Remonter un Faux Positif à Avira.

Tutoriel / Guide d'aide sur l'utilisation des antivirus

Modérateur : Mods Windows

Engil Hramn

Remonter un Faux Positif à Avira.

par Engil Hramn »

Tutorial: Uploader un faux positif à Avira


Il se peut, qu'après une mise à jour de votre antivirus, Avira Antivir détecte un fichier comme infectieux, alors que vous n'avez rien fait de précis.
Il s'agit peut être d'un faux positif.
Un faux positif, concrètement, est une erreur de l'antivirus dans la détection d'un fichier:
Il déclare un fichier mauvais, à tort, et il cherche à le supprimer.
Bien que ce genre d'événement soit rare, l'évolution des technologies antivirales pousse les Antivirus à être de plus
en plus agressifs et sensibles aux infections, ce qui leurs provoque parfois des excès de zèle, et donc des détections hasardeuses ...
L'antivirus n'est pas un outil parfait, et ces faux positifs le prouvent.

1-| Que faire en cas de faux positif ?

Il est, tout d'abord utile de rester calme, et de faire appel à son bon sens:
SI la détection survient, alors que vous n'avez rien installé, que vous ne faites pas n'importe quoi sur internet, et que cette alerte surgisse juste après une update de l'antivirus, il se peut que ce soit un faux positif.
Dans ce cas, il y a de bons réflexes à avoir:
  1. Bien lire ce que le message vous dit : regarder quel fichier est détecté, et quel est son emplacement :
    Si le fichier vient d'une application sûre (une application de gravure, de bureautique...), c'est certainement un faux positif.
  2. Ne pas céder à la panique : il est ridicule de vouloir immédiatement supprimer le fichier détecté...
    Si c'est un fichier système, vous risquez de mettre en péril votre Windows dans le pire des cas.
    Laissez simplement la boite de dialogue d'antivir tranquille, le fichier ne s'exécutera pas pour autant, et ça vous laissera donc le temps de faire des recherches sur google ou de nous poser la question sur le forum. ;)
  3. Investiguez !Une recherche sur Google, ProcessLibrary ou SystemLookup vous permettra de déterminer si le fichier est infectieux où nom, en se basant sur son nom et son emplacement.
    De même, en cas de détection sur un fichier système ou autre, scannez le sur VirusTotal :
    Si d'autres antivirus détectent le fichier comme infectieux, celui ci est alors effectivement infecté, si il n'y a
    qu'antivir qui montre signe d'hostilité, c'est sans doute que c'est un faux positif.

II-| Comment uploader un fichier chez Avira pour faire remonter le faux positif ?


Rendez vous sur cette page:
http://analysis.avira.com/samples/index.php

Remplissez les champs comme indiqué sur l'image suivante:

Image

Donnez des informations exactes, un mail exact également (pour avoir la confirmation du faux positif).

Il vous faudra également rédiger uncourt message en anglais (ou en allemand ;)) afin d'expliquer le problème.
Il n'est pas nécessaire d'avoir un très grand niveau en anglais.
Si vous le voulez, vous pouvez vous inspirer du message que j'utilise comme exemple. (attention, on adaptera bien au sujet. Je parle dans le message d'un logiciel bureautique (office software), cela ne convient pas à propos d'un fichier de Nero par exemple ;))
Hello,
Today, after the update of my antivirus: Avira Free Edition, the scanner detect the following file as a malware:
c:/le/fichier/en/question.
But, this is only a file from my office software, i think it's a false positive because this software run on my pc for a long time ago...
Could you analyze my file please ?

Regards.
Soyez sûr de bien sélectionner l'option « Suspicious False Positive » également.
Cliquez sur parcourir afin de donner le chemin de votre fichier, qui sera envoyé pour analyse.
Une fois le tout bien rédigé, cliquez sur le bouton Send... et voilà.
Il ne vous reste plus qu'à attendre un mail de confirmation de la part d'Avira, et le faux positif sera corrigé.


III-| Et si j'ai supprimé le fichier, je fait comment ?

Il vous suffit pour cela de le sortir de la quarantaine d'Antivir:

En effet, par défaut Antivir ne supprime pas les fichiers mais les place en quarantaine, ce qui permet de facilement les récupérer en cas de faux positif ou autre.
  • Lancez l'interface principale d'antivir.
  • Cliquez sur Administration, puis Quarantine/Quarantaine.
  • Sélectionnez alors le fichier en question dans la liste qui s'ouvre
  • Cliquez sur l'icône de restauration. (la troisième icône au dessus de la liste.)
Image


Notez qu'il est inutile de vouloir vider la quarantaine...
Les virus y restent et ça ne coûte rien des les y laisser. (sauf de l'espace disque... et encore)
Il est donc très important de garder la tête froide en cas de détection... si c'est un fichier Windows par exemple, votre peur peut vous conduire au reformatage.

Une petite FAQ sur les quarantaines. : http://forum.malekal.com/faq-la-quarant ... t5302.html


Après un petit (ou long) moment d'attente, avira vous enverra un mail, qui vous confirmera si c'est bien un faux positif...
Vous pouvez en faire part sur le forum dés ce moment ;) .
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: Remonter un Faux Positif à Avira.

par Malekal_morte »

Dans le cas d'un faux positif et que le fichier est en quarantaine, il est possible d'envoyer le fichier en quarantaine.
Voici deux manière de procéder.
  • Ouvrez la quarantaine d'Antivir (Menu Administration à gauche puis Quarantaine).
  • Sélectionnez le fichier en quarantaine dont vous suspectez qu'il est un faux positif.
  • Cliquez sur l'icone enveloppe en haut.
Image

Remplissez les informations puis cliquez sur OK pour envoyer le mail.

Image

La seconde méthode consiste en envoyer le fichier de quarantaine manuellement (fichier .qua).
  • Ouvrez la quarantaine d'Antivir (Menu Administration à gauche puis Quarantaine).
  • Double-cliquez sur le fichier dont vous suspectez qu'il est un faux positif.
  • Notez le nom "nom en quarantaine" le fichier .qua
Ouvrez le dossier suivant :
# pour Windows XP : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED
# Pour Windows Vista ou Windows 7 : C:\ProgramData\Avira\AntiVir Desktop\INFECTED

Les fichiers en quarantaine .qua apparaissent sous forme de liste.
Copiez le fichier que vous avez noté sur votre bureau et envoyer le à [email protected] en précisant que c'est un faux positif (FALSE POSITIVE), donnez un maximum d'informations comme le site WEB où vous avez eu l'alerte etc.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tutoriel Antivirus »