Questions sur l'actualité liée à CCleaner.
Bonjour,
Vous êtes peut-être au courant que le nettoyeur CCleaner a été infecté par un malware découvert récemment.
Or mon PC a eut cette version de CCleaner avec Windows 10 64bits. Je l'ai désinstallé, mais des chercheurs de Cisco Talos conseillent de restaurer Windows.
Le problème, c'est que ma dernière sauvegarde a été réalisée après l'installation de la version infectée de CCleaner. Ma seule option serait donc de re-installer Windows...
Cependant je me demande si cela vaut le coup car Bitdefender ne m'avait rien signalé.
De plus, si quelqu'un pouvait m'éclairer car je suis plutôt confus :
- Piriform ne parle que de la version 32bits de Windows, mais le malware contient une version 64bits...
- Je n'ai pas trouvé de traces des fichiers et clés de registres citées par Cisco Talos, mais cela suffit il pour savoir si je suis infecté ou non ?
- Puisque Bitdefender n'avait rien détecté, peut-il me protéger si des malwares sont encore cachés dans mon PC ?
Je sais qu'une re-installation serait plus simple, mais j'aimerais y arriver en dernier recours car certains de mes logiciels ne s'activent qu'une fois et je dois passer par le service client à chaque fois pour les re-activer sur une nouvelle installation de Windows...
Cordialement
Réponses
-
Bonjour,
Je pense qu'il ne faut pas s"alarmer. Bitdefender protège normalement contre ce genre de problème. D’après les infos, tous les PC utilisant CCleaner n'ont pas été infectés.
Attendre peut-être la réponse officielle de BitDefender avant d'entamer des réinstallations longues et pénibles.
Bonne journée0 -
Merci pour cette réponse rapide !
Je m'y suis peut-être pris un peu tôt, mais je voulais avoir le point de vue d'une personne extérieure.
Je vais donc attendre une réaction officielle de Bitdefender ou tout simplement le rapport final de Cisco Talos car le malware n'a pas fini d'être complètement analysé...
Cela me rassure de savoir que tous les PC n'ont pas été infectés, ce qui me fait penser que la plupart des sites que j'avais consultés exagèrent beaucoup la situation et ont des sources assez floues...
Merci encore et bonne journée.0 -
bonjour inky19,
effectivement certains site disent n'importe quoi et d'autres disent vrai.
les versions concerner par cette attaque sont apparemment CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191.
-yann-(support technique) en dira plus a partir de lundi matin.
bon week end.0 -
bonjour,
il faut en effet faire le tri et se méfier des intoxs...
j'utilise CCleaner en version pro sur tous mes PCs,avec des mise à jour automatiques et silencieuses,
et à ce jour je n'observe pas le moindre probléme....0 -
Bonjour,
Merci pour tous vos avis !
Je tiens juste à préciser que j'avais bien la version gratuite 5.33.6162 de CCleaner en 64bits.
J'évite en général assez bien les intoxs, mais comme j'étais concerné directement par la menace, j'ai commencé à avoir des doutes. Surtout qu'il y a beaucoup d'avis opposés et contradictoires, notamment entre Avast qui se veut rassurant et Cisco Talos qui recommande un reset complet...
Je vais donc encore attendre que de nouvelles informations arrivent et une possible réaction officielle de Bitdefender avant de faire quoi que ce soit.
Cordialement.0 -
Bonsoir ,
+ d'infos sur CERT-FR ( Présence de code malveillant dans Piriform CCleaner ) voici le lien :http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-013/index.html
Cordialement
0 -
On 22/09/2017 at 11:14 PM, Inky19 said:
Bonjour,
Vous êtes peut-être au courant que le nettoyeur CCleaner a été infecté par un malware découvert récemment.
Or mon PC a eut cette version de CCleaner avec Windows 10 64bits. Je l'ai désinstallé, mais des chercheurs de Cisco Talos conseillent de restaurer Windows.
Le problème, c'est que ma dernière sauvegarde a été réalisée après l'installation de la version infectée de CCleaner. Ma seule option serait donc de re-installer Windows...
Cependant je me demande si cela vaut le coup car Bitdefender ne m'avait rien signalé.
De plus, si quelqu'un pouvait m'éclairer car je suis plutôt confus :
- Piriform ne parle que de la version 32bits de Windows, mais le malware contient une version 64bits...
- Je n'ai pas trouvé de traces des fichiers et clés de registres citées par Cisco Talos, mais cela suffit il pour savoir si je suis infecté ou non ?
- Puisque Bitdefender n'avait rien détecté, peut-il me protéger si des malwares sont encore cachés dans mon PC ?
Je sais qu'une re-installation serait plus simple, mais j'aimerais y arriver en dernier recours car certains de mes logiciels ne s'activent qu'une fois et je dois passer par le service client à chaque fois pour les re-activer sur une nouvelle installation de Windows...
Cordialement
Bonjour,
Bitdefender détecte ce type de menace et celle qui a été intégré dans cette version de Ccleaner est détectée.
Si vous disposez de la dernière version de Ccleaner, de la dernière mise à jour disponible et que vous l'aviez télécharger depuis leur serveur et non depuis le serveur d'un partenaire, vous n'avez pas à vous inquiéter.0 -
Bonjour,
Un des ordinateurs à la maison est un Windows 7 pro 32 bits.
Bitdefender n'a rien décelé, pourtant Malwarebytes a trouvé deux Malwares dans : Piriform\Agomo
Donc l'ordinateur était bien infecté (Sans que Bitdefender s'en aperçoive ?)0 -
Pour plus de précision sur le malware :
TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO0 -
Bonjour,
Merci encore pour ces informations !
Je viens de vérifier la page de CERT-FR et je ne trouve aucune clés de registres ou traces de fichiers infectés (ce qui est plutôt bon signe).
Cependant, je me rappelle avoir complètement désinstallé CCleaner et avoir (ironiquement) passé un scan après avoir ré-installé la nouvelle version. Je ne sais pas si cela aurait pu effacer des logs ou des traces dans le registre inscrites par le malware, mais je suis sûr de ne pas avoir reçu le 2ème paquet car les clés concernées n'ont rien à voir avec CCleaner.
De plus, je télécharge toujours CCleaner depuis leurs serveurs officiels ou sur FileHippo, leur partenaire officiel quand l'utilisateur veut mettre à jour CCleaner et non l'installer pour la 1ère fois.
J'ai cependant passé une analyse de ADWCleaner ET de Malwarebytes (on ne sais jamais) et... rien. Je pense donc que je n'ai pas été infecté ou que le 1er paquet ne s'est pas exécuté comme prévu.
Cependant, je reste attentif au cas où...
D'ailleurs, j'ai peut-être une hypothèse pour Visio3
8 hours ago, visio3 said:
Bonjour,
Un des ordinateurs à la maison est un Windows 7 pro 32 bits.
Bitdefender n'a rien décelé, pourtant Malwarebytes a trouvé deux Malwares dans : Piriform\Agomo
Donc l'ordinateur était bien infecté (Sans que Bitdefender s'en aperçoive ?)
Le malware ne s’exécute que sur une session admin et seulement au bout d'une dizaine de minutes. Bitdefender l'aurait certainement trouvé lors de son exécution, mais puisque que MalwareBytes l'a analysé et supprimé avant celle-ci, Bitdefender n'a pas eut le temps d'agir. Enfin, ce n'est qu'une supposition. Je me trompe peut-être, mais si Yann A. à raison, cela est fort probable.
Je pense donc être sorti d'affaire. Merci encore pour vos réponse rapides et précises .
Cordialement
PS : C'est mon 1er post, dois-je faire quelque chose de particulier ? (fermer le post, écrire "RÉSOLU" dans le titre...)0 -
19 hours ago, visio3 said:
Pour plus de précision sur le malware :
TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO
Bonjour,
Il est possible que Malwarebytes détecte ces informations pour toutes les versions, soit que la détection contienne les modifications malicieuses.
Faites moi parvenir la copie des fichiers et clé de registre, mis en quarantaine, compressés au format zip, ainsi que le fichier demandé ci-dessous:
- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :
http://www.bitdefender.com/files/KnowledgeBase/file/BDSysLog_i.exe
- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées
- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.
Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.
Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.0 -
Bonjour,
Sinon je vous confirme que Bitdefende détecte la modification faite dans le payload de Ccleaner: Trojan.PRForm.A et Backdoor.Agent.ABXS0 -
Bonsoir Yann,
Je ne sais pas dans Malwarebytes, comment "sortir" les fichiers et clé de registre qui sont en quarantaine (Je suis en version free)
Ou est-ce seulement les comptes-rendu qui sont nécessaire ?0 -
14 hours ago, visio3 said:
Bonsoir Yann,
Je ne sais pas dans Malwarebytes, comment "sortir" les fichiers et clé de registre qui sont en quarantaine (Je suis en version free)
Ou est-ce seulement les comptes-rendu qui sont nécessaire ?
