Si vous avez besoin d'un conseil ou d'un avis d'expert bénévole,vous pouvez faire votre demande dans ce forum. Mais soyez patients avant tout !
  • Avatar du membre
  • Avatar du membre
#98133
Hello,

Je fais ce feedback sur le forum public, car un membre m'avait demandé des infos en message privé, j'ai vidé mes mp's et je me rappelle plus du membre. désolé :mrgreen:

Ce sont pas des infos secrètes, donc je lui répond ici en espérant qu'il lira.


Confirmation du Faux positif avec Farbar Recovery Scan Tool sur deux fichiers Kaspersky dans sa dernière version.

Pour faire simple....Kaspersky met en place une configuration spécifique dans firefox, la sienne.

Image

ce sont deux fichier (.js et .cfg) qui servent pour autoriser (forcer ?) Firefox à utiliser les certificats ssl du système Windows plutôt que ceux de Mozilla.



Et FRST n'aime pas cela, bonne surveillance....mais faux positif.

Voir dans la section "Firefox" du rapport FRST.txt.
Ne pas fixer/scripter les lignes !!!




Rapport FRST.txt
► Afficher le texte



Le contenu du .js
► Afficher le texte
Le contenu du .cfg

► Afficher le texte

plus d'explications et exemples sur Google avec la recherche "security.enterprise_roots.enabled"

https://www.google.com/search?client=fi ... ts.enabled



PS : si un helper peut remonter cela au dev de FRST, ce serait Cool :D
Modifié en dernier par Kangourou le dim. 5 mai 2019 21:05, modifié 1 fois.
#98140
Hello Kangourou,
PS : si un helper peut remonter cela au dev de FRST, ce serait Cool
Personnellement je n'ai pas d'entrée chez Farbar , mais Labougie ferait très bien l'affaire à condition bien sur qu'il soit disponible.
Je vais donc lui envoyer un MP pour lui donner ton post afin d'en faire la remontée à qui de droit
Il avait déjà fait un très bon bon boulot pour signaler un bug découvert par Enfermedehors à Farbar

Horreur et stupéfac , j'avais moi même dans le temps fixé ces deux lignes
Image
aussi merci de ton information
danger des annotatations <==Attention pas forcément à fixer
#98142
Hello Pierre :)

Pierre95 a écrit :
Personnellement je n'ai pas d'entrée chez Farbar , mais Labougie ferait très bien l'affaire à condition bien sur qu'il soit disponible.
Je vais donc lui envoyer un MP pour lui donner ton post afin d'en faire la remontée à qui de droit
Merci, effectivement....j'avais oublié Eric.
Pierre95 a écrit : danger des annotatations <==Attention pas forcément à fixer
Oui je sais. ;)
#98241
Patrick, Pierre,

Farbar est informé depuis longtemps sur ces 2 lignes.
J'ai déjà échangé avec El Magnifico et Eliot.
C'était le 1er avril.

Voici les réponses données

Il s'agit d'une détection "faux positif". Certains adwares se logent à cet endroit avec des noms aléatoires.
Il faut alors regarder les fichiers et voir s'ils sont suspects ou pas.

Un peu de lecture
https://www.jkwebtalks.com/2014/08/how- ... cking.html
http://kb.mozillazine.org/Locking_preferences

Réponse de Picasso
Code : Tout sélectionner
Helpers didn't check the files content, but those modifications could be harmless. In the first case very old timestamp from a time where the adware was not known yet + a paired file missing, so the construction seems to be a leftover from so called "branded Firefox" and the mozilla.cfg looks like introduced by a legit way based on the official instructions using the example name. In the second case there are also doubts what was a real source of the modification.

But excluding specific names from a detection is not safe, because the names are not a proof that a modification is legit. The problem is that those files locking preferences could have any names and the same name could be introduced by both the ways, bad or legit. There are multiply instructions (eg. here, here, here) using generic names which could be misused, eg. adware creator could use "local-settings.js" + "mozilla.cfg" too. I think false positives can't be avoided. Better to remove something harmless than leave a potential adware modification untouched. The same is with a non-default "user.js" file detected by FRST no matter what is a real content of the file.
Amitiés

Labougie

Edit:
remise en place du 1er lien
Pierre, je lis seulement ton MP, vacances :o :mrgreen:
#98242
Salut Eric
labougie a écrit :
Farbar est informé depuis longtemps sur ces 2 lignes.
J'ai déjà échangé avec El Magnifico et Eliot.
C'était le 1er avril.

je ne suis plus actif (sur les forums publics) et donc je ne savais pas, sinon tu penses bien que je me serai abstenu.

Merci pour le retour en tous cas ;)
#98248
Doublement Merci

Voir mon premier message.
Je fais ce feedback sur le forum public, car un membre m'avait demandé des infos en message privé, j'ai vidé mes mp's et je me rappelle plus du membre.
Eliot, c'est mon inconnu :mrgreen:


@+ mon Ricou

PS: tu es en invisible/masqué sur le fofo (on est les seuls) :mrgreen:
SUP.Orphan.Compatibility

Hello, C'est nouveau ! Hello ok, je m[…]

Bonsoir Gérard, Comme je peux toujours me […]

validation d'un ZHPScript

Bonsoir, Merci pour l'aide apportée. Voi[…]

Infection suite téléchargement

Bonjour, Bienvenu(e) sur le Forum de Nicolas […]