RogueKiller face à ZHP et Malwarebytes Anti-Exploit

[Zino60]

@ l'administrateur Tigzy
J'ai à vous signaler:
Primo: RogueKiller et ZHP ne font pas apparemment  bon ménage puisqu'à chaque fois que j'utilise RogueKiller (version gratuite), il détecte ZHP et l'élimine systématiquement (tué) le prenant sans doute pour un processus malicieux.
Secundo: j'utilise Malwarebytes Anti-Exploit et la détection, la première fois, par RogueKiller m'a donné des sueurs froides puis j'ai réalisé, en faisant des recherches et des manipulations, que les innombrables modules IAT décelés comme autant d'éléments suspects ne sont en fait que les "injections" légitimes de MBAE. désormais, quand j'entreprends un scan par le méchant et brutal tueur de rogues, je désactive d'abord le verrouillage (par MBAE) des navigateur et explorateur Windows et tout se passe bien: sous l'onglet anti-rootkit, je n'ai que du vert, le vert pacifique et réconfortant. Ceci je le dis surtout à l'adresse des utilisateurs du forum.
Salutations et merci d'avance

[Curson]

Bonjour Zino60,

Bienvenue sur le forum Adlice.

Il s'agit de faux positifs.
Peux-tu poster un rapport RogueKiller présentant ces détections pour que nous puissions y remédier ?

Meilleures salutations.

[Zino60]

Bonjour Curson,
Voici donc deux (2) rapports de scan dont le second ne fait nulle mention des modules IAT et ce, bien sûr, après avoir désactivé notamment le verrouillage par MBAE de l'explorateur Windows.

[Zino60]

Je vous prie d'excuser ma façon de vous répondre et de me répandre comme ça. Voici donc tout simplement les deux (2) rapports de scan dont le second, vous voudrez bien remarquer, ne mentionne nullement les modules IAT injectés par MBAE et ce bien sûr après en avoir désactivé le verrouillage, notamment de l'explorateur Windows.

1er rapport:

RogueKiller V10.5.10.0 [Apr 14 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 32 bits version
Démarré en  : Mode normal
Utilisateur : Zino B [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 04/15/2015  13:18:55

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] ZHPCleaner.exe(3152) -- C:\Users\Zino B\AppData\Roaming\ZHP\ZHPCleaner.exe[-] -> Tué(e) [TermProc]

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\Drivers\etc\hosts] 127.0.0.1   localhost

¤¤¤ Antirootkit : 19 (Driver: Chargé) ¤¤¤
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - SetProcessDEPPolicy :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) SHELL32.dll - ShellExecuteW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) SHELL32.dll - ShellExecuteExW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - NtProtectVirtualMemory :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll.dll - NtAllocateVirtualMemory :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNELBASE.dll - CreateProcessInternalA :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNELBASE.dll - CreateProcessInternalW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - MoveFileW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - HttpSendRequestW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - HttpOpenRequestW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - InternetReadFile :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - CopyFileW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - CopyFileA :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - InternetReadFileExW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - HttpSendRequestExW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) WININET.dll - InternetOpenUrlW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) urlmon.dll - URLOpenBlockingStreamW :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - WinExec :  @ 0x0 ()
[IAT:Inl(Hook.IEAT)] (explorer.exe) KERNEL32.DLL - MoveFileA :  @ 0x0 ()

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] ff2c537e6f4c306d21dd5893433a1f11
[BSP] d82ab2ce4f949ab357a04a43f31b53cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 155144 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 317941760 | Size: 149999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_04062015_230449.log - RKreport_DEL_04062015_231207.log - RKreport_SCN_04082015_132402.log - RKreport_SCN_04092015_150035.log
RKreport_SCN_04102015_014145.log - RKreport_SCN_04112015_030522.log - RKreport_SCN_04112015_030809.log - RKreport_SCN_04112015_031254.log
RKreport_SCN_04122015_131903.log - RKreport_SCN_04122015_132112.log - RKreport_SCN_04132015_041320.log - RKreport_SCN_04152015_130855.log

Second rapport:

RogueKiller V10.5.10.0 [Apr 14 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 32 bits version
Démarré en  : Mode normal
Utilisateur : Zino B [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 04/15/2015  13:32:46

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] ZHPCleaner.exe(3732) -- C:\Users\Zino B\AppData\Roaming\ZHP\ZHPCleaner.exe[-] -> Tué(e) [TermProc]

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\Drivers\etc\hosts] 127.0.0.1   localhost

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] ff2c537e6f4c306d21dd5893433a1f11
[BSP] d82ab2ce4f949ab357a04a43f31b53cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 155144 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 317941760 | Size: 149999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_04062015_230449.log - RKreport_DEL_04062015_231207.log - RKreport_SCN_04082015_132402.log - RKreport_SCN_04092015_150035.log
RKreport_SCN_04102015_014145.log - RKreport_SCN_04112015_030522.log - RKreport_SCN_04112015_030809.log - RKreport_SCN_04112015_031254.log
RKreport_SCN_04122015_131903.log - RKreport_SCN_04122015_132112.log - RKreport_SCN_04132015_041320.log - RKreport_SCN_04152015_130855.log
RKreport_SCN_04152015_131854.log - RKreport_DEL_04152015_132202.log

[Curson]

Bonsoir Zino60,

ZHP devrait normalement pouvoir être whitelisté dès la prochaine version de RogueKiller.
Il nous a été possible de reproduire le problème des hooks. A priori, cela ne concerne que les version 32-bits de Windows.

