Attaques Roxlock.com

kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour

J'ai depuis 2 jours des attaques Roxlock.com sur Firefox

révélées par Malwarebytes

Le plus énervant c'est qu'elles affichent à tous les sites

Pouvons-nous éviter de les faire s'afficher continuellement ?

Rendre Malwarebytes silencieux ?

Merci

17 réponses

  1. spiralio Messages postés 5113 Date d'inscription   Statut Membre Dernière intervention   324
     

    Bonjour,

    Ce n'est pas une extension contrôlée par Mozilla  et on ne peut pas désactiver les notifications dans la version gratuite et même dans la version payante, cela reste assez compliqué...

    uBlock Origin me semblerait plus adapté, bloqueur de pubs mais aussi d'adwares, malwares.

    https://addons.mozilla.org/fr/firefox/addon/ublock-origin/

    https://www.malekal.com/ublock-bloquer-publicites-internet/

    0
  2. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Merci

    J'ai hâte de vérifier

    0
  3. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Merci à vous deux

    bazfile

    Rien n'a changé

    Spiralio, j'avais ces trois blockers

    puis déactivé Malwarebytes

    résultat : je n'ai plus de notifications de Malwarebytes

    mais

    mon antivirus réagit de la même manière

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. spiralio Messages postés 5113 Date d'inscription   Statut Membre Dernière intervention   324
     

    Bonjour,

    Là je vois une saisie d'écran des extensions sur Firefox

    Quel anti-virus ? Quelle réaction au juste ?

    0
    1. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
       

      Bonjour

      Je viens tout juste de voir vos ajouts de réponses

      mon antivirus est une version personnalisée de Bitdefender par Vidéotron

      et il serait acceptable de laisser bloquer l'antivirus, mais s'il était silencieux.

      Je ne comprends pas pourquoi nous n'avons pas l'option de cocher une case

      qui annulerait l'affichage à chaque nouvelle page.

      0
  6. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
     

    puis déactivé Malwarebytes

    Si tu désactives Malwarebytes il est bien entendu que tu n'auras plus de notifications, ces notifications viennent de l'extension BrowserGuard qui est dans Firefox, il suffisait de désactiver cette extension que l'on appelle module complémentaire chez Firefox voir cette page

    Pour ce qui est d'avoir trois bloqueurs de pubs sur Firefox c'est inutile et contre productif.

    D'autre part désactiver Malwarebytes ne supprime pas les parasites de navigateur ils sont toujours là sauf que tu n'es plus averti.

    Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

    Clique sur Analyser


    Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

    À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

    Ensuite envoie les rapports FRST et ADDITION sur PJJOINT puis donne les deux liens générés par PJJOINT dans ta réponse. 


    0
    1. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
       

      J'ai essayé

      je me suis inscrit et ça ne semble prendre effet

      J'ai les deux fichiers Addition et FRST.txt

      et les 2 liens ressemblants à ceci

      https://pjjoint.malekal.com/files.php?id=FRST_20.................3s13l9x6

      où aller pour les donner dans ma réponse ?

      0
      1. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268 > kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention  
         

        Tu t'es inscrit à quoi pas besoin d'inscription, tu envoies tes fichiers Addition et FRST sur   PJJOINTet tu donnes les liens générés dans ta réponse, si tu n'y arrives pas on en reste là car sans les rapports je ne peux rien voir.

        0
  7. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
     

    Ta version de Windows est une version piratée, es-tu au courant ?

    Ces deux lignes montrent que cette version n'est pas officielle ceci explique peut-être tes problèmes:

    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll

    0
  8. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Elle a été achetée quand j'ai changé de disque dur après un crash

    0
  9. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
     

    Si tu veux je peux entre autre supprimer ces lignes d'activation "non officielles", sache que cela peut concerner aussi bien un piratage de Windows que de Microsoft Office avec un crack type KMSpico ou autre crack de même genre.

    Une fois ces lignes supprimées le logiciel piraté ne sera plus activé à toi de voir et de me dire ce que tu souhaites.

    Pour ce qui est de Roxlock.com en dehors d'un fichier texte sur ton bureau nommé "roxlock", aucune trace directe dans les rapports.

    Il y a beaucoup d'extensions dans Firefox tu devrais y faire un peu de ménage, c'est d'ailleurs très étonnant qu'il y ait autant d'extension (modules complémentaires) car si tu as bien fait la réparation de Firefox comme je te l'ai indiqué ils ne devraient plus être présents.


    0
  10. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Supprimer ces lignes d'activation "non officielles"    :     Oui, si tu le peux

    et

    comment je ferai pour qu'à partir de ce que tu as fait, effectuer moi-même cette modification dans mon ordinateur ?

    merci

    0
    1. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
       

      comment je ferai pour qu'à partir de ce que tu as fait, effectuer moi-même cette modification dans mon ordinateur ?

