Infection Mabezat / Tazebama

Résolu
KqthPirce -  
 KqthPirce -
Bonjour,
Mon ordinateur est infecté par un virus nommé Mabezat. J'ai effectuée une recherche sur internet pour savoir comment le supprimer. J'ai trouvé tout un dossier bien détaillé sur la procédure à suivre à commencer par UsbFix. On recommande de poster le rapport UsbFix.txt avant de passer à l'étape suivante; voici le rapport:

############################## | UsbFix V 7.069 | [Research]

Updated 20/11/2011 by El Desaparecido
Started at 09:25:33 | 25/11/2011

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

################## | Active Processes |

C:\WINDOWS\System32\smss.exe (808)
C:\WINDOWS\system32\winlogon.exe (888)
C:\WINDOWS\system32\services.exe (932)
C:\WINDOWS\system32\lsass.exe (944)
C:\WINDOWS\system32\svchost.exe (1096)
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
C:\WINDOWS\System32\svchost.exe (1268)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
C:\WINDOWS\Explorer.EXE (1904)
C:\Documents and Settings\tazebama.dl_ (1992)
C:\WINDOWS\system32\spoolsv.exe (1304)
c:\program files\idt\wdm\STacSV.exe (1376)
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
C:\SPLASH.SYS\config\DVMExportService.exe (1076)
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
C:\WINDOWS\system32\igfxtray.exe (1612)
C:\WINDOWS\system32\hkcmd.exe (1636)
C:\WINDOWS\system32\svchost.exe (1500)
C:\WINDOWS\system32\igfxpers.exe (1744)
C:\Program Files\HP\HPBTWD.exe (1752)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
C:\Program Files\IDT\WDM\sttray.exe (1808)
C:\WINDOWS\system32\AESTFltr.exe (1828)
C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
C:\WINDOWS\system32\ctfmon.exe (1984)
C:\Program Files\Menara\dslmon.exe (2120)
C:\WINDOWS\system32\igfxsrvc.exe (2180)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
C:\WINDOWS\system32\msiexec.exe (3060)
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
C:\UsbFix\UsbFix.exe (2468)
C:\WINDOWS\system32\MsiExec.exe (4004)
C:\WINDOWS\system32\wscntfy.exe (3888)

################## | Stopped processes |

Stopped! C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
Stopped! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
Stopped! C:\WINDOWS\Explorer.EXE (1904)
Stopped! C:\Documents and Settings\tazebama.dl_ (1992)
Stopped! C:\WINDOWS\system32\spoolsv.exe (1304)
Stopped! c:\program files\idt\wdm\STacSV.exe (1376)
Stopped! C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
Stopped! c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
Stopped! C:\SPLASH.SYS\config\DVMExportService.exe (1076)
Stopped! C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
Stopped! C:\WINDOWS\system32\igfxtray.exe (1612)
Stopped! C:\WINDOWS\system32\hkcmd.exe (1636)
Stopped! C:\WINDOWS\system32\igfxpers.exe (1744)
Stopped! C:\Program Files\HP\HPBTWD.exe (1752)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
Stopped! C:\Program Files\IDT\WDM\sttray.exe (1808)
Stopped! C:\WINDOWS\system32\AESTFltr.exe (1828)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
Stopped! C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
Stopped! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
Stopped! C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
Stopped! C:\WINDOWS\system32\ctfmon.exe (1984)
Stopped! C:\Program Files\Menara\dslmon.exe (2120)
Stopped! C:\WINDOWS\system32\igfxsrvc.exe (2180)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
Stopped! C:\WINDOWS\system32\msiexec.exe (3060)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
Stopped! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
Stopped! C:\WINDOWS\system32\MsiExec.exe (4004)
Stopped! C:\WINDOWS\system32\wscntfy.exe (3888)
Stopped! C:\WINDOWS\system32\imapi.exe (3576)

################## | Files # Infected Folders |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings\tazebama.dll
Found ! C:\zPharaoh.exe
Found ! C:\autorun.inf
Found ! D:\autorun.inf
Found ! D:\zPharaoh.exe
Found ! D:\OPOP

