Geckozone

Forums d'assistance et de discussion sur les logiciels produits par Mozilla ou créés à partir des technologies Mozilla. Ce site ne dépend pas de la fondation Mozilla et est maintenu par un collectif de bénévoles.
https://forums.mozfr.org/

[Résolu] Yoog search

https://forums.mozfr.org/viewtopic.php?t=71488

Page 1 sur 1

[Résolu] Yoog search

Publié : 08 déc. 2008, 18:15
par Fill
Bonjour,

J'ignore s'il s'agit d'une vulnérabilité exploitée, mais ce moteur de recherche semble s'incruster dans firefox, et par ricochet, semble également avoir des répercussions sur IE.

Je traîte un cas résistant ici : http://forum.pcastuces.com/sujet.asp?f=25&s=44819

Le moteur Yoog se relance à chaque fois.
L'analyse réalisée montre ceci :
< FireFox Settings [Default Profile] > -> C:\Documents and Settings\José.BANJO83\Application Data\Mozilla\FireFox\Profiles\ua3dij2r.default\prefs.js ->
browser.search.defaultenginename -> "Web Search" ->
browser.search.defaulturl -> "http://search.conduit.com/ResultsExt.as ... ource=3&q=" ->
browser.search.selectedEngine -> "Yoog Search" ->
browser.startup.homepage -> "http://google.fr" ->
browser.startup.homepage_override.mstone -> "rv:1.9.0.4" ->
extensions.enabledItems -> fr-FR@dictionaries.addons.mozilla.org:2.0 ->
extensions.enabledItems -> {ecdee021-0d17-467f-a1ff-c7a115230949}:1.5.43.0 ->
extensions.enabledItems -> {3112ca9c-de6d-4884-a869-9855de68056c}:3.1.20081127W ->
extensions.enabledItems -> {7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}:5.0.1.2 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05 ->
extensions.enabledItems -> {27A2FD41-CB23-4518-AB5C-C25BAFFDE531}:1.4.1 ->
extensions.enabledItems -> turntoolviewer@turntool.com:2.9.5.5 ->
extensions.enabledItems -> {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.6.11 ->
extensions.enabledItems -> {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.4 ->
Une recherche dans le registre indique cela :
[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"URL"="http://www3.yoog.com/search.php?q={searchTerms}"

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"DisplayName"="Yoog Search"
J'aimerais connaître votre avis afin de savoir s'il y a une solution. Les cas semblent se multiplier sur différents forum, sans solution apparemment.

La suppression de firefox et du profile, suivies d'une ré-installation ne semblent pas non plus apporter la solution attendue.

Merci.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 08 déc. 2008, 18:27
par asap29
Salut
peut etre une piste ici
http://www.commentcamarche.net/forum/af ... oog-search

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 08 déc. 2008, 18:33
par Fill
Bonjour,

Et merci pour la réponse. Les posts 8 et 9 montrent toutefois que l'outil n'a pas été efficace. Même problème qui perdure sur le forum zebulon après passage de cet outil.

L'infection semble se greffer dans les extensions et plugins.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 08 déc. 2008, 18:40
par jpj
Bonjour,

Question déjà posée mais sans réponse. Qu'as-tu fais ou surtout installé juste avant l'apparition de cette ... ? Et à partir de quel site ?

Publié : 08 déc. 2008, 18:49
par Fill
Bonjour,

Ce n'est pas moi qui suis touché par cela. Je porte assistance sur le forum pca à quelqu'un qui est touché par cela.

Je vais lui demander ces précisions.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 08 déc. 2008, 19:13
par jpj
Ah, oui ! Pardon, je n'avais pas regardé attentivement ton fil sur PCAstuces.

Et ben, si les "helpers décontamination" viennent chercher de l'aide sur Geckozone, on est mal barré. :mrgreen:

Je suppose que vous avez déjà vérifié que ce n'est pas un service planqué "pseudo-rootkit".

Peut-être une piste pour l'origine de cette saleté : http://extensions.geckozone.org/Conduit mais cela ne donne ni la barre coupable, ni le site de téléchargement. La seule chose qui soit certaine, c'est qu'il y a un programme ou un service derrière qui réinstalle ce truc. Sinon, les procédures normales de désinstallation d'une barre suffiraient.

Publié : 08 déc. 2008, 19:32
par Jim
Bonjour,

Peut-âtre s'agit il du nouveau truc se propageant spécialement via Firefox?
Voir ICI et ICI

Tenez nous au courant du déroulement de l'affaire...

