Bonjour,
J'ai développé un petit log en batch qui permet de lister différents composants de Firefox et destiné à traquer certaines infections (adrotator/YoogSearch, Goored...).
Ce batch est utilisé sur plusieurs forums de sécurité (Zebulon, Libellules Geekstogo, Spywareinfo, WTT) pour aider les helpers dans leur diagnostic.
http://fradesch.perso.cegetel.net/transf/FoxScan.exe [Modération. Pas de lien direct vers un exécutable (politique de Geckozone). Pour télécharger ce programme, faire un copier-coller de l'adresse. jpj]
Je recherche des infos pour faire évoluer ce batch et permettre de lancer la désinstallation des modules infectieux, voir, affiner la détection de certains composants.
Merci d'avances si vous pouvez me donner des informations qui me permettront d'avancer.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Désinstaller proprement un add-on ou un plugin
Modérateurs : nico@nc, Mori, jpj, myahoo
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Désolé, pour le lien, c'est vrai que j'aurais du le désactiver, mais j'ai plus l'habitude de le faire pour des liens infectieux que pour des appli dont je connais l'origine.
Je ferais attention.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Je ferais attention.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Bonjour,
Édité [M'enfin, un helper de forum de désinfection qui nous met un lien direct vers un exécutable.] C'est pardonné.
Bon, plus sérieusement ! Il est possible que l'on puisse te donner des informations mais j'en doute un peu. Je suppose que tu connais déjà suffisamment Firefox et, d'ailleurs, le log créé par ton logiciel semble complet. Il y a cependant un bug car j'ai deux profils quasi identiques. Sur l'un, il m'a bien trouvé toutes les extensions activées (profil Name=default avec Default=1 dans profiles.ini) mais sur l'autre, il en a oublié la moitié (celles se trouvant dans C:\Program Files\Mozilla Firefox\extensions\ et d'autres qu'il avait trouvé pour défault).
Il faudrait préciser ce que tu voudrais savoir pour avoir une chance que l'on puisse t'aider.
Édité [M'enfin, un helper de forum de désinfection qui nous met un lien direct vers un exécutable.] C'est pardonné.
Bon, plus sérieusement ! Il est possible que l'on puisse te donner des informations mais j'en doute un peu. Je suppose que tu connais déjà suffisamment Firefox et, d'ailleurs, le log créé par ton logiciel semble complet. Il y a cependant un bug car j'ai deux profils quasi identiques. Sur l'un, il m'a bien trouvé toutes les extensions activées (profil Name=default avec Default=1 dans profiles.ini) mais sur l'autre, il en a oublié la moitié (celles se trouvant dans C:\Program Files\Mozilla Firefox\extensions\ et d'autres qu'il avait trouvé pour défault).
Il faudrait préciser ce que tu voudrais savoir pour avoir une chance que l'on puisse t'aider.
► Si votre problème est [Résolu], svp, marquez-le.
► Pas de support par mp, l’aide se fait sur le forum.
► Pas de support par mp, l’aide se fait sur le forum.
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Bonjour Jpj,
Déjà là tu me donne une indication, pour les extensions.
Mon log va chercher celles-ci dans les fichiers Extensions.cache et Extensions.ini dans chaque profile utilisateur,
D'après ce que j'avais compris, celles qui se trouvent dans C:\Program Files\Mozilla Firefox\extensions\ devraient être listés dans ces fichiers si elles sont active pour ce profile.
C'est la même choses pour les autres extensions trouvées dans le premier profile, pour être active dans le deuxième, elles devraient être visible dans le fichier Extensions.ini de ce profile.
Si ce ne pas forcement le cas, il faut effectivement que je revois cette partie là.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Déjà là tu me donne une indication, pour les extensions.
Mon log va chercher celles-ci dans les fichiers Extensions.cache et Extensions.ini dans chaque profile utilisateur,
D'après ce que j'avais compris, celles qui se trouvent dans C:\Program Files\Mozilla Firefox\extensions\ devraient être listés dans ces fichiers si elles sont active pour ce profile.
C'est la même choses pour les autres extensions trouvées dans le premier profile, pour être active dans le deuxième, elles devraient être visible dans le fichier Extensions.ini de ce profile.
Si ce ne pas forcement le cas, il faut effectivement que je revois cette partie là.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Dans mon profil habituel, qui n'est pas "default", j'ai 23 modules complémentaires (un thème, 20 extensions activées, 2 désactivées).
Dans le log de FoxScan, je n'en voit que dix, dont le thème (deux logs créés Firefox ouvert et Firefox fermé).