Je ne pourrai pas vous donner d'informations, mais je suis persuadé que ces détections ne sont pas celles qui devraient être faites.
Vérifiez que Bitdefender est à jour, si c'est le cas, soyez assuré qu'il détecté ces modifications malveillantes dans Ccleaner.0 -
Bonjour,
J'ai ouvert le programme Malwarebytes.
Je suis allé à l'onglet quarantaine.
J'ai coché les deux Trojans trouvés il y a quelques jours :
TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO
J'ai cliquer sur restaurer (et confirmation) Puis j'ai redémarrer l'ordinateur.
J'ai enfin lancé une analyse Bitdefender 2018 du disque (C:).
Au bout d'une heure le rapport annonçait "Votre système est sûr"
J'ai refait une analyse de Malwarebytes et au bout d'une minute, il a trouvé dans "Analyser la Mémoire" les deux Trojans.
Est-ce qu'il n'y a aucun rapport avec l'infection cité précédemment, est-ce un problème lié à mon ordinateur, ou à Bitdefender ?
0 -
12 minutes ago, visio3 said:
Bonjour,
J'ai ouvert le programme Malwarebytes.
Je suis allé à l'onglet quarantaine.
J'ai coché les deux Trojans trouvés il y a quelques jours :
TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO
J'ai cliquer sur restaurer (et confirmation) Puis j'ai redémarrer l'ordinateur.
J'ai enfin lancé une analyse Bitdefender 2018 du disque (C:).
Au bout d'une heure le rapport annonçait "Votre système est sûr"
J'ai refait une analyse de Malwarebytes et au bout d'une minute, il a trouvé dans "Analyser la Mémoire" les deux Trojans.
Est-ce qu'il n'y a aucun rapport avec l'infection cité précédemment, est-ce un problème lié à mon ordinateur, ou à Bitdefender ?
Bonjour,
Il faudrait connaître la valeur de ces deux clés de registre. Il est fort possible qu'il s'agisse d'un faux positif.
Si vous pouvez exporter ces clés de registres et me les communiquer, nous pourrons les analyser.
Egalement faites moi parvenir le rapport demandé ci-dessous:
- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :
http://www.bitdefender.com/files/KnowledgeBase/file/BDSysLog_i.exe
- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées
- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.
Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.
Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.
0 -
Les fichiers demandés sont ici : https://1fichier.com/?kslefr1zku0 -
8 minutes ago, visio3 said:
Les fichiers demandés sont ici : https://1fichier.com/?kslefr1zku
J'ai bien reçu le fichiers, cependant il n'y a pas l'exportation des clés de registre concernées.
Il faut exécuter la commande regedit.exe, pour retrouver les clés de registre détectées par Malwarebytes, cliquez avec le bouton droit sur chacune d'entre elles, pour ensuite choisir de les exporter. Ce sont ces fichiers qu'il faut me faire parvenir svp.0 -
J'arrive facilement à aller sur l’éditeur de registre, mais après où chercher ?0 -
24 minutes ago, visio3 said:
J'arrive facilement à aller sur l’éditeur de registre, mais après où chercher ?
Dans l'éditeur de registre, cliquez sur le > devant HKey Local Machine puis sur le > devant SOFTWARE puis sur le > devant PIRIFORM
Ensuite, cliquez avec le bouton droit sur chacune des dossiers suivant, AGOMO|TCID puis AGOMO|MUID, sur chacun cliquez avec le bouton droit de la souris et choisissez "Exporter".0 -
A : ==> HKey Local Machine ==> SOFTWARE ==> PIRIFORM je n'ai que deux dossiers : AGOMO et Ccleaner.0 -
4 minutes ago, visio3 said:
A : ==> HKey Local Machine ==> SOFTWARE ==> PIRIFORM je n'ai que deux dossiers : AGOMO et Ccleaner.
Désolé, j'ai oublié AGOME après Piriform, les deux dossiers doivent se trouver dans AGOMO.0 -
Voilà c'est ici : https://1fichier.com/?4bdbp9mfiv0 -
Bonjour,
J'ai l'impression que la clé de registre Agomo, ne contient plus les informations qui auraient pu être mises en place par le code malveillant.
Dans l'éditeur de registre, quand vous allez dans "Agomo", avez-vous des clés nommées MUID et TCID qui apparaissent dans la partie droite de la fenêtre ?
Vous ne m'avez pas fait parvenir le rapport bdsyslog.
Sinon je vous conseille de complètement désinstaller Ccleaner puis de le réinstaller depuis la dernière version disponible depuis le site Piriform, si vous ne l'avez pas déjà fait.
