Infection Mabezat / Tazebama [Résolu/Fermé]

Signaler
-
 KqthPirce -
Bonjour,
Mon ordinateur est infecté par un virus nommé Mabezat. J'ai effectuée une recherche sur internet pour savoir comment le supprimer. J'ai trouvé tout un dossier bien détaillé sur la procédure à suivre à commencer par UsbFix. On recommande de poster le rapport UsbFix.txt avant de passer à l'étape suivante; voici le rapport:


############################## | UsbFix V 7.069 | [Research]

Updated 20/11/2011 by El Desaparecido
Started at 09:25:33 | 25/11/2011

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

################## | Active Processes |

C:\WINDOWS\System32\smss.exe (808)
C:\WINDOWS\system32\winlogon.exe (888)
C:\WINDOWS\system32\services.exe (932)
C:\WINDOWS\system32\lsass.exe (944)
C:\WINDOWS\system32\svchost.exe (1096)
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
C:\WINDOWS\System32\svchost.exe (1268)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
C:\WINDOWS\Explorer.EXE (1904)
C:\Documents and Settings\tazebama.dl_ (1992)
C:\WINDOWS\system32\spoolsv.exe (1304)
c:\program files\idt\wdm\STacSV.exe (1376)
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
C:\SPLASH.SYS\config\DVMExportService.exe (1076)
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
C:\WINDOWS\system32\igfxtray.exe (1612)
C:\WINDOWS\system32\hkcmd.exe (1636)
C:\WINDOWS\system32\svchost.exe (1500)
C:\WINDOWS\system32\igfxpers.exe (1744)
C:\Program Files\HP\HPBTWD.exe (1752)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
C:\Program Files\IDT\WDM\sttray.exe (1808)
C:\WINDOWS\system32\AESTFltr.exe (1828)
C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
C:\WINDOWS\system32\ctfmon.exe (1984)
C:\Program Files\Menara\dslmon.exe (2120)
C:\WINDOWS\system32\igfxsrvc.exe (2180)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
C:\WINDOWS\system32\msiexec.exe (3060)
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
C:\UsbFix\UsbFix.exe (2468)
C:\WINDOWS\system32\MsiExec.exe (4004)
C:\WINDOWS\system32\wscntfy.exe (3888)

################## | Stopped processes |

Stopped! C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe (1256)
Stopped! C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1720)
Stopped! C:\WINDOWS\Explorer.EXE (1904)
Stopped! C:\Documents and Settings\tazebama.dl_ (1992)
Stopped! C:\WINDOWS\system32\spoolsv.exe (1304)
Stopped! c:\program files\idt\wdm\STacSV.exe (1376)
Stopped! C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe (828)
Stopped! c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (832)
Stopped! C:\SPLASH.SYS\config\DVMExportService.exe (1076)
Stopped! C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (1524)
Stopped! C:\WINDOWS\system32\igfxtray.exe (1612)
Stopped! C:\WINDOWS\system32\hkcmd.exe (1636)
Stopped! C:\WINDOWS\system32\igfxpers.exe (1744)
Stopped! C:\Program Files\HP\HPBTWD.exe (1752)
Stopped! C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (1804)
Stopped! C:\Program Files\IDT\WDM\sttray.exe (1808)
Stopped! C:\WINDOWS\system32\AESTFltr.exe (1828)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe (1932)
Stopped! C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (1948)
Stopped! C:\Program Files\Common Files\Java\Java Update\jusched.exe (1968)
Stopped! C:\Program Files\AVAST Software\Avast\avastUI.exe (1976)
Stopped! C:\WINDOWS\system32\ctfmon.exe (1984)
Stopped! C:\Program Files\Menara\dslmon.exe (2120)
Stopped! C:\WINDOWS\system32\igfxsrvc.exe (2180)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (2720)
Stopped! C:\Program Files\Hewlett-Packard\HP QuickSync\jre\bin\javaw.exe (2944)
Stopped! C:\WINDOWS\system32\msiexec.exe (3060)
Stopped! C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (3544)
Stopped! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\firefox.exe (4028)
Stopped! C:\WINDOWS\system32\MsiExec.exe (4004)
Stopped! C:\WINDOWS\system32\wscntfy.exe (3888)
Stopped! C:\WINDOWS\system32\imapi.exe (3576)

################## | Files # Infected Folders |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings\tazebama.dll
Found ! C:\zPharaoh.exe
Found ! C:\autorun.inf
Found ! D:\autorun.inf
Found ! D:\zPharaoh.exe
Found ! D:\OPOP

################## | Mabezat |

Found ! C:\Documents and Settings\hook.dl_
Found ! C:\Documents and Settings\tazebama.dll
Found ! C:\Documents and Settings\Assma90\Application Data\tazebama
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\components .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\defaults .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\defaults\pref\pref .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\extensions .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\Mozilla Firefox .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\helper.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\uninstall\uninstall .exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\updater.exe
Found ! C:\Documents and Settings\Assma90\Desktop\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\alipic .exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipic\WinrRarSerialInstall.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\alipictures and video\NokiaN73Tools.exe
Found ! C:\Documents and Settings\Assma90\Local Settings\Application Data\Microsoft\CD Burning\zPharaoh.exe
Found ! C:\WINDOWS\hh.exe
Found ! C:\zPharaoh.exe
Found ! D:\zPharaoh.exe
Found ! D:\Mozilla Firefox\updater.exe
Found ! D:\Mozilla Firefox\uninstall\helper.exe
Found ! D:\Mozilla Firefox\uninstall\uninstall .exe
Found ! D:\Mozilla Firefox\uninstall\NokiaN73Tools.exe
Found ! D:\Mozilla Firefox\searchplugins\searchplugins .exe
Found ! D:\Mozilla Firefox\searchplugins\Make Windows Original.exe
Found ! D:\Mozilla Firefox\hyphenation\hyphenation .exe
Found ! D:\Mozilla Firefox\hyphenation\Office2003 CD-Key.doc.exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\{972ce4c6-7e08-4474-a285-3208198ce6fd} .exe
Found ! D:\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\InstallMSN11En.exe
Found ! D:\Mozilla Firefox\extensions\extensions .exe
Found ! D:\Mozilla Firefox\extensions\Office2007 Serial.txt.exe
Found ! D:\Mozilla Firefox\dictionaries\dictionaries .exe
Found ! D:\Mozilla Firefox\dictionaries\KasperSky6.0 Key.doc.exe
Found ! D:\Mozilla Firefox\defaults\pref\pref .exe
Found ! D:\Mozilla Firefox\defaults\pref\Lock Folder.exe
Found ! D:\Mozilla Firefox\defaults\defaults .exe
Found ! D:\Mozilla Firefox\defaults\JetAudio dump.exe
Found ! D:\Mozilla Firefox\components\components .exe
Found ! D:\Mozilla Firefox\components\InstallMSN11Ar.exe
Found ! D:\Mozilla Firefox\Mozilla Firefox .exe
Found ! D:\Mozilla Firefox\WinrRarSerialInstall.exe
Found ! D:\OPOP\OPOP .exe
Found ! D:\OPOP\Microsoft Windows Network.exe
Found ! D:\Pic de Leila\Pic de Leila .exe
Found ! D:\Pic de Leila\Adjust Time.exe
Found ! D:\Médical english\Médical english .exe
Found ! D:\Médical english\Recycle Bin.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie Dento faciale .exe
Found ! D:\Orthopédie Dento faciale\WindowsXp StartMenu Settings.exe
Found ! D:\Orthopédie Dento faciale\Orthopédie dento faciale. 19 ref..doc .exe
Found ! D:\PHYSIOLOGIE\PHYSIOLOGIE .exe
Found ! D:\PHYSIOLOGIE\MakeUrOwnFamilyTree.exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\Atlas anatomie 1 .exe
Found ! D:\BIOCHIMIE\Atlas anatomie 1\ShowDesktop.exe
Found ! D:\BIOCHIMIE\BIOCHIMIE .exe
Found ! D:\BIOCHIMIE\Win98compatibleXP.exe
Found ! D:\Radiologie\RX\RX .exe
Found ! D:\Radiologie\RX\msjavx86.exe
Found ! D:\Radiologie\IRM\IRM .exe
Found ! D:\Radiologie\IRM\FloppyDiskPartion.exe
Found ! D:\Radiologie\ecrans renforcateurs\ecrans renforcateurs .exe
Found ! D:\Radiologie\ecrans renforcateurs\HP_LaserJetAllInOneConfig.exe
Found ! D:\Radiologie\ecrans renforcateurs\LES ECRANS RENFORCATEURS-Q-R.doc .exe
Found ! D:\Radiologie\Radiologie .exe
Found ! D:\Radiologie\LockWindowsPartition.exe
Found ! D:\Quelques ATLAS\Quelques ATLAS .exe
Found ! D:\Quelques ATLAS\BrowseAllUsers.exe

