Tazebama impossible à supprimer ! Résolu/Fermé

Question

Bonjour,
J'ai été infecté par le virus tazebama et rien ne semble pouvoir l'arrêter. J'ai tout essayé, rien n'y fait !
J'ai suivi presque toutes les procédures présentes sur le sujet ici même mais à chaque ça coince ou ne marche pas (faut dire que je ne suis pas non plus expert en Hijackthis and d'autres soft pareils). J'ai utilisé Mabazet remover il me dit "the virus is active in memory and may disrupt cleaning". 
J'ai fait des scans avec Malwarebytes et Spybot sans succès. J'ai également installé Avira pour l'essayer aussi mais il a fini par me virer plusieurs exe de logiciles sur mon PC, c'est la galère !!
S'il vous plait s'il y a quelqu'un qui puisse m'aider, je lui serait très reconnaissant. Je suis prêt à tout essayer pourvu que ça marche !
En attente de vos réponses. Merci d'avance

Utilisateur anonyme · Answer

bonjour

Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.




Télécharge USBFix de Chiquitine29 , C_XX et Chimay8  sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Utilisateur anonyme · Answer

Salut ,

pour avancer nathandre ::


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

jfkpresident · Answer

Bonsoir a vous ;

Pour suivre..

Utilisateur anonyme · Answer

heberge le rapport sur ci joint : http://www.cijoint.fr/

et communique le lien qui te sera donné .

Utilisateur anonyme · Answer

Tu vas devoir refaire l option 2 de usbfix , certains fichiers n not pas été supprimé voila pourquoi tazebama.dll est revenu 

pour le rapport fais la meme chose .

Utilisateur anonyme · Answer

Bonjour
il me semble bien que c'est moi qui avais commencé
USBFix a supprimé de très nombreuses saletés qui étaient dans le PC, infection très importante

Tu as beaucoup de cracks qui sont un danger, car ils sont souvent vecteur d'infections, un conseil, supprime les

Utilisateur anonyme · Answer

Salut Nathandre ,

Je ne te voyais pas , c est pour ça que j ai passé des instructions à l user .

Je te laisse la suite .

@+

Utilisateur anonyme · Answer

on va employer la méthode forte

Attention, avant de commencer, lit attentivement la procédure, et imprime la

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVE  TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Utilisateur anonyme · Answer

edith

Utilisateur anonyme · Answer

t as besoin des mp pour t expliquer , perso ça me derange pas de le faire ici

Utilisateur anonyme · Answer

effectivement, il résiste, je vais me renseigner

Utilisateur anonyme · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe pour le lancer.Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui est en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved". 

processes
explorer.exe
zPharaoh.exe

:files
C:\Documents and Settings\hook.dl_
C:\Documents and Settings	azebama.dl_
C:\Documents and Settings	azebama.dll
C:\DOCUME~1\SKYWAL~1\APPLIC~1	azebama\zPharaoh.dat
C:\DOCUME~1\SKYWAL~1\APPLIC~1	azebama
C:\zPharaoh.exe
D:\zPharaoh.exe
E:\zPharaoh.exe
G:\zPharaoh.exe
J:\zPharaoh.exe
K:\zPharaoh.exe
C:\1.taz
J:\1.taz 
c:\windows\system32\_000058_.tmp.dll
c:\windows\system32\_000068_.tmp.dll
c:\windows\system32\_000079_.tmp.dll
c:\windows\system32\_000239_.tmp.dll
c:\windows\system32\_004619_.tmp.dll
c:\windows\system32\_004620_.tmp.dll
c:\windows\system32\_004621_.tmp.dll
c:\windows\system32\_004622_.tmp.dll
c:\windows\system32\_004629_.tmp.dll
c:\windows\system32\_004630_.tmp.dll
c:\windows\system32\_004631_.tmp.dll
c:\windows\system32\_004632_.tmp.dll
c:\windows\system32\_004634_.tmp.dll
c:\windows\system32\_004635_.tmp.dll
c:\windows\system32\_004636_.tmp.dll
c:\windows\system32\_004638_.tmp.dll
c:\windows\system32\_004639_.tmp.dll
c:\windows\system32\_004641_.tmp.dll
c:\windows\system32\_004642_.tmp.dll
c:\windows\system32\_004643_.tmp.dll
c:\windows\system32\_004645_.tmp.dll
c:\windows\system32\_004648_.tmp.dll
c:\windows\system32\_004649_.tmp.dll
c:\windows\system32\_004653_.tmp.dll
c:\windows\system32\_004654_.tmp.dll
c:\windows\system32\_004656_.tmp.dll
c:\windows\system32\_004659_.tmp.dll
c:\windows\system32\_004662_.tmp.dll
c:\windows\system32\_004663_.tmp.dll
c:\windows\system32\_004664_.tmp.dll
c:\windows\system32\_004665_.tmp.dll
c:\windows\system32\_004666_.tmp.dll
c:\windows\system32\_004669_.tmp.dll
c:\windows\system32\_004670_.tmp.dll 
c:\windows\system32\_004670_.tmp.dll
c:\windows\system32\_004671_.tmp.dll
c:\windows\system32\_004672_.tmp.dll
c:\windows\system32\_004673_.tmp.dll
c:\windows\system32\_004678_.tmp.dll

:commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


si le rapport est trop grand poste le par le biais de cijoint :

envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

puis envoie le fichier.

un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

renvoie le lien tout frais dans ta prochaine reponse .

Utilisateur anonyme · Answer

edit
quelqu'un devrai venir

jacques.gache · Answer

nathandre bonjour, pourquoi dis tu nos efforts sont vains, cela devient décourageant, je pense que quelque chose le régénère 
Si tu as sauvegardé tes documents, formate ton PC 

as tu un rapport qui prouve qu'il est encore la suite à OTM , si j'arrive pas trop tard si le formatage n'a pas été fais il serait bien de rechercher ce qui est lieé à tazebama et de supprimer cela 

gte8558  si tu n'as pas encore formaté peux tu faire cela , merci 



https://www.androidworld.fr/


Double cliquez sur SF.exe (Exécuter en tant qu'administrateur pour Vista) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre et Entrée.

pour toi tu mets ce qui est en gras en dessous  sans oublier la virgule 

tazebama , zPharaoh.exe 


Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copiez/collez ce rapport sur la prochaine réponse

plopus · Answer

hello a tous

suite a une demande nathandre, je jette un oeil par ici.


@gte8558 :  as tu le CD de windows ?

 car les nombreuses infectieux que tu as et a eux, ont infecté enormement de fichiers vitaux du systeme et peut etre meme le cache d'ou ils ont ete restauré...

essaye ceci aussi stp cela permettra si tu as le CD de windows de remplacer les fichiers verolés

- va dans demarrer/executer et tape

CMD

puis entrée dans la fentre noir tape

sfc /scannow  (il y a un espace entre les 2)

puis entrée un scan va ce relancer pour verifier l'integrité des fichiers de windows, si un probleme est trouvée, il va te demander le CD de windows insere le si tu l'as, si tu ne l'as pas fait moi savoir que l'on ta demandé le CD

puis fait ceci stp

    *  Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
    * Double clique sur RSIT.exe pour lancer l'outil.
    * Clique sur ' continue ' à l'écran Disclaimer.
    * Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

jacques.gache · Answer

bonjour, je laisse poplus te guider , sinon sur le résultat de SF il semblerais que des traces de ces salopperies se trouvent dans le dossier Prefetch ce qui expliquerais peut être la regénération du problème !!  tu suis les recommandation de poplus    @+

plopus · Answer

salut

j'ai des doutes...

fait sa pour etre sur sa prend 2

* Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double clique sur RSIT.exe pour lancer l'outil.
* Clique sur ' continue ' à l'écran Disclaimer.
* Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

haro · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:13:39
mbam-log-2010-05-28 (03-13-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118002
Temps écoulé: 2 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming	azebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users\hook.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users	azebama.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.

haro · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:26:18
mbam-log-2010-05-28 (03-26-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118061
Temps écoulé: 2 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming	azebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.

plopus · Answer

Haro crée ton propre sujet car tu es infecter et a mon avis c'est pas fini sa revenir car tout tes support USB sont infecter !!

Tazebama impossible à supprimer !

20 réponses

Discussions similaires