Dans extensions.cache, toutes les extensions sont pourtant bien listées. Dans extensions.ini, toutes les extensions activées sont également listées.
Quant à savoir pourquoi FoxScan ne voit pas tout, impossible de te répondre.
Dans le log de FoxScan, je n'en voit que dix, dont le thème (deux logs créés Firefox ouvert et Firefox fermé).
Dans extensions.cache, toutes les extensions sont pourtant bien listées. Dans extensions.ini, toutes les extensions activées sont également listées.
Quant à savoir pourquoi FoxScan ne voit pas tout, impossible de te répondre.
► Si votre problème est [Résolu], svp, marquez-le.
► Pas de support par mp, l’aide se fait sur le forum.
► Pas de support par mp, l’aide se fait sur le forum.
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Ok, merci Jpj
J'ai trouvé le bug,
Pour éviter les doublons dût à certaines extensions comme IE tab, je contrôlais si le module était déjà listé, mais j'avais oublié de réinitialiser le fichier entre les différents profiles.
C'est corrigé maintenant.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
J'ai trouvé le bug,
Pour éviter les doublons dût à certaines extensions comme IE tab, je contrôlais si le module était déjà listé, mais j'avais oublié de réinitialiser le fichier entre les différents profiles.
C'est corrigé maintenant.
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Effectivement, ça semble correct cette fois. Maintenant, c'est surtout vous qui pourrez voir si l'outil est assez complet.
Je me demande quand même, mais ce n'est peut-être pas évident à faire, s'il ne faudrait pas aussi lister les extensions désactivées.
Même désactivées, comme elles modifient la configuration (prefs.js), elles peuvent quand même mettre la zone (et même désinstallées d'ailleurs, cf. le cas de Fasterfox). Le problème est que les modifications réalisées par les extensions ne sont pas toutes réinitialisées lors de la désinstallation. C'est le cas des options de Firefox non spécifique à l'extension.
Ceci étant, ton programme donne déjà une liste intéressante et relativement complète.
Je me demande quand même, mais ce n'est peut-être pas évident à faire, s'il ne faudrait pas aussi lister les extensions désactivées.
Même désactivées, comme elles modifient la configuration (prefs.js), elles peuvent quand même mettre la zone (et même désinstallées d'ailleurs, cf. le cas de Fasterfox). Le problème est que les modifications réalisées par les extensions ne sont pas toutes réinitialisées lors de la désinstallation. C'est le cas des options de Firefox non spécifique à l'extension.
Ceci étant, ton programme donne déjà une liste intéressante et relativement complète.
► Si votre problème est [Résolu], svp, marquez-le.
► Pas de support par mp, l’aide se fait sur le forum.
► Pas de support par mp, l’aide se fait sur le forum.
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Normalement les extension désactivées sont déjà listées, mais elle sont mélangées aux autres (ligne Etat:).
Il y a une chose que je voudrait savoir c'est comment désinstaller proprement et manuellement un module complémentaire ou un plugin.
Est-ce que la suppression du dossier correspondant suffit, ou est-ce qu'il faut rectifier aussi les fichiers extensions.ini et extensions.cache.
Il y a aussi le fichier Compreg.DAT, l'infection Yoog Search rajoute de entrées (référence à une dll infectieuse dans C:\Program Files\Mozilla Firefox\components) dans ce fichier (ou alors c'est FF qui le fait automatiquement)
Est-ce qu'il y a un moyen de le nettoyer ?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Il y a une chose que je voudrait savoir c'est comment désinstaller proprement et manuellement un module complémentaire ou un plugin.
Est-ce que la suppression du dossier correspondant suffit, ou est-ce qu'il faut rectifier aussi les fichiers extensions.ini et extensions.cache.
Il y a aussi le fichier Compreg.DAT, l'infection Yoog Search rajoute de entrées (référence à une dll infectieuse dans C:\Program Files\Mozilla Firefox\components) dans ce fichier (ou alors c'est FF qui le fait automatiquement)
Est-ce qu'il y a un moyen de le nettoyer ?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Exact, au temps pour moi.Loup_blanc(zeb) a écrit :Normalement les extension désactivées sont déjà listées, mais elle sont mélangées aux autres (ligne Etat:).
