{Résolu}un moteur de recherche inconnu sur firefox - Yoog Search

[pear]

Bonjour,

 

Modifiez cette ligne:

browser.search.selectedEngine;Yoog Search

 

Clic droit sur la ligne ->Nouvelle valeur tapez Google

 

Et dites moi si le problème persiste.

 

Pour les pluggins d'internet explorer la question est la meme, et sinon où les trouver?

 

Panneau de configuration ->Options Internet->Avancé->Gérer les modules compléméntaires

 

En conséquence du rapport Kaspersky:

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

:Files.

C:\Program Files\Messenger Plus! Live\Scripts\BlockPrank\BlockPrank.js

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

Modifié le 8 décembre 2008 par pear

[desdemona]

LE scan avec superantispyware ne m'ayant pas ouvert de rapport je copie la liste via le journal de bord! Apparemment tout a été mis en quarantaine. Dois je les supprimer de la quarantaine maintenant? Yoog search est toujours présent!

 

En attendant votre réponse je continue suivant vos instructions du dernier post!

 

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 12/08/2008 at 02:10 PM

 

Application Version : 4.22.1014

 

Core Rules Database Version : 3666

Trace Rules Database Version: 1645

 

Scan type : Complete Scan

Total Scan Time : 00:46:30

 

Memory items scanned : 448

Memory threats detected : 0

Registry items scanned : 6751

Registry threats detected : 7

File items scanned : 26147

File threats detected : 3

 

Trojan.TrafficNinjaBiz

HKU\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{266A3562-AB67-480E-9F09-D54604FD817B}

 

Adware.Vundo Variant

HKU\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F1079574-5D98-4990-9ECB-36AE259CB2C8}

 

Adware.Tracking Cookie

C:\Documents and Settings\Marie Christine Duny\Cookies\marie_christine_duny@aolfr.122.2o7[1].txt

C:\Documents and Settings\Marie Christine Duny\Cookies\marie_christine_duny@adserver.aol[1].txt

 

Rogue.Component/Trace

HKLM\Software\Microsoft\78D64B61

HKLM\Software\Microsoft\78D64B61#78d64b61

HKLM\Software\Microsoft\78D64B61#Version

HKLM\Software\Microsoft\78D64B61#red_srv

HKLM\Software\Microsoft\78D64B61#red_srv_bckp

 

Trojan.Unknown Origin

C:\WINDOWS\SYSTEM32\NWCSMADEDOJMZNJBW.DLL-UNINST.EXE

[desdemona]

Le rapport OtMoveIt3

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

Error: Unable to interpret <:Files.> in the current context!

Error: Unable to interpret <C:\Program Files\Messenger Plus! Live\Scripts\BlockPrank\BlockPrank.js> in the current context!

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\etilqs_GgrvuiSTMohwO4eYs6pL scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12082008_143738

 

Files moved on Reboot...

File C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\etilqs_GgrvuiSTMohwO4eYs6pL not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\urlclassifier3.sqlite moved successfully.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\umfad4xm.default\XUL.mfl moved successfully.

 

Modifiez cette ligne:

browser.search.selectedEngine;Yoog Search

 

Clic droit sur la ligne ->Nouvelle valeur tapez Google

 

Heu..Nouvelle valeur ou modifier?

Modifier j'ai fait ça la change mais n'enleve pas Yoog search et quand je ferme Modzilla et le reouvre là chaine est redevenu Yoo Search.

si nouvelle valeur boléenne ou numérique? aprés ça redemande une valeur de chaine??!!

[pear]

Dois je les supprimer de la quarantaine maintenant?

 

Ce qui est en quarantaine ne peut pas vous nuire.

 

Yoog search est toujours présent!

 

Ce n'est pas drôle.

 

je continue suivant vos instructions du dernier post!

ok

[desdemona]

J'ai désinstallé FF et supprimé le profil. J'ai réinstallé et ... Yoog search est toujours là!

 

Pour ce qui est des modules d I.E.. il y en a beaucoup.. pas moyen de les sortir avec un script comme pour F.F ? Parce que tout copié à la main me parait fastidieux!

 

Que dois je faire d'autre maintenant?

[pear]

Que dois je faire d'autre maintenant?

 

Patienter.Je ne vois rien d'autre pour l'instant.

 

Cependant ,peut-être ceci:

 

Démarrer->Exécuter->regedit->Edition->Recherche

Taper Search:

Noter , si vous les trouvez lec clés qui contiendraient

MyStart Search

ou Yoog Search

ou quelque chose qui s'en rapproche.

 

Un outil pour faire aisémént ces recherches qui sont vite fastidieuses:

Vilma Registry:

http://speedweb1.free.fr/frames2.php?page=outils5

Modifié le 8 décembre 2008 par pear

[pear]

Bonsoir,

 

Je voudrais tenter autre chose:

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Si vous utilez Combofix pour détruire Bagle, voyez le $ 3 Renommer Combofix

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

 

2)Lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

3) Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

[desdemona]

Bonsoir,

 

Je viens de voir vos post.. il est trop tard pour la manip combofix je verrais un autre jour. Par contre j'ai effectivement trouvé des clefs qui correspondent grace à l'outil Vilma.

 

Par contre comment je fais pour coller ce résultat en post. Le clic copier coller ne fonctionne pas dans le programme et je suis pas une pro! Ou sinon que dois je vous copier juste la clef ou toutes les infos qui me sont données (display name, URL..)

 

Apparemment c'est une clef de Software\Microsoft\InternetExplorer\SearchScopes et je trouve Yoog Search comme valeur.

Pour la trouver j'ai du passer par les avancées du programme sinon ça n'apparaissait pas.

Bonne nuit

Modifié le 9 décembre 2008 par desdemona

[pear]

Bonjour,

 

Intéressant.

 

comment je fais pour coller ce résultat en post

Copiez /collez dans le bloc notes.

Enregistrez , sur le bureau, sous reg.bat

Double clic pour lancer.

Copiez/collez et postez le résultat.

C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes"/s >>look.txt

start notepad look.txt

 

S'y a d'autres clés à vérifier, écrivez en le chemin entre les guillemets,comme ci dessus.

[pear]

Bonjour,

 

Je voudrais que vous fassiez une recherche dans le régistre et votre disque système sur "adzgalore"

Sur votre disque,

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

et que vous puisiiez m'indiquer les clés concernant et les chemins .

Je sais que vous le trouverez dans system32, mais aussi probablement ailleurs.