Spyware Mediatickets

Voila j’ai passé un scan avec Panda en ligne,et il m’a détecté ça :

Incident :Adware:Adware/MediaTickets

                                                                  Statut :No Désinfecté

Analyse : Registre Windows


Aparemment il a été trouvé dans le registre Windows.

J’ai passé AVG,Panda,Spybot,Ad Aware,Reg Cleaner etc etc …J’ai vidé le cache d’internet explorer,il est toujours là …:fou: Comment faire ??Je ne le vois même pas !!

J’ai besoin d’aide,il est vraiment vicieux ce spyware,et ce qui me rend dingue,c’est que c’est seulement Panda activeScan en ligne qui le détexte !!!

J’ai même dl PAnda Titanium,j’ai passé un scanne du registre,et il ne m’a rien trouvé …

Attaquants–>Media Tickets
http://assiste.free.fr/p/frameset/12.php

Il est situé où exactement par Panda?

fait un log Hijackthis
http://www.spywareinfo.com/~merijn/

  • Le mettre dans 1 dossier ex: C:\HijackThis
  • Le lancer -> Scan -> Save log
  • Récupérer ce log/texte avec le bloc-notes.
  • Le copier/coller ici <-- si tu veux :slight_smile:

peut être encore un activX dans les lignes 016 de l’hijack…

Ca m’a l’air tendu de réaliser un log Hijackthis,vu que c’est en Anglais la tache n’est pas simple.Tu peux m’expliquer dans les grandes lignes svp ?

Merci beaucoup de ton aide

Pour Panda,il le détecte dans le registre Windows,c’est la seule information

:stuck_out_tongue:

microsoftantispywares normalement devra résoudre le problème :wink:

+++

tu peux toujours le rechercher dans la base de registre avec précautions d’usage = sauvegarde du registre et suivre les conseils d’Assiste

un log hijack (screenshot)


http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

voir aussi -->Hjck 1.99.1

Logfile of HijackThis v1.99.1
Scan saved at 19:47:07, on 04/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\PROGRA~1\HIJACK~1\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [OemReset] %systemroot%\OPTIONS\OEMRESET.EXE /AUDIT
O4 - HKLM…\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM…\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM…\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM…\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM…\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4438/mcfscan.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Je compte sur toi maintenant :smiley:

c’est clean - y’a rien qui apparait, même pas un modeste activX en 016 :frowning:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)<-- après recherche il apparait que c’est lié à : O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 <–adresse invalide à fixer ou à supprimer dans options internet : onglet Général/Fichiers temporaires/Paramètres/afficher les objets/supprimer cette référence

va falloir que tu fasses une recherche dans la BdR si M$ anti-spys le vire pas

si on en croit ce post - M$ anti-spys ça a l’air compromis…

I’ve got Spybot S&D,ad-aware,spysweeper,microsoft anti spyware, and the little program in Trend PC-cillin. Like on another thread I also did a Pandasoftware scan last night. It said I had spyware “Mediatickets” but nothing else picks it up. I even looked through the registry for its taces and found nothing. Today ran it again it added ISTbar but nothing else finds it. I had a froend run panda and his also came up with “Mediatickets” also found in the registry.
http://forums.techguy.org/archive/t-334844.html

J’ai pas compris ton dernier post …

Sinon j’ai installé cet après-midi le fameux anti spy de MS,et il ne m’a pas trouvé ce MediaTickets …

le posteur du forum est en au même point que toi malgré l’utilisation d’une foultitude d’outils y compris M$ anti-spywares (je n’en doutais pas d’ailleurs…) :smiley:

petite remarque personnelle : chaque fois qu’un antivirus se mêle d’un spyware ça fiche le boxon, le spy devient introuvable [:merlot]

retourne sur Assiste et teste tous les logiciels préconisés (châpitre : Eradication automatique) et bonne chance :slight_smile:

:stuck_out_tongue: re
dsl pour mon post, je cru l’avoir déjà vu cette petite merd et que microsoftanti…aller voilà

si ca peu aider : http://securityresponse.symantec.com/avcenter/venc/data/adware.cdt.html

http://www.commentcamarche.net/forum/affich-1318028-virus-please-help

Regarde ce lien,la victime a eu le même problème que moi,l’autre forumeur lui a dit de vider le cache,j’ai tenté de le faire,mais windows m’a mis que si j’enlevais tel fichier,ça provoquerait l’instabilité de certains logiciel.

Par contre je peux garder ce fichier-là,et virer tout le reste.

Que faire ?Car aparemment il l’a bien viré.Regardez bien leur conversation.

Dommage que ce soit en Anglais :confused:

tu veux dire que ton antivirus te donne ce type de localisation ?
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5[xxxxxxx aléatoire]…
Adware:Adware/MediaTickets

Pinaize,cet antivirus en ligne Panda me rend complètement dingue,je vous explique :

Lorsque je scanne mon pc en choisissant l’option “tout mon ordinateur”,il me trouve le spyware dans le registre windows.

Par contre,lorsque je choisis l’option “Disques Durs” qui scannera tout mon DD donc,à la fin du scanne il me dit qu’AUCUN virus n’a été détecté !!!

Qu’en pensez-vous ?

fait un scan avec Ravantivirus et copie/colle le résultat ici stp @+