zFP-GOOGLE

  • ID de l'article 118377
  • Mis à jour : 17 déc. 2012

Problème

Une alerte de comportement suspect 'zFP-GOOGLE' apparaît dans votre console, au niveau de l'ordinateur qui est le serveur d'administration Sophos.  

Cette alerte spéciale n'indique pas qu'il y a une menace sur votre ordinateur. Elle indique que vous pouvez avoir des problèmes de logiciels que vous devez résoudre de toute urgence.

Nous avons publié cette alerte pour nous assurer que vous vous rendez bien compte que certains produits non-Sophos sur votre réseau ont été affectés par le faux positif Sophos récent. À moins d'avoir déjà réparé ces produits, ils peuvent être obsolètes et vous pouvez devenir l'objet de vulnérabilités à venir. Nous avons choisi une alerte de comportement suspect pour montrer que ce problème est une priorité élevée.

Voici un exemple d'alerte :

En outre, dans les détails de l'ordinateur de votre serveur d'administration, peuvent apparaître une ou plusieurs alertes de comportement suspect 'zFP-' qui incluent des noms d'applications (tierces) autres que Sophos.

Rencontré pour la première fois dans

Non spécifique à un produit

Cause

Nous avons fourni cette alerte car il se peut que ayez des applications tierces, installées sur les ordinateurs d'extrémité Windows, qui ne fonctionnent pas correctement à cause du faux positif Shh/Updater-B récent.

Si vous voyez cette alerte, les affirmations suivantes doivent être vraies :

  • Votre stratégie antivirus a été paramétrée sur 'Déplacer' ou sur 'Supprimer' les fichiers que le contrôle sur accès a détectés comme malveillants lors du problème du faux positif.
  • Un ou plusieurs ordinateurs ont signalé à la console que l'antivirus local a déplacé ou supprimé des fichiers associés à une application tierce.
  • Vous n'avez pas purgé (supprimé) les alertes de la console relatives à l'action de déplacement ou de suppression.
  • L'ordinateur signalant l'action de déplacement ou de suppression utilise un système d'exploitation Windows.

Remarque : même si vous avez déjà corrigé certaines applications, il se peut qu'il y en ait d'autres que vous ne connaissez pas.

Vous avez besoin de vérifier vos paramètres antivirus ?

Action à mener

Voici un aperçu des étapes obligatoires :

  1. Exécutez un fichier de commandes pour produire une liste des ordinateurs qui ont signalé des alertes (qui n'ont pas été purgées) pour les applications affectées.
  2. Réparez toutes les applications dont les fichiers ont été déplacés dans la section 2.
  3. Si de fichiers ont été supprimés : dans la section 3, réparez les applications où des fichiers ont été supprimés.

1. Identification des ordinateurs affectés

Vous devez exécuter un fichier de commandes qui créera un fichier texte dressant la liste des ordinateurs qui pourraient avoir des applications non Sophos affectées par le faux positif shh/Updater-B.

Ouvrez cet article sur votre serveur d'administration ou sur le serveur qui héberge l'instance SQL Server de Sophos et suivez les étapes un à quatre ci-dessous.

  1. Cliquez avec le bouton droit de la souris sur ce lien : fpdf.bat, sélectionnez 'Enregistrer le lien' ou 'Enregistre la cible' sur le Bureau de votre serveur.
  2. Ouvrez une invite de commande (Démarrer | Exécuter | Saisissez : cmd.exe | Appuyez sur Entrée) et changez de répertoire (cd) vers le Bureau de votre serveur.
  3. Saisissez la commande ci-dessous pour exécuter le fichier de commandes et créez un fichier texte de sortie :

    fpdf.bat > FpActionedFiles.txt

    Une fois la commande terminée, vous verrez un nouveau fichier texte sur le Bureau du serveur appelé FpActionedFiles.txt.
  4. Ouvrez FpActionFiles.txt pour voir les fichiers qui ont été déplacés ou supprimés sur chaque ordinateur administré affecté.

    Si vous ne voyez pas de liste d'ordinateurs, peut-être avez-vous exécuté le fichier sur le mauvais ordinateur.  Utilise l'article 113030 pour confirmer le serveur sur lequel SQL est installé et héberge la base de données principale Sophos.

Vous aurez maintenant un fichier texte appelé FpActionFiles.txt qui dresse la liste des stations de travail.  Vous pouvez utiliser cette liste dans la section 2 et, si nécessaire, la section 3.

2. Réparez les applications pour lesquelles des fichiers ont été déplacés

Pour réparer les applications non Sophos sur les ordinateurs d'extrémité, suivez les étapes un à trois ci-dessous.

Ces étapes sont censées être répétées localement sur chaque ordinateur d'extrémité mentionné dans le fichier FpActionFiles.txt.  Par conséquent, vous pouvez, si vous le voulez, copier l'outil et les instructions sur une clé USB (ou un périphérique semblable) que vous pouvez ensuite utiliser lorsque vous vous rendez sur chaque station de travail.  S'il y a un grand nombre d'ordinateurs affectés, consultez les liens vers d'autres articles sur comment déployer l'outil sur un réseau.

Remarque : exécutez l'outil avec des droits administratifs.

  1. Cliquez avec le bouton droit de la souris sur ce lien : FixIssues.exe, sélectionnez 'Enregistrer le lien' ou 'Enregistre la cible' sur le Bureau de l'ordinateur d'extrémité.
  2. Cliquez deux fois sur l'outil pour l'exécuter.
  3. Vérifiez que les applications fonctionnent maintenant.  En cas de problèmes, vérifiez les fichiers journaux de l'outil FixIssues.  Ils sont enregistrés dans le dossier temporaire local de l'utilisateur exécutant l'outil.  Pour accéder ou localiser les fichiers journaux :
    1. Ouvrez le dossier temporaire de l'utilisateur connecté (Démarrer | Exécuter | Saisissez : %temp% | Appuyez sur Entrée).
    2. Dans un éditeur de texte, ouvrez le fichier journal principal de l'outil : Sophos Fix Script log.txt
    3. Aussi, vérifiez : Sophos Fix Log_[DATE].txt

Si vous voulez contacter le support technique Sophos, soumettez ces journaux pour nous permettre de résoudre votre problème plus rapidement.

