez le supprimer sans problème.

Lorsque le rogue aura été supprimé, soit par l’antivirus lui-même, ou par un autre logiciel de sécurité, et si son inscription apparaît dans le "Contrôle du système", bouton "Applications", il faut la "Supprimer" manuellement, voir plus bas à Contrôle des applications.

Dans les deux cas il faut penser à réactiver le "Contrôle du système" pour une protection optimale.

"Supprimer" ou "Restaurer" la quarantaine

Suivant le conseil qui vous aura été donné sur un forum, il suffit de sélectionner l’élément dans la Quarantaine avec la souris.
Cliquez dans la colonne "Chemin", puis en bas sur le bouton "Supprimer" ou "Restaurer".
Ne cliquez pas sur le nom de l’élément dans la colonne "Nom du programme malveillant", puisque cette action ouvre une page de F-Secure.

Suppression

Une demande de confirmation suivra "Souhaitez-vous vraiment supprimer l’élément sélectionné ? ", cliquer sur le bouton "OK"

Restauration

Tout se fait automatiquement avec cette information "Le programme malveillant mis en quarantaine a été restauré avec succès." Cliquez sur "OK".

Quitter la quarantaine

Il suffit de cliquer sur le bouton "Fermer".

Fichiers non analysés

Deux exemples :

Erreur d'ouverture du fichier

Erreur d'ouverture du fichier (cliquez ici pour plus d’infos) C:\PAGEFILE.SYS

Ce sont des fichiers utilisés par Windows, et qui ne peuvent pas être analysés, ouverts.

- pour C:\hiberfil.sys. : http://www.faqxp.com/f/29.asp

- pour C:\pagefile.sys. : http://www.commentcamarche.net/faq/sujet-952-windows-fichier-pagefile-sys

Ce sont des fichiers cachés, voir sur ce site à la rubrique «Bases» ---- > Voir tous les fichiers.
C’est le point : Point 3 - Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui".
Ne touchez surtout pas, c’est seulement par curiosité, et pensez à remettre par défaut le Point 3.

Analyse interrompue

L'analyse de D:\Logiciel\Securité\install_avfw612.exe a été interrompue. [F-Secure AVP]

Ce sont des fichiers trop volumineux pour être analysés, le fichier "install_avfw612.exe" est celui qui a été utilisé pour installer cet antivirus, sa taille est de 61 041 Ko.

Vous aurez aussi cette information lorsque des logiciels de sécurité, Spybot - Search & Destroy ou WindowsDefender (pour ceux qui ont Vista) ont mis une bestiole en quarantaine. Ces dossiers ont souvent le nom de "Recovery" et sont souvent cryptés, la bestiole y est inactive.

De même pour les dossiers compressés (archives) trop volumineux. Sans oublier les fichiers ou dossiers cryptés.

Conseils pratiques pour l'analyse

Si vous faites une analyse parce que vous pensez avoir une bestiole, dans ce cas oui il faut analyser tous les fichiers.
Surtout si vous faites une analyse antispyware ou antirootkit.
Voir dans Paramètres avancés \ Protection Virus et Spywares \ Analyse manuelle.

Pendant une analyse complète pensez à fermer toutes les applications dont vous n’avez pas besoin.
Une analyse complète prend des ressources importantes.

Pour tous vos documents personnels, photos, documents Word ou autres, etc. … dont vous êtes certains de leurs origines, mettez-les en exclusion d’analyse.
Voir ce tutoriel : http://astucexp.over-blog.fr/article-12260112.html

L’utilisateur signalé plus haut, après avoir mis plusieurs dossiers en exclusion d’analyse, et ne pas avoir coché tous les fichiers à analyser, dans une analyse planifiée avait un peu plus de 100 000 fichiers analysés dans un rapport, d'où gain de temps.

Contrôle des applications

Alerte et prise de décision

Si vous avez le type d’alerte ci-contre.

Cliquez sur le bouton "Détails >>" une seconde fenêtre s’ouvre.

Dans le cadre "Détails techniques" nous trouvons

- le Nom de l’objet

- son Chemin

- son action ou Opération

- les Données

- la Clé du registre que l’objet tente de modifier

- et le Total risque ; ce point est à consulter avant de prendre une décision.

Ici le risque est Faible (0/100), ce pourcentage est important à connaître, il vous permet de prendre une décision sans risque.

Le critère conseillé :
- Moins de 50/100

Peu de risque d’approuver l’application en laissant coché la case "Ne plus afficher ce message pour ce programme".

- Entre 50/100 et 75/100

Si vous connaissez le programme, mais que vous ignorez le danger potentiel, vous pouvez prendre le risque d’approuver, sans cocher "Ne plus afficher ce message pour ce programme". Cela vous permet de demander conseil sur un forum, en donnant tous les renseignements figurants dans le cadre "Détails techniques" de la seconde fenêtre.
Suivant les conseils du forum, vous pourrez "Autoriser" ou "Refuser" dans la fonction "Applications", voir "Comment réparer" ci-dessous.

