Tazebama impossible à supprimer ! [Résolu/Fermé]

Signaler
-
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
-
Bonjour,
J'ai été infecté par le virus tazebama et rien ne semble pouvoir l'arrêter. J'ai tout essayé, rien n'y fait !
J'ai suivi presque toutes les procédures présentes sur le sujet ici même mais à chaque ça coince ou ne marche pas (faut dire que je ne suis pas non plus expert en Hijackthis and d'autres soft pareils). J'ai utilisé Mabazet remover il me dit "the virus is active in memory and may disrupt cleaning".
J'ai fait des scans avec Malwarebytes et Spybot sans succès. J'ai également installé Avira pour l'essayer aussi mais il a fini par me virer plusieurs exe de logiciles sur mon PC, c'est la galère !!
S'il vous plait s'il y a quelqu'un qui puisse m'aider, je lui serait très reconnaissant. Je suis prêt à tout essayer pourvu que ça marche !
En attente de vos réponses. Merci d'avance

20 réponses


bonjour

Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.




Télécharge USBFix de Chiquitine29 , C_XX et Chimay8 sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Merci à toi nathandre de prêter attention à mon sujet et de me venir en aide. J'apprécie énormément !
J'ai fait ce que tu m'as demandé et voici le rapport. Je crois que j'ai plein de saletés mais j'ai l'impression que le rapport n'est pas complet, je crois que le soft USBFix s'est interrompu, dois-je tout refaire ?


############################## | UsbFix V6.047 |

User : Sky Walker (Administrateurs) # DIABLO
Update on 02/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:26:03 | 02/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : BitDefender Antivirus 12.0 [ (!) Disabled | (!) Outdated ]
AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : BitDefender Firewall[ (!) Disabled ]12.0
FW : Norton Internet Security 2006[ Enabled ]2006

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 14,45 Go (2,17 Go free) [OS Disc] # NTFS
D:\ -> Disque fixe local # 21,01 Go (4,73 Go free) [Random] # NTFS
E:\ -> Disque fixe local # 39,07 Go (10,31 Go free) [Mass Storage] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 169,9 Mo (4,91 Mo free) [MD300] # FAT
J:\ -> Disque fixe local # 18,71 Go (1,61 Go free) [Mini HD] # NTFS
K:\ -> Disque fixe local # 18,55 Go (654,69 Mo free) [Mini HD 2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\msdtc.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\GIGABYTE\C.O.M\GCSVR.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Sky Walker\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\tazebama.dl_
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\SKYWAL~1\LOCALS~1\Temp\AZ_3584.rar
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\zPharaoh.exe" ( Présent ! )
C:\8.bat
C:\9b9w3.exe
C:\e.cmd
C:\hl80c6b1.com
C:\oobbyju.exe
C:\whi.com
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\zPharaoh.exe" ( Présent ! )
D:\8.bat
D:\9b9w3.exe
D:\e.cmd
D:\eexyv.exe
D:\gi2ky.exe
D:\hl80c6b1.com
D:\j60osk9.cmd
D:\oobbyju.exe
D:\pook.com
D:\q8e6.bat
D:\w98.com
D:\whi.com
E:\autorun.inf
E:\autorun.inf -> fichier appelé : "E:\zPharaoh.exe" ( Présent ! )
E:\8.bat
E:\9b9w3.exe
E:\e.cmd
E:\eexyv.exe
E:\gi2ky.exe
E:\hl80c6b1.com
E:\j60osk9.cmd
E:\oobbyju.exe
E:\pook.com
E:\q8e6.bat
E:\w98.com
E:\whi.com
G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\zPharaoh.exe" ( Présent ! )
G:\10nb.exe
G:\8.exe
G:\9b9w3.exe
G:\AUTORUN.FCB
G:\dogyx90.exe
G:\eexyv.exe
G:\fsaht.cmd
G:\kgji.exe
G:\mjafm.exe
G:\New Folder.exe
G:\oobbyju.exe
G:\q8e6.bat
G:\SSVICHOSST.exe
G:\t2hjo0.exe
G:\w9uxx92.exe
G:\yudald.bat
J:\autorun.inf
J:\autorun.inf -> fichier appelé : "J:\zPharaoh.exe" ( Présent ! )
J:\9b9w3.exe
J:\dogyx90.exe
J:\e.cmd
J:\eexyv.exe
J:\em8tqm.cmd
J:\fsaht.cmd
J:\gi2ky.exe
J:\pook.com
J:\q8e6.bat
J:\t2hjo0.exe
J:\uvsqfgwd.cmd
J:\whi.com
J:\yudald.bat
K:\autorun.inf
K:\autorun.inf -> fichier appelé : "K:\zPharaoh.exe" ( Présent ! )
K:\9b9w3.exe
K:\dogyx90.exe
K:\e.cmd
K:\eexyv.exe
K:\em8tqm.cmd
K:\fsaht.cmd
K:\gi2ky.exe
K:\pook.com
K:\q8e6.bat
K:\t2hjo0.exe
K:\uvsqfgwd.cmd
K:\whi.com
K:\yudald.bat

