Firefox 4 Windows - Traces de Ask toolbar ?

[Francois_C]

Bonjour,
J'utilise Firefox 4 Windows avec XP SP3.
Je me suis bêtement laissé installer par un site d'attaque une Ask toolbar, apparemment une variante qui redirige sur un moteur nommé Search-Results, avec un S comme logo, et après avoir désinstallé à grand peine les logiciels (le désinstalleur fourni ne suffit pas, semble-t-il), j'ai supprimé l'extension, rétabli les pages d'accueil. Tout fonctionne correctement depuis MAIS :
Je constate toutefois la réapparition dans Prefs.js de ces lignes :

Code : Tout sélectionner

user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .title + .WRCN, #yui-main #teoma-results .title + .WRCN {display:inline !important; background: url(\"IMAGE\") right no-repeat}");
user_pref("extensions.wrc.SearchRules.ask.com.url", "^http(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");

et plein de" extensions.wrc.SearchRules" (baidu, etc.) que je n'ai pas demandées et qui s'installent toutes seules.
Je précise que cela ne cause aucune redirection ni aucune perturbation apparente, mais je me méfie, je veux savoir et je veux modifier l'article de Wikipédia qui fait l'apologie de Ask.com en connaissance de cause. Donc, j'enquête.
J'ai désinstallé Firefox en effaçant les préférences et le contenu du dossier programme, mais ça revient toujours, au moins au bout d'un moment.
Je suis allé sous Linux où j'ai la même version du navigateur. Là j'ai aussi des liens ask.com, mais seulement ceux qui semblent notoirement installés par WOT (feraient mieux d'avoir de meilleures fréquentations, s'ils veulent notre confiance, ceux-là).
Je suspectais évidemment la synchronisation : j'ai réinitialisé la synchronisation à partir des données de mon Firefox Linux (sans extensions.wrc), J'ai relancé Firefox Windows à zéro en effaçant tout le profil utilisateur, mais ces fichues lignes reviennent sans cesse. Il y aurait donc peut-être un binaire Windows qui fonctionnerait en douce et que je n'aurais pas repéré, un rootkit ?
Là encore, les recherches sont vaines. Quelqu’un aurait-il des éléments de réponse ? Pas du genre rapport HijackThis : je ne suis pas un débutant.
Merci.

[jpj]

Bonjour,

Et en plus, le truc met la zone dans ton agent utilisateur : Gecko/20100101 Firefox/4.0 (1er janvier 2010 pour Firefox 4.0)

Vérifie déjà ton PC avec MalwareByte's Anti-Malware (un tutoriel de malekal.com). Bien prendre la "free version" et faire une mise à jour de la base (onglet "Mise à jour" > "Rechercher des mises à jour") avant de lancer un scan complet (onglet "Recherche" > "Exécuter un examen complet").

Si cela ne suffit pas, demande de l'aide sur un forum spécialisé comme Zebulon, malekal.com, Libellules.ch, Assiste, ou PC Astuces.

[Bob49]

Bonjour jpj

Et en plus, le truc met la zone dans ton agent utilisateur : Gecko/20100101 Firefox/4.0 (1er janvier 2010 pour Firefox 4.0)

Non et si tu regarde les User-Agent des autres intervenants d'aujourd'hui, c'est le même n°

et ce n'est pas d'aujourd'hui que ça été remarqué : http://www.geckozone.org/forum/viewtopi ... 75#p610854 avec un n° en moins..

Un bug !..

[Francois_C]

Bonjour,

Et en plus, le truc met la zone dans ton agent utilisateur : Gecko/20100101 Firefox/4.0 (1er janvier 2010 pour Firefox 4.0)

Vérifie déjà ton PC avec MalwareByte's Anti-Malware (un tutoriel de malekal.com). Bien prendre la "free version" et faire une mise à jour de la base (onglet "Mise à jour" > "Rechercher des mises à jour") avant de lancer un scan complet (onglet "Recherche" > "Exécuter un examen complet").

Si cela ne suffit pas, demande de l'aide sur un forum spécialisé comme Zebulon, malekal.com, Libellules.ch, Assiste, ou PC Astuces.

