Infection Mabezat / Tazebama Résolu/Fermé

Question

Bonjour, 
Mon ordinateur est infecté par un virus nommé Mabezat. J'ai effectuée une recherche sur internet pour savoir comment le supprimer. J'ai trouvé tout un dossier bien détaillé sur la procédure à suivre à commencer par UsbFix. On recommande  de poster le rapport UsbFix.txt avant de passer à l'étape suivante; voici le rapport:


############################## | UsbFix V 7.069 | [Research]

Updated 20/11/2011 by El Desaparecido
Started at 09:25:33 | 25/11/2011

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

################## | Active Processes |

C:\WINDOWS\System32\smss.exe (808)
C:\WINDOWS\system32\winlogon.exe (888)
C:\WINDOWS\system32\services.exe (932)
C:\WINDOWS\system32\lsass.exe (944)
C:\WINDOWS\system32\svchost.exe (1096)
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
C:\WINDOWS\System32\svchost.exe (1268)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
C:\WINDOWS\Explorer.EXE (1904)
C:\Documents and Settings	azebama.dl_ (1992)
C:\WINDOWS\system32\spoolsv.exe (1304)
c:\program files\idt\wdm\STacSV.exe (1376)
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
C:\SPLASH.SYS\config\DVMExportService.exe (1076)
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
C:\WINDOWS\system32\igfxtray.exe (1612)
C:\WINDOWS\system32\hkcmd.exe (1636)
C:\WINDOWS\system32\svchost.exe (1500)
C:\WINDOWS\system32\igfxpers.exe (1744)
C:\Program Files\HP\HPBTWD.exe (1752)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
C:\Program Files\IDT\WDM\sttray.exe (1808)
C:\WINDOWS\system32\AESTFltr.exe (1828)
C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
C:\WINDOWS\system32\ctfmon.exe (1984)
C:\Program Files\Menara\dslmon.exe (2120)
C:\WINDOWS\system32\igfxsrvc.exe (2180)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
C:\WINDOWS\system32\msiexec.exe (3060)
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
C:\UsbFix\UsbFix.exe (2468)
C:\WINDOWS\system32\MsiExec.exe (4004)
C:\WINDOWS\system32\wscntfy.exe (3888)

################## | Stopped processes |

Stopped! C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
Stopped! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
Stopped! C:\WINDOWS\Explorer.EXE (1904)
Stopped! C:\Documents and Settings	azebama.dl_ (1992)
Stopped! C:\WINDOWS\system32\spoolsv.exe (1304)
Stopped! c:\program files\idt\wdm\STacSV.exe (1376)
Stopped! C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
Stopped! c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
Stopped! C:\SPLASH.SYS\config\DVMExportService.exe (1076)
Stopped! C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
Stopped! C:\WINDOWS\system32\igfxtray.exe (1612)
Stopped! C:\WINDOWS\system32\hkcmd.exe (1636)
Stopped! C:\WINDOWS\system32\igfxpers.exe (1744)
Stopped! C:\Program Files\HP\HPBTWD.exe (1752)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
Stopped! C:\Program Files\IDT\WDM\sttray.exe (1808)
Stopped! C:\WINDOWS\system32\AESTFltr.exe (1828)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
Stopped! C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
Stopped! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
Stopped! C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
Stopped! C:\WINDOWS\system32\ctfmon.exe (1984)
Stopped! C:\Program Files\Menara\dslmon.exe (2120)
Stopped! C:\WINDOWS\system32\igfxsrvc.exe (2180)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
Stopped! C:\WINDOWS\system32\msiexec.exe (3060)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
Stopped! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
Stopped! C:\WINDOWS\system32\MsiExec.exe (4004)
Stopped! C:\WINDOWS\system32\wscntfy.exe (3888)
Stopped! C:\WINDOWS\system32\imapi.exe (3576)

################## | Files # Infected Folders |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings	azebama.dll
Found ! C:\zPharaoh.exe
Found ! C:\autorun.inf
Found ! D:\autorun.inf
Found ! D:\zPharaoh.exe
Found ! D:\OPOP

