Yoog_Fix / Enfin la suppression !

[Batch_Man]

Bonjour à tous !

J'ai une très bonne nouvelle à vous annoncer et une moins bonne

J'ai fini de coder Yoog_Fix autant sous Vista que sous XP, donc de ce coté c'est génial !

La mauvaise: ce n'est plus le même lien de téléchargement car son extension devient .exe

Il supprime donc l'infection Yoog Search, l'option 2 n'est à utiliser qu'avec l'analyse de l'option 1 ET avec l'avis d'un helpeur QUALIFIE.

Voici les canned ( Les même pour Vista et XP, c'est pas génial ):

------\\ Option 1

Télécharge Yoog_Fix de Batch_Man sur ton Bureau.

Double-clique dessus et choisis l'option 1 ( Recherche )

Attend que le scan se fasse, un rapport va s'ouvrir.

Poste le dans ta prochaine réponse.

PS: S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt

Code : Tout sélectionner

Télécharge [url=http://batchdhelus.open-web.fr/programme/Yoog_Fix.exe]Yoog_Fix[/url] de Batch_Man sur ton Bureau.

Double-clique dessus et choisis l'option 1 ( Recherche )

Attend que le scan se fasse, un rapport va s'ouvrir.

Poste le dans ta prochaine réponse.

PS: S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt

------\\ Option 2

Relance Yoog_Fix de Batch_Man et choisis l'option 2 ( Suppression )

Attend que la suppression se finisse.

Ensuite appuis sur une touche, un rapport s'ouvre.

Poste-le dans ta prochaine réponse.

PS: S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt

--------------------------------------------------------------------------------------------------------------------

J'attend toutes critiques constructives, bugs ou problèmes.

Cordialement.

Batch_Man

[angelique]

on , je testerai si du Yoog dans un rapport

THX \o_

[Batch_Man]

Nous pouvons utiliser l'option 1 pour une analyse plus approfondie des navigateurs Firefox et IE.
Batch_Man

[Jackocotte]

Bonjour, une personne infecté de YoogSarch sur un autre forum, je lui donne la manip rcherche 1 qui donne

Yoog_Fix 2.02 de Batch_Man
Debut a 13:58 le 19/04/2009
Microsoft Windows XP Home Edition (5.1.2600) Service Pack 3
Internet Explorer 7.0.5730.11
Mozilla Firefox 3.0.8 (fr)
ALWIL Software 4.8.1335 (Activated)
Check Point, LTD. 7.0.462.000 (Activated)

A:\ [Removable] (Total:0 Mo/Free:0 Mo)
C:\ [Fixed] - FAT32 - (Total:32474 Mo/Free:1102 Mo)
D:\ [Fixed] - NTFS - (Total:40962 Mo/Free:1887 Mo)
E:\ [Fixed] - NTFS - (Total:43770 Mo/Free:3343 Mo)
F:\ [CD-Rom] (Total:72 Mo/Free:0 Mo)

Option [1] 2 Recherche

+---------------\\ Processus cachés/bloqués

1220 -Locked- VSMON.EXE
2012 -Locked- zlclient.exe

+---------------\\ Recherche

----------\\ Recherche de fichiers


----------\\ Recherche dans prefs.js

prefs.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.defaultenginename", "Yoog Search");
prefs.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.defaulturl", "http://www15.yoog.com/search.php?q=");
prefs.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.selectedEngine", "Yoog Search");
prefs.js [Kelloggse - uoz1ejat.default] user_pref("keyword.URL", "http://www15.yoog.com/search.php?q=");

user.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.defaultenginename", "Yoog Search");
user.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.defaulturl", "http://www15.yoog.com/search.php?q=");
user.js [Kelloggse - uoz1ejat.default] user_pref("browser.search.selectedEngine", "Yoog Search");
user.js [Kelloggse - uoz1ejat.default] user_pref("keyword.URL", "http://www15.yoog.com/search.php?q=");

----------\\ Recherche dans le registre

[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @DisplayName=Yoog Search
[HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @DisplayName=Yoog Search

----------\\ Infections associées possibles


----------\\ Suspects ( PAS FORCEMENT INFECTIEUX )


+---> Registre


+---> Fichiers



+---------------\\Analyse complémentaire

+---------\\ Tâches planifiées

C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-854245398-261903793-725345543-1005.job
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

