# Le club des professionnels en informatique > Mode d'emploi & aide aux nouveaux >  Heur/HTML.Malware dtect par Avira

## Auteur

bonjour,

j'ai mis  jour Avira Antivri Free puis j'ai excut un contrle du systme.
Avira a trouv 26 fichiers infect par [Heur/HTML.Malware] tous (sauf un) dans des archives zip qui ont parfois plus d'un an (par consquent ces fichiers ont t scanns plus d'une fois par l'antivirus sans qu'aucun fichier suspect n'ait t dcouvert).

Je les ai plac en quarantaine.

Comme c'est une dtection par Heuristique je me dis que ce sont des fausses alertes.

Comment tre sr que ces fichiers ne sont pas rellement infects ?


 ::merci::

----------


## pi-2r

Bonsoir,




> Comment tre sr que ces fichiers ne sont pas rellement infects ?


lance un scan avec un autre antivirus (ex: Rising ou kaspersky)


si tu as d'autre questions, n'hsite pas  :;):

----------


## Auteur

J'ai utilis la version online de kaspersky pas de rsultat (pour l'occasion j'avais sorti les fichiers suspects de leur quarantaine).

Malwarebytes ne dtecte rien, ni Hijackthis.

Tous les fichiers suspects sont des fichiers HTML ou JS et sont dans des archives zip.

J'ai eu d'autres alertes du mme genre (toujours Heur/HTML.Malware) lorsque je me suis connect sur des sites web : les fichiers suspects taient dans le cache de FF. Mme certains liens vers dvp taient suspects   ::aie:: 
Dans ces cas l je vide le cache.

Du coup je me demande si ce n'est pas le moteur d'Avira ou ma configuration  ::koi:: 

Mais bon je me pose des questions quand mme....

_Ceux qui ont la version 9 de Avira Antivir Personal Free n'ont pas eu une srie d'alertes du mme genre depuis la dernire mise  jour ??_

----------


## nprovost

Bonjour,

j'ai les mmes problmes depuis quelque temps avec Avira Premium, des pages web sont signales comme contenant des malware HTML alors que c'est trs improbable (sites rputs)

cela vient de me le faire pour ce formulaire de rponse du site developpez !!  ::aie:: 

module "webguard"  amliorer

----------


## Auteur

ah... d'un ct a me rassure  ::D: 

Est-ce que tu as eu des problmes galement avec des pages web enregistres sur ton disque ?

Penses-tu que le moteur de recherche a un bug ?

Voici les versions des fichiers et du moteur de recherche :
ma version du moteur  de recherche est *V8.02.00.222* et date du 16/07
et le fichier de dfinition de virus a la version *V7.01.04.252* et date du 17/07
Tu as les mmes versions ?


En tout cas tant que Avira dtectera un malware sur mes fichiers je ne pourrai pas les sortir de la quarantaine  ::?: 


_Petit sondage :
Est-ce que d'autres personnes ont des problmes avec Avira en ce moment ?_

----------


## nprovost

Comme versions j'ai 8.02.00.222 et 7.01.04.253

C'est super chiant effectivement car le logiciel n'enregistre pas les choix qu'on a pu faire pour une page web donne (il faut "ignorer" tout le temps)  ::calim2:: 

Je vais essayer de changer le seuil de dtection dans la page configuration > Webguard [mode expert] > recherche > heuristique > niveau de dtection = bas

----------


## Jannus

Il s'agit d'un faux positif d'Avira.
Il a t signal hier dj  :;):

----------


## nprovost

> un faux positif


le problme c'est qu'il n'y en a pas qu'un  ::?: 

c'est vraiment le premier dfaut que je trouve  cet antivirus

----------


## Auteur

> Il s'agit d'un faux positif d'Avira.
> Il a t signal hier dj


ah ? Sur ce forum mme ? Ou sur le site Avira ?

----------


## Jannus

C'est assez rulier avec Avira, mais je prfre un AV qui me dtecte des faux positifs qu'un comme Avast qui laisse passer, puis dtruit mon OS  ::aie::

----------


## Auteur

> Je vais essayer de changer le seuil de dtection dans la page configuration > Webguard [mode expert] > recherche > heuristique > niveau de dtection = bas


ben a m'embte quelque peu de rduire le niveau de dtection...  ::(:  Surtout que l il est sur "moyen" pour la recherche heuristique, je ne voudrais pas que Avira deviennent une vraie passoire  ::?: 




> C'est assez rulier avec Avira, mais je prfre un AV qui me dtecte des faux positifs qu'un comme Avast qui laisse passer, puis dtruit mon OS


penses-tu qu'une prochaine mise  jour peut corriger ce problme ?

