Riskware détecté par Malwarebytes dans Firefox [résolu]

[Gilles1]

Bonjour,

J'utilise une version d'essai de Malwarebytes, et ce matin j'ai reçu ce message:

-Détails du site Web bloqué-
Site Web malveillant: 1
, C:\Program Files\Mozilla Firefox\firefox.exe, Bloqué, -1, -1, 0.0.0, AF7223CF9BF7A64090D631C628EBA868, 81A0316CD0EFDAD79C3F268A0E25A6E7133E9AD6EBF970FE0DB36CD4E87FF849

-Données du site Web-
Catégorie: RiskWare
Domaine: evipirpwhwqfrf.com
Adresse IP:
Port:
Type: En sortie
Fichier: C:\Program Files\Mozilla Firefox\firefox.exe

Je ne comprends pas vraiment si c'est Firefox qui est concerné. Malwarebytes me demande si je veux l'ajouter ou pas dans les exclusions. Je ne sais pas quoi faire.

Merci.

[Malekal_morte]

Bonjour,

Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :

• Réparer Mozilla Firefox (premier paragraphe)

et :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt



Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu peux aussi attacher les fichiers de rapports FRST dans une nouvelle réponse avec l'éditeur avancé.



Ensuite en bas pièce-jointe.



(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

NOTE : tu peux aussi envoyer les rapports sur https://pjjoint.malekal.com et donner les liens en retour.

[Gilles1]

Salut,

Voilà les liens que tu m'as demandé:

https://pjjoint.malekal.com/files.php?i ... d12o15h8t6
https://pjjoint.malekal.com/files.php?i ... 3d9p514k11
https://pjjoint.malekal.com/files.php?i ... 6l6f15p8v5

Merci.

[Malekal_morte]

Cela donne quoi au niveau des alertes Riskware après la réinitialisation de Firefox ?

[Parisien_entraide]

Bonjour

Je note que tu as le module complémentaire "France Vérif"...(Il pourrait en être la cause)


Il faut bien lire les CGU :

https://docs.franceverif.fr/cgu-service-gratuit

Fanceverif.fr impose l'autorisation de collecter vos données personnelles et de navigation pour pouvoir les transmettre à ses partenaires commerciaux'.

Parmi les réseaux d'affiliation avec qui nous collaborons se trouvent des marchands tels que : eBay Partner Network, Amazon, Alibaba, Cdiscount, ainsi que des réseaux d'affiliation Awin, Effiliation, Kwanko, Rakuten, Timeone, Tradedoubler, Tradetracker, webgains, daisycon, cj et d'autres.

Ce qui est quand même étonnant pour une application qui se targe de nous protéger


On se rappelle également de ce "poisson d'avril"
https://www.francetransactions.com/actu ... t-n-a.html
Le soucis c'est qu'il a servi de base à nombre de sites pour en faire le descriptif et que cela en est resté là

France Verif se présente comme une solution efficace à 99,79% contre la fraude sur internet.
Déjà hormis les déclaratifs, cela n'a jamais fait l'objet de tests externes, et en plus France vérif se présente comme le numéro 1 de la détection.. Mais par rapport à QUI ?

Si on va sur le site https://franceverif.fr/, cela nous dit que celui ci est généré par.. de l'IA. Déjà on sait à quoi sert l'une des 17 IA (non nommées) qu'ils mettent en avant

Si tu veux les contacter en mail tu as droit à un "Vous ne pouvez pas accéder à cette adresse e-mail Franceverif.fr

France vérfif se présentait comme un site officiel de l'état dans les médias (Son patron ne le contredisait pas)
En plus vu que ce truc a été soutenu dès le début par "Cédric O" il y a tout lieu de s'en méfier
Ce fameux Cedric O on le retrouve via des applications plutôt suspectes
viewtopic.php?p=528301#p528301 (Avec un lien dans le lien)

Il y a même un conseiller de campagne du candidat-président "Macron" qui est intervenu pour du financement via Bpifrance..
Donc ce n'est pas l'Etat Français derrière

Pour moi et il suffit de voir les commentaires qui se contredisent, et je relègue cela dans la même poubelle que " LUCIE" l'IA mise en avant récemment et ses oeufs de vache
Derrière LUCIE il y a les sieurs Linagora et Zapolsky (en particulier) … Il suffit de faire quelques recherches sur ce dernier
Je ne vais pas m étendre car ce dernier est particulièrement virulent, mais outre son comportement il faut se rappeler que c’est un " ami " de notre cher président, qu’il a fait des dons pour sa dernière campagne, et voulait se faire élire dans le Var…(Je ne sais ce qu’il en a résulté car je m’en fiche)
Ça aide pour les financements...

Il faut se rappeler donc que la majorité de la tech française sont des déchets d’entreprises qui sont juste là pour accaparer les aides et financements de l’État
Au final les résultats sont médiocres, et ils bidonnent ceux ci, etc pour continuer à obtenir des financements.

