DepanneTonPC, dépannage et aide informatique

AVG 8 victime d'un faux positif critique

Publié par mickael44 le 10/11/2008 16:56 dans la rubrique Sécurité
Tags virus positif faux antivirus avg user32 dll
Le célèbre antivirus AVG 8 a été victime d'un faux-positif plutôt sérieux lors de la dernière mise à jour.

En effet, suite à une mise à jour de la base de définitions virales, l'antivirus reconnait le fichier user32.dll situé dans le dossier "system32" comme infecté par le cheval de Troie "PSW.BANKER4.APSA" alors que ce dernier ne l'est pas réellement. Seul problème, ce fichier est un fichier système nécessaire pour le bon fonctionnement de Windows. Ainsi, si le fichier est mis en quarantaine, l'utilisateur se voit gratifié d'un écran bleu ainsi que de l'impossibilité de redémarrer sa machine en mode normal.

AVG a corrigé de son côté l'erreur en publiant une nouvelle mise à jour. Cependant, certains utilisateurs ayant mis en quarantaine le fichier se trouvent coincés pour redémarrer le système.

Voici la procédure pour résoudre ce problème :

information :

  • Redémarrez Windows en mode sans échec (touche F8 au démarrage).
  • Une fois Windows démarré en mode sans échec, ouvrez l'interface utilisateur AVG
  • Allez dans le menu "Historique" ("History") puis sur "Quarantaine" ("Virus Vault")
  • Trouvez dans la liste le fichier user32.dll, faites un clic droit sur la ligne puis cliquez sur "Restaurer" ("Restore")
Si le fichier a été supprimé au lieu d'être mis en quarantaine, une copie du fichier existe dans le dossier c:\windows\system32\dllcache\ et est récupérable avec la console de réparation Windows ou un live-cd Linux.

< Actualité précédente
La Xbox 360 à partir de 139€ !
Actualité suivante >
Les films de la MGM bientôt sur Youtube !
Commentaires | Imprimer | Ajouter à : Facebook Scoopeo del.icio.us Digg this Technorati

Commentaires

Par phil64 le 11/11/2008 19:51

sauf que, dans mon cas, pas moyen non lus de redemarrer en mode sans echec... et avec l'option "concole de récupération", le fichier user32.dl_ à "expander" est une version antérieure, donc ne marcahit pas non plus... la bonne solution étant la recopie du dllcache. Heureusement que j'avais un 2e ordi encore opérationnel à coté pour chercher des soluces sur internet...

Par maquejp le 13/11/2008 16:24

Je trouves la solution proposée étrange ... USER32.DLL est nécessaire à l'authentification, donc logiquement si il est inaccessible pas de démarrage. J'ai eu entre les mains un portable avec l'erreur et les différentes options de boot n'ont rien donnés. Il est quand même étonnant qu'un anti-virus flingue un fichier aussi sensible. Serait-ce la différence entre les gratuits et les payants?
avatar

Par mickael44 le 13/11/2008 16:42

Bonjour,

Si le démarrage en sans echec ne marche pas, dans ce cas, il faut faire la copie depuis le dossier dllcache grâce à un live-cd linux ou via la console de récupération Windows.

Peut-être que dans le cas d'une mise en quarantaine, une sécurité est mise en place et le système peut démarre en sans échec.

Contrairement à ce que l'on peut penser, les faux-positifs sont extrêmement fréquents. Celui là est plutôt grave mais ce genre de problème arrive de temps en temps.

Les antivirus payants ne sont pas du tout à l'abri de ce genre de problème car les définitions virales étant les mêmes que la version soit gratuite ou non, il y a autant de chance que cela se passe sur un produit gratuit que sur un produit payant. Après, certaines firmes font peut-être plus attention que d'autres ...

Ajoutez votre grain de sel :

Vous devez être connecté pour poster un commentaire.

Pass oublié | Inscription
Continuer sur le forum

Actualité Sécurité