################## | Mabezat |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings\tazebama.dll
Found ! C:\Documents and Settings\Assma90\Application Data\tazebama
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\components .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\defaults .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\pref .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\extensions .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\Mozilla Firefox .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\helper.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\uninstall .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\updater.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\alipic .exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\zPharaoh.exe
Found ! C:\WINDOWS\hh.exe
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! D:\Mozilla Firefox\updater.exe
Found ! D:\Mozilla Firefox\uninstall\helper.exe
Found ! D:\Mozilla Firefox\uninstall\uninstall .exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! D:\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\extensions .exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! D:\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! D:\Mozilla Firefox\defaults\pref\pref .exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\defaults .exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\components .exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\Mozilla Firefox .exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\OPOP .exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Pic de Leila .exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Médical english .exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie Dento faciale .exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie dento faciale. 19 ref..doc .exe
Found ! D:\PHYSIOLOGIE\PHYSIOLOGIE .exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\Atlas anatomie 1 .exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\BIOCHIMIE .exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\RX\RX .exe
Found ! D:\Radiologie\RX\msjavx86.exe
Found ! D:\Radiologie\IRM\IRM .exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\ecrans renforcateurs .exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\ecrans renforcateurs\LES ECRANS RENFORCATEURS-Q-R.doc .exe
Found ! D:\Radiologie\Radiologie .exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\Quelques ATLAS .exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe

################## | Registry |

Merci de votre contribution.

31 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    C'est une infection très coriace qui se transmet par supports amovibles.

    1. Relance UsbFix

    !! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

    Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

    ● Choisir maintenant "Suppression"
    UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    ● A la fin du nettoyage, clique sur OK dans la boite de dialogue
    ● Upload le dossier zip si demandé
    ● Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

    Il est recommandé de redémarrer le pc après cette opération

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    2. Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    netsvcs 
    msconfig 
    safebootminimal 
    safebootnetwork 
    activex 
    drivers32 
    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\system32\*.dll /lockedfiles 
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long

    3. Héberge les 3 rapports sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 3 liens que tu me donneras dans ton prochain message afin que je puisse les consulter

    A +
    0
  2. KqthPirce
     
    Merci Kalimusic
    Voici le rapport de suppression d'UsbFix :

    ############################## | UsbFix V 7.069 | [Deletion]

    Updated 20/11/2011 by El Desaparecido
    Started at 12:20:12 | 25/11/2011

    SC: Security Center Service [ Enabled ]
    WU: Windows Update Service [ Enabled ]
    FW: Windows FireWall Service [ Enabled ]

    ################## | Active Processes |

    C:\WINDOWS\System32\smss.exe (808)
    C:\WINDOWS\system32\winlogon.exe (904)
    C:\WINDOWS\system32\services.exe (948)
    C:\WINDOWS\system32\lsass.exe (960)
    C:\WINDOWS\system32\svchost.exe (1108)
    C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1248)
    C:\WINDOWS\System32\svchost.exe (1260)
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1716)
    C:\WINDOWS\Explorer.EXE (1844)
    C:\Documents and Settings\tazebama.dl_ (1996)
    C:\WINDOWS\system32\spoolsv.exe (1008)
    c:\program files\idt\wdm\STacSV.exe (1444)
    C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (1204)
    C:\WINDOWS\system32\igfxtray.exe (1360)
    c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (1436)
    C:\WINDOWS\system32\hkcmd.exe (1516)
    C:\SPLASH.SYS\config\DVMExportService.exe (1560)
    C:\WINDOWS\system32\igfxsrvc.exe (1568)
    C:\WINDOWS\system32\igfxpers.exe (1588)
    C:\Program Files\HP\HPBTWD.exe (1600)
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1612)
    C:\Program Files\IDT\WDM\sttray.exe (1620)
    C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1648)
    C:\WINDOWS\system32\AESTFltr.exe (1656)
    C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1664)
    C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1764)
    C:\Program Files\Common Files\Java\Java Update\jusched.exe (1772)
    C:\Program Files\AVAST Software\Avast\avastUI.exe (1792)
    C:\WINDOWS\system32\ctfmon.exe (1804)
    C:\Program Files\Menara\dslmon.exe (2012)
    C:\WINDOWS\system32\svchost.exe (2164)
    C:\WINDOWS\system32\msiexec.exe (2628)
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2992)
    C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (3116)
    C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (4008)
    C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4092)
    C:\WINDOWS\system32\wuauclt.exe (2520)
    C:\WINDOWS\system32\wuauclt.exe (3740)
    C:\WINDOWS\system32\MsiExec.exe (2868)
    C:\UsbFix\UsbFix.exe (3988)
    C:\WINDOWS\system32\wscntfy.exe (3732)

    ################## | Stopped processes |

    Stopped! C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1248)
    Stopped! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1716)
    Stopped! C:\WINDOWS\Explorer.EXE (1844)
    Stopped! C:\Documents and Settings\tazebama.dl_ (1996)
    Stopped! C:\WINDOWS\system32\spoolsv.exe (1008)
    Stopped! c:\program files\idt\wdm\STacSV.exe (1444)
    Stopped! C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (1204)
    Stopped! C:\WINDOWS\system32\igfxtray.exe (1360)
    Stopped! c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (1436)
    Stopped! C:\WINDOWS\system32\hkcmd.exe (1516)
    Stopped! C:\SPLASH.SYS\config\DVMExportService.exe (1560)
    Stopped! C:\WINDOWS\system32\igfxsrvc.exe (1568)
    Stopped! C:\WINDOWS\system32\igfxpers.exe (1588)
    Stopped! C:\Program Files\HP\HPBTWD.exe (1600)
    Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1612)
    Stopped! C:\Program Files\IDT\WDM\sttray.exe (1620)
    Stopped! C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1648)
    Stopped! C:\WINDOWS\system32\AESTFltr.exe (1656)
    Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1664)
    Stopped! C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1764)
    Stopped! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1772)
    Stopped! C:\Program Files\AVAST Software\Avast\avastUI.exe (1792)
    Stopped! C:\WINDOWS\system32\ctfmon.exe (1804)
    Stopped! C:\Program Files\Menara\dslmon.exe (2012)
    Stopped! C:\WINDOWS\system32\msiexec.exe (2628)
    Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2992)
    Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (3116)
    Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (4008)
    Stopped! C:\WINDOWS\system32\wuauclt.exe (2520)
    Stopped! C:\WINDOWS\system32\wuauclt.exe (3740)
    Stopped! C:\WINDOWS\system32\MsiExec.exe (2868)
    Stopped! C:\WINDOWS\system32\wscntfy.exe (3732)

    ################## | Files # Infected Folders |

    Deleted ! C:\Documents and Settings\hook.dl_
    Deleted ! C:\Documents and Settings\tazebama.dll
    Deleted ! C:\zPharaoh.exe
    Deleted ! C:\Recycler\S-1-5-21-4221269701-3432351150-1523187740-1005
    Deleted ! C:\Recycler\S-1-5-21-764283881-1912519358-2346311722-1003
    Deleted ! C:\autorun.inf
    Deleted ! D:\autorun.inf
    Deleted ! D:\zPharaoh.exe
    Deleted ! D:\OPOP

    (!) Temporary files deleted.

    2eme étape dans le prochain message.
    0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Héberge les rapports sinon, ils seront le plus souvent coupés, merci.

    A +
    0
  4. KqthPirce
     
    Merci Kalimusic

    Voici les 3 rapports :

    http://cjoint.com/?AKzpekYvvg7

    http://cjoint.com/?AKzphgrgYh3

    http://cjoint.com/?AKzpjzkB1sQ
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    KqthPirce,

    ● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
    ● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
    ● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
    ● Héberge les rapports des outils sur https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
    ● Je t'aide bénévolement, merci d'en tenir compte :)

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Désinstalle ces logiciels si présents :

    QuestScan (adware)
    ShopperReports   (adware)  
    ShoppingReport2  (adware)
    Ask Toolbar (inutile)   

    2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    3. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la partie "Personnalisation", copie/colle le texte hébergé ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    4. Héberge les rapports et donne moi les liens.

    A +
    0
  7. KqthPirce
     
    1. Les logiciels cités dessus ont été supprimés.

    2. Les liens des rapports:

    - AdwCleaner: http://cjoint.com/?AKzvtnn4n6Y

    - OTL : http://cjoint.com/?AKzvwfgjWZm

    Merci encore :)
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    1. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    2. Relance OTL

    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

    3. Héberge les rapports et donne moi les liens.

    A +
    0
  9. KqthPirce
     
    voici les rapports:

    -MBM : C/ : http://cjoint.com/?AKAcjRy410L

    D/ E/ : http://cjoint.com/?AKAclGtwqVN

    -OTL : http://cjoint.com/?AKAcLnLDHvU
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Comme souvent dans ce type d'infection, la lutte est difficile, Mabezat s'accroche et se relance.