----------\\ Analyse de Firefox

[C:\Documents and Settings\Fabien\..\prefs.js] browser.search.selectedEngine: GoogleCOM
[C:\Documents and Settings\Kelloggse\..\prefs.js] browser.search.selectedEngine: Yoog Search
[C:\Documents and Settings\Kelloggse\..\prefs.js] browser.search.defaultenginename: Yoog Search

----------\\ Extensions Firefox

[User: LocalService (tq1ty9ef.default)] - E:\fire fox\extensions\{42EE029C-1CB5-484B-9089-A61FE42FBA36}
[User: LocalService (tq1ty9ef.default)] - C:\Program Files\Real\RealPlayer\browserrecord
[User: LocalService (tq1ty9ef.default)] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
[User: LocalService (tq1ty9ef.default)] - E:\fire fox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[User: Fabien (kpa0laci.default)] - C:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\kpa0laci.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}
[User: Fabien (kpa0laci.default)] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
[User: Fabien (kpa0laci.default)] - E:\fire fox\extensions\{42EE029C-1CB5-484B-9089-A61FE42FBA36}
[User: Fabien (kpa0laci.default)] - C:\Program Files\Real\RealPlayer\browserrecord
[User: Fabien (kpa0laci.default)] - C:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\kpa0laci.default\extensions\[email protected]
[User: Fabien (kpa0laci.default)] - E:\fire fox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[User: Kelloggse (uoz1ejat.default)] - C:\Documents and Settings\Kelloggse\Application Data\Mozilla\Firefox\Profiles\uoz1ejat.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[User: Kelloggse (uoz1ejat.default)] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
[User: Kelloggse (uoz1ejat.default)] - E:\fire fox\extensions\{42EE029C-1CB5-484B-9089-A61FE42FBA36}
[User: Kelloggse (uoz1ejat.default)] - C:\Documents and Settings\Kelloggse\Application Data\Mozilla\Firefox\Profiles\uoz1ejat.default\extensions\{e3868d2c-9a68-4c4a-87f2-4e9d78fd16ee}
[User: Kelloggse (uoz1ejat.default)] - C:\Program Files\Real\RealPlayer\browserrecord
[User: Kelloggse (uoz1ejat.default)] - E:\fire fox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

----------\\ Plugins de recherche

[User: Fabien (kpa0laci.default)] - C:\Documents and Settings\..\searchplugins\deezercom.xml: Deezer.com - http://deezer.com/index.php

----------\\ Listing de dossiers


----------\\ Analyse d'Internet Explorer

HKEY_CURRENT_USER\..\Internet Explorer,Start Page: http://go.microsoft.com/fwlink/?LinkId=69157
HKEY_CURRENT_USER\..\Internet Explorer,Search Page: http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_LOCAL_MACHINE\..\Internet Explorer,Search Page: http://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\..\Internet Explorer,Start Page: http://go.microsoft.com/fwlink/?LinkId=69157
HKEY_LOCAL_MACHINE\..\Internet Explorer,Default_Search_URL: http://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\..\Internet Explorer,CustomizeSearch: http://ie.search.msn.com/{SUB_RFC1766}/ ... chcust.htm
HKEY_LOCAL_MACHINE\..\Internet Explorer,SearchAssistant: http://ie.search.msn.com/{SUB_RFC1766}/ ... chasst.htm

----------\\ Browser Helper Object

BHO: {22BF413B-C6D2-4d91-82A9-A0F997BA588C},@SANS NOM=Skype add-on (mastermind)
BHO: {ccec60fc-2608-4e58-9659-3ffc159e8ea9},@SANS NOM=SHOUTcast Loader

