Adware.Medload

Version imprimable

Mis à jour : February 13, 2007 11:40:29 AM
Type : Adware
Version : n/a
Editeur : trin
Impact des risques : Medium
Noms de fichiers : medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Systèmes affectés : Windows

Comportement


Adware.Medload est un composant de logiciel publicitaire qui génère des publicités intempestives sur l'ordinateur de l'utilisateur.

Symptômes


Votre programme Symantec détecte Adware.Medload.

Transmission


Ce risque de sécurité peut être installé comme un composant d'un autre programme.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release October 02, 2014 révision 022
  • Dernière version des définitions Rapid Release August 06, 2017 révision 021
  • Version initiale des définitions Daily Certified December 07, 2004
  • Dernière version des définitions Daily Certified August 07, 2017 révision 001
  • Date de la version initiale des définitions Weekly Certified December 08, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Mis à jour : February 13, 2007 11:40:29 AM
Type : Adware
Version : n/a
Editeur : trin
Impact des risques : Medium
Noms de fichiers : medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Systèmes affectés : Windows


Lorsque Adware.Medload s'exécute, il agit ainsi :

  1. Crée les fichiers suivants :

    • %Windir%\medload.exe
    • %Windir%\Downloaded Program Files\mm63.ocx
    • %Windir%\Downloaded Program Files\m67m.ocx
    • %Windir%\seeve.exe
    • %Windir%\unstall.exe
    • %Windir%\ubber60.ini
    • %Windir%\hisistheurls.exe
    • %Windir%\mm63.ocx
    • %Windir%\tempf.txt
    • %Windir%\affbun.txt
    • %Windir%\thin-143-1-x-x.exe
    • %UserProfile%\Desktop\Cartoons and Animations.url
    • %UserProfile%\Desktop\Celebrity News.url
    • %UserProfile%\Desktop\free games to win real cash.url
    • %UserProfile%\Desktop\Imgiant Instant Messenger.url
    • %UserProfile%\Desktop\Joystick News.url
    • %UserProfile%\Desktop\Screen Savers.url
    • %Program Files%\joystick networks\setup\celebs.ico
    • %Program Files%\joystick networks\setup\gamesjoy.ico
    • %Program Files%\joystick networks\setup\imgiant.ico
    • %Program Files%\joystick networks\setup\joywar.ico
    • %Program Files%\joystick networks\setup\myurlsagain.exe
    • %Program Files%\joystick networks\setup\news.ico
    • %Program Files%\joystick networks\setup\savers.ico
    • %SystemDrive%\asdf.txt

      Remarques :
      • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
      • %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de
      • C:\Documents and Settings\[UTILISATEUR EN COURS] (Windows NT/2000/XP).
      • %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
      • %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.

  2. Ajoute certaines des valeurs suivantes :

    "loads.exe" = "%Windir%\medload.exe"
    "sixtysix"  = "[chemin vers le fichier d'origine]"
    "popuppers"  = "[chemin vers le fichier d'origine]"
    "popuppers64"  = "[chemin vers le fichier d'origine]"
    "seeve.exe"  = "[chemin vers le fichier d'origine]"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que le logiciel publicitaire s'exécute au démarrage.

  3. Ajoute les valeurs :

    "[par défaut]" = "%WINDOWS%\system32\objsafe.tlb"
    "[par défaut]" = "%WINDOWS%\Downloaded Program Files\m67m.ocx"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

  4. Ajoute la valeur :

    "media-motor" = "%Windir%\unstall.exe"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  5. Ajoute les valeurs :

    "%ProgramFiles%\joystick networks\setup" =
    "%ProgramFiles%\joystick networks\setup"
    "%UserProfile%\Desktop" =
    "%UserProfile%\Desktop"

    à la sous-clé de registre :

    HKEY_CURRENT_USER\Software\WinRAR SFX
  6. Crée certaines des sous-clés de registre suivantes :

    HKEY_CLASSES_ROOT\CLSID\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_CLASSES_ROOT\CLSID\{E0CE16CB-741C-4B24-8D04-A817856E07F4}
    HKEY_CLASSES_ROOT\Interface\{3E4BCF50-865B-4EF4-A0BC-BF57229EA525}
    HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}
    HKEY_CLASSES_ROOT\Interface\{674A6BD5-317A-49CF-9647-1E085E660CE0}
    HKEY_CLASSES_ROOT\Interface\{9F61CFDF-5C79-4D35-B4DA-766B28367223}
    HKEY_CLASSES_ROOT\Interface\{AD29366C-63AA-4FF3-944F-91AD7193BCA2}
    HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}
    HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB}
    HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388}
    HKEY_CLASSES_ROOT\TypeLib\{78A163D2-2358-464D-807B-0E2A078C7727}
    HKEY_CLASSES_ROOT\TypeLib\{466C63AC-F26E-49F1-861A-E07DA768A46A}
    HKEY_CLASSES_ROOT\IObjSafety.DemoCtl
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units
    \{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\media-motor
    HKEY_LOCAL_MACHINE\SOFTWARE\mm
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\popuppers.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage
    \C:/WINDOWS/Downloaded Program Files/m67m.ocx
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/objsafe.tlb

  7. Ouvre une fenêtre d'Internet Explorer affichant l'URL suivante :

    [http://]www.popuppers.com/[SUPPRIMÉ]/popsn16.php?firstd=[paramètre]&aff=[paramètre]&c=[paramètre]

    qui peut rediriger le navigateur vers les publicités :
  8. Peut installer Adware.180Search, Adware.BetterInternet and Adware.PopUppers.