Si vos paramètres de nettoyage antivirus n'ont pas supprimé de fichiers (voir 'Vous avez besoin de vérifier vos paramètres antivirus ?' pour confirmation), aucune action supplémentaire n'est nécessaire.

Astuce : nous avons créé les articles suivants pour couvrir les différentes méthodes pouvant être utilisées pour déployer l'outil sur votre réseau :

  • Enterprise Console, consultez l'article 118351
  • PsExec, consultez l'article 118337
  • Stratégie de groupe Active Directory (GPO), consultez l'article 118338

Que faire si les applications tierces sont toujours endommagées

Si vous découvrez que certaines applications tierces ne fonctionnent toujours pas, et vous avez suivi les instructions ci-dessus, les alertes n'ont probablement pas été listées dans la base de données.  Donc les ordinateurs figurant dans le fichier FpActionFiles.txt ne constituait pas une liste complète des ordinateurs affectés.

Dans cette situation, nous vous recommandons d'exécuter l'outil FixIssues.exe sur tous vos ordinateurs d'extrémité.  Voir la liste des différentes méthodes de déploiement dans la section ci-dessus.

3. Réparez les applications Google pour lesquelles des fichiers ont été supprimés

Suivez seulement cette section si vos paramètres de nettoyage antivirus ont supprimé des fichiers. Si vous ne l'avez pas encore fait, regardez la vidéo de la section 'Vous avez besoin de vérifier vos paramètres antivirus ?' en cas de doute.

Si vos paramètres antivirus ont bien supprimé les fichiers : utilisez les liens ci-dessous pour plus d'instructions de récupération de chaque application identifiée.

Remarque : si vous avez déjà utilisé l'outil FixIssues de Sophos, vous avez restauré tous les fichiers qui ont été déplacés. Suivez seulement ces instructions si vos paramètres de nettoyage antivirus ont supprimé des fichiers.

Application Google Chrome et Google Updater
Éditeur Google
Impact
  • La majorité des fichiers associés au logiciel Google Update sont affectés, notamment :
    • %Program Files%\Google\Update\GoogleUpdate.exe
    • %Program Files%\Google\Update\<numéro de version>\<tous les fichiers (65 fichiers)>
  • Google Update sert à mettre à jour un certain nombre de produits (y compris Chrome et Google Earth), plusieurs produits peuvent donc être affectés. Consultez http://support.google.com/installer/bin/answer.py?hl=en&answer=146158 pour avoir la liste complète des produits qui utilisent Google Update.
  • Il se peut que vous voyiez des fichiers associés à plusieurs versions de Google Update affectées mais seule la dernière version doit être réparée.
  • Le navigateur Chrome continue de fonctionner sans avertissement. En revanche, toutes les fonctionnalités de mise à jour seront endommagées, y compris la vérification des mises à jour.
  • La sélection de l'option 'À propos de Google Chrome' dans le navigateur affiche l'avertissement suivant au cas où le composant de mise à jour a été endommagé :
    • 'Échec de la mise à jour (erreur : 3) Une erreur s'est produite lors de la vérification des mises à jour : Échec du démarrage de la vérification de la mise à jour (code d'erreur 3 : 0x80070002 - niveau système)'
Résolution
  • Utilisez le programme d'installation Chrome pour réinstaller Chrome. Ceci restaure les fichiers supprimés depuis le logiciel Google Update.
  • Le programme d'installation en ligne est disponible depuis www.google.com/chrome. Aussi, le programme d'installation pour postes autonomes pour tous les utilisateurs "ChromeStandaloneSetup.exe" peut être téléchargé depuis http://www.google.com/chrome/eula.html?system=true&standalone=1 ou le fichier programme d'installation msi peut être téléchargé depuis https://www.google.com/intl/en/chrome/business/browser.
  • Si vous voyez le message "Échec de l'installation. Le programme d'installation de Google Chrome n'a pas réussi à démarrer." Suivez les liens fournis par Google dans la même fenêtre pour résoudre le problème.
  • Pour une réinstallation silencieuse (ou sans surveillance), utilisez soit le programme d'installation pour postes autonomes avec la commande "ChromeStandaloneSetup.exe /silent /install", soit le fichier programme d'installation msi avec la commande 'msiexec /q /f <chemin vers le fichier msi chrome>'. En cas d'utilisation du msi, cela doit être la même version Chrome que celle installée.
  • 'Programmes et fonctionnalités' ou 'Ajout/Suppression de programmes Windows' ne proposent pas d'option de réparation.
Vérifié Vérifié pour cette version
  • Google Chrome Version 22.0.1229
Exécution sur ces systèmes d'exploitation : 
  • Windows XP Professionnel SP3
  • Windows 7 Professionnel SP1
  • Windows 7 Enterprise SP1 (64 bits)

Plus d'informations

D'autres alertes qui peuvent être présentes dans votre console incluent :

zFP-ADOBE zFP-OTHER zFP-ORACLE zFP-SMARTTECHNOLOGIES
zFP-APPLE zFP-MOZILLA zFP-REALNETWORKS  

Si vous rencontrez encore des problèmes ou si les étapes ci-dessus ne réparent pas l'application, une aide supplémentaire est disponible dans ce fil de discussion en anglais SophosTalk : Shh/Updater-B : réparation des applications tierces.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires