Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

{Résolu}un moteur de recherche inconnu sur firefox - Yoog Search

desdemona

Par desdemona
dans Analyses et éradication malwares

 Partager

Messages recommandés

desdemona Power Member

desdemona

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

Je viens de faire la manip avec reg.bat mais pas moyen le rapport qui s'ouvre et toujours vide.. j'ai essayé avec le nom complet mais aussi sans le numéro de la fin. Je vous le copie ci dessous

 

Display name HKEY_USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Internet Explorer\SearchScopes\{7CF2267D-3C44-45BE-A5AA-93307CBC05A19}

 

Et ci dessous les infos contenu dans la partie droite de l'écran Registry Explorer

Nom Propriétaire Valeur

Par défaut Valeur non déterminée

Display name Marie Christine Duny Yoog Search

Url Marie Christine Duny http://www3.yoog.com/search.php?q={searchTerms}

 

Je vais faire votre dernier post... parce que pour l'instant la manip avec Combofix me fait un peu peur et me parait trés trés compliqué. Mais si vraiment nécessaire je m'y mettrais à un moment où j'aurais un peu plus de temps!

 

Merci

desdemona Power Member

desdemona

Posté(e)
  • Auteur
Posté(e)

Alors avec l'assistant de recherche des dossiers-fichiers..etc de windows en cochant les options avanées de tous les dossiers meme les cachés j'ai trouvé :

 

cont_adzgalore-remove.exe C:\WINDOWS\system32 53 Ko Application

nsadzgalore.dll C:\Program Files\Mozilla Firefox\components 625 Ko Extension de l'application

 

 

Et avec le logiciel Vilma j'ai trouvé :

 

Nom

000 HKEY-USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Search Assistant\ACMru\5603

000 HKEY-USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Search Assistant\ACMru\5604

find0 HKEY-USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Vilma\RegExp\Search

cont_adzgalore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\cont_adzgalore

DisplayName HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_adzgalore

UninstallString HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_adzgalore

cont_adzgalore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_adzgalore

 

Est ce que c'est bien ça qu'il fallait que je fasse pour trouver les dossiers dans C??

pear Devil Member !

pear

Posté(e)
Posté(e)

On passe à l'attaque, prudemment!

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

C:\WINDOWS\system32\cont_adzgalore-remove.exe

:Services

 

:Files

C:\WINDOWS\system32\drivers\a8p526sc.sys

C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll

C:\WINDOWS\system32\cont_adzgalore-remove.exe

C:\Program Files\Messenger Plus! Live\Scripts\BlockPrank\BlockPrank.js

:Reg

[HKEY_USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Internet Explorer\SearchScopes]

"{7CF2267D-3C44-45BE-A5AA-93307CBC05A19}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\cont_adzgalore]

 

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

et dites moi, s'il est encore là.

desdemona Power Member

desdemona

Posté(e)
  • Auteur
Posté(e)

Hélas oui toujours là!!!

Voilà le résultat OTmoveIt

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

Unable to kill process: C:\WINDOWS\system32\cont_adzgalore-remove.exe

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder C:\WINDOWS\system32\drivers\a8p526sc.sys not found.

DllUnregisterServer procedure not found in C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll

C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll NOT unregistered.

C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll moved successfully.

C:\WINDOWS\system32\cont_adzgalore-remove.exe moved successfully.

C:\Program Files\Messenger Plus! Live\Scripts\BlockPrank\BlockPrank.js moved successfully.

========== REGISTRY ==========

Registry value HKEY_USERS\S-1-5-21-427403600-254994093-1133982494-1007\Software\Microsoft\Internet Explorer\SearchScopes\\{7CF2267D-3C44-45BE-A5AA-93307CBC05A19} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7CF2267D-3C44-45BE-A5AA-93307CBC05A19}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\cont_adzgalore\\ deleted successfully.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\etilqs_dzfUmxaSSHK0jePqQfUN scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\~DF95A7.tmp scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\~DF960C.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\z9s85brb.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12092008_142626

 

Files moved on Reboot...