Mis à jour : February 13, 2007 11:40:29 AM
Type : Adware
Version : n/a
Editeur : trin
Impact des risques : Medium
Noms de fichiers : medload.exe medload3.exe mm63.ocx mm67.ocx mm81.ocx seeve.exe newpop446.exe newpop63.ex
Systèmes affectés : Windows



Les instructions suivantes sont valables pour tous les derniers produits antivirus de Symantec, y compris les gammes de produits Symantec AntiVirus et Norton AntiVirus.
  1. Actualiser les définitions de virus.
  2. Exécuter une analyse complète du système.
  3. Supprimer toute valeur ajoutée au Registre.
Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.


2. Pour exécuter l'analyse
  1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
  2. Si des fichiers sont détectés et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :

    Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
    • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.
    • Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.
    • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.

      Pour supprimer véritablement le risque de sécurité :
      • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez le reste des instructions mentionnées sur cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.
    • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
      • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
      • Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez le reste des instructions mentionnées sur cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.
Important : Si vous ne parvenez pas à lancer votre produit antivirus Symantec ou si le produit signale qu’il ne peut supprimer un fichier détecté, vous devrez peut-être empêcher l’exécution du risque afin de le supprimer. Pour cela, exécutez l'analyse en mode sans échec. Pour obtenir des instructions, consultez le document intitulé Comment démarrer l'ordinateur en mode sans échec . Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque le risque n'est peut-être pas encore totalement supprimé. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Objet : [CHEMIN D'ACCÈS DU FICHIER]
Corps du message : Windows cannot find [NOM DU FICHIER]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.


3. Pour supprimer les valeurs du registre

Important :
Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document Comment faire une copie de sauvegarde du Registre de Windows.
  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez regedit

    Puis cliquez sur OK.

  3. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Dans le volet de droite, supprimez les valeurs :

    "loads.exe" = "%Windir%\medload.exe"
    "sixtysix"  = "[chemin vers le fichier d'origine]"
    "popuppers"  = "[chemin vers le fichier d'origine]"
    "popuppers64"  = "[chemin vers le fichier d'origine]"
    "seeve.exe"  = "[chemin vers le fichier d'origine]"

  5. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs

  6. Dans le volet de droite, supprimez les valeurs :

    "[par défaut]" = "%WINDOWS%\system32\objsafe.tlb"
    "[par défaut]" = "%WINDOWS%\Downloaded Program Files\m67m.ocx"

  7. Accédez à la sous-clé :

    HKEY_CURRENT_USER\Software\WinRAR SFX\

  8. Dans le volet de droite, supprimez les valeurs :

    "%ProgramFiles%\joystick networks\setup" = "%ProgramFiles%\joystick networks\setup"
    "%UserProfile%\Desktop" = "UserProfile%\Desktop"
  9. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  10. Dans le volet de droite, supprimez la valeur :

    "media-motor" = "%Windir%\unstall.exe"
  11. Naviguez vers ces clés et supprimez-les :

    HKEY_CLASSES_ROOT\CLSID\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_CLASSES_ROOT\CLSID\{E0CE16CB-741C-4B24-8D04-A817856E07F4}
    HKEY_CLASSES_ROOT\Interface\{3E4BCF50-865B-4EF4-A0BC-BF57229EA525}
    HKEY_CLASSES_ROOT\Interface\{5F08A37A-11BB-4FCE-9AE4-21897CABAA7E}
    HKEY_CLASSES_ROOT\Interface\{64A5BD22-8D8A-4193-9CF8-7DB5212ABB17}
    HKEY_CLASSES_ROOT\Interface\{674A6BD5-317A-49CF-9647-1E085E660CE0}
    HKEY_CLASSES_ROOT\Interface\{79D6F884-C4C3-4CC8-9430-D8C17B47FF0E}
    HKEY_CLASSES_ROOT\Interface\{9F61CFDF-5C79-4D35-B4DA-766B28367223}
    HKEY_CLASSES_ROOT\Interface\{AD29366C-63AA-4FF3-944F-91AD7193BCA2}
    HKEY_CLASSES_ROOT\Interface\{E832FFDE-8ED2-47B7-BE50-729A238040A0}
    HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB}
    HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388}
    HKEY_CLASSES_ROOT\TypeLib\{78A163D2-2358-464D-807B-0E2A078C7727}
    HKEY_CLASSES_ROOT\TypeLib\{466C63AC-F26E-49F1-861A-E07DA768A46A}
    HKEY_CLASSES_ROOT\IObjSafety.DemoCtl
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\
    Distribution Units\{7149E79C-DC19-4C5E-A53C-A54DDF75EEE9}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Uninstall\media-motor
    HKEY_LOCAL_MACHINE\SOFTWARE\mm
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Domains\media-motor.net
    HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
    Internet Settings\ZoneMap\Domains\popuppers.com
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ModuleUsage\C:/WINDOWS/Downloaded Program Files/m67m.ocx
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ModuleUsage\C:/WINDOWS/system32/objsafe.tlb

  12. Quittez l’Editeur du Registre.