Nous de notre coté on continuera à conseiller Linux :)

Publié : 08 déc. 2008, 19:54
par Fill
Re,

@jpj : Oui, côté infection, on a passé au peigne fin. Mais en effet, quelque chose de bien caché relance Yoog.

@Jim : Oui, ça semble concerner firefox, exploitant (peut-être ?) une faille. On n'en sait pas beaucoup plus.
Les liens que tu donnes, je les avais déjà lus. Ca donne peut-être des idées nouvelles à des pirates et un angle d'attaque différent des infections habituelles. Firefox, victime de son succès mérité, est plus visé.

Je vous tiens au courant pour la suite, mais j'ai appris que Saclès intervenait déjà dans un sujet analogue ici. Il est peut-être inutile de disperser les recherches.

Merci.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 12 déc. 2008, 08:48
par Fill
Bonjour,

Les 2 cas ont été réglés (sur Zeb' et pour moi sur pca).
Dans le sujet que j'ai traîté, l'infection modifiait ceci :

1/
FireFox Settings [Default Profile] > -> C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\xxx.default\prefs.js
browser.search.defaultenginename -> "Web Search"
browser.search.selectedEngine -> "Yoog Search"
2/
[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"URL"="http://www3.yoog.com/search.php?q={searchTerms}"

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"DisplayName"="Yoog Search"
3/
C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll
%SystemRoot%\System32\cont_adzgalore-remove.exe
4/ Ajout probable du moteur Yoog dans ce dossier, mais je n'ai pas pu le vérifier, la suppression ayant pu se faire sans problème via l'interface de firefox après la suppression des éléments précédents :
C:\Program files\Mozilla Firefox\searchplugins
5/ Il faut aussi surveiller ce dossier et vérifier si des plugins non légitimes ne sont pas rajoutés :
C:\Program files\Mozilla Firefox\plugins
Bonne journée !

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Publié : 12 déc. 2008, 11:20
par jpj
Bravo. Quel combat !

Et on ne sait toujours pas comment arrive cette m... Je n'ai pas regardé en détail mais j'ai vu du P2P sur Zebulon et du keygen et du crack chez toi. Et ensuite, on s'étonne... :roll:

Apparemment, mais, encore une fois, je n'ai pas tout lu, ta désinfection a été moins destructrice pour Firefox que sur Zebulon. Espérons que vous trouviez plus d'informations sur ce nuisible et que vous puissiez mettre au point une procédure de désinfection.

As-tu pu voir si les clés de la BDR servaient pour Firefox ou si IE était aussi contaminé ? D'après ta citation, elles ne seraient que pour IE ("\Software\Microsoft\Internet Explorer\").

En tout cas, merci du retour.

On t'enverra du monde. :mrgreen:

Publié : 12 déc. 2008, 12:16
par Fill
Salut,

Pour l'origine de l'infection, on ne sait pas très bien. Sûr que p2p et cracks ne doivent pas améliorer les choses :shock:
Apparemment, mais, encore une fois, je n'ai pas tout lu, ta désinfection a été moins destructrice pour Firefox que sur Zebulon.
Je n'ai en effet pas eu à supprimer firefox pour réinstaller. Je pense que la dll relançait à chaque fois l'infection, dès le redémarrage de firefox.
Néanmoins, la méthode employée sur zeb' est à retenir au cas où l'autre ne fonctionnerait pas.
As-tu pu voir si les clés de la BDR servaient pour Firefox ou si IE était aussi contaminé ? D'après ta citation, elles ne seraient que pour IE ("\Software\Microsoft\Internet Explorer\").
A priori, l'infection touche firefox, mais cela a des répercutions sur IE (habituellement, c'est le contraire :lol: ...).

Par contre, quand on nettoie le profil et les éléments infectieux de firefox, l'infection ne touche plus IE. D'ailleurs, le nettoyage des clés n'a pas fonctionné car elles n'existaient déjà plus :
D'après ce lien : http://forum.pcastuces.com/sujet.asp?pa ... ID=3096968
Failed: RegDelFromValue HKUS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}|URL|http://www3.yoog.com/search.php?q={searchTerms} (key not found)
Failed: RegDelFromValue HKUS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}|DisplayName|Yoog Search (key not found)
Bonne journée !

Fill



Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
Fuseau horaire sur UTC+02:00
Page 1 sur 1

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru