Ver Mabezat

Résolu/Fermé
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 - 17 mars 2009 à 10:22
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 19 mars 2009 à 00:54
Bonjour,
Le Résident Antivir (free) Guard a détecté le pattern du ver Mabezat.B.91 dans Program Files\Microsoft\Works\WkDStore.exe
J'ai cliqué sur OK pour "Deny access"
Étant donné que plusieurs topics sur cette infection spécifique ont été enregistrés dans V/S vers la même heure ce lundi, je viens de ré-effectuer, vers minuit, un scan Antivir sur ce fichier spécifique WkDStore.exe et, comme le ver y a de nouveau été détecté, j'ai mis WkDStore.exe en quarantaine.
J'ai repassé un scan sur tout l'ordi et plus rien n'a été détecté, ni par Antivir, ni par Malwarebytes mis à jour.
J'ai aussi passé un coup de CCleaner qui m'a alerté au niveau de clés de registre, ne trouvant plus leur programme associé (ou quelque chose du genre) : j'ai éliminé...

1. Je me demande s'il n'y a pas d'autres actions à entreprendre pour éradiquer la bête.
2. Que faire pour réinstaller le programme WkDStore.exe intact et what to do au niveau des clés de registre si jamais elles sont associées à ce programme ?
Merci

51 réponses

jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
17 mars 2009 à 12:14
puis pour verifier lance ceci

http://www.softpedia.com/progDownload/Win32-Mabezat-Remover-­Download-105652.html

https://www.softpedia.com/get/Antivirus/Win32-Mabezat-Remover.shtml#download

et colle un rapport antivir pour voir
1
Utilisateur anonyme
17 mars 2009 à 15:01
papy un rsit !!!! papy un rsit !!!! ;)

mais bon c est un fp c est sur
1
Utilisateur anonyme
17 mars 2009 à 16:59
salut :

Favorit-->c:\users\venus\appdata\local\rnjfjf.bat
1
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 17:50
Bonsoir Gene !
Un coup de combofix ? tu me dis où aller le chercher et tu prends le relais ? Je n'ai pas encore fait de Tool Remove et reste dubitatif quant à mon exécutable de 0 bytes :(((
Merci
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
17 mars 2009 à 10:25
slt je pense que tu peux desinstaller WORKS puis le remettre ce qui rétablir tout correctement

puis pour verifier lance ceci

https://www.softpedia.com/get/Antivirus/Win32-Mabezat-Remover.shtml#download
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
17 mars 2009 à 10:26
SAlut,

j'ai eu le même soucis que toi ! ... ;)


c'est sans aucun doute un "Faux Positif" ...

fait analyser ce fichier sur Virus Total > https://www.virustotal.com/gui/

et tu verras qu'il n'y a que McAfee et Antivir qui considère cette exe de Works comme une infection Mabezat ...

En espèrant qu'il rectifie le tire chez Avira ...


++

0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
17 mars 2009 à 10:28
ok
ske69 ! effectivement si tu as eu pareil cela doit etre un faux positif
0
Utilisateur anonyme
17 mars 2009 à 10:30
0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 10:51
Salut à vous deux.
Merci pour ces deux réponses-éclairs !

1. sKe69
S'il s'agissait réellement d'un faux-positif, je me dmande quoi au sujet du diagnostic de CCleaner sur les registres et de l'élimination que j'ai alors effectuée : aller repomper le programme hors de la quarantaine suffira-t-il ???
J'ai quand même un doute sur la qualification de faux-positif, sinon pourquoi le lien fourni par jlpjlp existerait-il... mais tu as peut-être raison.
2. jlpjlp
WORKS était installé d'origine sur le DELL : il y a-t-il une procédure de Téléchargement de cette bête dans CCM et la désinstallation proposée, j'imagine, par CCleaner suffit-elle (J'aurais cru que l'installation de WORKS s'occuperait de la désinstallation préalable) ?

Vos deux violons doivent-ils s'accorder ? Pas de nouvelle de chez Avira ?
Merci encore. Je m'absente 3H.

PS... Salut gen ! Il y a eu au moins 5 ou 6 alertes sur ce ver reçues par CCM hier vers la même heure !

Papy
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
17 mars 2009 à 10:58
Re,

Il y a eu au moins 5 ou 6 alertes sur ce ver reçues par CCM hier vers la même heure !

d'où un FP ! Tu verras que plus en plus de monde auront le même prb avec Avira ! ...

Mon Pc soit disant infecté , je m'en sert que pour mes Email et venir sur des forums ... quasiment rien d'autre ... personne d'autre n'a accès à mon PC ... Impossible de me faire infecté par ce virus qui ce transmet par support amovible ! ... ^^

Donc je te conseille de restaurer ce fichier et d'ignorer l'alerte ...


++


PS > restaure le fichier et tente l'utilitaire de nettoyage de Mabezat que te donne jlpjlp , tu verras qu'il ne détectera rien ...


0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
17 mars 2009 à 11:07
re,

normal gen ... antivir s'affole dès l'ouverture du dossier où ce trouve le fichier ... ^^ il faut ignorer l'alerte ( voire couper Antivir le temps du scan ) et tu verra que le tool ne trouvera rien ...