################## | Références de comparaison MD5 : |

File : G:\New Folder.exe
-> Crc32 : 99d25c62 | Md5 : 32bb13fcf499c3883913ab8a4dccb87a

################## | Autres détections |


################## | Mabezat |

C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\Documents and Settings\tazebama.dll
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama
C:\zPharaoh.exe
D:\zPharaoh.exe
E:\zPharaoh.exe
G:\zPharaoh.exe
J:\zPharaoh.exe
K:\zPharaoh.exe

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe pour le lancer.Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui est en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

processes
explorer.exe
zPharaoh.exe

:files
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\Documents and Settings\tazebama.dll
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama
C:\zPharaoh.exe
D:\zPharaoh.exe
E:\zPharaoh.exe
G:\zPharaoh.exe
J:\zPharaoh.exe
K:\zPharaoh.exe
C:\1.taz
J:\1.taz
c:\windows\system32\_000058_.tmp.dll
c:\windows\system32\_000068_.tmp.dll
c:\windows\system32\_000079_.tmp.dll
c:\windows\system32\_000239_.tmp.dll
c:\windows\system32\_004619_.tmp.dll
c:\windows\system32\_004620_.tmp.dll
c:\windows\system32\_004621_.tmp.dll
c:\windows\system32\_004622_.tmp.dll
c:\windows\system32\_004629_.tmp.dll
c:\windows\system32\_004630_.tmp.dll
c:\windows\system32\_004631_.tmp.dll
c:\windows\system32\_004632_.tmp.dll
c:\windows\system32\_004634_.tmp.dll
c:\windows\system32\_004635_.tmp.dll
c:\windows\system32\_004636_.tmp.dll
c:\windows\system32\_004638_.tmp.dll
c:\windows\system32\_004639_.tmp.dll
c:\windows\system32\_004641_.tmp.dll
c:\windows\system32\_004642_.tmp.dll
c:\windows\system32\_004643_.tmp.dll
c:\windows\system32\_004645_.tmp.dll
c:\windows\system32\_004648_.tmp.dll
c:\windows\system32\_004649_.tmp.dll
c:\windows\system32\_004653_.tmp.dll
c:\windows\system32\_004654_.tmp.dll
c:\windows\system32\_004656_.tmp.dll
c:\windows\system32\_004659_.tmp.dll
c:\windows\system32\_004662_.tmp.dll
c:\windows\system32\_004663_.tmp.dll
c:\windows\system32\_004664_.tmp.dll
c:\windows\system32\_004665_.tmp.dll
c:\windows\system32\_004666_.tmp.dll
c:\windows\system32\_004669_.tmp.dll
c:\windows\system32\_004670_.tmp.dll
c:\windows\system32\_004670_.tmp.dll
c:\windows\system32\_004671_.tmp.dll
c:\windows\system32\_004672_.tmp.dll
c:\windows\system32\_004673_.tmp.dll
c:\windows\system32\_004678_.tmp.dll

:commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


si le rapport est trop grand poste le par le biais de cijoint :

envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

puis envoie le fichier.

un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

renvoie le lien tout frais dans ta prochaine reponse .
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Merci à toi nathandre pour l'effort. Malheureusement, mauvaise surprise, il résiste toujours !!

Voici le rapport de OTM :

All processes killed
Error: Unable to interpret <processes> in the current context!
Error: Unable to interpret <explorer.exe> in the current context!
Error: Unable to interpret <zPharaoh.exe> in the current context!
========== FILES ==========
C:\Documents and Settings\hook.dl_ moved successfully.
C:\Documents and Settings\tazebama.dl_ moved successfully.
LoadLibrary failed for C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\tazebama.dll NOT unregistered.
C:\Documents and Settings\tazebama.dll moved successfully.
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat moved successfully.
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama moved successfully.
C:\zPharaoh.exe moved successfully.
D:\zPharaoh.exe moved successfully.
E:\zPharaoh.exe moved successfully.
G:\zPharaoh.exe moved successfully.
J:\zPharaoh.exe moved successfully.
K:\zPharaoh.exe moved successfully.
C:\1.taz moved successfully.
J:\1.taz moved successfully.
File/Folder c:\windows\system32\_000058_.tmp.dll not found.
File/Folder c:\windows\system32\_000068_.tmp.dll not found.
File/Folder c:\windows\system32\_000079_.tmp.dll not found.
File/Folder c:\windows\system32\_000239_.tmp.dll not found.
File/Folder c:\windows\system32\_004619_.tmp.dll not found.
File/Folder c:\windows\system32\_004620_.tmp.dll not found.
File/Folder c:\windows\system32\_004621_.tmp.dll not found.
File/Folder c:\windows\system32\_004622_.tmp.dll not found.
File/Folder c:\windows\system32\_004629_.tmp.dll not found.
File/Folder c:\windows\system32\_004630_.tmp.dll not found.
File/Folder c:\windows\system32\_004631_.tmp.dll not found.
File/Folder c:\windows\system32\_004632_.tmp.dll not found.
File/Folder c:\windows\system32\_004634_.tmp.dll not found.
File/Folder c:\windows\system32\_004635_.tmp.dll not found.
File/Folder c:\windows\system32\_004636_.tmp.dll not found.
File/Folder c:\windows\system32\_004638_.tmp.dll not found.
File/Folder c:\windows\system32\_004639_.tmp.dll not found.
File/Folder c:\windows\system32\_004641_.tmp.dll not found.
File/Folder c:\windows\system32\_004642_.tmp.dll not found.
File/Folder c:\windows\system32\_004643_.tmp.dll not found.
File/Folder c:\windows\system32\_004645_.tmp.dll not found.
File/Folder c:\windows\system32\_004648_.tmp.dll not found.
File/Folder c:\windows\system32\_004649_.tmp.dll not found.
File/Folder c:\windows\system32\_004653_.tmp.dll not found.
File/Folder c:\windows\system32\_004654_.tmp.dll not found.
File/Folder c:\windows\system32\_004656_.tmp.dll not found.
File/Folder c:\windows\system32\_004659_.tmp.dll not found.
File/Folder c:\windows\system32\_004662_.tmp.dll not found.
File/Folder c:\windows\system32\_004663_.tmp.dll not found.
File/Folder c:\windows\system32\_004664_.tmp.dll not found.
File/Folder c:\windows\system32\_004665_.tmp.dll not found.
File/Folder c:\windows\system32\_004666_.tmp.dll not found.
File/Folder c:\windows\system32\_004669_.tmp.dll not found.
File/Folder c:\windows\system32\_004670_.tmp.dll not found.
File/Folder c:\windows\system32\_004670_.tmp.dll not found.
File/Folder c:\windows\system32\_004671_.tmp.dll not found.
File/Folder c:\windows\system32\_004672_.tmp.dll not found.
File/Folder c:\windows\system32\_004673_.tmp.dll not found.
File/Folder c:\windows\system32\_004678_.tmp.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Sky Walker
->Temp folder emptied: 587550 bytes
->Temporary Internet Files folder emptied: 1942055 bytes
->Java cache emptied: 43209728 bytes
->FireFox cache emptied: 91049494 bytes