----------


## Jannus

Jusqu' prsent c'est toujours ce qui s'est pass  :;):

----------


## nprovost

> penses-tu qu'une prochaine mise  jour peut corriger ce problme ?


c'est probable car il y a quelque temps j'avais eu des problmes similaires et puis ils avaient disparus aprs une mise  jour

----------


## Auteur

ok bon dans ce cas il me reste  attendre une mise  jour  ::D:  (en esprant qu'elle vienne vite pour sortir ces fichiers de la quarantaine).

J'espre juste qu'ils ne soient pas rellement infects car l c'est 10Mo d'archives qui iront  la poubelle  ::(:

----------


## txuku

Bonjour

Depuis ce matin quand je veux poster une reponse ou creer un nouveau post ( Ie ou Firefox ) mon antivirus - Avira Antivir Premium - me refuse la pade avec cet avertissement :





et quand je  decoche la case " Antivir WebGard enable " poste une reponse et scanne j obtiens ceci :

" [DETECTION] Contains HEUR/HTML.Malware suspicious code "

 dans " C:\ ........Local Settings\Application Data\Mozilla\Firefox\Profiles\tsxuyssb.default\Cache\37D6AF05d01 ".

Cela provient t il des dernieres mises a jour de Antivir ?
Dois je m en inquieter ?

----------


## Auteur

Les rcentes mises  jour d'Avira ne me permettent pas de sortir les fichiers de leur quarantaine  ::(: 

Je vais  nouveau lancer une analyse avec Kasper on-line histoire d'tre sr.

Peut-tre que je devrais leur envoyer ces fichiers pour une analyse plus approfondie ?

----------


## Jannus

J'ai toujours le problme sur mon PC de test avec Avira.

Je te conseille de ne pas toucher  ces fichiers, a finira bien par s'arranger.
ventuellement, fait un scan en ligne sur Kaspersky ou McAfee ou SecUser pour te rassurer  :;):

----------


## Auteur

ok, je vais donc patienter encore  ::):  Et refaire un test avec Kasper.

Je ne compte pas dtruire ces fichiers mme si ce sont des vieilles archives. Tant qu'Avira les considrera comme suspects je les laisserai en quarantaine.

----------


## txuku

J ai le meme probleme depuis hier - avec ce forum   ::(: .

----------


## nprovost

Je n'ai plus de problme depuis que j'ai baiss le niveau de l'heuristique du webguard

----------


## Auteur

C'est le scanner qui me donne ces alertes pas le guard. 


Mais il y a un truc que je trouve tout de mme bizarre  ::koi::  :
- Le scanner a une recherche par heuristique sur niveau moyen et m'affiche ces alertes lorsque je l'excute ;
- Le guard a galement une recherche par heuristique sur niveau moyen, mais lui il ne ragit pas. Il est pourtant sens vrifier tous les fichiers en lecture et criture...

Curieux non ?

----------


## nprovost

oui mais  priori pour le HTML je pensais que c'est le guard qui dtectait au tlchargement des donnes non ? j'aurais dit le scanner c'est plutt pour les fichiers !

----------


## Auteur

> oui mais  priori pour le HTML je pensais que c'est le guard qui dtectait au tlchargement des donnes non ? j'aurais dit le scanner c'est plutt pour les fichiers !


Le Guard vrifie les fichiers en lecture et en criture et lorsqu'ils sont tlchargs. Il vrifie mme les fichiers qui sont crs comme par exemple, les fichiers du cache internet de FF. Mais il ne bronche pas.

Si je ne vide pas le cache de FF (en laissant FF ouvert par exemple) et que je lance le scanner, lui il me dtecte ces fameux _ Heur/HTML.Malware_.

----------


## Philippe PONS

Bonjour,

Mon Avira Antivir Premium n'arrte pas de biper et de me signaler un virus sur le site.(voir fichier attach)
Que dois je en penser?

Merci,

Philippe

----------


## ram-0000

L'quipe DVP est entrain de travailler sur ce problme mais il semble que cela soit un faux positif

----------


## 10_GOTO_10

J'ai depuis quelques jours une alerte de mon anti-virus sur chaque page de "developpez". Faux positif ou vrai virus ?




> *C:\Documents and Settings\XXXXX\Local Settings\...\cours.htm* contient le modle du virus de script HTML/Crypted.Gen


Par exemple (mais a le fait aussi sur plein d'autre pages).

Mon antivirus: Antivir (Avira) 9.0.0.66 avec signatures  jour (mise  jour auto, tous les jours).

----------


## Calibrafan

Salut  tous,

Avira vient de me dtecter HEUR/HTML.Malware

C:\Windows\Help\OEM\scripts\helpingProtectFromVirusesTOC.jse
    [RESULTAT]  Contient le code suspect : HEUR/HTML.Malware
    [REMARQUE]  Le rsultat positif a t class comme suspect.
    [REMARQUE]  Le fichier a t dplac dans le rpertoire de quarantaine sous le nom '4add6c84.qua' !


