malware de navigateur?

[Bounoume]

bonjour.. et bonne année!

depuis quelques jours, sur un forum sur les chevaux (hébergé par
https://www.forumactif.com/forum-gratuit )
le click sur plusieurs sous-forums fait ouvrir une nouvelle fenêtre anormale:

malware-firefox-xxxxxx-Capture du 2018-01-01 21-16-51.jpg
çette URL envoie sur divers sites de pub commerciale.....
cependant la fenêtre normalement active demeure accessible, et le sous-forun demandé est normalement affiché.

le SE est Ubuntu, et le navigateur Firefox.

1) je ne sais pas si la sous-fenêtre 'PROBLEME LOGICIEL DETECTE' est la bannière d'une erreur système véritable, ou du phishing

ensuite la sous-fenêtre demande passwod root : lui en ai refilé un faux, et alors elle a re-demandé....

2) d'autres utilisateurs du même forum cheval signalent aussi l'ouverture de fenêtres anormales (pas forcément de la même URL)
semble-t-il pas bloquées par des anti-virus ou plugins
Safari est parasité aussi, de même que les i-pad....
et pour une autre utilisatrice Bitdefender semble bloquer tout accès aux pages pouries
3) après avoir pioché dans la doc firefox, j'ai essayé de supprimer l'option 'acessibilité' du dit navigateur: ça continue....
de même en me logant en tant qu' 'invité'.....

Est-ce l'hébergeur qui diffuse un malware?

que faire?
merci d'avance
-----

[Bounoume]

encore bizzare...
après reboot, firefox fermé, donc aucun processus firefox actif (cf liste des processus par moniteur système)
le messsage d'erreur apparaît quand même seul (ici j'ai fait comme si je donnais password root....)
malware-firefox-X-X-X-capture du 2018-01-01 22-35-44.jpg

enfin j'ai découvert une mise à jour de sécurité firefox: une fois installée la mise à jour....
la fenêtre URL pub parasite apparaît toujours....
mais il n'y a plus le 'message d'erreur' vrai ou forgé.....

J'y comprends RIEN !

[Bounoume]

la suite:
sur mon forum d'amis

D'après une recherche rapide sur G..e, si vous avez la fenêtre patmax.eu mais surtout l'adresse de la page en findbetteresults.com,

c'est que votre PC est infecté par un logiciel malveillant ou malware, ce fameux "findbetterresults".
C'est la fenêtre d'avertissement que tu sembles avoir, Lambada.
Il faut donc nettoyer votre PC... attention toutes ces pages semblent vouloir aussi fourguer leur nettoyeur de malware, donc demander à qqn qui s'y connait ?

http://www.2-delete-spyware.com/fr/c...erresults-com/
https://www.pcsansvirus.com/pages/su...sults-com.html
https://www.comment-supprimer.com/fi...erresults-com/

Et puis.....
en téléchargeant le plugin "adblock plus" pour firefox, la fenêtre de pub suspecte n'apparaît plus maintenant:
victoire complète?
victoire à la Pyrrhus?????
et surtout y a-t-il d'autres dégâts à réparer?

[invite9ce22e65]

bonjour

Tu es sous Ubuntu, les outils que nous utilisons sont spécifiques à Windows
tu dois donc vérifier dans la liste des programmes installés et dans les extensions de tes navigateurs si quelque chose traîne encore

[A voir en vidéo sur Futura]

[Bounoume]

ça au moins, c'est une réponse utile....
m'enfin, y a pas que le machin en 'W....'

je me démmerde donc tout seul
Pour ceux qui sont dans mon cas, voici la suite:
1) l'appel à findbetterresults.com est causé par un script ajouté par l'administrateur du forum vérolé:
le dit administrateur avait trouvé on ne sait où un gadget pour simuler ... des flocons de neige pour faire jt
l'administrateur ayant réussi à virer le gadget, la fenêtre parasite n'apparaît plus chez personne, même chez ceux qui n'avaient pris aucune contre-mesure
mais... bien sûr si le truc avait agi en cheval de Troie pour rapatrier des virus tiers, les supposés virus restent....
en sachant que Linux est bien plus résistant à ces choses que Windows.....

2) la fenêtre d'erreur qui demande password?
SI il y a malware, ça pourrait bien en être la manifestation: 'le' malware qui présentement s'exécute en mode user (avec peu de droits, donc pas bien méchant) demanderait les droits admin pour tout infester et agir.
Ou bien c'est le système qui veut envoyer un log d'erreurs à la communauté linux....

LA fenêtre se prétend dépendre de 'apport-gtk-root'.
Le moteur de recherche (duckcuckgo) avec cette entrée m'envoie sur:
http://www.binarytides.com/ubuntu-fi...problem-error/
https://askubuntu.com/questions/6154...tk-root#738332

'apport-gtk-root'.-> c'est vraisemblable, d'autant que le fichier log dans
/var/crash existe, créé il y a 2 heures, juste au moment où le message apparaissait, et sa structure me paraît vraisemblable
je crois comprendre qu'il dit que le processus en défaut est
ProcCmdline: /usr/lib/i386-linux-gnu/hud/hud-service
hud-service apparaît effectivement dans la liste des processus actifs avec droits user simples , pas root!....

donc affaire presque classée: je présume que la demande de password est une demande système sincère.
je vais chercher ce que c'est ce 'hud-service'....