- Entre 75/100 et 90/100

Cochez "Je n’approuve pas l’application. Bloquer l’opération", sans cocher la case "Ne plus afficher ce message pour ce programme", ce qui permet après avoir pris conseil, de l’ "Autoriser" ou la "Refuser".
(Je pense à la grande période de Navipromo, nous avions la même alerte avec des indications différentes, avec un risque de 90/100).

- Plus de 90/100

Cochez "Je n’approuve pas l’application. Bloquer l’opération" en laissant coché "Ne plus afficher ce message pour ce programme" en attendant conseil.

Alerte application bloquée

Cette fenêtre doit être fermée rapidement cliquez sur OK.
Toute autre action avec la souris ou le clavier est bloquée tant quelle n’est pas fermée.

Elle est suivie d’une autre alerte de votre antivirus signalant une application bloquée :

Plusieurs causes :

1) Vous avez eu l'alerte ci-dessus de ce Contrôle, vous avez refusé, par crainte d’une bestiole ou par manque d’expérience.
Il suffit de réparer.

2) Par le Contrôle des applications, c’est bien souvent une bestiole qui a été bloquée, ou même supprimée par une solution de sécurité. Ce n’est pas grave, mais il va falloir nettoyer cette inscription dans le Contrôle des applications.

3) Par le système lui-même.

Comment réparer.

Allez dans les Paramètres avancés / Protection Virus et Spywares / Analyse en temps réel --> Onglet Contrôle du système, tout en bas cliquez sur le bouton "Applications".

Une fenêtre va s’ouvrir, agrandissez-la avec la souris en tirant sur les bords droit et gauche, agrandissez les colonnes avec la souris, en tirant sur le tiret qui se trouve entre Application | Chemin | Permission | Ajouté | Type |

Cliquez sur la colonne "Permission" pour classer les Applications signalées "Autoriser" ou "Refuser", ainsi on trouve plus rapidement celle qui pose problème.

Sélectionnez-la avec la souris, elle est bleutée.

Cliquez sur le bouton Détail, la fenêtre qui suit va s'ouvrir.

Dans cette fenêtre on peut modifier, dans le cadre "Application" on peut lire son chemin complet et des informations sur la version.
Dans le cadre "Permission" nous pouvons modifier en cochant "Autoriser".
Cliquez sur OK.

Ceci n'est à effectuer que si vous êtes certain que l’Application qui a été refusée n’est pas un nuisible. Et que vous savez ce que vous faites.

Si vous êtes certain que c’est une bestiole qui a été nettoyée par un antispyware autre que l’intégré, vous pouvez supprimer cette inscription, sélectionnez-la et cliquez sur le bouton "Supprimer" en bas à droite.

Si vous avez supprimé autre-chose, ce n’est pas grave. Lorsque cette application sera utilisée à nouveau elle se réinscrira sans problème dans ce Contrôle. Vous aurez alors les mêmes alertes. Cette fois, cliquez au milieu de la fenêtre sur "Autoriser l'application..." en bleu souligné.
Donc aucun risque si vous avez supprimé quelque-chose par mégarde.

Si tous les champs d’un objet sont grisés dans la fenêtre de Détail, vous pouvez supprimer cette inscription.
C'est souvent le système lui-même qui a bloqué.

Si malgré cette suppression le blocage persiste, la seule et unique solution est de désinstaller cet antivirus et le réinstaller.
Voir onglet FAQ et onglet Installation.

Alerte.

Bloquer volontairement une application

Une utilité de ce panneau :
Je déteste une application qui se lance au démarrage de la machine sans pouvoir l'interdire dans ses options.
Exemple, le dictionnaire d’Encarta. J’avais beau le désactiver de la liste de démarrage (avec Spybot - Search & Destroy par exemple), il suffisait que je lance Encarta, pour que le dictionnaire s'y réinscrive. Et aucun réglage dans Encarta pour supprimer ce paramétrage ! C’est donc dans ce panneau que j’ai refusé ce lancement. Voici le résultat :

Terminé ! Ce dictionnaire ne se réinscrit plus dans la liste de démarrage de la machine.

Pour cela on sélectionne l’application, on clique sur le bouton "Détails", une fenêtre s’ouvre, et on sélectionne "Refuser".

Nettoyage du Contrôle

Parfois lorsqu’on installe une application, elle dépose ses fichiers temporaires dans un dossier Temp.

Si c’est une application légale, connue par ce contrôle, il l’autorisera. Sans effacer cette inscription.

Pour les trouver facilement, cliquer en haut sur Chemin, et toutes inscriptions qui se trouvent dans un dossier Temp sont regroupées.

Il suffit de les sélectionner, et de les supprimer.

Cas de Vista

Sur Vista même procédure si vous l’utilisez en mode Administrateur, voir dans l’onglet Installation.
Sans ce réglage vous risquez d’avoir les fenêtres intempestives de l’UAC.

 


<< Installation << Réglages

Annexe et FAQ >>

 

Jesses Entraide. Création 03/2005