[Résolu] Élimination de malwares présents dans FreeFileSync

[AmBo73]

Bonjour,

 

Ce thread est la suite de - Problème relance appli après "appli ne répond pas" - traité et résolu brillamment par Pierre13 (que je remercie encore vivement) la semaine dernière. Je m'adresse donc plus particulièrement à lui mais les éventuels autres avis seront les bienvenus.

@Pierre13:

je pense avoir trouvé un des vecteurs de certains des malwares présents dans mon PC avant le grand nettoyage de la semaine dernière. Il s'agit de FreeFileSync (http://www.freefilesync.org/). Il est en opensource. J'ai vu sur internet plusieurs sujets parlant de cette pollution de FFS par des malwares, sans pour autant trouver de solution.

Hier, j'ai voulu faire la mise à jour de FFS en version 8.6. Comme à chaque MAJ de ce logiciel, il apparait rapidement un message de mon antivirus (Nod32) signalant la présence de logiciels malveillants. Jusqu'à ton intervention pour le nettoyage de mon PC et l'installation de MBAM, j'outrepassais cet avertissement (bêtement je comprends maintenant...) et pouvais poursuivre l'instal. Maintenant, MBAM bloque carrément l'instal et envoie le fichier en quarantaine (ce qui est bien son rôle !). Dans l'historique, on voit la menace PUP.Optional.Opencandy.Generic. Et le fichier d'instal "FreeFileSync_8.6_Windows_Setup" a totalement disparu de mon PC .... Donc, impossible d'aller plus loin...

Que puis-je faire avec cela ?

Ce logiciel FreFileSync est vraiment très important pour moi. C'est le meilleur que j'ai trouvé pour faire la synchro de fichier entre deux zones de stockage (dans un cadre professionnel). Je souhaiterais pouvoir continuer à l'utiliser...

1ère option: je ne fais pas la MAJ. Ma version FFS actuelle fonctionne parfaitement et est débarrassée de ses malware grâce au nettoyage fait avec toi la semaine dernière. Mais je suis condamné à ne pas profiter des évolutions de ce logiciel....

2ème option: il y a un moyen d'installer FFS en outrepassant les malwares inclus, tut en les éliminant bien sûr. Si oui, lequel ?

3ème option: je mets en sommeil MBAM, j'installe FFS complet en outrepassant les avertissements de NOD32, je remets MBAM en service et j'élimine les malwares.... ESt-ce que cela pourrait fonctionner ? Est-ce que tout serait nettoyé ? Cette option me plait moyennement mais j'ai tellement besoin de FFS....

Que penses-tu de cela ?
Désolé pour la longueur du post...
Cordialement

[AmBo73]

voici une capture d'écran de l'avertissement Nod32:

 

http://www.cjoint.com/c/FKcjvFgN83w

 

Si ça peut être utile.....

[Pierre13]

Bonjour AmBo73,

 

Décidément...Pas de chance..

 

Il est possible que ce logiciel soit détecté par l'anti virus et MBAM, mais c'est peut être un faux positif.

Je viens de télécharger ce logiciel et j'ai fait une analyse par VirusTotal pour voir ce que ça donne.

 

J'ai eu ceci: Voir l'analyse de VirusTotal.

Comme on peut le voir, seul ESET NOD32 le détecte..

C'est très souvent le signe d'un faux positif

 

J'ai aussi testé le logiciel avec MBAM..Idem => Mis en quarantaine illico !

 

Test avec KIS 2017 => Aucune menace.

 

Pour voir si une fois le logiciel installé, il installe aussi des indésirables, on va faire ceci:

 

Désactiver ESET NOD32.

Re télécharger le logiciel

L'installer.

 

Ensuite, on va analyser le PC avec ZHPDiag.

 

A lire avant de commencer.

• Comment lever la protection SmartScreen :
  
  • Depuis la sortie de sa version 8, Microsoft intègre un système de protection contre les sites malweillants nommé « SmartScreen ».
  • Mais il s’avère que ce filtre bloque le téléchargement de nombreux logiciels légitimes.

[*]

• Note : Info de Nicolas Coolman :

Pourquoi le filtre "SmartScreen" bloque le téléchargement de ZHPDiag ?

• Téléchargement ZHPDiag :
  
  • Télécharger ZHPDiag sur le site officiel de Nicolas Coolman
  • Installer ZHPDiag =>> clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  • Une icône est créée sur le Bureau.
  • Cliquer sur l’icône ZHPDiag pour démarrer le logiciel et faire apparaître l’interface.
  • Le navigateur sera fermé.

[*]

• Démarrer la recherche :
  
  • – Cliquer sur « Scanner » pour démarrer la recherche.
  • – En cours de recherche, un compteur indique le nombre de détections.

[*]

• • – Laisser s'effectuer la recherche jusqu’à ce que la barre de progression atteigne le 100%
  • – Pour annuler la recherche, cliquer sur la touche « Echap ».
  • -- Cliquer sur Rapport à la fin du scan.
  • -- Heberger le rapport sur Cjoint (le rapport est sur le bureau)
  • -- Poster le lien vers ce rapport.