      Je ne comprends pas ce que tu veux dire.

      0
  11. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    "Je ne comprends pas ce que tu veux dire "

    Tu dis pouvoir supprimer ces lignes d'activation "non officielles" 

    Comment tu peux faire cela quand tu n'as pas mon ordinateur devant toi ?

    0
  12. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
     

    Pour ta question je ferai un script et je t'indiquerai une correction à faire via FRST.

    Dernière question, quand tu as cette fenêtre et que tu cliques dur "Plus de détails" dis-moi ce que tu as comme détails.


    0
    1. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
       

      Voici

      https://roxlock.com/22404df36dee51d165.js

      Nom de la menace : JS:Adware.Lnkr.L

      0
      1. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268 > kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention  
         

        Je n'ai pas le texte en entier, on ne voit qu'une partie.

        Bon ça ne fait rien on continu sinon on n'y sera encore à Noël :)

        Fait la correction FRST qui suit, je ne touche pas à l'activation non officielle de Windows, le script qui suit suppime des parasites dans Firefox et dans Chrome ainsi que des processus obsolètes orphelins.

        Procédure à faire dans l'ordre indiqué :

        1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
        2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

         
        Start::
        CreateRestorePoint:
        CloseProcesses:
        Task: {2CC3B3B9-A2D5-4B0D-98BD-7CCF271364A7} - \Microsoft\Windows\Device Setup\Metadata RefreshHeXDr3 -> Pas de fichier <==== ATTENTION
        Task: {DA30E48D-9714-476A-8AEB-2ACA75760A01} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2124952716-2625554045-2006463193-500 => C:\Users\Utilisateur\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
        Task: {E7783294-74D3-4827-8083-A90DADBF344C} - \OneDrive Standalone Update Task-S-1-5-21-2124952716-2625554045-2006463193-1001 -> Pas de fichier 
        S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\113.1.51.118\elevation_service.exe" [X]
        Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
        Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
        Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
        Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
        FF Plugin: @microsoft.com/VirtualEarth3D,version=4.0 -> C:\Program Files (x86)\Virtual Earth 3D\ [0000-00-00] ()
        FF Plugin-x32: @microsoft.com/VirtualEarth3D,version=4.0 -> C:\Program Files (x86)\Virtual Earth 3D\ [0000-00-00] () 
        FF NewTab: Mozilla\Firefox\Profiles\k0om2bxx.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT170902&iDate=2020-03-14 01:30:05&bName=&bitmask=0300
        FF NewTab: Mozilla\Firefox\Profiles\o19a7qsh.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT170902&iDate=2020-03-14 01:30:05&bName=&bitmask=0300
        CHR Notifications: Default -> hxxps://fjvv2i.inalours.com
        HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
        HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
        HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
        ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
        ContextMenuHandlers1: [Balabolka] -> {6CB83A5A-AA68-4895-9F54-175E789AE149} => C:\Program Files (x86)\Balabolka\BFileExt.dll -> Pas de fichier
        ContextMenuHandlers1: [QM] -> {C00E2DB5-3AF8-45a6-98CB-73FCDE00AC5C} => C:\Users\Utilisateur\AppData\Roaming\quickmacro 2.4\ver 0x2040B00\qmshex64.dll -> Pas de fichier
        ContextMenuHandlers2: [QM] -> {C00E2DB5-3AF8-45a6-98CB-73FCDE00AC5C} => C:\Users\Utilisateur\AppData\Roaming\quickmacro 2.4\ver 0x2040B00\qmshex64.dll -> Pas de fichier
        ContextMenuHandlers4: [QM] -> {C00E2DB5-3AF8-45a6-98CB-73FCDE00AC5C} => C:\Users\Utilisateur\AppData\Roaming\quickmacro 2.4\ver 0x2040B00\qmshex64.dll -> Pas de fichier
        ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
        ContextMenuHandlers5: [QM] -> {C00E2DB5-3AF8-45a6-98CB-73FCDE00AC5C} => C:\Users\Utilisateur\AppData\Roaming\quickmacro 2.4\ver 0x2040B00\qmshex64.dll -> Pas de fichier
        Toolbar: HKU\S-1-5-21-2124952716-2625554045-2006463193-1003 -> Pas de nom - {BFD9D8A8-57FF-488A-B919-065EC77CF82F} -  Pas de fichier
        HKU\S-1-5-21-2124952716-2625554045-2006463193-1003\Software\Classes\regfile:  <==== ATTENTION
        HKU\S-1-5-21-2124952716-2625554045-2006463193-1003\Software\Classes\.reg:  =>  <==== ATTENTION
        HKU\S-1-5-21-2124952716-2625554045-2006463193-1003\Software\Classes\.bat:  =>  <==== ATTENTION
        HKU\S-1-5-21-2124952716-2625554045-2006463193-1003\Software\Classes\.cmd:  =>  <==== ATTENTION
        cmd: netsh advfirewall reset
        EmptyTemp:
        End::

        3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
         


        Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

        Puis une fois ton ordinateur redémarré :
        4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

        5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

        0
      2. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139 > bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention  
         

        Je vais tenter ce que tu me proposés.

