Adlice forum

General Category => Malware removal help => Topic started by: Starxplr on July 21, 2015, 08:31:09 PM

Title: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
Post by: Starxplr on July 21, 2015, 08:31:09 PM

Bonsoir !

J’ai récemment installé RogueKiller, mais suite à son utilisation je rencontre quelques difficultés :

J’ai tout d’abord effectué une première analyse, dont le rapport (RAPPORT_1) est en pièce jointe. C’est surtout le processus conhost.exe qui m’a inquiété : il est bien dans le bon répertoire, mais RogueKiller l’a identifié comme étant un malware : ce que j’ai trouvé sur internet ne m’a pas vraiment aidé, d’où ma première question : Est-ce un malware ou un faux positif ?

Mais la suite est encore plus surprenante : j’ai relancé un scan avec RogueKiller ce midi (qui s’est mis à jour de la V10.9.2.0 vers la V10.9.3.0 entretemps) et là, plus de conhost.exe ! Par contre, des dizaines de lignes en orange dans la section antirootkit…(RAPPORT_2 en pièce jointe).

J’ai donc effectué un test en rentrant chez moi ce soir : j’ai de nouveau lancé un scan avec RogueKiller juste après le démarrage de mon PC (RAPPORT_3) : Excepté les quelques PUP / PUM détectés, rien ne me semble inquiétant dans ce scan.
Puis, je lance firefox, et j’effectue de nouveau un scan (j’ai supprimé entretemps les 2 [PUP] et les 2 [PUM.Dns]), et là tous les flags de la section antirootkit réapparaissent (RAPPORT_4).

Les « choses » détectées dans la section antirootkit sont donc liées à l’exécution de firefox, mais malgré mes recherches et la lecture de posts similaires sur le forum, mes maigres connaissances ne me permettent pas de déterminer s’il s’agit de faux positifs, ou si au contraire je devrais m’inquiéter…

Pourriez-vous s’il vous plait me donner votre avis d’expert sur ces questions ?

Bien cordialement,

PS: I can also post in English if it suits you better

PPS: je me demande aussi ce que signifie la ligne “Error reading LL2 MBR! ([18] Le programme a émis une commande de longueur incorrecte. )” à la fin des rapports ?

Title: Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
Post by: Curson on July 22, 2015, 05:06:02 PM

Bonjour Starxplr,

Bienvennue sur le forum Adlice.
Je vais tacher de répondre au mieux à tes questions.

Quote from: 'Starxplr'

J’ai tout d’abord effectué une première analyse, dont le rapport (RAPPORT_1) est en pièce jointe. C’est surtout le processus conhost.exe qui m’a inquiété : il est bien dans le bon répertoire, mais RogueKiller l’a identifié comme étant un malware : ce que j’ai trouvé sur internet ne m’a pas vraiment aidé, d’où ma première question : Est-ce un malware ou un faux positif ?

Il s'agissait d'un faux positif qui a normalement été corrigé dans la version 10.9.3.0 de RogueKiller.

Quote from: 'Starxplr'

J’ai donc effectué un test en rentrant chez moi ce soir : j’ai de nouveau lancé un scan avec RogueKiller juste après le démarrage de mon PC (RAPPORT_3) : Excepté les quelques PUP / PUM détectés, rien ne me semble inquiétant dans ce scan.
Puis, je lance firefox, et j’effectue de nouveau un scan (j’ai supprimé entretemps les 2 [PUP] et les 2 [PUM.Dns]), et là tous les flags de la section antirootkit réapparaissent (RAPPORT_4).

Les « choses » détectées dans la section antirootkit sont donc liées à l’exécution de firefox, mais malgré mes recherches et la lecture de posts similaires sur le forum, mes maigres connaissances ne me permettent pas de déterminer s’il s’agit de faux positifs, ou si au contraire je devrais m’inquiéter…

Il s'agit effectivement de hooks utilisés par Mozilla Firefox. Ils sont tout à fait légitimes.

Quote from: 'Starxplr'

PPS: je me demande aussi ce que signifie la ligne “Error reading LL2 MBR! ([18] Le programme a émis une commande de longueur incorrecte. )” à la fin des rapports ?

Cela signifie que ton disque dur ne prend pas en charge cette méthode de lecture du MBR. Rien d'inquiétant.

Meilleures salutations.

Title: Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
Post by: Starxplr on July 22, 2015, 09:28:16 PM

Bonsoir Curson,

Merci beaucoup pour ton aide, et pour ta réponse rapide aussi ! Me voilà rassuré, et je comprends mieux pourquoi le signalement du processus conhost.exe a soudainement disparu  :)

En tout cas je trouve ça génial qu’il y ait des gens comme toi qui prennent sur leur temps de libre pour aider les autres, d’autant plus que ce genre de questions sur des problèmes qui n’en sont pas au final doivent te paraitre un peu lassantes à la longue…

Je ne peux malheureusement pas en faire autant (du moins, pas en informatique !!), mais cela ne m’empêche pas d’apprécier ce que vous faites, toi et les autres membres du forum.

Encore merci en bonne continuation !

Title: Re: Multiple antirootkit flags with firefox.exe / pb with conhost.exe ?
Post by: Curson on July 23, 2015, 11:45:08 AM

Bonjour Starxplr,

Quote from: 'Starxplr'

Merci beaucoup pour ton aide, et pour ta réponse rapide aussi ! Me voilà rassuré, et je comprends mieux pourquoi le signalement du processus conhost.exe a soudainement disparu  :)

En tout cas je trouve ça génial qu’il y ait des gens comme toi qui prennent sur leur temps de libre pour aider les autres, d’autant plus que ce genre de questions sur des problèmes qui n’en sont pas au final doivent te paraitre un peu lassantes à la longue…

Je suis heureux de lire que mon aide à été appréciée. Des réponses comme celle-ci font plaisir. :)

Quote from: 'Starxplr'

Je ne peux malheureusement pas en faire autant (du moins, pas en informatique !!), mais cela ne m’empêche pas d’apprécier ce que vous faites, toi et les autres membres du forum.

Merci pour ces sympathiques paroles. :)

Bonne continuation à toi aussi.