----------\\ SearchScopes

[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes],@DefaultScope={40439b93-f815-4122-8073-d03bed94c303}
[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=Yoog Search
[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}],@DisplayName=Winamp Web Search
[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes\{6B1E8402-11A1-4A54-85EB-163BD6041081}],@[email protected],-12512
[HKEY_USERS\S-1-5-21-854245398-261903793-725345543-1007\..\SearchScopes\{B0F4CF12-0238-4EB7-9462-CEEE98188511}],@DisplayName=Google
[HKCU\..\SearchScopes],@DefaultScope={40439b93-f815-4122-8073-d03bed94c303}
[HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=Yoog Search
[HKCU\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}],@DisplayName=Winamp Web Search
[HKCU\..\SearchScopes\{6B1E8402-11A1-4A54-85EB-163BD6041081}],@[email protected],-12512
[HKCU\..\SearchScopes\{B0F4CF12-0238-4EB7-9462-CEEE98188511}],@DisplayName=Google
[HKLM\..\SearchScopes],@DefaultScope={40439b93-f815-4122-8073-d03bed94c303}
[HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@[email protected],-12512
[HKLM\..\SearchScopes\{40439b93-f815-4122-8073-d03bed94c303}],@DisplayName=Winamp Web Search

----------\\ Extensions

@xpsp3res.dll,-20001 : %windir%\Network Diagnostic\xpnetdiag.exe - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16}
Windows Messenger: C:\Program Files\Messenger\msmsgs.exe - {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

+--------------- Fin à 14h 00min

====================

Rapport Suppression

Yoog_Fix 2.02 de Batch_Man Debut a 14:10 le 19/04/2009 Microsoft Windows XP Home Edition (5.1.2600) Service Pack 3 Internet Explorer 7.0.5730.11 Mozilla Firefox 3.0.8 (fr) ALWIL Software 4.8.1335 (Activated) Check Point, LTD. 7.0.462.000 (Activated) A:\ [Removable] (Total:0 Mo/Free:0 Mo) C:\ [Fixed] - FAT32 - (Total:32474 Mo/Free:1083 Mo) D:\ [Fixed] - NTFS - (Total:40962 Mo/Free:1887 Mo) E:\ [Fixed] - NTFS - (Total:43770 Mo/Free:3343 Mo) F:\ [CD-Rom] (Total:72 Mo/Free:0 Mo) Option 1 [2] Suppression +---------------\\ Suppression ----------\\ Suppression dans de fichiers ----------\\ Suppression dans prefs.js et user.js ----------\\ Suppression dans le registre ----------\\ Fichiers temporaire

============

Je précise que la personne a des problemes de blocnote donc les probleme de mise an lignes ne sont pas en rapports ar contre j'ail'impression qu'aucune suppression n'a été efectuée

Merci

[angelique]

bahh! si tu commences à ramener des sujets d'autres Forums ici .......

[Jackocotte]

Je signale juste un problème possible dans l'utilitaire, car si y'a bug, il serait plus utlile une fois reglé

Je supprime si tu le désires

[angelique]

tu regeneres un rapport option 1 et tu vois si y'a des inscriptions Yoog encore dedans.

[MultiUser]

Salut,

belle initiative, je l'essayerai si l'infection se présente

Sinon un retour d'expérience ... çà peut toujours être utile pour le DEV ...

Bonne journée

[Batch_Man]

Bonjour,

Oui passer l'option 1 de nouveau pour voir les traces, merci du feedback.

Merci à vous.

[angelique]

ahahaha , le joli FP

Virus or unwanted program 'DR/Agent.rjv [dropper]'
detected in file 'C:\Documents and Settings\angelique\Mes documents\logs\Yoog_Fix.exe.
Action performed: Allow access

Uploadé à avira ...

Suspicious Files and Miscellaneous Uploads

Thank you for your submission. Below you can see the current status of the uploaded files.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25331166 Yoog_Fix.exe 43.5 KB UNDER ANALYSIS


Please find a detailed report concerning each individual sample below:
Filename Result
Yoog_Fix.exe UNDER ANALYSIS

The file 'Yoog_Fix.exe' has been determined to be 'UNDER ANALYSIS'.

[angelique]

\o/

Thank you for your email to Avira's virus lab.
Tracking number: INC00301695.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25331166 Yoog_Fix.exe 43.5 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:
Filename Result
Yoog_Fix.exe FALSE POSITIVE

The file 'Yoog_Fix.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.

Ur Welcoume \o_

[MultiUser]

Salut,

LOL ... bien vu Angélique

Bonne journée

[Batch_Man]

mdr, ben oui faux positif

Merci au moins ce FP chez avira est DELETED ! ;)

[angelique]

Merci au moins ce FP chez avira est DELETED ! ;)

ah il est ailleurs ?

[Batch_Man]

Je n'en sais rien mais j'espère pas