[RESOLU]firefox 41 et malware du genre "pc support"

[noel blanc]

Bonjour,

Après avoir désinstallé et réinstallé Firefox, le malware est toujours présent. Seul Firefox est impacté. IE ne l'est pas. Le pc est sous W8.1
Ayant pris la main à distance avec l'assistance de W8.1, je n'ai pas pu faire le redémarrage demandé à la suite de la désinstallation. Mais je ne pense pas que cela soit important.
J'ai renommé le fichier profile.ini pour obligé Firefox a reconstruire un profil depuis "sa" référence. Le malware est actif avec ce nouveau profil.
Les divers fichiers JS du profil ne présentent pas d'url inattendues. Mais il me semble qu'ils ont "migré" vers des fichiers de type sql. La page d'options accessible depuis le menu "principal" ne montre pas d'anomalies. Le menu "réparation" et le "mode sans échec ( sans modules )" ne résolvent rien.

Au passage, la terminologie est ambiguë : service, module, extension, plugin, y a t-il une réalité technique basée sur des API diverses (comme service, dll, driver, programme pour Windows) ? sinon quel est son fondement? Si je peux avoir une mise au point...merci.

Impossible de connaître la période d'apparition de ce malware, tout ce que je sais c'est qu'il est venu 2 ou 3 mois après la neutralisation d'autres malwares.
Le malware se déclenche à la suite d'un clic souris n'importe où dans une page chargée comme zimbra.free.fr. Il ouvre une nouvelle fenêtre ( pas une nouvelle instance du processus ) qui recouvre la précédente. Les sites proposés traitent tous ou presque de support, de réparateur de Windows ou d'anti-virus et de publicités diverses pour la page de mappy.fr.

L'antivirus ne signale rien, donc pas de pb de sécurité.
Les anti-malware me font encore plus peur que les malware eux mêmes. Car s'ils étaient honnêtes, ils diraient ce qu'ils font, un malware étant pas aussi compliqué qu'un virus puisqu'il n'exploite que la faille "humaine". Et les sites où on peut les télécharger sont plein de publicités pour des désinfecteurs, des réparateurs, des améliorateurs de performance en-veux-tu-en-voilà qu'ils sont censés combattre.

J'ai un peu tracé avec les programmes de sysinternals pris sur technet, procmon et procexp, et aucun chargement (fichiers ou dll) inconnu n'a lieu.
L'outil autoruns de sysinternals ne montre rien d'anormal dans les diverses possibilités d'infection du registre.

Que contient le gros fichier omni.ja? Un gros "jar" à n'en pas douter. Mais peut il être modifié par un programme malveillant extérieur? Si oui comment contrôler son intégrité?

La nouvelle fenêtre étant certainement créée par quelque chose comme un createwindow en JS (puisqu'il n'y pas de nouveau processus lancé), il me semble que le malware devrait être une dll présente dans l'espace d'exécution du processus. Mais procexp ne montre pas de dll inattendue.

Je ne crois pas à un mécanisme d'énumération de fenêtres ou de notification de changement dans un répertoire. Car ensuite il faudrait automatiser le déclenchement et l'automatisation de l'ouverture de la fenêtre de Firefox et sans objet COM (de Windows) , cela me paraît difficile.

Donc, ma question, où peut se cacher ce malware dans Firefox ? Ou comment le supprimer?

Merci à ceux qui voudront bien prendre le temps de m'apporter des réponses.

[Abraxas]

passe un coup d'Adwcleaner (https://toolslib.net/downloads/viewdown ... dwcleaner/) puis tu reset le profil courant pour ne garder que les données privées et supprimer tout le reste (https://support.mozilla.org/fr/kb/reini ... -problemes)

[noel blanc]

Bonjour,
Quand je lis http://virusthreatremoval.com/index.php?mal=Adwcleaner je prends peur et c'est bien pourquoi je demande aux gens compétents ce qui peut être fait manuellement pour retirer les malwares qui impactent Firefox.
Il me semble étrange qu'un BHO de IE puisse "automatiser" Firefox. Je ne connais pas l'architecture de cette grosse application, peut être la connexion locale tcp/ip pourrait être une porte d'entrée de cette automatisation. Firefox peut il garantir que l'origine des "commandes" émanent bien de la queue de messages de Windows? Ou voir du côté de la pseudo étanchéité des "desktop" de Windows 10 se partageant le même processus 'explorer.exe'. Et je ne sais toujours pas la différence entre module, extension, plugin, etc.
Dommage qu'il n'existe pas un livre de vulgarisation de Firefox présentant son "éco-système" ( comme le disait mon dernier chef de projet ).
Bon, d'accord, j'ai du temps à perdre à philosopher ainsi. Mais après 30 ans d'informatique dans le milieu professionnel, j'en ai marre des réponses "prêt-à-porter", de la communication "de surface", des "faces de boucs" laveurs de cerveaux et autres "coups'de gle" agressifs. La révolution du métier Jacquard et de la nouvelle économie, le tout façon 21eme siècle. Je vois plutôt une nouvelle forme de colonisation née de la higt-tech, et je ferai partie des exploités. Bon, ca m'a fait du bien.
Je me demande pourquoi "la communauté du libre" ne prendrait pas en charge les anti-malwares de manière transparente avec du code ouvert au public pour éviter les truands. Qui plus est, je suis presque sûr que des scripts, lisibles donc contrôlables, suffiraient dans 99% des cas pour retirer un bho, une entrée COM, une clé de registre, etc.
Je retourne en quête de la méchante DLL sur le pc dès que je peux.
Merci quand même pour le temps passé et m'avoir répondu gentiment.