    1. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :OTL
    [2011/11/25 23:08:44 | 000,155,321 | RHS- | C] () -- C:\zPharaoh.exe    [2011/11/26 00:58:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Assma90\Application Data\tazebama    
    :Files
    ipconfig /flushdns /c
    tazebama.dl* /s /alldrives
    hook.dl* /s /alldrives
    zPharaoh.* /s /alldrives
    :Commands 
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    2. Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

    Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    Accepte d'installer la console de récupération si tu es sous XP
    ● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
    ● Il est possible que l'outil est besoin de redémarre l'ordinateur.

    !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
    (risque de plantage complet de l'ordinateur)

    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

    !! Réactive les protections résidentes de ton PC !!

    Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    3. Héberge les rapports et donne moi les liens.

    A +
    0
  11. KqthPirce
     
    Bonjour,

    voici le rapport de OTL: http://cjoint.com/?AKAp6qkEjhz

    En ce qui concerne Combofix, ça fait 1h30 que l'installation est lancé et s'est pas encore terminée !!! est ce normal?
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Non, pas vraiment, à quelle étape se trouve ComboFix stp ?

    A +
    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  13. KqthPirce
     
    j'ai lancé l'installation, les bandes ont commencé à apparaitre ça n'a pas pris bcp de temps; il ne reste qu'une bande et il s'est arreté là.
    je suis dsl mais je sais pas comment mieux expliquer!!!
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Il n'a pas pu démarrer l'écran de scan avec étape1, 2, 3 etc...
    Essaye de le refermer, puis redémarre.

    Relance UsbFix en tant qu'administrateur
    ● Clique sur Désinstallation

    Re-télécharge UsbFix sur le Bureau
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
    ● Lance une recherche, héberge le rapport et poste le lien.

    A +
    0
  15. KqthPirce
     
    voici le rapport de UsbFix: http://cjoint.com/?AKAsVTBewEA
    0
  16. ¡El Desaparecido! Messages postés 1519 Date d'inscription   Statut Membre Dernière intervention   195
     
    Hello,

    Pour suivre le sujet, merci.
    0
    1. KqthPirce
       
      Bienvenue
      0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    J'espère que tu as toujours la volonté de désinfecter parce que la situation est toujours critique, l'infection est toujours là.

    1. Télécharge Dr Web CureIt sur ton bureau.

    !! Déconnecte toi physiquement du net !!


    Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

    !! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

    2. Relance UsbFix

    ● Choisir maintenant "Suppression"
    UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    ● A la fin du nettoyage, clique sur OK dans la boite de dialogue
    ● Upload le dossier zip si demandé

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    3. Lance Dr Web Cure It

    aide : http://www.bibou0007.com/t3659-tutorial-dr-web-cureit

    Attention ce scan est très long et immobilise complètement l'ordinateur.

    Redémarre l'ordinateur, réactive l'antivirus et reconnecte toi au net.

    4. Héberge les rapports et donne moi les liens.

    A +
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt je passe juste

    est-il possible de regarder même si combofix a planté si il y a un rapport combofix ici

    poste de travail (ordinateur) puis C:\ComboFix.txt

    et le poster?

    merci

    et bonjour a tous :)
    0
    1. KqthPirce
       
      non y a pas de rapport :)
      0
  19. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour jlpjlp,
    Je pense que CF n'a jamais commencé son scan, l'utilisateur a décrit un blocage prématuré.

    == == == ==

    Bonjour KqthPirce,
    Tu en es où ?

    A +
    0
  20. kqthpierce
     
    Bonjour Kalimusic,
    voici le rapport UsbFix : http://cjoint.com/?AKBlaldBrsx

    impossible d'heberger le rapport drWeb :32 112 kB les sites d'hebergement bloquent !!!
    0
  21. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    même en le zippant ?
    ou ici http://senduit.com/

    Relance un recherche avec UsbFix

    A +
    0
  • 1
  • 2