Réinitialiser toutes les ligne qu'elle a modifiées dans about:config / prefs.js mais cela n'a rien d'évident. La méthode "sauvage" après désinstallation de l'extension est de supprimer le fichier prefs.js mais on y laisse la personnalisation de Firefox et la configuration de toutes les autres extensions. C'est à peu près aussi radical que la création d'un nouveau profil, avec juste un peu moins à faire (pas de réinstallation des extensions conservées, par besoin de restaurer les marque-pages, mots de passe, etc.).Loup_blanc(zeb) a écrit :Il y a une chose que je voudrait savoir c'est comment désinstaller proprement et manuellement un module complémentaire
Là, ça dépasse mes compétences, désolé. Le fichier, s'il est supprimé, est recréé au lancement suivant de Firefox. Ce pourrait être une solution post-désinfection mais j'ignore ce qu'on y laisse comme plumes ; il faudrait faire un essai sur une copie de profil un peu chargé pour vérifier mais je n'ai pas le temps maintenant. D'autres pourront peut-être te répondre.Loup_blanc(zeb) a écrit :Il y a aussi le fichier Compreg.DAT, l'infection Yoog Search rajoute de entrées (référence à une dll infectieuse dans C:\Program Files\Mozilla Firefox\components) dans ce fichier (ou alors c'est FF qui le fait automatiquement)
Est-ce qu'il y a un moyen de le nettoyer ?
► Si votre problème est [Résolu], svp, marquez-le.
► Pas de support par mp, l’aide se fait sur le forum.
► Pas de support par mp, l’aide se fait sur le forum.
-
Invité
Merci Jpj,
Je vais faire des essais sur VM infectée pour voir ce qui fonctionne.
Pour About config ce n'est pas utilisable à moins qu'il y ai un moyen de lancer des modifs depuis un batch.
Je vais essayer d'inclure SED dans le tool, ça me permettra de modifier directement prefs.js et si besoin user.js
Par contre tu parles de méthode sauvage après désinstallation de l'extension, c'est justement cette désinstallation qui m'intéresse, mais sans passer par le gestionnaire d'extensions, c'est pour automatiser la procédure avec un batch.
Pour les plugins, est-ce que la suppression des clés du registre suffit ou bien il y en as encore dans des fichiers comme prefs.js ?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Je vais faire des essais sur VM infectée pour voir ce qui fonctionne.
Pour About config ce n'est pas utilisable à moins qu'il y ai un moyen de lancer des modifs depuis un batch.
Je vais essayer d'inclure SED dans le tool, ça me permettra de modifier directement prefs.js et si besoin user.js
Par contre tu parles de méthode sauvage après désinstallation de l'extension, c'est justement cette désinstallation qui m'intéresse, mais sans passer par le gestionnaire d'extensions, c'est pour automatiser la procédure avec un batch.
Pour les plugins, est-ce que la suppression des clés du registre suffit ou bien il y en as encore dans des fichiers comme prefs.js ?
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1 (.NET CLR 3.5.30729)
Bonjour,
Pour supprimer une extension, il est toujours possible d'effacer son dossier dans \<Nom_du_Profil>\extensions\ mais c'est encore moins propre que la désinstallation normale. Si elle est installée en globale (i.e. pour tous les profils), son dossier sera dans C:\Program Files\Mozilla Firefox\extensions\. Pour vraiment nettoyer, il faudra aussi supprimer tous les fichiers extensions.* du profil et le fichier prefs.js du même profil. Comme déjà dit, toutes les personnalisations de Firefox seront perdues, ainsi que la configuration des extensions conservées. Ce dernier point risque d'être folklorique pour certaines usines à gaz comme TabMix Plus.
Pour les plugins, il y a aussi un fichier pluginreg.dat dans le profil mais j'ignore comment il fonctionne vraiment. Il faudrait faire l'expérience avec un profil bien chargé en extensions et en configurations personnelles. En l'infectant et en procédant à la destruction brutale des différents fichiers signalés, tu verras quelle est l'ampleur des dégâts sur l'ensemble du profil.
Tu pourrais aussi voir chez mozillaZine s'ils ne peuvent pas t'en dire plus (http://forums.mozillazine.org/index.php).
Il serait préférable également d'avoir l'avis d'autres personnes mais ça n'a pas l'air de se précipiter sur ce fil.
Pour supprimer une extension, il est toujours possible d'effacer son dossier dans \<Nom_du_Profil>\extensions\ mais c'est encore moins propre que la désinstallation normale. Si elle est installée en globale (i.e. pour tous les profils), son dossier sera dans C:\Program Files\Mozilla Firefox\extensions\. Pour vraiment nettoyer, il faudra aussi supprimer tous les fichiers extensions.* du profil et le fichier prefs.js du même profil. Comme déjà dit, toutes les personnalisations de Firefox seront perdues, ainsi que la configuration des extensions conservées. Ce dernier point risque d'être folklorique pour certaines usines à gaz comme TabMix Plus.