User: SYSTEM

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp\AS1C97B3.tmp folder deleted successfully.
C:\WINDOWS\msdownld.tmp\AS17D939.tmp folder deleted successfully.
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 36699825 bytes
%systemroot%\System32 .tmp files removed: 203734048 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 359,79 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11042009_102311

Files moved on Reboot...

Registry entries deleted on Reboot...
Utilisateur anonyme > gte8558
bonjour
nos efforts sont vains, cela devient décourageant, je pense que quelque chose le régénère
Si tu as sauvegardé tes documents, formate ton PC
j'ai fait tout ce que j'ai pu pour essayer de t'aider, désolée

Salut ,

pour avancer nathandre ::


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 165
Bonsoir a vous ;

Pour suivre..
Utilisateur anonyme
gte8558, il faut procéder au nettoyage, fait le post de Chiquitine
> Utilisateur anonyme
Tout d'abord merci à toi Chiquitine pour ton aide et le gain de temps !
J'ai fait comme demandé et je voulais poster le rapport mais apparemment il est "trop long" et ça bug à chaque fois. Bref, il m'a viré beaucoup d'exe parmis eux certains dont j'ai besoin mais le tazebama.dll lui est toujours présent. je vais réessayer de poster le rapport...

heberge le rapport sur ci joint : http://www.cijoint.fr/

et communique le lien qui te sera donné .
Merci Chiquitine pour le tuyau !! Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijr2RXEwT.txt

Tu vas devoir refaire l option 2 de usbfix , certains fichiers n not pas été supprimé voila pourquoi tazebama.dll est revenu

pour le rapport fais la meme chose .

Bonjour
il me semble bien que c'est moi qui avais commencé
USBFix a supprimé de très nombreuses saletés qui étaient dans le PC, infection très importante

Tu as beaucoup de cracks qui sont un danger, car ils sont souvent vecteur d'infections, un conseil, supprime les

Salut Nathandre ,

Je ne te voyais pas , c est pour ça que j ai passé des instructions à l user .

Je te laisse la suite .

@+
Utilisateur anonyme
Je ne suis pas toujours sur mon PC, merci de m'avoir avancé, et je m'adressais à gte
> Utilisateur anonyme
Moi en tout cas je vous remercie tous les deux, et je refais l'option 2 du USBFix de suite. Je vais supprimer toutes les saletés nathandre. Je vous tiens au courant...
> gte8558
Voici le deuxième rapport. Tazebama toujours présent, il est plutôt coriace mon tazebama à moi !!

http://www.cijoint.fr/cjlink.php?file=cj200911/cijMNjKYs0.txt

on va employer la méthode forte

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
OK nathandre, merci. Je fais ça et je tiens au courant...

edith

t as besoin des mp pour t expliquer , perso ça me derange pas de le faire ici
Voici le rapport de ComboFIX. Cela dit il ne m'a donné aucun choix d'actions, il a fait son truc de lui même et je pense qu'il a essayer de désinfecter ma machine. En tout il n'a pas réussi, tazebama est toujours là !!!!

http://www.cijoint.fr/cjlink.php?file=cj200911/cijIGvuaDX.txt

effectivement, il résiste, je vais me renseigner

edit
quelqu'un devrai venir
Je vois bien que ça ne mène nullepart, grand à merci à toi en tout cas et à Chiquitine pour votre aide et temps !!
Je crois qu"un formatage serait plus facile vu les circonstances.
Encore merci à vous et à la prochaine
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 628
nathandre bonjour, pourquoi dis tu
nos efforts sont vains, cela devient décourageant, je pense que quelque chose le régénère 
Si tu as sauvegardé tes documents, formate ton PC 


as tu un rapport qui prouve qu'il est encore la suite à OTM , si j'arrive pas trop tard si le formatage n'a pas été fais il serait bien de rechercher ce qui est lieé à tazebama et de supprimer cela

gte8558 si tu n'as pas encore formaté peux tu faire cela , merci



https://www.androidworld.fr/


Double cliquez sur SF.exe (Exécuter en tant qu'administrateur pour Vista) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre et Entrée.