################## | Mabezat |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings	azebama.dll
Found ! C:\Documents and Settings\Assma90\Application Data	azebama
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\components .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\defaults .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\pref .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\extensions .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\Mozilla Firefox                                                                                      .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\helper.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\uninstall .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\updater.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\alipic .exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\zPharaoh.exe
Found ! C:\WINDOWS\hh.exe
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! D:\Mozilla Firefox\updater.exe
Found ! D:\Mozilla Firefox\uninstall\helper.exe
Found ! D:\Mozilla Firefox\uninstall\uninstall .exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! D:\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\extensions .exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! D:\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! D:\Mozilla Firefox\defaults\pref\pref .exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\defaults .exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\components .exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\Mozilla Firefox                                                                                      .exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\OPOP                                                                                                 .exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Pic de Leila                                                                                         .exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Médical english                                                                                      .exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie Dento faciale .exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie dento faciale. 19 ref..doc .exe
Found ! D:\PHYSIOLOGIE\PHYSIOLOGIE                                                                                          .exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\Atlas anatomie 1 .exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\BIOCHIMIE                                                                                            .exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\RX\RX                                                                                                   .exe
Found ! D:\Radiologie\RX\msjavx86.exe
Found ! D:\Radiologie\IRM\IRM                                                                                                  .exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\ecrans renforcateurs .exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\ecrans renforcateurs\LES ECRANS RENFORCATEURS-Q-R.doc .exe
Found ! D:\Radiologie\Radiologie                                                                                           .exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\Quelques ATLAS                                                                                       .exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe

################## | Registry |


Merci de votre contribution.

Configuration: Windows XP / Firefox 8.0.1

kalimusic · Answer

Bonjour,

C'est une infection très coriace qui se transmet par supports amovibles.

1. Relance UsbFix

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

&#x25CF;  Choisir maintenant  "Suppression"  
&#x25CF; UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
&#x25CF; A la fin du nettoyage, clique sur OK dans la boite de dialogue 
&#x25CF; Upload le dossier zip si demandé
&#x25CF; Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt  

2. Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  

3. Héberge les 3 rapports sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 3 liens que tu me donneras dans ton prochain message afin que je puisse les consulter
 
A +

KqthPirce · Answer

Merci Kalimusic
Voici le rapport de suppression d'UsbFix :

############################## | UsbFix V 7.069 | [Deletion]

Updated 20/11/2011 by El Desaparecido
Started at 12:20:12 | 25/11/2011

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

################## | Active Processes |

C:\WINDOWS\System32\smss.exe (808)
C:\WINDOWS\system32\winlogon.exe (904)
C:\WINDOWS\system32\services.exe (948)
C:\WINDOWS\system32\lsass.exe (960)
C:\WINDOWS\system32\svchost.exe (1108)
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1248)
C:\WINDOWS\System32\svchost.exe (1260)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1716)
C:\WINDOWS\Explorer.EXE (1844)
C:\Documents and Settings	azebama.dl_ (1996)
C:\WINDOWS\system32\spoolsv.exe (1008)
c:\program files\idt\wdm\STacSV.exe (1444)
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (1204)
C:\WINDOWS\system32\igfxtray.exe (1360)
c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (1436)
C:\WINDOWS\system32\hkcmd.exe (1516)
C:\SPLASH.SYS\config\DVMExportService.exe (1560)
C:\WINDOWS\system32\igfxsrvc.exe (1568)
C:\WINDOWS\system32\igfxpers.exe (1588)
C:\Program Files\HP\HPBTWD.exe (1600)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1612)
C:\Program Files\IDT\WDM\sttray.exe (1620)
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1648)
C:\WINDOWS\system32\AESTFltr.exe (1656)
C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1664)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1764)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1772)
C:\Program Files\AVAST Software\Avast\avastUI.exe (1792)
C:\WINDOWS\system32\ctfmon.exe (1804)
C:\Program Files\Menara\dslmon.exe (2012)
C:\WINDOWS\system32\svchost.exe (2164)
C:\WINDOWS\system32\msiexec.exe (2628)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2992)
C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (3116)
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (4008)
C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4092)
C:\WINDOWS\system32\wuauclt.exe (2520)
C:\WINDOWS\system32\wuauclt.exe (3740)
C:\WINDOWS\system32\MsiExec.exe (2868)
C:\UsbFix\UsbFix.exe (3988)
C:\WINDOWS\system32\wscntfy.exe (3732)

################## | Stopped processes |

Stopped! C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1248)
Stopped! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1716)
Stopped! C:\WINDOWS\Explorer.EXE (1844)
Stopped! C:\Documents and Settings	azebama.dl_ (1996)
Stopped! C:\WINDOWS\system32\spoolsv.exe (1008)
Stopped! c:\program files\idt\wdm\STacSV.exe (1444)
Stopped! C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (1204)
Stopped! C:\WINDOWS\system32\igfxtray.exe (1360)
Stopped! c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (1436)
Stopped! C:\WINDOWS\system32\hkcmd.exe (1516)
Stopped! C:\SPLASH.SYS\config\DVMExportService.exe (1560)
Stopped! C:\WINDOWS\system32\igfxsrvc.exe (1568)
Stopped! C:\WINDOWS\system32\igfxpers.exe (1588)
Stopped! C:\Program Files\HP\HPBTWD.exe (1600)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1612)
Stopped! C:\Program Files\IDT\WDM\sttray.exe (1620)
Stopped! C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1648)
Stopped! C:\WINDOWS\system32\AESTFltr.exe (1656)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1664)
Stopped! C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1764)
Stopped! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1772)
Stopped! C:\Program Files\AVAST Software\Avast\avastUI.exe (1792)
Stopped! C:\WINDOWS\system32\ctfmon.exe (1804)
Stopped! C:\Program Files\Menara\dslmon.exe (2012)
Stopped! C:\WINDOWS\system32\msiexec.exe (2628)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2992)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (3116)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (4008)
Stopped! C:\WINDOWS\system32\wuauclt.exe (2520)
Stopped! C:\WINDOWS\system32\wuauclt.exe (3740)
Stopped! C:\WINDOWS\system32\MsiExec.exe (2868)
Stopped! C:\WINDOWS\system32\wscntfy.exe (3732)

################## | Files # Infected Folders |

Deleted ! C:\Documents and Settings\hook.dl_
Deleted ! C:\Documents and Settings	azebama.dll
Deleted ! C:\zPharaoh.exe
Deleted ! C:\Recycler\S-1-5-21-4221269701-3432351150-1523187740-1005
Deleted ! C:\Recycler\S-1-5-21-764283881-1912519358-2346311722-1003
Deleted ! C:\autorun.inf
Deleted ! D:\autorun.inf
Deleted ! D:\zPharaoh.exe
Deleted ! D:\OPOP

(!) Temporary files deleted.

2eme étape dans le prochain message.

kalimusic · Answer

re,

Héberge les rapports sinon, ils seront le plus souvent coupés, merci.

A +

KqthPirce · Answer

Merci Kalimusic 

Voici les 3 rapports  : 

http://cjoint.com/?AKzpekYvvg7


http://cjoint.com/?AKzphgrgYh3


http://cjoint.com/?AKzpjzkB1sQ

kalimusic · Answer

KqthPirce,

&#x25CF;  La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
&#x25CF;  N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
&#x25CF;  Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris. 
&#x25CF;  Héberge les rapports des outils sur https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
&#x25CF;  Je t'aide bénévolement, merci d'en tenir compte :)

 == == == == == == == == == == == == == == == == == == == == == ==

1. Désinstalle ces logiciels si présents :

QuestScan (adware)
ShopperReports   (adware)  
ShoppingReport2  (adware)
Ask Toolbar (inutile)   
2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

3. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; L'interface principale s'ouvre :
&#x25CF; Dans la partie "Personnalisation", copie/colle le texte hébergé ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

4. Héberge les rapports et donne moi les liens.

A +

KqthPirce · Answer

1. Les logiciels cités dessus ont été supprimés. 

2. Les liens des rapports: 
      
    - AdwCleaner:     http://cjoint.com/?AKzvtnn4n6Y 

    - OTL :    http://cjoint.com/?AKzvwfgjWZm

Merci encore :)

kalimusic · Answer

Bonsoir,

1. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression.