( ce ver se transmet aussi lors d'ouverture de pèce jointe infecté ...)


deplus avec cette infection , cela va relativement vite et tu trouves avec d'autres fichiers légitmes infectés très rapidement ! ...






0
Utilisateur anonyme
17 mars 2009 à 12:16
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
17 mars 2009 à 12:36
Re,

en cherchant sur Google , forum Avira ( en allemand ) > https://support.avira.com/hc/en-us/community/topics


traduction du poste 3 > https://support.avira.com/hc/en-us/community/topics#post750644


en gros :

Salut Novize,

merci beaucoup pour la réponse rapide. J'ai envoyé le fichier à des Avira et ai reçu la communication suivante :

Le fichier « 4a024011.vir » a été classé comme « FALSE DE POSITIFS ». Cela signifie que ce fichier n'est pas de notre côté dangereusement et une communication erronée. L'échantillon de reconnaissance sera éliminé avec une des prochaines mises à jour du fichier de définition de virus (VDF). 

De cette façon, devrait-il quand même le problème être réglé, puisqu'il s'agit de fausse alarme ?

mfg
toretto 




ici , 4a024011.vir corresponderait donc à WkDStore.exe



A+


0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 12:46
Me revoici : mon dentiste ne m'a pas encore dévissé la tête !
J'adore cette discussion d'experts ;) J'ai l'impression d'être en salle d'op., le ventre ouvert sur le billard, avec deux chirurgiens masqués de vert qui discutent le coup ;)))
Plus sérieusement (de ma part...) : il n'y a pas péril en la demeure - je n'utilise pas WORKS - mais étant donné la vitesse de propagation de la possible bestiole - probablement mutante au demeurant - je me demande si le plus sûr et le plus simple ne serait pas d'appliquer la proposition de jlpjlp...
Ceci dit, je suis disposé à rappeler WkDStore.exe de la quarantaine et à faire l'un ou l'autre test :( pour confirmer l'hypothèse.
Du côté de chez Avira, je ne vais quand même pas les emm..... étant donné que je n'ai que la version free, c'est-à-dire sans support technique.
De mon côté, je vais lire les topics rapportant ce souci, et tenter de voir si l'hypothèse du faux positif s'y vérifie formellement.
Au plaisir de vous lire encore et déjà merci pour les propositions reçues.
Papy

<EDIT> Salut à toi jlpjlp !
Je viens de lire vos tout derniers posts.
Le mieux n'est-il pas d'attendre une demi-journée supplémentaire et puis de rappeler l'exécutable hors de la quarantaine ?
À+
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
17 mars 2009 à 13:08
Re,


probléme résolu chez moi à l'instant ! Fait une mise à jour d' AntiVir , puis restaure le fichier !


preuve en image > https://imageshack.com/


Bonne continuation ... ;)



( Ah les FP ! ... ^^ )




0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 14:36
Re,
Je ne vois pas pourquoi je n'aurais pas de raison de te croire cher sKe, mais j'ai effectué le scan de la bébète dans la quarantaine et mon Avira free l'a taggée en jaune : suspect n'est-il pas ?
Au fait, qu'entendais-tu par mise à jour d'Antivir : le programme ou/et la base ?
Search engine : v8.02.00.116, 2009-03-13
Virus definition file : v7.01.02.180, 2009-03-07

0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464 > CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014
17 mars 2009 à 14:43
de la base .... ;)
0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
17 mars 2009 à 14:51
OK, c'est bien ce que je me disais aussi ! le hic, c'est qu'avant la dernière "détection" dans la quarantaine, ma vn de antir3.vdf est la toute dernière, avec 218759 bytes downloadés :(
Comments ???
0
Utilisateur anonyme
17 mars 2009 à 13:10
Merci pour tes recherches ske
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
17 mars 2009 à 14:34
ok parfait
alors dans ce cas faire une mise a jour d'antivir et analyser son ordi pour voir si encore trouvé
0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 14:41
Merci jlpjlp.
Dans ce cas, il faut donc réextraire préalablement l'animal hors de la quarantaine, ne faut-il pas ?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464 > CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014
17 mars 2009 à 14:46
oui restaure le ( antivir ne scan pas sa quarantaine ! ... ;))) )

0
Utilisateur anonyme
17 mars 2009 à 14:46
Salut papy ;)


fais un hijackthis ...


si tu vois cette bebette (en gras)


Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-03-13 15:50:49
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 35 GB (88%) free of 40 GB
Total RAM: 503 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:22, on 13/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\tazebama.dl_
C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

Bah c est la poisse ;)

kiss

0
Utilisateur anonyme
17 mars 2009 à 14:51
:)
0
CCMclaude Messages postés 24987 Date d'inscription mardi 20 mai 2008 Statut Contributeur Dernière intervention 11 mai 2014 740
17 mars 2009 à 14:54
Hi Tchiky ! Com esta ?
OK ! J'embraie : ça ne peut faire de tort ; mais dis-moi d'abord si je dois laisser la quarantaine en l'état : je suppose que oui ?
0