Merci d'avoir remonté le problème. Un correctif sera mis en place dès que possible.

Meilleures salutations.

[Zino60]

Bonjour Curson,
J'attendais pour voir avec la mise à jour de RK, ce qui fut fait. Néanmoins, si les problèmes avec Malwarebytes Anti-Exploit sont résolus, RK ne supporte pas, à ce jour, ZHP cleaner et encore moins Advanced Uninstaller Pro comme vous pouvez le voir signalé dans le rapport ci-joint:

RogueKiller V10.6.0.0 [Apr 17 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 32 bits version
Démarré en  : Mode normal
Utilisateur : Zino B [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 04/22/2015  16:52:22

¤¤¤ Processus : 3 ¤¤¤
[Suspicious.Path] ZHPCleaner.exe(3948) -- C:\Users\Zino B\AppData\Roaming\ZHP\ZHPCleaner.exe[-] -> Tué(e) [TermProc]
[Suspicious.Path] uninstaller.exe(716) -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\uninstaller.exe[7] -> Tué(e) [TermProc]
[Suspicious.Path] checker.exe(3812) -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\checker.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 2 ¤¤¤
[Suspicious.Path] UninstallMonitor.job -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)
[Suspicious.Path] \\UninstallMonitor -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\Drivers\etc\hosts] 127.0.0.1   localhost

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] ff2c537e6f4c306d21dd5893433a1f11
[BSP] d82ab2ce4f949ab357a04a43f31b53cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 155144 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 317941760 | Size: 149999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_04062015_230449.log - RKreport_DEL_04062015_231207.log - RKreport_SCN_04082015_132402.log - RKreport_SCN_04092015_150035.log
RKreport_SCN_04102015_014145.log - RKreport_SCN_04112015_030522.log - RKreport_SCN_04112015_030809.log - RKreport_SCN_04112015_031254.log
RKreport_SCN_04122015_131903.log - RKreport_SCN_04122015_132112.log - RKreport_SCN_04132015_041320.log - RKreport_SCN_04152015_130855.log
RKreport_SCN_04152015_131854.log - RKreport_DEL_04152015_132202.log - RKreport_SCN_04152015_133245.log - RKreport_SCN_04172015_070511.log
RKreport_SCN_04172015_223252.log - RKreport_SCN_04182015_134812.log - RKreport_SCN_04192015_211344.log - RKreport_SCN_04202015_221924.log
RKreport_SCN_04212015_215708.log - RKreport_DEL_04212015_220152.log

[Curson]

Bonsoir Zino60,

Les exécutables lancés depuis les dossiers temporaires de Windows sont automatiquement détectés par RogueKiller comme suspects.
Peux-tu extraire l'archive de Advanced Uninstaller Pro sur ton bureau, exécuter le programme à partir de là et me dire si ses processus sont toujours détectés ?

La détection erronée du processus de ZHPCleaner a bien été prise en compte mais n'a pas encore pu être implémentée.

Meilleures salutations.

[Zino60]

Bonjour Curson,
Je vous prie de m'excuser si je tarde à vous répondre: je n'avais pas de connexion internet. Quant à Advanced Uninstaller PRO 11.64 port.exe, vous pensez bien que j'ai extrait l'archive sur mon bureau et c'est de là que j'ai exécuté et exécute encore  le programme. N'empêche que RK continue - au moment où je vous réponds - de déceler le processus comme étant malicieux.
Cordialement.

[Curson]

Bonsoir Zino60,

Ne t’inquiète pas pour le temps de réponse. Sur un forum, cela n'a que peu d'importance.

As-tu bien extrait l'archive dans un dossier avant de lancer l'application ?
Le dernier rapport envoyé montre clairement que le programme est exécuté à partir de l'archive elle-même :

[Suspicious.Path] uninstaller.exe(716) -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\uninstaller.exe[7] -> Tué(e) [TermProc]
[Suspicious.Path] checker.exe(3812) -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\checker.exe[7] -> Tué(e) [TermProc]
[Suspicious.Path] UninstallMonitor.job -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)
[Suspicious.Path] \\UninstallMonitor -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)

Meilleures salutations.

[Zino60]

Bonsoir Curson,
La première fois, j'ai extrait l'archive directement sur le bureau puisqu'elle ne comprend que l'exécutable. Maintenant, comme tu me l'a recommandé, je l'ai extraite, quand même, dans un dossier toujours sur le bureau. Mais en vain, RK ne désarme pas: en voici le rapport. Toutefois, il est à signaler que quoique portable, le programme, en démarrant, génère automatiquement deux dossiers sous le même nom (Innovative Solutions): l'un dans Appdata\Local et l'autre dans ProgramData.
Je tiens, cher Curson, à te remercier pour ta gentillesse, ta sollicitude et ta disponibilité. C'est remarquable, bravo et bonne continuation!


RogueKiller V10.6.0.0 [Apr 17 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 32 bits version
Démarré en  : Mode normal
Utilisateur : Zino B [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 04/25/2015  22:11:23

¤¤¤ Processus : 1 ¤¤¤
[Suspicious.Path] checker.exe(5864) -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\checker.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 2 ¤¤¤
[Suspicious.Path] UninstallMonitor.job -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)
[Suspicious.Path] \\UninstallMonitor -- C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\Drivers\etc\hosts] 127.0.0.1   localhost

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK3265GSX +++++
--- User ---
[MBR] ff2c537e6f4c306d21dd5893433a1f11
[BSP] d82ab2ce4f949ab357a04a43f31b53cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 155144 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 317941760 | Size: 149999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_04062015_230449.log - RKreport_DEL_04062015_231207.log - RKreport_SCN_04082015_132402.log - RKreport_SCN_04092015_150035.log
RKreport_SCN_04102015_014145.log - RKreport_SCN_04112015_030522.log - RKreport_SCN_04112015_030809.log - RKreport_SCN_04112015_031254.log
RKreport_SCN_04122015_131903.log - RKreport_SCN_04122015_132112.log - RKreport_SCN_04132015_041320.log - RKreport_SCN_04152015_130855.log
RKreport_SCN_04152015_131854.log - RKreport_DEL_04152015_132202.log - RKreport_SCN_04152015_133245.log - RKreport_SCN_04172015_070511.log
RKreport_SCN_04172015_223252.log - RKreport_SCN_04182015_134812.log - RKreport_SCN_04192015_211344.log - RKreport_SCN_04202015_221924.log
RKreport_SCN_04212015_215708.log - RKreport_DEL_04212015_220152.log - RKreport_SCN_04222015_165222.log - RKreport_DEL_04222015_165509.log
RKreport_SCN_04232015_152807.log - RKreport_DEL_04232015_153515.log

[Curson]

Bonjour Zino60,

C'est vraiment étrange. Encore une fois, Advanced Uninstaller PRO est lancé depuis le dossier TMP (archive auto-extractible) :

C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX1\checker.exe[7] -> Tué(e) [TermProc]
C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)
C:\Users\ZINOB~1\AppData\Local\Temp\RarSFX0\uninstaller.exe (-AUSCAN) -> Trouvé(e)

J'ai testé l'installeur officiel et il me propose le chemin suivant par défaut :

C:\Program Files (x86)\Innovative Solutions\Advanced Uninstaller PRO

Peux-tu me donner le lien de téléchargement que tu utilises ?

Je tiens, cher Curson, à te remercier pour ta gentillesse, ta sollicitude et ta disponibilité. C'est remarquable, bravo et bonne continuation!

Je te remercie pour ces paroles.

Meilleures salutations.

[Zino60]

Bonsoir Curson,
En fait, Advanced uninstaller Pro 11.64 portable, je l'ai glané sur un site de téléchargement wawacity.su et dont voici le lien:
httpx://www.wawacity.su/logiciels/microsoft/184200-telecharger-advanced-uninstaller-pro-1164-portable.html

Edit Curson : Neutralisation de l'URL. Le site n'a pas bonne réputation.

[Curson]

Bonsoir Zino60,

J'ai examiné le fichier dont tu m'a donné le lien. Il s'agit effectivement d'une archive auto-extractible.

SFX Archive Advanced Uninstaller PRO 11.64 port.exe
Pathname/Comment
                  Size   Packed Ratio  Date   Time     Attr      CRC   Meth Ver
               Host OS    Solid   Old
-------------------------------------------------------------------------------
Data header type: CMT
 CMT
                    86       84  97% 17-04-15 14:12   .....B   29ECFA32 m3a 2.9
               Windows       No   No

Par défaut, elle se décompresse et est exécutée dans TEMP :

Setup="uninstaller.exe"
TempMode
Silent=1

Il est toutefois possible de l'extraire manuellement sur le bureau :

unrar.exe x "Advanced Uninstaller PRO 11.64 port.exe" %USERPROFILE\Desktop\AUP\

Meilleures salutations.