[*]Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport. [*]Me donner le lien vers ce rapport.

Le rapport sera aussi ici =>> c:\ZHP\ZHPDiag.txt

 

Le rapport nous dira si le PC est infecté ou non..

 

@++

[AmBo73]

Bonjour Pierre13, content de te relire,

 

Voici le rapport. Aucune infection détectée...

http://www.cjoint.com/c/FKckRIvMSGw

 

J'ai été obligé de neutraliser MBAM parce qu'il m'éjectais l'installation.

Par ailleurs, j'ai relevé le texte suivant sur les FAQ du site de FFS:

"Note: Some anti-virus programs, most notably Norton by Symantec will falsely flag the installer as dangerous and delete it without providing further info. This is because Norton uses a so-called "reputation-based heuristic", which will simply delete all files that are not well known or commonly downloaded. This simple algorithm is expected to fail with the FreeFileSync Donation Edition which is not widely distributed by design. As a workaround you can try to restore the deleted installer or use a smarter anti-virus program.

My virus scanner/firewall shows a scary warning dialog. Is there a virus, malware or trojan?

No, the FreeFileSync installer never contains malware or viruses. Both firewalls and virus scanners work with heuristics in addition to searching for known virus patterns. Heuristics are generic algorithms that try to identify malicious behavior by evaluating certain program characteristics according to their proprietary implementation. Often it is already sufficient to have a program access the registry or the internet to get this classification. By their very nature heuristics cannot be exact and frequently lead to false positive detections. Occasionally FreeFileSync is victim of this.

In practice however one can distinguish real malware threats from heuristic alerts: later contain phrases like *gen*, *generic*, *heur*, *heuristic* or *reputation* as part of the threat signature name. Anyway, when in doubt never trust a single anti-virus software and use an online mass virus scanner for comparison."

 

A plus....

[Pierre13]

Re,

 

Ok..

J'avais oublié MBAM...

 

Oui, a mon avis, c'est un faux positif.

 

Pour en être complètement certain, faire cette analyse (en même temps, ça va nettoyer les quelques trucs vides inutiles)

 

Ne passer les outils qu'une seule fois.

• Télécharger ZHPCleaner de Nicolas Coolman sur le bureau.
• Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur (Si XP : Double cliquer sur le fichier.)
  
  
• Cliquer sur 1 Scanner
• Patienter jusqu'à la fin (100%)
• Cliquer sur 2 Nettoyer
• Confirmer le nettoyage si demandé.
• Patienter jusqu'à la fin (100%)
• Cliquer sur 3 Rapport
• Poster le rapport sur Cjoint.com
• Redémarrer le PC si demandé.

• Le rapport est sur le bureau.
• Si le site Cjoint.com ne fonctionne pas, utiliser le site 1fichier.com pour héberger le rapport.
• Me donner le lien vers ce rapport.

 

 

@+

Modifié le 2 novembre 2016 par Pierre13

[AmBo73]

et voici le rapport de MBAM qui a détecté une menace, toujours la même.

Nota: cette menace a été détectée dans la toute dernière analyse dénommée "heuristique"

 

http://www.cjoint.com/c/FKck5aOC1iw

[Pierre13]

Oui, ce n'est pas étonnant..

J'ai eu la même chose.

[AmBo73]

Voici le rapport ZHPCleaner.... 0 bug !

 

http://www.cjoint.com/c/FKclfTyvF3w

[Pierre13]

Ok...C'est bien un faux positif

 

Pour éviter que ton anti virus et MBAM le détecte à tord, faire ceci:

 

Désactiver les 2 avant pour éviter que le fichier soit détecté.

 

Voir sur cette page comment exclure un fichier ou un logiciel de l'analyse avec ESET NOD32

 

 

• Pour exclure un fichier de l'analyse avec MBAM:
  
• Ouvrir MBAM
• 1 - Cliquer sur l'onglet Paramètres.
• 2 - Cliquer sur Exclusions des programmes malveillants.
• 3 - Cliquer sur Ajouter un fichier.
• Dans l'explorateur qui va s'ouvrir, cliquer sur le fichier à exclure.
• Fermer MBAM

• Pour supprimer une exclusion:
  
• Il suffit de refaire la procédure sans ajouter de fichier.
• cliquer sur la ligne du fichier à exclure.
• La ligne sélectionnée devient bleue.
• Cliquer ensuite sur Supprimer.
• Fermer MBAM.

Réactiver les protections anti virus.

 

Si c'est Ok, on va pouvoir désinstaller les outils utilisés et terminer le sujet.

 

@+

Modifié le 2 novembre 2016 par Pierre13

[AmBo73]

je ne comprends pas très bien... Dans les deux cas, quel chemin je dois mettre dans les exclusions ?

Quand je télécharge une MAJ de FFS, le fichier s'enregistre dans mon répertoire Download que j'ai mis sur le bureau. Et le nom est différent à chaque fois, au moins par le N° de la version....