0 -
Le voici : https://1fichier.com/?rlk4t2dehd0 -
4 minutes ago, visio3 said:
Le voici : https://1fichier.com/?rlk4t2dehd
Bonjour,
Vous n'avez pas répondu à ma précédente remarque. J'ai l'impression que la clé de registre Agomo, ne contient plus les informations qui auraient pu être mises en place par le code malveillant. Dans l'éditeur de registre, quand vous allez dans "Agomo", avez-vous des clés nommées MUID et TCID qui apparaissent dans la partie droite de la fenêtre ?0 -
Les clés sont présente :0 -
1 hour ago, visio3 said:
Le voici : https://1fichier.com/?rlk4t2dehd
Bonjour,
Exportez alors chacune de ces clés (click droit sur le nom MUID puis TCID puis "exporter) et faites moi parvenir les fichiers exportés svp.0 -
Bonjour,
Si je clic droit sur chacune de ces clés je n'ai pas d'autre choix que : Modifier, Modifier données binaire, Supprimer, renommer)
Mais je vous ai déjà envoyé le dossier AGOMO0 -
26 minutes ago, visio3 said:
Bonjour,
Si je clic droit sur chacune de ces clés je n'ai pas d'autre choix que : Modifier, Modifier données binaire, Supprimer, renommer)
Mais je vous ai déjà envoyé le dossier AGOMO
Oui effectivement on ne peut pas exporter les valeurs seules.
La clé déjà exportée, ne contient pas ces informations, c'est pour cette raison que je vous les demandais.0 -
Vous avez dû faire l'exportation de la clé après suppression de Malwarebytes, c'est pour cette raison que je n'ai pas les informations.
Il faut refaire l'exportation (désactiver les protections en temps réel le temps de l'export) avec ces valeurs existantes dans la clé.
0 -
J'ai restauré les clés que Malwarebites avait trouvé.
Elle sont donc toujours présente dans le système (Les dossiers que je vous ai envoyé venaient déjà de cet état)0 -
2 minutes ago, visio3 said:
J'ai restauré les clés que Malwarebites avait trouvé.
Elle sont donc toujours présente dans le système (Les dossiers que je vous ai envoyé venaient déjà de cet état)
Je vous assure que dans le fichier exporté, les valeurs n'étaient pas présentes.
Elles ont peut-être été supprimées le temps de l'exportation si des protections en temps réel étaient actives à ce moment.
Voilà tout ce qu'il y avait d'indiqué dans AGOMO.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Piriform\AGOMO]
Vérifiez par vous même la clé AGOMO.reg exportée en cliquant avec le bouton droit de la souris sur le fichier puis en choisissent "Modifier" (choisissez ensuite le notepag), vous verrez que les informations de valeurs ne sont pas présentes.0 -
Je vais donc refaire l'opération.
Pour couper l'analyse, je vais donc à ==> Voir les fonctionnalités ==> Dans paramètres de ANTIVIRUS, je mets sur NON ==> En permanence ==> OK
Est-ce la seule chose à faire avant de faire le BDSysLog_i.exe. ?0 -
27 minutes ago, visio3 said:
Je vais donc refaire l'opération.
Pour couper l'analyse, je vais donc à ==> Voir les fonctionnalités ==> Dans paramètres de ANTIVIRUS, je mets sur NON ==> En permanence ==> OK
Est-ce la seule chose à faire avant de faire le BDSysLog_i.exe. ?
Je parlais de désactiver effectivement la Protection (la mettre sur NON) mais pas pour générer un nouveau rapport bdsyslog, mais pour exporter la clé de registre qui contient bien les valeurs.
Si vous n'avez pas la protection en temps réel dans Malwarebytes, vérifiez aussi dans Bitdefender, au niveau des événements (petit cloche) si des détections n'ont pas eu lieu au niveau de Bitdefender, concernant ces clés de registre.0 -
Voici à nouveau le dossier : https://1fichier.com/?0phhzfer7p
Mot de passe : wxc0 -
1 hour ago, visio3 said:
Voici à nouveau le dossier : https://1fichier.com/?0phhzfer7p
Mot de passe : wxc
Merci, j'ai bien récupéré le fichier.0 -
Bonsoir,
J'ai lancé une analyse système de l'ordinateur de mon épouse (Comprenant un disque système, un pour les DATA et un disque de sauvegarde) et celle-ci a été anormalement longue (généralement elle ne dure que 4/5h).
Elle est restée très longtemps sur 45 % (plus de 3 heures) mais pas de freeze, les fichiers défilaient et le nombre grandissait.