################## | Registry |


Merci de votre contribution.

31 réponses

meme sur senduit on m'affiche ce message : Sorry!
We seem to be having technical difficulty. Please try again in a moment.

j'attends un moment puis je reprends mais tjrs le même problème ça prend le temps pour hébergement mais on m'affiche le message.
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 991
Ok, laisse tomber, regardons si l'infection est toujours là :

Lance une recherche avec UsbFix puis une analyse rapide avec OTL.

Poste les liens

A +
rapport UsbFix : http://cjoint.com/?AKBomRYsHFT

rapport OTL : http://cjoint.com/?AKBoupbrm8l
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 991
Bonsoir,

Enfin du mieux :)

Les fichiers trouvés par usbfix sont dans la quarantaine de Dr Web.

Relance OTL

● Dans la partie "Personnalisation", copie/colle :

:OTL
[2011/11/26 19:28:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Assma90\Application Data\tazebama     
:Files
ipconfig /flushdns /c
tazebama.dl* /s /alldrives
hook.dl* /s /alldrives
zPharaoh.* /s /alldrives
:Commands 
[emptytemp]

● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

2. Relance Malwarebytes, effectue la mise à jour et lance un scan complet.

3. Poste les liens des rapports.

A +
Je ne pourrai pas heberger les rapports durant la semaine
Je ne peux acceder à internet que le week-end
Merci infiniment pour votre aide
Je vous souhaite une très bonne semaine
Au week-end prochain :)
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 991
ok,

Bonne semaine.

A +
Bonsoir,
comment vous portez vous ?

voici le rapport d' OTL: http://cjoint.com/?ALcuK2xjkFb

voici les rapports de MBM : http://cjoint.com/?ALcuUPDg7hR

http://cjoint.com/?ALcuVHtNrW4

http://cjoint.com/?ALcuWmoh2qH
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 991
Bonsoir,

Bien et toi ? Et ton pc ?

Comme cela fait quelques jours, on fait une dernière vérification :

1. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

2. Télécharge Security Check (by screen317 ) sur ton Bureau.

● Lance SecurityCheck.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Continue en appuyant sur une touche et patiente pendant l'analyse
● Le rapport checkup.txt doit s'ouvrir spontanément à la fin du scan.

3. Héberge les rapports et donne moi les liens.

A +
JE VAIS BIEN

rapport d OTL : http://cjoint.com/?ALcwNHPAGYx

impossible d'ouvrir security check on m'affiche un message :
windows ne peut pas trouver security check ....
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 991
Ok, je comprends pas trop pourquoi securitycheck ne passe pas.
On va faire sans ;)

1. Relance AdwCleaner
● Clique sur Désinstallation

2. Idem pour UsbFix

3. Lance OTL
● Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

4. Relance OTL
● Clique sur le bouton Purge outils
● Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

5. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant

6. Désinstalle les versions obsolètes des logiciels suivants :

Java(TM) 6 Update 24
Adobe Reader 9.4.6

7. Mises à jour de logiciels pouvant présenter des failles de sécurité.

● Télécharge et installe JRE 6 Update 29

● Télécharge et installe Adobe Reader X (10.1.1)

● Vérifie ta version de FlashPlayer
Si nécéssaire télécharge et installe Adobe Flash Player 11.1.102.55

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

== == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

Maintenir Windows à jour

Maintenir les logiciels à jour

Ne pas surfer en droits administrateurs

Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation.

Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...)

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation
Merci infiniment pour votre aide :)