        La capture d'écran montre tout

        et c'est identique à chaque fois que j'ai une nouvelle page qui s'ouvre

        Merci

        0
      3. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268 > kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention  
         

        La capture d'écran montre tout

        Non car il y a des onglets (critique, avertissement, information) ainsi qu'une barre de défilement orange sur la droite. 

        0
  13. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Voici une animation de ce qui est affiché

    Tous et Critiques : identiques

    les autres : sans intérêt

    0
  14. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Bonjour

    Après avoir fait exécuter FRST

    la notification revient encore

    0
  15. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
     

    @kabakak StatutMembre

    Il manque le fixlog, ça ne fait rien, on continu avec cette nouvelle correction FRST :

    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {B9ABE3A7-2D06-4AAD-A5CF-476D52470B32} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe--self-update
    C:\Program Files (x86)\Download Studio
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
     


    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

    0
  16. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Merci

    pour ceci et aucune différence .....toujours ma jolie notification

    Voici le fichier Fixlog précédent 

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23-05-2023
    Exécuté par Utilisateur (24-05-2023 08:06:32) Run:2
    Exécuté depuis C:\Users\Utilisateur\Desktop
    Profils chargés: Utilisateur & Administrateur
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    *****************
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {B9ABE3A7-2D06-4AAD-A5CF-476D52470B32} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe--self-update
    C:\Program Files (x86)\Download Studio
    EmptyTemp:
    End::
    *****************

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B9ABE3A7-2D06-4AAD-A5CF-476D52470B32}" => supprimé(es) avec succès
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9ABE3A7-2D06-4AAD-A5CF-476D52470B32}" => supprimé(es) avec succès
    C:\WINDOWS\System32\Tasks\DownloadStudio Standalone Updater => déplacé(es) avec succès
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DownloadStudio Standalone Updater" => supprimé(es) avec succès
    "C:\Program Files (x86)\Download Studio" => non trouvé(e)

    =========== EmptyTemp: ==========

    FlushDNS => terminé(e)
    BITS transfer queue => 0 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29681569 B
    Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
    Windows/system/drivers => 33451689 B
    Edge => 0 B
    Chrome => 0 B
    Brave => 244753243 B
     

    Voici le fichier Fixlog d'aujourd'hui 24 Mai 2023

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23-05-2023
    Exécuté par Utilisateur (24-05-2023 08:06:32) Run:2
    Exécuté depuis C:\Users\Utilisateur\Desktop
    Profils chargés: Utilisateur & Administrateur
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    *****************
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {B9ABE3A7-2D06-4AAD-A5CF-476D52470B32} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe--self-update
    C:\Program Files (x86)\Download Studio
    EmptyTemp:
    End::
    *****************

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B9ABE3A7-2D06-4AAD-A5CF-476D52470B32}" => supprimé(es) avec succès
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9ABE3A7-2D06-4AAD-A5CF-476D52470B32}" => supprimé(es) avec succès
    C:\WINDOWS\System32\Tasks\DownloadStudio Standalone Updater => déplacé(es) avec succès
    "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DownloadStudio Standalone Updater" => supprimé(es) avec succès
    "C:\Program Files (x86)\Download Studio" => non trouvé(e)

    =========== EmptyTemp: ==========

    FlushDNS => terminé(e)
    BITS transfer queue => 0 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 29681569 B
    Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
    Windows/system/drivers => 33451689 B
    Edge => 0 B
    Chrome => 0 B
    Brave => 244753243 B
    Firefox => 375289125 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 4626 B
    NetworkService => 4626 B
    Utilisateur => 56697089 B
    Administrateur => 56697089 B

    RecycleBin => 699782382 B
    EmptyTemp: => 1.4 GB données temporaires supprimées.

    ================================


    Le système a dû redémarrer.

    ==== Fin de Fixlog 08:07:53 ====

    0
    1. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
       

      La notification est une ancienne notification ou une nouvelle qui est apparue après avoir fait la correction FRST ?

      Car parfois les notifications sont conservées dans l'historique de l'antivirus d'où l'importance de regarder la date et l'heure de la notification.
       

      Fait un scan avec Malwarebytes en version gratuite puis supprime les infections trouvées voici un tutoriel.

      0
  17. kabakak Messages postés 720 Date d'inscription   Statut Membre Dernière intervention   139
     

    Elle est identique

    Je vais faire un scan avec Malwarebytes

    merci

    0
    1. bazfile Messages postés 58492 Date d'inscription   Statut Modérateur Dernière intervention   20 268
       

      OK.

      0