A la base tout repose sur les relations politiques et l’entre-soi parisien
De ce fait l’efficacité ne sera pas au rendez-vous

[Gilles1]

Je n'ai pas réinitialisé Firefox, je l'ai réparé. Ce qui est étonnant c'est que les extensions n'ont pas été supprimées.

Sinon, Malwarebytes ne détecte plus rien depuis hier matin quand il m'a signalé ce Riskware. Il est classé dans "protection Web".

J'ai lancé virus total pour l'adresse IP qui apparait pour ce Riskware et voilà le résultat:

mdh3I1Qti5.png

Sinon, merci pour ton information sur FranceVerif, je le vire sur le champ.

[Parisien_entraide]

Réinitialiser ET réparer sont 2 choses différentes SAUF pour Mozilla/Firefox :-)

https://www.malekal.com/reparer-reiniti ... r-firefox/

En réparant/réinitialisant tu as un Firefox (ou autre navigateur) comme au premier jour et c'est la voie pour virer les parasites (ou infections) mais cela ne supprime pas tes signets et tes mots de passe, les marque-pages ;les cookies ;les fenêtres ouvertes et les onglets ;l’historique de navigation et de téléchargement ; les informations de remplissage automatique des formulaires web ; le dictionnaire personnel.
(Pour les mots de passe il vaut mieux passer par un gestionnaire de mots de passe).

En revanche, il supprime toutes les extensions et les personnalisations

Donc il est étonnant qu'après avoir effectué cette manip tes modules complémentaires soient encore là, surtout que la page d'aide n'a pas bougé
https://support.mozilla.org/fr/kb/repar ... parametres


Ensuite ton lien "riskware" pouvait etre dans le cache, et a été viré ou dans des paramètres cachés, permissions de sites web, paramètres de sécurité etc et la réparation a tout viré

Au passage je note que tu as installé MalwareBytes plein pot, ce qui fait qu'il se prend pour un antivirus.. Ce qu'il n'est pas ( Il est seulement efficace sur certaines classes de malwares)

Au bout de la période d'essai il deviendra simplement un scanner, MAIS en gardant un service actif au démarrage du PC
Perso je n'approuve pas car en plus ce n'est utile que pour effectuer une maj de la base de définition de "virus"
MalwareBytes s'en sert en fait pour de la télémétrie

[Gilles1]

Salut Parisien_Entraide,

Faut-il attendre qu'une personne ait le temps d'analyser les rapports de FRST ou il n'y a rien à signaler ?

[Parisien_entraide]

Si Malekal n'a rien vu, c'est qu'il n'y a rien

De toutes les façons la source du problème était dans Firefox d'où sa question
Il faut se rappeler qu' AUCUN programme d'analyse de type FRST, n'est capable d'analyser le contenu par ex d'un .json
C'est pour cela que les "'malveillants" s'attaque aux navigateurs (surtout Chrome)

Edit : Au passage tu peux virer l'extension WOT de Chrome

Là ca parle de celles de firefox mais c'est la même chose
viewtopic.php?t=71162/

[Malekal_morte]

Il n'y a rien à faire sur FRST puisque cela concerne Firefox.
C'est probablement une extension qui est la source.
La réparation doit les désactiver et les détections Riskware de MBAM doivent cesser.
A toi de confirmer que c'est ok.

[Gilles1]

J'ai réparé Firefox, mais les extensions n'ont pas été supprimées; j'ai pourtant bien suivi la procédure.

Voilà les seules extensions que j'ai activé. Avec sécurité Windows, je n'ai jamais eu d'alertes. Je vais attendre jusqu'à la fin de l'essai gratuit de Malewarebytes pour voir si il me signale encore ce Riskware. Maintenant j'ai viré France Verif.

firefox_mFuF8IGcnT.png

[Malekal_morte]

Si tu as de nouvelles alertes, faudra tester en désactivant les extensions une par une.
Mais à priori, elles ont l'air correctes.

Si tu as eu l'alerte qu'une seule fois, dans ce cas, c'est lié à un site que tu as visité.
Faut alors ne pas s'en faire.

[Parisien_entraide]

J'ai réparé Firefox, mais les extensions n'ont pas été supprimées; j'ai pourtant bien suivi la procédure.

Bizarre... Je viens de tester sur un profil cela fonctionne

2025-02-11_201856.jpg

C'est comme si tu avais plusieurs profils, parce qu'on peut réinitialiser un profil sans que cela n'affecte les autres

[Gilles1]

Bonjour,

Tu me parles de plusieurs profils, est-ce que ce profil : default en est un ? Est-ce que je dois le supprimer ?

FIRI26JHuY.png

firefox_6grPbJzlNH.png

Merci

[Parisien_entraide]

Les deux profils, .Default et .Default-Release, sont utilisés par des installations à partir de différents canaux de mise à jour (Une classique et une "nightly" par ex et possiblement une ESR et une "classique")
Dans ton cas, la Default-Release est la plus récente
Pour le confirmer tu ouvres le dossier et tu regardes les dates de fichiers par rapport à l'autre "Default" ou alors tu lances "default" pour voir les différences