L'analyse a duré 7 H 23 minutes (2588864 objets analysés)
Elle a fini sans rien trouvé : Votre système est sur (La précédente analyse que j'avais fait ne concernant que le disque (C:) mais cela aurait dû normalement suffire)
J’ai lancé cette analyse après avoir mis manuellement Bitdefender à jour et redémarrer.
J’ai lancé juste après l’analyse de Bitdefender, celle de Malwarebytes et il a trouvé en 2 minutes les deux menaces.
Les fichiers trouvés par Malwarebytes devraient normalement être aussi trouvés par Bitdefender, surtout après une analyse aussi profonde. Mais apparemment ce n’est pas le cas.
Lorsque je retourne maintenant dans le registre, les deux clés ont cette fois disparu. (Le dossier AGOMO, lui est toujours là)
Je l'ai supprimé manuellement.0 -
Bonjour,
Je vous confirme que ces clés de registre ne sont pas importantes, même si elles ont été créés par la version malicieuse de Ccleaner.
L'essentiel de la modification malveillante est détectée par Bitdefender comme je vous l'ai évoqué dans ce topic (Trojan.PRForm.A et Backdoor.Agent.ABXS), un peu plus haut.
Ces clés de registre sans le reste, ne représentent aucun danger.0 -
Bonjour et merci Yann pour votre réponse.
Lorsque Malwarebytes passe, il enlève les deux clés, mais pas le dossier (vide ?) de AGOMO
Pourquoi Bitdefender ne fait pas le même travail ? Cela rassurerait que celle-ci soit trouvé (et signalé) même si les modifications malveillantes sont trouvé et supprimé en arrière plan.
Le fait que l'analyse système de Bitdefender ne signale aucune réparation peut porter à question (J'ai d'ailleurs regardé dans les alertes de Bitdefender et à aucun moment il signale qu'il a effectivement réparé ce problème ........ même s'il l'a fait)
0 -
5 minutes ago, visio3 said:
Bonjour et merci Yann pour votre réponse.
Lorsque Malwarebytes passe, il enlève les deux clés, mais pas le dossier (vide ?) de AGOMO
Pourquoi Bitdefender ne fait pas le même travail ? Cela rassurerait que celle-ci soit trouvé (et signalé) même si les modifications malveillantes sont trouvé et supprimé en arrière plan.
Le fait que l'analyse système de Bitdefender ne signale aucune réparation peut porter à question (J'ai d'ailleurs regardé dans les alertes de Bitdefender et à aucun moment il signale qu'il a effectivement réparé ce problème ........ même s'il l'a fait)
Je comprends vos interrogations, mais ces clés sont inutiles si le programme malveillant n'est plus présent. Vous n'aviez de toute façon plus cette partie malveillante, car la version de Ccleaner qui était sur votre système a dû être migrée, mise à jour.
Cependant, je relance le laboratoire pour voir s'ils décident de détecter ces clés de registre ou non.0 -
Merci Yann pour votre réponse0 -
Bonjour,
pour info, j'ai eu récemment un pb lié à ce sujet (voir le fil "Malware dans sauvegarde disque mais pas sur le PC ???").
En résumé BitDefender m'a détecté en février le malware Backdoor.Agent.ABXS dans une sauvegarde sur un disque externe (il ne m'avait rien détecté jusqu'alors sur mon disque machine C:). Par sécurité j'ai alors fait une analyse Windows defender de mon disque C: qui m'a trouvé un Backdoor:Win32/Floxif.gen!A (- dans un "container file" C:\$Recycle.Bin\ ...\ $... .exe, dans un fichier (de ce container ?) dénommé file C:\$Recycle.Bin\ ...\ $... .exe->(nsis-6-)#... , et dans le fichier principal C:\Program Files\CCleaner\CCleaner.exe, qui était pourtant une version bien supérieure à la version infectée (je faisais régulièrement les m.àjour de CCleaner)).
Yann m'a répondu dans le fil cité au début de manière tout à fait crédible et rassurante.
Je fais simplement ce post pour vous indiquer qu'il n'est peut-être pas inutile d'analyser ses disques de sauvegarde qui peuvent apparemment avoir gardé des traces du malware.
0
Leaders
Catégories
- Toutes les catégories
- 603 Windows
- 33 Mac
- 90 Mobile Security
- 227 VPN
- 235 Central et abonnements
- 136 Autres produits et services
- 77 Équipe de recherche sur la sécurité
- 27 Fonctionnalités du produit et idéation
- 84 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 574 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver