ACTUALITES

Certaines versions de Ccleaner sont infectées !

Certaines versions de Ccleaner sont infectées !

La tuile ironique, certaines versions récentes de Ccleaner, racheté cet été par Avast, ont été infectées ! Je vous dis si vous êtes concernés et si c’est le cas comment désinfecter votre ordinateur.

Si vous avez téléchargé Ccleaner ou Ccleaner Cloud entre le 15 Août et le 12 septembre 2017, vous avez été infectés par un virus qui collecte des données.

Des pirates auraient installé un outil d’administration à distance dans l’installateur de ces versions.

On ne sait pas à ce stade si l’attaque venue de l’extérieur a bénéficié d’une complicité interne chez l’Éditeur.

Certaines sources disent que seule la version 32 bits serait concernée, mais bon, par précaution, quel que soit votre Système, si vous utilisez actuellement la version 5.33.6162 de CCleaner ou la 1.07.3191 de CCleaner Cloud, vous devez la supprimer immédiatement.

Piriform, l’Editeur du logiciel, nous nous dit que la mise à jour vers la version la plus récente supprime le code malveillant intégré dans leur logiciel.

Après avoir parcouru quelques forums, je suis d’avis de la supprimer totalement.

Le logiciel suspect s’appelle Floxif, il télécharge des logiciels malveillants qui rassemblent des informations sur les systèmes infectés et les renvoient à un serveur.

Sachant que Ccleaner revendique près de 130 de millions d’utilisateurs actifs, l’infection mondiale a heureusement été évitée, sachant que plus de deux millions de machines auraient tout de même été infectées…

  • Ces logiciels malveillants ont collecté entre autres :
  • Le Nom de l’ordinateur.
  • La liste des logiciels installés.
  • La liste des mises à jour Windows.
  • La liste des processus en cours d’exécution.
  • Les adresses MAC des trois premières Cartes Réseau.

Je compléterai l’article dès que j’aurai plus d’infos, j’ai choisi de le publier tout de suite vu l’urgence avant d’avoir terminé mes recherches.

ccleaner

Que faire si j’utilise l’une des versions infectées ?

 

Si vous avez l’une des deux versions concernées, désinstallez le logiciel ( pas de mise à jour je le répète ).

Redémarrez et faites un scan complet de votre ordinateur avec votre Antivirus.

Installez la version la plus récente à savoir la 5.34.62.07 ou la 1.1.15.76. ( pour la version Cloud la mise a jour a dû normalement déjà été faite automatiquement ).

Si vous voulez aller plus loin il y a une autre solution : vous pouvez lancer une Restauration Système juste avant la date d’installation du logiciel et après installer la dernière version.

Ccleaner 5.34.

Edit du 20/09/2017 : nouvelle version 5.35

Ccleaner Cloud

Edit : la version portable de CCleaner est aussi concernée.

Bon nettoyage !

Christophe.

Edit : AZAMOS a publié un article sur la désinfection : https://sospc.name/desinfecter-systeme-cleaner-infecte/ ;o)

Christophe.

Sources ( en anglais ) :

https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

https://www.bleepingcomputer.com/news/security/ccleaner-compromised-to-distribute-malware-for-almost-a-month/

https://thenextweb.com/security/2017/09/18/ccleaner-hacked-malware-distribute/#.tnw_E3gYOiQP


78 Commentaires

  • Bonjour Christophe

    Chez moi, il me propose la version infectée, donc leur serveur n’est pas encore à jour.
    Et vu que je l’utilise tellement peu. je vais attendre tout de même.
    merci pour l’info, et pour le relai info de Jmimile sur le forum.

  • Bonjour Christophe.
    Merci pour cette importante info.
    J’utilise la version business de CCleaner en 64 bits. Les mises à jour successives se sont faites en passant, bien sur par la version 5.33.
    Penses-tu que je puisse être infecté ?
    Cordialement.
    Christian

  • bonsoir,
    AH si Sospc, n’existait pas, il faudrait “l’inventer”, je sais , c’est du déjà vu ! (au fait, l’on peut verser une p etite contribution pour le site, où svp)
    bref, merçi à vous Christophe pour cette information
    j’ai donc désinstallé et réinstallé,
    sur l’un de mes pc, je n’arrivais pas à faire la mise à jour, vers la version 5.34 !
    je vais lancer un scan de mon pc, par sécurité
    salutations et remerçiements à tous !

  • Bonjour

    Une petite question , j’ai CCleaner en 64 bits, je passe kaspersky il me trouve rien !
    mais quand je passe malwarebytes ,il me trouve floxif , après recherche , cela se trouve dans C /programmes / ccleaner / cleaner .exe (donc la version 32 ) !!
    je voudrais savoir a ton avis si le fait d’avoir les deux exécutables dans le dossier mais d’utiliser la version 64 peut présenter un risque , j’ai tout désinstaller , redémarrer , KIS toujours rien et plus rien dans malwarebytes !
    Autres question a ton avis , cela a t’il pu collecter des données ? bien qu’a mon avis je n’ai pas ete infecté car la 32 été présente mais pas installé !!

    Merci de nous avoir informé si rapidement .

    :bye:

    • Hello Grey Cat,

      je pense que dans ton cas il n’était pas actif sinon Kaspersky se serait déclenché et aurait aussi bloqué les tentatives de transmission de données.

      Christophe.

  • hello Christophe

    merci de ton avis , mais il semble que Ccleaner charge les deux exe 32 et 64 en même temps pour tous le monde !!
    ce qui fait qu’il doit être présent sur des ordi en 64
    et l’alerte est donné pour les 32 !! il faut donc quand même en 64 le supprimer et réinstaller la nouvelle version !!

    • Hello Grey Cat,

      je ne sais pas quoi te dire, l’Éditeur affirme que seule les versions 32 bits sont concernées, dans le doute suppression ou –> restauration système. ;o)< Christophe.

  • grey cat
    bonsoir
    non !! ccleaner ne charge pas les deux en même temps ! soit tu a le 32 ou le 64 bit de toute façon déjà tu a 2 version différente sur ton propre système , rien que ça ! déjà sa vas pas jereve! …heu excuse moi mais si tu a un system 64 bit comme la plupart des équipements aujourd’hui ! que fait en plus la version de 32 bit du même éditeur sur ton pc ? il ne c’est pas installer tout seul hein ? si il y a 2 version ! 32 et 64 bit , sais pas pour rien . perso mon antivirus est en 64 bit , mais je ne vais pas le réinstaller une deuxième fois et en 32 bit !

  • Bjr :bye:

    Merci pour cette info au combien précieuse.

    J’ai tout désinstallé redémarré sur les 2 pc Seven 32 et 8.1 64

    Scanné avec ce que j’avais en recherche virus, malware et autre pourriture qu’on peu prendre sans faire.

    Je vais donc réinstaller la dernière version car à chaque nouvelle version ça écrasait la précédente, autant être plus prudent la dessus.

    Donc ce qui était dangereux était une ligne de code dans le programme, ça n’infectait pas d’autre logiciel sur les pc???

    Merci de nous tenir au courant de la suite, de cet épisode.

    Bonne journée,

    GG

  • A franck

    Bonjour,

    Non je n’ai que la 64 qui s’exécute , mais dans le dossier Ccleaner dans programmes , j’ai les deux EXE 32 et 64 en permanence ; après vérification sur d’autres ordi ( qui ne sont pas à moi ), il semble que ce soit courant !!??

    C’est pour cela que j’ai eu le positif avec malewarebytes et que je m’inquiète !!
    :bye:

  • Bonjour à tous,

    L’ordinateur de mon épouse est un 32 bits équipé de Windows 7.
    Je viens de mettre à jour Ccleaner (Comme je le fais chaque semaine manuellement), mais cette fois au lieu de m’amener directement sur le site de Piriform, une fenêtre s’est ouverte directement dans la fenêtre du logiciel, annonçant qu’une mise à jour importante devait être réalisée.
    J’ai donc cliqué sur OK pour que celle-ci s’installe.

    Ce n’est qu’après, en regardant sur mon propre ordi que j’ai pris connaissance de ce nouvelle article :good:
    J’ai lancé une analyse Bitdefender sur les deux ordinateur (Partition C:).
    Je viens de vérifier, sur l’ordi de mon épouse, la version est bien : v5.34.6207
    Les deux analyses finissent par : Votre système est sûr !

  • Re ^^

    Un complément important, l’éditeur dit que c’est la version 32 qui a été atteinte et bien pour mon cas c’est bien ça.

    Je viens juste de terminer l’analyse avec Malawaresbyte free version et voici ce qu’il m’a trouvé et mis en quarantaine jereve!

    [URL=https://www.hostingpics.net/viewer.php?id=744325QUARANTAINE.jpg][IMG]https://img11.hostingpics.net/pics/744325QUARANTAINE.jpg[/IMG][/URL]

    Bref toujours être vigilant sur le net, se tenir au courant sur les divers forums dont celui ci bien sur tropbien :yahoo: :good:

    GG

    • Bonjour GG,

      j’ai déjà dit dans l’article que c’était la version 32 bits qui étaient signalée comme problématique, mais que par sécurité je conseille la suppression aussi de la 64 Bits. ;o)

      Christophe.

  • Bonjour Christophe
    A la lecture de ton article j’ouvre CCleaner pour voir la version et là mon antivirus me refuse l’ouverture déclarant un virus.
    Puis après élimination de CCleaner : L’analyse en cas d’inactivité à trouvé : Backdoor.Forpivast.A ccsetup533.exe (j’avais encore le.exe dans téléchargement!)
    C’est un vrai gag : racheté par un antivirus (avast) le logiciel de nettoyage se retrouve vérolé :wacko:
    Merci pour les infos tu es toujours au top :good:

  • Sur mon I7 en 8.1 64 rien trouvé :wacko:

    C’est nettoyé sur mon mini pc hp seven 32, je refais un scan et réinstall la dernière version.

    Même tarif sur mon I7, j’a tout retiré, fait un scan avec tout ce que j’ai et hop je réinstalle la dernière version comme il se doit :yahoo:

    Merci pour cette news et toutes les autres :good:

    Etre toujours à l’affut pour aider les autres c’est appréciable tropbien

    GG

  • A Christophe et franck

    Je viens de réinstaller Ccleaner par ton lien , il y a bien les deux EXE présents dans le dossier programmes en 32 et 64 !!!
    je vais jeter le 32 !!

    après lecture de différents articles , il semble que cela ne peut s’opérer que sur des systèmes en 32 Bits , donc si je comprends bien , si on exécute la version 64 sur un système 64 , pas d’infection , si on exécute la version 32 sur un système 64 infection ou pas ?
    :bye:

  • Merci pour ce nouveau lien ^^

    Mais une fois la version faisant défaut enlevé et les clefs de registre enlevés plus réinstallation de la version zéro défaut plus aucun soucis?

    Restaurer le pc à un point d’avant le 15aout encore faut il le pouvoir…

    Décidément ça va faire du bruit ce soucis.

    Vu que le pb est issus de qq qui a tafé chez piriform, s’il se fait choper et même si ça prend du temps il va avoir de gros pb jereve!

    GG

    • plus aucun soucis?

      Je dirai plus aucun souci : gageons que vu la renommée du logiciel infecté les sociétés éditrices de logiciels de désinfection vont prendre un soin particulier à décortiquer au maximum les actions de l’infection afin de proposer une solutions sans défaut, Avast en tête ;-)

  • Merci Christophe

    donc si dans le registre la clé : HKLM\SOFTWARE\Piriform\Agomo. est absente le systemest considéré comme sain !
    j’ai fait une recherche après avoir remis Ccleaner en version 5.34 à priori pas de clé donc c’est bon signe !
    merci pour ton post :good:

  • Ba,

    Les info via le site que tu a donné fait état du code interne de l’éditeur dans le fichier qui contenait le code malveillant.

    Sur ce fameux site, ils conseillent de revenir à un état antérieur au 15aout.

    Mais en ayant nettoyé et réinstallé la version fraiche zéro soucis ça le fait?

    J’ai regardé sur mes deux pc, l’état de restauration ou de point de restauration du système donc le C:

    C’est bien activé mais pas de point de restauration à part celui ou j’ai fais enlevé CCcleaner par RevoUnistaller.

    Etrange ou pas, faut pas que j’ai des pb de logiciel ou autre…

    Mais pour ce soucis que j’ai bien pris dans les dents sur mon mini pc hp sous Seven 32 tout est clean.

    Ras sous mon I7 sous 8.1 64

    GG

  • Je pense que vu la renommé du logiciel les éditeurs de solution de sécurité ont planché avec un très grand soin sur des signatures de désinfection ; donc en mettant son antivirus/antispyware à jour et en scannant minutieusement son PC les chances qu’une parcelle d’infection liée à Ccleaner soit encore présente sont quasi nulles. :yes:

  • Re,
    Un de mes PC en 64 bits avait la version d’août : aucune détection de logiciel indésirable, que ce soit avec Kaspersky ou Malwarebytes.

    Voilà, info à prendre telle quelle

    • hello Azamos

      je suis dans le même cas que toi !!

      L’AV n’a rien trouvé , donc suppression puis nouvelle mouture de Ccleaner mais il semble bien qu’en étant en OS 64 bits ça n’a pas infecté , d’après les articles seul les OS 32 bits seraient touchés !!

  • Bjr ^^

    Cela peut sembler rassurant, le tout en ayant bien nettoyé sa machine.

    Mais ce fameux code qui laissait une porte ouverte à tous ce qui est pourri, au final ça attaquait quel exe et quel dll au cas ou?

    Je l’ai eu sur mon Seven 32 rien sur 8.1 64.

    J’ai bien nettoyé mon Seven, mais je ne suis pas rassuré pour autant.

    GG

  • bonsoir,
    j’ai donc désinstallé, et réinstaller comme indiqué ccleaner
    mon antivirus n’avait rien signalé
    et là, en lançant un autre programme, le virus de cccleaner a été signalé, et je l’ai donc supprimé !
    merçi à toi Christophe et à vous tous
    bonne soirée

  • Bonjour :bye:

    Un update du blog avast:

    https://preview.hs-sites.com/_hcms/preview/content/5348464878?portalId=486579&preview_key=YRWyAHMF

    Donc si une personne infecté n’avais pas eu vent mot et sans être protégé eu l’infection, il aurait eu en seconde attaque un fichier compilé en DLL qui se serait créé jereve!

    Ayant eu le début de l’infection avec des traces dans la base de registre j’ai cherché le fameux fichier. :wacko:

    Je ne l’ai pas trouvé :yahoo:

    Puis ils parlaient aussi dans la suite de l’attaque d’un patch sur un fichier de Winzip.

    J’ai trouvé le fichier donc d’origine winzip dernière date de modif quand j’ai installé winzip, mais je l’ai passé sur le site virsutotal pour voir si il y avait eu une modif dans pour autant une modif de la date et rien de rien c’est ok :yahoo:

    Donc la je pense être plus que rassuré et la j’attends la suite de l’enquête interne Avast pour savoir comment ça a été mis sur le net et de qui ça pourrait provenir pour un peu qu’on le sache un jour :wacko:

    GG

    • Bonjour

      Je comprends ( forum gratilog ) que les 64 bits ont été affecté si il y a passage à l’étape 2 , ce qui semble être le cas que de certaines sociétés bien ciblées selon d’autres sources ?
      :bye:

  • Hello

    Une question tardive mais qui peut avoir son intérêt , les points de restauration ( je ne parle pas des images de sauvegardes qui contiennent forcement “la bébéte “) sont ils contaminés ?
    A mon avis pour ceux qui s’en servent il vaut mieux les supprimer !!!!
    :bye:

  • Bjr,

    Si on a aucune trace de clef mentionnées via le site ou trace de fichier la aussi cité sur le site est ce bon?

    J’ai rien de tout cela sur mon Seven 32.

    Malawaresbytes a retiré les traces de clef mentionnée dans les premiers site.

    Puis ai passé à la loupe le pc avec tout ce que j’avais.

    Je n’ai pas de point derestauration avant le 15 août.

    Ai juste une image système qui a un an via acronis.

    GG

  • oups !! désolé …ça m’apprendra a ne pas suivre :wacko:
    c’est assez dingue cette histoire !? comme si c’étais plus piriform qui était attaqué …
    ça va freiner plus d’une installation,en tous cas !

    et sinon,quel autre outil équivalent connais tu et que tu conseillerais ?
    je connais Bleachbit qui est libre ! glary le poid lourd dont je suis méfiant …
    certains sites en propose une vingtaine ! mais sachant le danger du registre !!!
    je ne ferais pas de teste de ces logiciels sans ton conseil :scratch:

  • Bonjour à tous,
    comment l’on doit faire svp, pour savoir si l’on a pas sur son pc, les éléments suivants, décrits dans votre lien 01net, merçi pour votre attention et aide. bonne journée à vous
    Pour les plus inquiets d’entre vous, il est possible de trouver des indices qui vous permettront de savoir si votre machine est contaminée. Tout d’abord, des clés de registre sont ajoutées par le cheval de Troie de la deuxième charge.

    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf\001
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\002
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\003
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\004
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\WbemPerf\HBP
    Par ailleurs, vous devriez également trouver traces des fichiers spécifiques ci-dessous.

    GeeSetup_x86.dl
    EFACli64.dll (le cheval de Troie en version 64 bit)
    TSMSISrv.dll (le cheval de Troie en version 32 bit)
    DLL dans le Registre :
    f0d1f88c59a005312faad902528d60acbf9cd5a7b36093db8ca811f763e1292a
    Deuxième charge :
    dc9b5e8aa6ec86db8af0a7aa897ca61db3e5f3d2e0942e319074db1aaccfdc83
    Si ces éléments figurent sur votre machine, il ne vous reste plus qu’à rétablir une sauvegarde ou une image de votre système d’exploitation établie à une date antérieure au 15 août dernier.

  • Hi there !

    Nos 2 PC 64 bits ont bel et bien infectés, BitDefender a trouvé 2 Backdoors (Backdoor.Forpivast.A ccsetup533.exe sur 1PC et un autre sur l’autre) voilà pour cette “polémique” 32 et/ou 64 !

    Ensuite grâce à la deuxième découverte, en “regeditant” je trouve la clé sus-citée à savoir “HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf” mais sans \001 \002 ou suivant …”

    N’osant toucher au registre, que faut-il en faire ? Par précaution j’ai téléchargé la version 5.35 de CCleaner et après … je l’ai désinstallé :-)) par Revo Uninstaller avec le mode scan avancé qui scrute tout ce qui peut rester mais il n’a pas trouvé la clé ci-dessus (puisque ce n’est pas une clé CCleaner of course !)

    Comme certains ci-dessus, je n’ai pas de point de resto antérieur au 15/08

  • Bjr ^^

    Seul mon mini pc sous Seven 32 a eu des traces dans la base de registre vite fait enlevé par malawarebytes.

    Sur mon I7 sous 8.1 64 rien.

    A part ceci HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf et rien d’autre.

    Cette clef vide, je la retrouve sur mon mini pc hp mais rien dedans elle est vide enfin le repertoire est vide sur mon mini pc hp et I7.

    Donc peut on laisser cette clef de registre??? :scratch:

    J’ai passé mes deux pc à la moulinette de tous les softs que je pouvais connaitre ou presque :wacko:

    Rien de rien même caché au plus profond, aucune trace ou fichier exe ou dll suspect…

    Que de bruit, mais ça peu faire flipper qq qui ne serait pas à l’écoute de tous les pb sur internet.

    Tous les sites parlent des clef avec wbemperf mais avec des choses derrières mais pas de la clef elle même sans rien…

    Pour moi, elle serait à enlever, mais si un expert pouvait répondre à cela? :good:

    J’ai bien aussi regardé la fonction des points de restaurations, c’est actif sur mes deux pc, mais point de ” points de restauration d’avant le 15 aout :unsure:

    Bonne journée :yahoo:

    GG :bye:

  • Hello Azamos

    Ta réponse pour GG n’apparaît pas dans le fil des réponses ( à voir avec Christophe si le fil des réponses a une limite en quota ?)

    Pour la clé , je ne suis pas spécialiste du tout , mais c’est un vaste débat autour de cette fameuse clé : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf sur sa légitimité ou non ?

    Après avoir visité pas mal de sites ( chut !! faut pas le dire à Christophe !! ) certains comme toi parlent de la supprimer d’autres disent qu’elle est légitime , j’ai donc cherché sur un ordinateur dont je suis sur qu’il n’a pas installé Ccleaner 53 et la clé est bien présente et vide !

    pour ma part elle est aussi présente sur mon ordi et je la laisse suite a cela en attendant plus d’infos

    :bye:

  • Salut GREY CAT,

    Oui, ma réponse a disparue car je l’ai supprimé, ayant répondu un peu trop rapidement : la clé “HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WbemPerf” est bien légitime (= donc on ne la supprime pas), seul ce qui est contenue dedans avec les 3 chiffres (ex : “001” “002” etc.) doit être supprimé si cela apparait. ;-)

  • hello Azamos

    Merci de ton retour , donc ça me rassure la clé est légitime ( si elle n’a pas les attribues 001 …. )

    Quelle foutoir cette infection , çà fait fonctionner les forums à plein régime :mail: :yahoo:

    :bye:

  • Bonjour :bye:

    Suite a deux Trojans trouvé sur une station Windows 7 Pro 32 bits voilà quelques jours.
    J’ai fait cette petite expérience :

    J’ai ouvert le programme Malwarebytes.
    Je suis allé à l’onglet quarantaine.

    J’ai coché les deux Trojans trouvés il y a quelques jours :

    TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
    TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO

    J’ai cliquer sur restaurer (et confirmation) Puis j’ai redémarrer l’ordinateur.

    J’ai enfin lancé une analyse Bitdefender 2018 du disque (C:).

    Au bout d’une heure le rapport annonçait “Votre système est sûr”

    J’ai refait une analyse de Malwarebytes et au bout d’une minute, il a trouvé dans “Analyser la Mémoire” les deux Trojans.

    Que doit-on en penser ? :scratch:

  • Merci Visio3 pour le retour d’expérience : vraiment curieux et étonnant qu’une suite d’un éditeur aussi réputé que Bitdefender ne détecte pas une infection qui est au centre de toutes les discussions dans les milieux informatique !!! jereve! :scratch:

    Avec un léger recul, cela me remémore quelques discussions parcourues sur le Net indiquant que Bitdefender ne semblait plus faire son travail correctement depuis quelques mois. Franchement très bizarre quand même de la part de cet éditeur, et donc à confirmer mais le doute s’installe vraiment là… :unsure:

  • Bonjour Azamos

    Il faut peut-être attendre l’analyse des fichiers que j’ai joint à Bitdefender (bdsyslog)
    La réponse avancée (avant analyse) était un possible “faux positif” :unsure:

    Je vais suivre de près la discussion sur le forum Bitdefender (Lien au dessus)

    A suivre ……..

    Est-ce que les trojans identifiés sur mon ordinateur correspondent à l’infection de la version 5.33.6162, ou est-ce différent ?

    TrojanFloxifTrace dans la Valeur de registre HKLM\SOFTWARE\PIRIFORM\AGOMO TCID
    TrojanFloxifTrace Clé du registre HKLM\SOFTWARE\PIRIFORM\AGOMO

    • @ Visio : la sous-clé AGOMO est créée uniquement par cette infection ; aucun processus ou autre ne créé une valeur à ce nom.

      Je suis vraiment étonné de la réponse du tech de Bitdefender tant la réponse est évidente :-(

      Et je te confirme bien que les trojans détectés sont en rapport avec la dite infection :yes:

    • C’est ce qu’il fallait faire Visio3 : le dossier est créé par l’infection, mais ce n’est qu’une coquille vide sans action une fois les clés retirées : à supprimer manuellement donc comme tu l’as fais ;-)
      Merci pour le screen et pour le retour d’expérience :good:

  • Bonjour :bye:

    Voici la dernière réponse de bitdefender sur le forum du même nom :
    “Bonjour,
    Je vous confirme que ces clés de registre ne sont pas importantes, même si elles ont été créés par la version malicieuse de Ccleaner.
    L’essentiel de la modification malveillante est détectée par Bitdefender comme je vous l’ai évoqué dans ce topic (Trojan.PRForm.A et Backdoor.Agent.ABXS), un peu plus haut.
    Ces clés de registre sans le reste, ne représentent aucun danger.”

    Le topic se trouve ici :
    https://forum.bitdefender.com/index.php?/topic/77396-questions-sur-lactualit%C3%A9-li%C3%A9e-%C3%A0-ccleaner/&amp;

  • Merci du retour Visio3,
    Oui, les clés seules n’ont plus d’effet. Toutefois autant les retirer elles aussi, d’une part parce qu’elles n’ont rien à faire là et que leur suppression n’endommagera rien du tout ; d’autre part il reste peut-être possible qu’elles puissent servir à un petit malin comme base pour une infection futur (sur ce dernier point je ne suis pas un spécialiste, donc à prendre au conditionnel ;-) ).

Laisser un Commentaire

:bye: 
:good: 
:negative: 
:scratch: 
:wacko: 
:yahoo: 
B-) 
:-) 
:whistle: 
:yes: 
:cry: 
:mail: 
:-( 
:unsure: 
;-) 
tropbien 
mdr 
bg 
js 
petbjr 
pbpr 
pfe 
vv 
sos 
pcccccccc 
mur 
bdj 
cr 
tg 
aid 
 
Partagez65
+1
Tweetez
Partagez