Il l'a class en quarantaine, mais de quoi s'agit-il?
Est ce un rel virus ou alors est-ce comme j'ai cru le comprendre un faux positif?

Quelle est la marche  suivre?

Merci de votre aide

----------


## Jannus

*C'est bien un faux positif.*

Avira nous a retourn l'avis ci-dessous sur les diffrnts fichiers envoys pour test :



> We've checked the files again and could not find a virus. This is a generic false positive.
> We will take out the pattern recognition in one of our next engine updates.





> Nous avons de nouveau test les fichiers sans pouvoir trouver un virus. C'est un faux positif gnrique.
> Nous ferons le ncessaire dans l'une des prochaines mises  jour du moteur.

----------


## Calibrafan

Merci beaucoup Guardian, cela veut dire que je peux alors le supprimer de la quarantaine?

----------


## Jannus

Tu peux le retirer de la quarantaine, si tu le supprimes... il sera supprim  :;): 
Normalement tu dis avoir un menu ou un outil "Restauration" qui te permet de sortir un fichier de quarantaine.

----------


## Calibrafan

Trs bien Guardian, merci de ta prcieuse aide  :;):

----------


## Jannus

priori, tout est rentr dans l'ordre  ::yaisse2::

----------


## txuku

A premiere vu oui ! ::):

----------


## Auteur

ben non...  ::pleure::

----------


## Jannus

Bin si  ::mouarf:: 
Je suis connect depuis plusieurs heures sur un PC quip d'Avira, aucun problme  :;): 

Tu as fait toutes tes mises  jour ?

----------


## Auteur

> Bin si 
> Je suis connect depuis plusieurs heures sur un PC quip d'Avira, aucun problme 
> 
> Tu as fait toutes tes mises  jour ?


J'ai fait toutes les mises  jour, je ne peux pas sortir mes fichiers de la quarantaine.

J'ai remarqu que le sujet avait toutefois dvi : mes alertes ont lieu sur des fichiers archivs pas sur des liens du forum.

----------


## Jannus

priori, suite  la dernire mise  jour, il n'y plus de dtection (mme sur les archives...)



> We received the following archive files:
> 
> 
> 
> File ID  Filename Size (Byte) Result 
> 25416259  FAUX-POSITIFS.zip 11.49 KB OK 
> 
> A listing of files contained inside archives alongside their results can be found below:
> 
> ...

----------


## Auteur

Ben maintenant mes archives contiennent toujours un malware, mais visiblement il a chang de catgorie  ::(: 

Pour ce faire j'avais restaur une des archives :

Exemple :



> C:\Users\XXXXXX\Desktop\Nouveau dossier\Ajax.zip
>   [0] Type d'archive: ZIP
>     --> Ajax/AjaxVosPremiersPas.htm
>       [RESULTAT]  Contient le modle de dtection du virus de script HTML HTML/Crypted.Gen


A l'poque, j'avais rcupr l'archive sur le site dans la section Ajax. Visiblement, elle n'existe plus.


Je crois que je vais dtruire ces fichiers et refaire ces archives, inutile de les conserver.

----------


## Jannus

priori, il s'agit toujours de la mme dtection (HTML/Crypted.Gen)
Es-tu sr de tes mises  jour ?

----------


## Auteur

tout  fait :
Moteur de recherche : V8.02.00.240, 03/08/09
Dfinition de virus : V7.01.05.71, 04/08/09

Mais l, ces archives taient considrs comme suspectes, maintenant, le rsultat est positif  ::calim2:: 

Je vais faire un nouveau scan avec Kasper....

----------


## Jannus

J'ai : Dfinition de virus : V7.01.05.74, 05/08/09
Mme moteur

----------


## Auteur

j'ai mis  jour, j'ai la mme dfinition de virus, et toujours le mme rsultat (cf. pice jointe).

Peut-tre que la version free ne fonctionne pas de la mme manire que la version payante ?
Ou que mon antivirus est mal install ?

Je vais encore attendre un mois ou deux, puis si j'ai toujours un rsultat ngatif, je supprimerai ces archives  ::(:

----------


## Jannus

J'ai aussi, sur ce PC, Avira Free :
Version du produit : 9.0.0.66 - 17/06/09
Moteur : 8.02.00.240 - 03/08/09
Fich Df Vir. : 7.01.05.74 - 05/08/09

----------


## Auteur

Visiblement mes archives ont chang de catgorie  ::aie:: 

Il y a encore 1 mois c'tait des "objets trouvs", maintenant ce sont des "objets suspects"  ::aie:: 

Avec un peu de chance dans un mois ou deux, ce seront des objets "propres"  ::mrgreen::

----------

