Author Topic: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?  (Read 3829 times)

0 Members and 1 Guest are viewing this topic.

July 21, 2015, 08:31:09 pm

Starxplr

  • Newbie

  • Offline
  • *

  • 2
  • Reputation:
    0
    • View Profile
Bonsoir !

J’ai récemment installé RogueKiller, mais suite à son utilisation je rencontre quelques difficultés :

J’ai tout d’abord effectué une première analyse, dont le rapport (RAPPORT_1) est en pièce jointe. C’est surtout le processus conhost.exe qui m’a inquiété : il est bien dans le bon répertoire, mais RogueKiller l’a identifié comme étant un malware : ce que j’ai trouvé sur internet ne m’a pas vraiment aidé, d’où ma première question : Est-ce un malware ou un faux positif ?

Mais la suite est encore plus surprenante : j’ai relancé un scan avec RogueKiller ce midi (qui s’est mis à jour de la V10.9.2.0 vers la V10.9.3.0 entretemps) et là, plus de conhost.exe ! Par contre, des dizaines de lignes en orange dans la section antirootkit…(RAPPORT_2 en pièce jointe).

J’ai donc effectué un test en rentrant chez moi ce soir : j’ai de nouveau lancé un scan avec RogueKiller juste après le démarrage de mon PC (RAPPORT_3) : Excepté les quelques PUP / PUM détectés, rien ne me semble inquiétant dans ce scan.
Puis, je lance firefox, et j’effectue de nouveau un scan (j’ai supprimé entretemps les 2 [PUP] et les 2 [PUM.Dns]), et là tous les flags de la section antirootkit réapparaissent (RAPPORT_4).

Les « choses » détectées dans la section antirootkit sont donc liées à l’exécution de firefox, mais malgré mes recherches et la lecture de posts similaires sur le forum, mes maigres connaissances ne me permettent pas de déterminer s’il s’agit de faux positifs, ou si au contraire je devrais m’inquiéter…

Pourriez-vous s’il vous plait me donner votre avis d’expert sur ces questions ?

Bien cordialement,

PS: I can also post in English if it suits you better

PPS: je me demande aussi ce que signifie la ligne “Error reading LL2 MBR! ([18] Le programme a émis une commande de longueur incorrecte. )” à la fin des rapports ?

Reply #1July 22, 2015, 05:06:02 pm

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2571
  • Reputation:
    97
    • View Profile
Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
« Reply #1 on: July 22, 2015, 05:06:02 pm »
Bonjour Starxplr,

Bienvennue sur le forum Adlice.
Je vais tacher de répondre au mieux à tes questions.

Quote from: 'Starxplr'
J’ai tout d’abord effectué une première analyse, dont le rapport (RAPPORT_1) est en pièce jointe. C’est surtout le processus conhost.exe qui m’a inquiété : il est bien dans le bon répertoire, mais RogueKiller l’a identifié comme étant un malware : ce que j’ai trouvé sur internet ne m’a pas vraiment aidé, d’où ma première question : Est-ce un malware ou un faux positif ?
Il s'agissait d'un faux positif qui a normalement été corrigé dans la version 10.9.3.0 de RogueKiller.

Quote from: 'Starxplr'
J’ai donc effectué un test en rentrant chez moi ce soir : j’ai de nouveau lancé un scan avec RogueKiller juste après le démarrage de mon PC (RAPPORT_3) : Excepté les quelques PUP / PUM détectés, rien ne me semble inquiétant dans ce scan.
Puis, je lance firefox, et j’effectue de nouveau un scan (j’ai supprimé entretemps les 2 [PUP] et les 2 [PUM.Dns]), et là tous les flags de la section antirootkit réapparaissent (RAPPORT_4).

Les « choses » détectées dans la section antirootkit sont donc liées à l’exécution de firefox, mais malgré mes recherches et la lecture de posts similaires sur le forum, mes maigres connaissances ne me permettent pas de déterminer s’il s’agit de faux positifs, ou si au contraire je devrais m’inquiéter…
Il s'agit effectivement de hooks utilisés par Mozilla Firefox. Ils sont tout à fait légitimes.

Quote from: 'Starxplr'
PPS: je me demande aussi ce que signifie la ligne “Error reading LL2 MBR! ([18] Le programme a émis une commande de longueur incorrecte. )” à la fin des rapports ?
Cela signifie que ton disque dur ne prend pas en charge cette méthode de lecture du MBR. Rien d'inquiétant.

Meilleures salutations.

Reply #2July 22, 2015, 09:28:16 pm

Starxplr

  • Newbie

  • Offline
  • *

  • 2
  • Reputation:
    0
    • View Profile
Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
« Reply #2 on: July 22, 2015, 09:28:16 pm »
Bonsoir Curson,

Merci beaucoup pour ton aide, et pour ta réponse rapide aussi ! Me voilà rassuré, et je comprends mieux pourquoi le signalement du processus conhost.exe a soudainement disparu  :)

En tout cas je trouve ça génial qu’il y ait des gens comme toi qui prennent sur leur temps de libre pour aider les autres, d’autant plus que ce genre de questions sur des problèmes qui n’en sont pas au final doivent te paraitre un peu lassantes à la longue…

Je ne peux malheureusement pas en faire autant (du moins, pas en informatique !!), mais cela ne m’empêche pas d’apprécier ce que vous faites, toi et les autres membres du forum.

Encore merci en bonne continuation !

Reply #3July 23, 2015, 11:45:08 am

Curson

  • Global Moderator
  • Hero Member

  • Offline
  • *****

  • 2571
  • Reputation:
    97
    • View Profile
Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
« Reply #3 on: July 23, 2015, 11:45:08 am »
Bonjour Starxplr,

Quote from: 'Starxplr'
Merci beaucoup pour ton aide, et pour ta réponse rapide aussi ! Me voilà rassuré, et je comprends mieux pourquoi le signalement du processus conhost.exe a soudainement disparu  :)

En tout cas je trouve ça génial qu’il y ait des gens comme toi qui prennent sur leur temps de libre pour aider les autres, d’autant plus que ce genre de questions sur des problèmes qui n’en sont pas au final doivent te paraitre un peu lassantes à la longue…
Je suis heureux de lire que mon aide à été appréciée. Des réponses comme celle-ci font plaisir. :)

Quote from: 'Starxplr'
Je ne peux malheureusement pas en faire autant (du moins, pas en informatique !!), mais cela ne m’empêche pas d’apprécier ce que vous faites, toi et les autres membres du forum.
Merci pour ces sympathiques paroles. :)

Bonne continuation à toi aussi.