Utilisateur de Firefox en navigateur principal depuis au moins la version 1.4, j'ai un comportement étrange que je n'arrive pas à expliquer.
Tout a commencé, il y a plusieurs mois, avec un passage dans l'observateur d'événement de windows, j’ai remarqué des warning sur un problème de DNS présent tous les jours pour une adresse mobifrance.com
Code : Tout sélectionner
Nom du journal :System
Source : Microsoft-Windows-DNS-Client
Date : 24/02/2018 11:18:00
ID de l’événement :1014
Catégorie de la tâche :(1014)
Niveau : Avertissement
Mots clés : (268435456)
Utilisateur : SERVICE RÉSEAU
Ordinateur : DESKTOP-M
Description :
La résolution du nom www.mobifrance.com a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu. Le temps est ensuite passé, je suis passé automatiquement de win10 1703 à win10 1709…
Mais hier en faisant un netstat -b j’ai vu que c’est firefox qui tente un appel vers mobifrance.com
Plusieurs heures de bricolage plus tard j’en suis à me dire qu’il faudrait réinstaller windows pour tester avec un windows neuf car je suis arrivé quasi au bout de mes connaissances.
Voila une trace process monitor avec un firefox US neuf (d'habitude c'est un français), + firefox en safe mode, ET sans répertoire mozilla dans %appdata% et %localappdata% (donc sans repertoire de profile et aucun addon/module complémentaire)
cet appel ci est peu après le démarrage de firefox (que j’ai juste ouvert et fermé pour avoir un process monitor relativement court)
il est souvent précédé ou suivi d’une création/fermeture de thread (sachant que le HOSTS a toujours sa redirection mobifrance.com vers 127.0.0.1)
il y en a, a priori, quelques uns toutes les secondes, et même juste avant la fermeture du processus firefox
qq trucs fait
- desinstallation de firefox et suppression des traces/profiles (repertoires dans appdata/local et roaming et programs files et fait la chasse à mozilla dans la base de registre (avec discernement))
essai avec la version US au lieu de FR
-recherche de mobifrance dans la base de registre : pas présent (en clair en tout cas)
- recherche via un findstr /s "mobifrance" *.* dans appdata : cela trouve dans le profil firefox quand il est recréé (mais plein de fichiers sont inaccessibles surement car en utilisation (car interpréteur de commande en mode admin))
dans c:\windows, dans C:\Program Files\Mozilla Firefox, cela ne trouve pas (en mode text/clair)
- malwarebyte anti rootkit, l' antivirus, adwcleaner, roguekiller , scan avec zhpdiag rien de particulier
- netsh interface ip reset , netsh winsock reset et ipconfig /flushdns
- IE, edge et chrome qui sont sur le pc, ne font pas ce type d'appel
win10 1709 (clean install sur ce ssd en version 16XX puis update naturelle), réseau via clé wifi dlink dwa 140, dernier firefox (français normalement mais US actuellement, venant de https://www.mozilla.org/en-US/firefox/ )
je ne connais pas ce site, j'y ai jamais mis les pieds volontairement, et en plus il semble avoir changé de nom en 2013
et pourtant , avec ce firefox neuf : (et j'ai pas tout copier la dessous)
Code : Tout sélectionner
C:\WINDOWS\system32>netstat -b
Connexions actives
Proto Adresse locale Adresse distante État
TCP 127.0.0.1:50993 mobifrance:50994 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:50994 mobifrance:50993 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:50995 mobifrance:50996 ESTABLISHED
[firefox.exe]
TCP 127.0.0.1:50996 mobifrance:50995 ESTABLISHED
[firefox.exe]la je fais un backup de mon ssd, car ca va finir à la hache si cela continue, mais j'aurai les boules si je retrouve ça apres être reparti d'un windows vierge, mais la impossible de savoir si cela vient de firefox ou d'un truc louche qui s'est passé sur mon pc
donc si vous pouviez regarder dans l'observateur d'événement de windows et me dire si dans Journaux windows/systeme vous avez aussi des points d'exclamation jaune genre
Avertissement 22/02/2018 18:17:20 DNS Client Events 1014 (1014)
contenant
La résolution du nom www.mobifrance.com a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.
je suis proche des 1 par jour je pense (avec le Hosts modifié)
ou/et faire un netstat -b dans l'interpreteur de commande cmd.exe (en mode admin je crois) pour voir si vous avez une adresse aussi étrange qui revient comme l'exemple juste au dessus (sachant que j'ai 4 onglets ouverts, mais c'est pareil avec juste une page de démarrage vide et sans les 2 repertoires profil firefox dans le repertoire c:\user..., et même en firefox safe mode)
me dire si vous êtes sur win10 1703 ou 1709, ou pas, si vous avez aussi
(ou si vous avez une solution ce serait encore mieux
)