File C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\etilqs_dzfUmxaSSHK0jePqQfUN not found!

File C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\~DF95A7.tmp not found!

File C:\DOCUME~1\MARIEC~1\LOCALS~1\Temp\~DF960C.tmp not found!

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be moved on reboot.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be moved on reboot.

C:\Documents and Settings\Marie Christine Duny\Local Settings\Application Data\Mozilla\Firefox\Profiles\z9s85brb.default\XUL.mfl moved successfully.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Sauvegardez vos Bookmarks Firefox

C:\Documents and Settings\<nom du compte>\Application Data\Mozilla\Firefox\Profiles\xxxxxx.default

Désinstaller FireFox (via le Panneau de config)

Supprimer e,(en gras)

C:\Program Files\Mozilla FireFox<< répertoire

C:\Documents and Settings\<nom du compte>\Application Data\Mozilla << répertoire

Redémarrez

Réinstallez Firefox

Modifié par pear
pear Devil Member !

pear

Posté(e)
Posté(e)
mais dois je aussi le faire sur la session de mon fils

 

Oui, il ne faut plus de traces sue votre machine de tout ce que vous avez précédemment trouvé.

Dons s'il a du Firefox dans Documents ant Settings\son compte etc...il faut le supprimer de la même façon.

desdemona Power Member

desdemona

Posté(e)
  • Auteur
Posté(e)

:P:P :P

 

Ca y est! Il est parti!!

 

Alors désinstallation comme vous me l'avez dit, puis suppression de toutes les traces dans C (et il y en avait un paquet!!), sur la session de mon fils idem.

 

Puis Redemarrage du Pc et là en ouvrant I.E je trouvais encore Yoog search..

 

Donc clic dans le menu déroulant de la petite barre de recherche en haut à droite et "modifier les paramètres de recherche par défaut". J'ai mis Live search par défaut et j'ai supprimer Yoog search.. Fermé I.E puis reouvrir et.. pouf! plus de yoog search!!.. Parti.. envolé!!

 

Par sécurité ou pour me rassurer j'ai fait un c-cleaner nettoyage et recherches des erreurs. Ensuite un registry First Aid afin d'être sure d'enlever toutes les clefs de registre de l'ancien F.F.

 

Au final je viens de réinstaller Firefox et.. tout va bien.. le moteur Yoog search n'est plus!! Paix à son âme!! :P

 

Merci, Merci Vraiment merci.. que vous dire de plus.. si ce n'est que ce forum est vraiment génial et ses membres encore plus! :P :P

 

 

P.S : Vous faut il encore une manip (Hijack..ou autre)? Puis je enlevé tous les outils que j'ai téléchargé et que pensez vous de garder Superantispyware à la place de AVGantispyware (il me parait bien meilleur)

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
Ca y est! Il est parti!!

 

Vous me voyez ravi. :P

 

Compte tenu de l'importance de ce sujet, je vous demande d'éditer votre 1°message et d'y indiquer , en tête, Résolu.

Cela pourra servir à d'autres

 

que pensez vous de garder Superantispyware à la place de AVGantispyware (il me parait bien meilleur)

Vous pouvez garder les 2, à la seule condition qu'un seul soit actif en arrière plan.

Mais vous pouvez très bien les utiliser l'un après l'autre (après désactivation du premier) pour une recherche plus approfondie.

 

Puis je enlevé tous les outils que j'ai téléchargé

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Modifié par pear
desdemona Power Member

desdemona

Posté(e)
  • Auteur
Posté(e)

OK Nettoyage effectué!

 

Encore une petite question d'aprés l'hijack que j'avais fait au début voyez vous des services au démarrage que je pourrez enlever afin que mon pc soit un peu plus réactif au démarrage. Si oui comment dois je faire? Mais peut etre ne suis je pas dans la bonne section du forum pour cette question!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...