Pour les plugins, il y a aussi un fichier pluginreg.dat dans le profil mais j'ignore comment il fonctionne vraiment. Il faudrait faire l'expérience avec un profil bien chargé en extensions et en configurations personnelles. En l'infectant et en procédant à la destruction brutale des différents fichiers signalés, tu verras quelle est l'ampleur des dégâts sur l'ensemble du profil.
Tu pourrais aussi voir chez mozillaZine s'ils ne peuvent pas t'en dire plus (http://forums.mozillazine.org/index.php).
Il serait préférable également d'avoir l'avis d'autres personnes mais ça n'a pas l'air de se précipiter sur ce fil.
► Si votre problème est [Résolu], svp, marquez-le.
► Pas de support par mp, l’aide se fait sur le forum.
► Pas de support par mp, l’aide se fait sur le forum.
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Bonjour Jpj,
Je vais faire ça, des tests en supprimant les fichiers et aussi en essayant de les réécrire avec SED, au moins je verrais ce qui marche ou pas et quelle sont les conséquences, en fonction des résultats je devrais arriver à mieux cerner ce que pourra faire ou ne pas faire le batch.
Merci déjà pour ces infos, je vais continuer mes recherches et jeter un coup d'oeil sur Mozillazine.
Message envoyé avec : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB5; Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 1.0.3705; .NET CLR 1.1.4322; InfoPath.2)
Je vais faire ça, des tests en supprimant les fichiers et aussi en essayant de les réécrire avec SED, au moins je verrais ce qui marche ou pas et quelle sont les conséquences, en fonction des résultats je devrais arriver à mieux cerner ce que pourra faire ou ne pas faire le batch.
Merci déjà pour ces infos, je vais continuer mes recherches et jeter un coup d'oeil sur Mozillazine.
Message envoyé avec : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB5; Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; .NET CLR 1.0.3705; .NET CLR 1.1.4322; InfoPath.2)
Bonjour questions peut-être bien HS : Sans préjuger pour autant, ça ne fait pas partie de mes habitudes, j'ai des curiosités qui me gratouillent. Pourrait-on avoir une explication comme sur le dernier message de Loup Blanc sur ce :
Et quelle seraient les différences possibles au niveau utilisations de FoxScan.exe entre
un Gecko/2009042316 Firefox/3.0.10 et
un Gecko/2008070208 Firefox/3.0.1 comme l'utilise aussi Loup Blanc sur plusieurs messages ?
Embedded Web Browser from: http://bsalsa.com/
Et quelle seraient les différences possibles au niveau utilisations de FoxScan.exe entre
un Gecko/2009042316 Firefox/3.0.10 et
un Gecko/2008070208 Firefox/3.0.1 comme l'utilise aussi Loup Blanc sur plusieurs messages ?
☑ une vraie réponse a pour but premier d'aider ❒ non pour soigner son manque.
▬ ➤ ◐ ◑ ★ ☆ • ● ◉ ❍ ▼ ☑ ➔ ☐ ❑ ➜ ➸ ➻ « »
▬ ➤ ◐ ◑ ★ ☆ • ● ◉ ❍ ▼ ☑ ➔ ☐ ❑ ➜ ➸ ➻ « »
-
Loup_blanc(zeb)
- Arias
- Messages : 11
- Inscription : 11 mai 2009, 12:31
Bonjour Demot,
Pour la première question, j'ai posté ce message du boulot depuis IE7 sous Vista, j'imagine que la configuration particulière du réseau interne et des appli corporate utilisées n'y sont pas pour rien.
Pour ta deuxième question, normalement le moteur Gecko ne devrait pas influencer le résultat du scan, c'est plus un changement dans la structure ou l'appellation des fichiers de firefox qui pourrait poser des problèmes.
Ta question me fais penser qu'il serait temps que je me penche sur l'absence de mise à jour alors qu'elles sont activées pour FF.
Pour la première question, j'ai posté ce message du boulot depuis IE7 sous Vista, j'imagine que la configuration particulière du réseau interne et des appli corporate utilisées n'y sont pas pour rien.
Pour ta deuxième question, normalement le moteur Gecko ne devrait pas influencer le résultat du scan, c'est plus un changement dans la structure ou l'appellation des fichiers de firefox qui pourrait poser des problèmes.
Ta question me fais penser qu'il serait temps que je me penche sur l'absence de mise à jour alors qu'elles sont activées pour FF.
Qui est en ligne ?
Utilisateurs parcourant ce forum : Semrush [Bot] et 3 invités