Un logiciel de MajorGeeks. Mouais. C'est pas précisément mon idéal comme site de confiance. je vais risquer peut-être, mais c'est parce que tu me le dis. N'oublie pas que mon navigateur ne souffre d'aucun inconvénient particulier, sinon celui de voir réapparaître ces préférences que je n'ai pas voulues. Les forums genre Zebulon sont pleins de blancs-becs qui n'y connaissent pas grand-chose et postent à qui mieux mieux des scans de Hijackthis, lesquels polluent les recherches de Google : si on m'embauchait pour améliorer l'algorithme de Google (rêvons un peu), j'ajouterais une petite routine pour disqualifier les rapports HijackThis. Ce ne serait pas très compliqué, à première vue...
Je précise que Spybot ne trouve rien du tout, qu'il n'y a pas de rootkit selon Sophos anti rootkit, sauf quelques fichiers sans conséquence dans le dossier de référence des mises à jour Windows parce qu'il ne les connaît pas. J'ai même essayé Ad-Remover, qui me paraît un bricolage assez primitif et ne voit que ce que je trouve à l'œil nu sans être obligé d'arrêter toutes les applications (les lignes dont je me plains plus haut).
Je me suis amusé à ceci :
J'ai retiré de prefs.js tous les extensins.wrc sauf "user_pref("extensions.wrc.RulesVersion", "");"
En lançant à la première fois je retrouve dans prefs.js ceci :

Code : Tout sélectionner

user_pref("extensions.wrc.RulesVersion", "");
user_pref("extensions.wrc.SearchRules.google.com.style", ".WRCN {display:none} .r .WRCN, .osl .WRCN, .bc .WRCN, .fc .WRCN, #rhsline ol .WRCN {display:inline; background: url(\"IMAGE\") right no-repeat}");
user_pref("extensions.wrc.SearchRules.google.com.url", "^http(s)?\\:\\/\\/((.)+\\.)?google\\.(com|[a-z\\.]{2,})\\/(.)*");
user_pref("extensions.wrc.SearchRules.public.avast.com.style", ".WRCN {display:inline; background: url(\"IMAGE\") right no-repeat}");
user_pref("extensions.wrc.SearchRules.public.avast.com.url", "^http(s)?\\:\\/\\/public\\.avast\\.com\\/(.)*");
user_pref("extensions.wrc.SearchRules.seznam.cz.style", ".WRCN {display:none} #results .WRCN, .sklik-title > .WRCN {display:inline !important; background: url(\"IMAGE\") right no-repeat}");
user_pref("extensions.wrc.SearchRules.seznam.cz.url", "^http(s)?\\:\\/\\/search\\.seznam\\.cz\\/(.)*");

Donc pas de Ask.com.
Je bloque Prefs.js en read only.
Eh bien, dans about:config,les wrc ajoutés apparaissent quand même.
Et tout en tapant sur le clavier, je me demande si je n'ai pas trouvé : mon histoire n'aurait rien à voir avec la toolbar du début ! Je viens de copier-coller la réponse ! Comme je me méfiais de WOT, parce qu'il installe aussi des liens Ask, j'ai activé à la place le plugin Webrep d'Avast, dont je n'avais aucune raison de me méfier précédemment, et c'est probablement lui qui installe tout ce bazar !
Je suis victime de ma haine aveugle de Ask. Si ce n'est pas ça, je reviens le dire bientôt.
PS : C'était ça, mais je le dis quand même : toutes les "extensions.wrc" sont installées par le plugin WebRep de Avast, et elles ont bien tort de mettre en tête des moteurs comme Ask ou Baidu (le Google chinois, assez mal vu, mais Avast est diffusé dans le monde entier), avec des lignes de code qui sont exactement la signature des toolbars Ask. Cela dit, la désinstallation se fait sans aucun problème : il suffit de la demander dans l'interface Avast, pas besoin de supprimer en plus les modules dans Firefox comme dans le cas de barres Ask. Ensuite, j'ai édité prefs.js en supprimant toutes les lignes définissant les extensions wrc. Cela dit, on fait de moins en moins facilement le partage entre les honnêtes gens et les voyous, dans le business des ordinateurs.
Ouf ! Merci à ceux qui m'ont répondu.