2. Relance OTL 

&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3.  Héberge les rapports et donne moi les liens.

A +

KqthPirce · Answer

voici les rapports:
  

  -MBM :  C/  :   http://cjoint.com/?AKAcjRy410L

              D/ E/  :  http://cjoint.com/?AKAclGtwqVN


-OTL  :  http://cjoint.com/?AKAcLnLDHvU

kalimusic · Answer

Bonjour,

Comme souvent dans ce type d'infection, la lutte est difficile, Mabezat s'accroche et se relance.

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:OTL
[2011/11/25 23:08:44 | 000,155,321 | RHS- | C] () -- C:\zPharaoh.exe    [2011/11/26 00:58:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Assma90\Application Data	azebama    
:Files
ipconfig /flushdns /c
tazebama.dl* /s /alldrives
hook.dl* /s /alldrives
zPharaoh.* /s /alldrives
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

2. Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarre l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

3. Héberge les rapports et donne moi les liens.

A +

KqthPirce · Answer

Bonjour,

voici le rapport de OTL: http://cjoint.com/?AKAp6qkEjhz

En ce qui concerne Combofix, ça fait 1h30 que l'installation est lancé et s'est pas encore terminée !!! est ce normal?

kalimusic · Answer

Bonjour, 

Non, pas vraiment, à quelle étape se trouve ComboFix stp ? 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

KqthPirce · Answer

j'ai lancé l'installation, les bandes ont commencé à apparaitre ça n'a pas pris bcp de temps; il ne reste qu'une bande et il s'est arreté là.
je suis dsl mais je sais pas comment mieux expliquer!!!

kalimusic · Answer

Il n'a pas pu démarrer l'écran de scan avec étape1, 2, 3 etc...
Essaye de le refermer, puis redémarre.

Relance UsbFix en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

Re-télécharge UsbFix   sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; Lance une recherche, héberge le rapport et poste le lien.

A +

KqthPirce · Answer

voici le rapport de UsbFix:  http://cjoint.com/?AKAsVTBewEA

¡El Desaparecido! · Answer

Hello,

Pour suivre le sujet, merci.

kalimusic · Answer

J'espère que tu as toujours la volonté de désinfecter parce que la situation est toujours critique, l'infection est toujours là.

1. Télécharge Dr Web CureIt sur ton bureau.

!! Déconnecte toi physiquement du net !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

2. Relance UsbFix

&#x25CF;  Choisir maintenant  "Suppression"  
&#x25CF; UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
&#x25CF; A la fin du nettoyage, clique sur OK dans la boite de dialogue 
&#x25CF; Upload le dossier zip si demandé

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

3. Lance Dr Web Cure It

aide : http://www.bibou0007.com/t3659-tutorial-dr-web-cureit

Attention ce scan est très long et immobilise complètement l'ordinateur.

Redémarre l'ordinateur, réactive l'antivirus et reconnecte toi au net.

4. Héberge les rapports et donne moi les liens. 

A +

jlpjlp · Answer

slt je passe juste

est-il possible de regarder même si combofix a planté si il y a un rapport combofix ici

poste de travail (ordinateur)  puis  C:\ComboFix.txt 


et le poster?

merci

et bonjour a tous :)

kalimusic · Answer

Bonjour jlpjlp,
Je pense que CF n'a jamais commencé son scan, l'utilisateur a décrit un blocage prématuré.

== == == == 

Bonjour KqthPirce,
Tu en es où ?