[Abraxas]

Non mais Adwcleaner est un freeware proposé ici depuis longtemps pour supprimer les adwares et cie. Logiciel proposé aussi sur d'autres forums comme http://forum.pcastuces.com/default.asp ou http://forum.malekal.com/ qui aident les utilisateurs à désinfecter leur machine.
Il est également proposé dans la FAQ de Mozilla: https://support.mozilla.org/fr/kb/resou ... lveillants

D'ailleurs c'est plutôt ton site qui fait peur, ce genre de site propose de télécharger des softs pour supprimer d'hypothétiques menaces, c'est un grand classique pour faire installer d'autres adwares en faisant croire que ça va désinstaller un malware. En plus Adwcleaner n'est pas un adware, bref...

[noel blanc]

Bon, j'ai fait confiance à adwcleaner sur ton conseil. Il a fait un grand rapport avant et après son nettoyage, m'a coupé la liaison d'assistance à distance, a redémarré le PC.

Mais le adware ou malware est toujours là pour Firefox . Même après avoir créer un autre profile, menu "réparation".

Je désinstalle Firefox à mon grand regret. J'avais réussi à le faire adopter en ventant sa sécurité et sa rapidité. Mais sur ce coup, le IE de W8 n'est pas impacté et j'en connais qui diront que c'est MS qui a payé le truc-ware.

Demain, je supprime toutes les traces de Firefox que je trouve dans les fichiers et le registre. Je ré-installe une fois si j'ai l'autorisation du propriétaire du PC qui est bien remonté.

Je me demande si une version portable serait impactée. Existe t-elle encore ?

Merci quand même mais loin d'être résolu.

[Abraxas]

Si Adwcleaner n'a rien trouvé, essaie un autre anti-malware comme MalwareBytes. Essaie le forum Melekal spécialisé en désinfection.

Les gens sont infectés par ce qu'ils installent tout et n'importe quoi venant du web, des packs de codecs douteux, des cracks de jv infectés et autres tutos remplis d'adwares.

Mais Firefox n'est pas la cause.

[noel blanc]

Bonsoir,
Merci pour les conseils que je vais suivre si le propriétaire du PC ( un vieux monsieur ) est assez patient.
Loin de moi l'idée de penser que Firefox soit la cause de l'infection. Les truands du clavier sont légion et je voudrais bien qu'on en pende quelques uns ou qu'on en brûle un sur la place publique, pour l'exemple. Mais je sais bien que cela ne servirait à rien. L'être humain est tout aussi mauvais que bon. Les bloqueurs de publicité ont failli devenir illégaux il y a peu. Les attaques de la liberté par le pouvoir de l'argent sont nombreuses.
Firefox et d'autres doivent être défendus car ils sont les acteurs de notre liberté. Néanmoins je me demande si la composante "sécurité" de Firefox intègre bien la dimension humaine. Car une modification du comportement de Firefox par un tiers n'est pas signalée ( voir l'UAC tant décrié mais révélateur ). Ou une option "bac à sable" qui interdise toute modification par ces tiers malveillants. Bref. Je rêve un peu.
Et je ne résiste pas... la question n'est pas d'empêcher l'utilisateur incompétent ou mal informé de naviguer sur le net. C'est comme avec la voiture, le train, l'avion, ou l'escalier. L'accident peut toujours survenir. Personne n'est à l'abri. Même pas le pape de l'informatique!

Je me demande si linux est vraiment épargné par les malwares. Faut il installer vraiment un antivirus dans linux?
Une réponse peut être ....

Merci d'avance.

[Bob49]

Bonjour

Les bloqueurs de publicité ont failli devenir illégaux il y a peu.

"failli", le mot est bien choisit, car ça risquait pas d'arriver... d'où le mea-culpa des publicitaires sur l'abus en tous genres en ce qui concerne les pubs...

Bref, je vais pas revenir sur tout ce que tu as dis...

Merci pour les conseils que je vais suivre si le propriétaire du PC ( un vieux monsieur ) est assez patient.

"Discussions, discussions"... Mes plus proches voisins ont près de 90 ans et j'entretiens leur pc... l'an dernier, je leur ai embarqué leur pc pendant plusieurs jours, le temps de quelques vérifications... Hormis une petite infection, le problème venais de leur nouvelle box moins puissante en wifi et qui faisait mauvaise connexion... (et vu bien d'autres sujets..)
Ils ne comprennent pas toujours et c'est normal, mais c'est soit ils payent un informaticien où ils apprendront rien, ils ont choisient de me faire confiance et de me laisser faire. Et pour conclusion, en un an que je suis leur pc, pas une seule infection.

Je me demande si linux est vraiment épargné par les malwares.

Oui. Même si ça bouge depuis le succès d'Android... Tant que Linux sur pc ne devient pas plus célèbre, pas trop de risques... Mais il n'y à pas que les malwares, il y en à d'autres plus malins...

Faut il installer vraiment un antivirus dans linux?

Non pour soit même... mais normalement, il faudrait en avoir un, pour la sécurité des utilisateurs de Windows...

Attention Linux n'est pas tout rose... s'il y à des problèmes, il faut mettre les mains dans le cambouis et c'est pas forcément mieux que sous Windows...
Bref, c'est pas parce qu'il y aura plus d'infections, qu'il n'y aura pas de problèmes autres.... Bien sur, cela peut très bien se passer... Faut essayer un live.