pour toi tu mets ce qui est en gras en dessous sans oublier la virgule

tazebama , zPharaoh.exe


Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copiez/collez ce rapport sur la prochaine réponse
Merci jacques.gache pour ton intervention très appréciée, j'ai toujours pas formté alors j'espère que ça va marcher. J'ai fait comme demandé et voici le log :

========================= SF 1.0.0.4 - C_XX | 17:18:09,45

Valeur(s) recherchée(s):

tazebama
zPharaoh.exe


========================= Fichier(s)/Dossier(s):

"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\SKYWAL~1\APPLIC~1\tazebama"
d-------- 04/11/2009 10:23
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama"
d-------- 04/11/2009 13:15
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama"
d-------- 03/11/2009 18:22
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama"
d-------- 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix"
d-------- 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama"
d-------- 03/11/2009 12:15
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat"
MD5: dcc27396ba1a718951e75010aee8e2f9 | --a------ | 03/11/2009 19:56
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\tazebama.dl_"
MD5: DENIED | --a------ | 03/11/2009 19:50
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\tazebama.dll"
MD5: 5d8f0af82f5528399221183eb93aa1af | --a------ | 04/11/2009 10:14
.
"C:\_OTM\MovedFiles\11042009_102311\zPharaoh.exe"
MD5: DENIED | -rahs---- | 03/11/2009 19:50
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama\tazebama.log"
MD5: ed6a9432dcb6392ec9534554c50e157f | --a------ | 04/11/2009 15:35
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama\zPharaoh.dat"
MD5: 1d9fd05d52f19fd55f5a60a1d45c6998 | --a------ | 04/11/2009 15:38
.
"C:\Documents and Settings\Sky Walker\Local Settings\temp\WERa765.dir00\tazebama.dl_.mdmp"
MD5: 93b20252049f3908baddb51f69bdf270 | --a------ | 04/11/2009 11:42
.
"C:\Documents and Settings\tazebama.dl_"
MD5: 54cebaf62937ff21fc0919f14939709b | --a------ | 04/11/2009 14:33
.
"C:\Documents and Settings\tazebama.dll"
MD5: DENIED | --a------ | 04/11/2009 12:35
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama\tazebama.log.vir"
MD5: de95928c2a6f62981fcfa789121b5abc | --a------ | 03/11/2009 16:49
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama\zPharaoh.dat.vir"
MD5: a142c25e38a55983279fda55b2c0c880 | --a------ | 03/11/2009 18:10
.
"C:\Qoobox\Quarantine\C\zPharaoh.exe.vir"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\Qoobox\Quarantine\D\zPharaoh.exe.vir"
MD5: DENIED | --a------ | 03/11/2009 14:06
.
"C:\Qoobox\Quarantine\E\zPharaoh.exe.vir"
MD5: DENIED | --a------ | 03/11/2009 14:06
.
"C:\Qoobox\Quarantine\J\zPharaoh.exe.vir"
MD5: 645b9b6e25ff43fb9a15cf474e3c247b | --a------ | 03/11/2009 17:48
.
"C:\Qoobox\Quarantine\K\zPharaoh.exe.vir"
MD5: ea59906becd4475ba93a31daf61903ba | --a------ | 03/11/2009 17:48
.
"C:\Qoobox\zPharaoh.exe"
MD5: cebb9cf6eff66e2ae6308d4020d149ca | --ahs---- | 03/11/2009 17:49
.
"C:\Qoobox\zPharaoh.exe-ren-1057"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\Qoobox\zPharaoh.exe-ren-1466"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama.log"
MD5: 3ddc0aff528eb60e4e2bd6b89d8b814e | --a------ | 02/11/2009 17:02
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama\tazebama.log"
MD5: 41c6264e46dd88851f03535b43c6004b | --a------ | 03/11/2009 11:53
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat.UsbFix"
MD5: 53b8697fa5669161d0c7cd5d62d7b5f7 | --a------ | 03/11/2009 11:53
.
"C:\UsbFix\Quarantine\C\Documents and Settings\tazebama.dl_.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:08
.
"C:\UsbFix\Quarantine\C\Documents and Settings\tazebama.dll.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:08
.
"C:\UsbFix\Quarantine\C\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\D\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\E\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\G\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\UsbFix\Quarantine\J\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\UsbFix\Quarantine\K\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\WINDOWS\Prefetch\TAZEBAMA.DL_-1B94900B.pf"
MD5: 4b17d1ede845c34bebb5a073ebf68839 | --a------ | 04/11/2009 14:34
.
"C:\WINDOWS\Prefetch\ZPHARAOH.EXE-3041DEC1.pf"
MD5: 8aca0577341b815982b83b216ccaa19f | --a------ | 02/11/2009 15:25
.
"C:\zPharaoh.exe"
MD5: DENIED | -r-hs---- | 04/11/2009 10:33
.
"G:\zPharaoh.exe"
MD5: DENIED | |
Alternate Data Stream: No streams found..