A +

kqthpierce · Answer

Bonjour Kalimusic,
 voici le rapport UsbFix :   http://cjoint.com/?AKBlaldBrsx

impossible d'heberger le rapport drWeb :32 112 kB les sites d'hebergement bloquent !!!

kalimusic · Answer

re,

même en le zippant ?
ou ici http://senduit.com/

Relance un recherche avec UsbFix

A +

KqthPirce · Answer

meme sur senduit on m'affiche ce message :   Sorry!
We seem to be having technical difficulty. Please try again in a moment.

j'attends un moment puis je reprends mais tjrs le même problème ça prend le temps pour hébergement mais on m'affiche le message.

kalimusic · Answer

Ok, laisse tomber, regardons si l'infection est toujours là :

Lance une recherche avec UsbFix puis une analyse rapide avec OTL.

Poste les liens

A +

KqthPirce · Answer

rapport UsbFix : http://cjoint.com/?AKBomRYsHFT

rapport OTL : http://cjoint.com/?AKBoupbrm8l

kalimusic · Answer

Bonsoir,

Enfin du mieux :)

Les fichiers trouvés par usbfix sont dans la quarantaine de Dr Web.

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:OTL
[2011/11/26 19:28:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Assma90\Application Data	azebama     
:Files
ipconfig /flushdns /c
tazebama.dl* /s /alldrives
hook.dl* /s /alldrives
zPharaoh.* /s /alldrives
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

2. Relance Malwarebytes, effectue la mise à jour et lance un scan complet.

3. Poste les liens des rapports.

A +

Kqthpierce · Answer

Je ne pourrai pas heberger les rapports durant la semaine
Je ne peux acceder à internet que le week-end
Merci infiniment pour votre aide
Je vous souhaite une très bonne semaine
Au week-end prochain :)

kalimusic · Answer

ok, 

Bonne semaine.

A +

KqthPirce · Answer

Bonsoir,
comment vous portez vous ?

voici le rapport d' OTL:  http://cjoint.com/?ALcuK2xjkFb

voici les rapports de MBM : http://cjoint.com/?ALcuUPDg7hR
                                           
                                           http://cjoint.com/?ALcuVHtNrW4

                                           http://cjoint.com/?ALcuWmoh2qH

kalimusic · Answer

Bonsoir,

Bien et toi ? Et ton pc ?

Comme cela fait quelques jours, on fait une dernière vérification :

1. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

2. Télécharge Security Check (by screen317 ) sur ton Bureau.

&#x25CF;  Lance SecurityCheck.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  Continue en appuyant sur une touche et patiente pendant l'analyse
&#x25CF;  Le rapport checkup.txt doit s'ouvrir spontanément à la fin du scan. 

3.  Héberge les rapports et donne moi les liens.

A +

KqthPirce · Answer

JE VAIS BIEN 

rapport d OTL :  http://cjoint.com/?ALcwNHPAGYx

impossible d'ouvrir security check on m'affiche un message :
windows ne peut pas trouver security check ....

kalimusic · Answer

Ok, je comprends pas trop pourquoi securitycheck ne passe pas.
On va faire sans ;)

1. Relance AdwCleaner
&#x25CF; Clique sur Désinstallation  

2. Idem pour UsbFix

3. Lance OTL
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

4. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

5. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

6. Désinstalle les versions obsolètes des logiciels suivants : 

Java(TM) 6 Update 24
Adobe Reader 9.4.6
7. Mises à jour de logiciels pouvant présenter des failles de sécurité.

&#x25CF; Télécharge et installe JRE 6 Update 29 

&#x25CF; Télécharge et installe Adobe Reader X (10.1.1)

&#x25CF; Vérifie ta version de FlashPlayer
Si nécéssaire télécharge et installe Adobe Flash Player 11.1.102.55

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

 == == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

&#x25CF; Maintenir Windows à jour

&#x25CF; Maintenir les logiciels à jour 

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

KqthPirce · Answer

Merci infiniment pour votre aide :)

Infection Mabezat / Tazebama

31 réponses

Discussions similaires