[RESOLU]firefox 41 et malware du genre "pc support"
Publié : 20 oct. 2015, 22:16
Bonjour,
Après avoir désinstallé et réinstallé Firefox, le malware est toujours présent. Seul Firefox est impacté. IE ne l'est pas. Le pc est sous W8.1
Ayant pris la main à distance avec l'assistance de W8.1, je n'ai pas pu faire le redémarrage demandé à la suite de la désinstallation. Mais je ne pense pas que cela soit important.
J'ai renommé le fichier profile.ini pour obligé Firefox a reconstruire un profil depuis "sa" référence. Le malware est actif avec ce nouveau profil.
Les divers fichiers JS du profil ne présentent pas d'url inattendues. Mais il me semble qu'ils ont "migré" vers des fichiers de type sql. La page d'options accessible depuis le menu "principal" ne montre pas d'anomalies. Le menu "réparation" et le "mode sans échec ( sans modules )" ne résolvent rien.
Au passage, la terminologie est ambiguë : service, module, extension, plugin, y a t-il une réalité technique basée sur des API diverses (comme service, dll, driver, programme pour Windows) ? sinon quel est son fondement? Si je peux avoir une mise au point...merci.
Impossible de connaître la période d'apparition de ce malware, tout ce que je sais c'est qu'il est venu 2 ou 3 mois après la neutralisation d'autres malwares.
Le malware se déclenche à la suite d'un clic souris n'importe où dans une page chargée comme zimbra.free.fr. Il ouvre une nouvelle fenêtre ( pas une nouvelle instance du processus ) qui recouvre la précédente. Les sites proposés traitent tous ou presque de support, de réparateur de Windows ou d'anti-virus et de publicités diverses pour la page de mappy.fr.
L'antivirus ne signale rien, donc pas de pb de sécurité.
Les anti-malware me font encore plus peur que les malware eux mêmes. Car s'ils étaient honnêtes, ils diraient ce qu'ils font, un malware étant pas aussi compliqué qu'un virus puisqu'il n'exploite que la faille "humaine". Et les sites où on peut les télécharger sont plein de publicités pour des désinfecteurs, des réparateurs, des améliorateurs de performance en-veux-tu-en-voilà qu'ils sont censés combattre.
J'ai un peu tracé avec les programmes de sysinternals pris sur technet, procmon et procexp, et aucun chargement (fichiers ou dll) inconnu n'a lieu.
L'outil autoruns de sysinternals ne montre rien d'anormal dans les diverses possibilités d'infection du registre.
Que contient le gros fichier omni.ja? Un gros "jar" à n'en pas douter. Mais peut il être modifié par un programme malveillant extérieur? Si oui comment contrôler son intégrité?
La nouvelle fenêtre étant certainement créée par quelque chose comme un createwindow en JS (puisqu'il n'y pas de nouveau processus lancé), il me semble que le malware devrait être une dll présente dans l'espace d'exécution du processus. Mais procexp ne montre pas de dll inattendue.
Je ne crois pas à un mécanisme d'énumération de fenêtres ou de notification de changement dans un répertoire. Car ensuite il faudrait automatiser le déclenchement et l'automatisation de l'ouverture de la fenêtre de Firefox et sans objet COM (de Windows) , cela me paraît difficile.
Donc, ma question, où peut se cacher ce malware dans Firefox ? Ou comment le supprimer?
Merci à ceux qui voudront bien prendre le temps de m'apporter des réponses.
Après avoir désinstallé et réinstallé Firefox, le malware est toujours présent. Seul Firefox est impacté. IE ne l'est pas. Le pc est sous W8.1
Ayant pris la main à distance avec l'assistance de W8.1, je n'ai pas pu faire le redémarrage demandé à la suite de la désinstallation. Mais je ne pense pas que cela soit important.
J'ai renommé le fichier profile.ini pour obligé Firefox a reconstruire un profil depuis "sa" référence. Le malware est actif avec ce nouveau profil.
Les divers fichiers JS du profil ne présentent pas d'url inattendues. Mais il me semble qu'ils ont "migré" vers des fichiers de type sql. La page d'options accessible depuis le menu "principal" ne montre pas d'anomalies. Le menu "réparation" et le "mode sans échec ( sans modules )" ne résolvent rien.
Au passage, la terminologie est ambiguë : service, module, extension, plugin, y a t-il une réalité technique basée sur des API diverses (comme service, dll, driver, programme pour Windows) ? sinon quel est son fondement? Si je peux avoir une mise au point...merci.
Impossible de connaître la période d'apparition de ce malware, tout ce que je sais c'est qu'il est venu 2 ou 3 mois après la neutralisation d'autres malwares.
Le malware se déclenche à la suite d'un clic souris n'importe où dans une page chargée comme zimbra.free.fr. Il ouvre une nouvelle fenêtre ( pas une nouvelle instance du processus ) qui recouvre la précédente. Les sites proposés traitent tous ou presque de support, de réparateur de Windows ou d'anti-virus et de publicités diverses pour la page de mappy.fr.
L'antivirus ne signale rien, donc pas de pb de sécurité.
Les anti-malware me font encore plus peur que les malware eux mêmes. Car s'ils étaient honnêtes, ils diraient ce qu'ils font, un malware étant pas aussi compliqué qu'un virus puisqu'il n'exploite que la faille "humaine". Et les sites où on peut les télécharger sont plein de publicités pour des désinfecteurs, des réparateurs, des améliorateurs de performance en-veux-tu-en-voilà qu'ils sont censés combattre.
J'ai un peu tracé avec les programmes de sysinternals pris sur technet, procmon et procexp, et aucun chargement (fichiers ou dll) inconnu n'a lieu.
L'outil autoruns de sysinternals ne montre rien d'anormal dans les diverses possibilités d'infection du registre.
Que contient le gros fichier omni.ja? Un gros "jar" à n'en pas douter. Mais peut il être modifié par un programme malveillant extérieur? Si oui comment contrôler son intégrité?
La nouvelle fenêtre étant certainement créée par quelque chose comme un createwindow en JS (puisqu'il n'y pas de nouveau processus lancé), il me semble que le malware devrait être une dll présente dans l'espace d'exécution du processus. Mais procexp ne montre pas de dll inattendue.
Je ne crois pas à un mécanisme d'énumération de fenêtres ou de notification de changement dans un répertoire. Car ensuite il faudrait automatiser le déclenchement et l'automatisation de l'ouverture de la fenêtre de Firefox et sans objet COM (de Windows) , cela me paraît difficile.
Donc, ma question, où peut se cacher ce malware dans Firefox ? Ou comment le supprimer?
Merci à ceux qui voudront bien prendre le temps de m'apporter des réponses.
. Même après avoir créer un autre profile, menu "réparation".
Et pour conclusion, en un an que je suis leur pc, pas une seule infection.