========================= Registre:

Aucun élément du registre trouvé.

========================= E.O.F | 17:27:07,23
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
292
hello a tous

suite a une demande nathandre, je jette un oeil par ici.


@gte8558 : as tu le CD de windows ?

car les nombreuses infectieux que tu as et a eux, ont infecté enormement de fichiers vitaux du systeme et peut etre meme le cache d'ou ils ont ete restauré...

essaye ceci aussi stp cela permettra si tu as le CD de windows de remplacer les fichiers verolés

- va dans demarrer/executer et tape

CMD

puis entrée dans la fentre noir tape

sfc /scannow (il y a un espace entre les 2)

puis entrée un scan va ce relancer pour verifier l'integrité des fichiers de windows, si un probleme est trouvée, il va te demander le CD de windows insere le si tu l'as, si tu ne l'as pas fait moi savoir que l'on ta demandé le CD

puis fait ceci stp

* Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double clique sur RSIT.exe pour lancer l'outil.
* Clique sur ' continue ' à l'écran Disclaimer.
* Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Utilisateur anonyme
Bonsoir à tous

gte
j'ai fait appel à quelques personnes compétentes pour t'aider, je vais suivre
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 628
bonjour, je laisse poplus te guider , sinon sur le résultat de SF il semblerais que des traces de ces salopperies se trouvent dans le dossier Prefetch ce qui expliquerais peut être la regénération du problème !! tu suis les recommandation de poplus @+
Utilisateur anonyme
Bonjour jacques gache
un grand merci à toi
> Utilisateur anonyme
Salut à tous
Désolé pour ma réponse tardive mais j'ai été très malade et je n'ai plus touché à mon pc.
Bref, problème résolu !! j'ai confié la tache à un ami qui a simplement installé zone alarm et fait un scan, ça a tout viré en 4h de désinfection !!
merci à tous en tout cas pour votre aide.
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
292
salut

j'ai des doutes...

fait sa pour etre sur sa prend 2

* Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double clique sur RSIT.exe pour lancer l'outil.
* Clique sur ' continue ' à l'écran Disclaimer.
* Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:13:39
mbam-log-2010-05-28 (03-13-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118002
Temps écoulé: 2 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users\hook.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users\tazebama.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:26:18
mbam-log-2010-05-28 (03-26-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118061
Temps écoulé: 2 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
292
Haro crée ton propre sujet car tu es infecter et a mon avis c'est pas fini sa revenir car tout tes support USB sont infecter !!