Sujet Précédent Sujet Suivant

Mabezat

Fermé
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 15 juil. 2013 à 15:12
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 22 juil. 2013 à 11:11
Bonjour,

salut à tous si ca peut interesser quelqu'un je me suis ramassé Mabezat , voici à quoi ressenblent les services

R2 - ~@ndcqxkg~ (~@ndcqxkg~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~@oodm^gk~ (~@oodm^gk~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~@qxgaxwe~ (~@qxgaxwe~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~@vxvd^ue~ (~@vxvd^ue~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~aiwu^^ia~ (~aiwu^^ia~) -> C:\Windows\system32\7zG.exe
S2 - ~ajhehhas~ (~ajhehhas~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~aqacebtf~ (~aqacebtf~) -> C:\Windows\system32\Solitaire.exe
S2 - ~awlhommb~ (~awlhommb~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~axkkc@al~ (~axkkc@al~) -> C:\Windows\system32\CCleaner.exe
S2 - ~a^ogbpx@~ (~a^ogbpx@~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~bndvbapu~ (~bndvbapu~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~bvkkvxmm~ (~bvkkvxmm~) -> C:\Windows\system32\LULnchr.exe
S2 - ~cebrgbti~ (~cebrgbti~) -> C:\Windows\system32\firefox.exe
S2 - ~ck@joeo^~ (~ck@joeo^~) -> C:\Windows\system32\ZHP2.exe
S2 - ~cqcmr@hh~ (~cqcmr@hh~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~ctjthxqt~ (~ctjthxqt~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~cxgscopf~ (~cxgscopf~) -> C:\Windows\system32\HControl.exe
S2 - ~dmr@vfsh~ (~dmr@vfsh~) -> C:\Windows\system32\jaureg.exe
S2 - ~ebdlanhk~ (~ebdlanhk~) -> C:\Windows\system32\firefox.exe
S2 - ~emkfpccp~ (~emkfpccp~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~epuxlhu^~ (~epuxlhu^~) -> C:\Windows\system32\HControl.exe
S2 - ~esrbcrjf~ (~esrbcrjf~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~fngdrwmb~ (~fngdrwmb~) -> C:\Windows\system32\firefox.exe
S2 - ~gtegaenr~ (~gtegaenr~) -> C:\Windows\system32\Revouninstaller.exe
S2 - ~gv^pimmn~ (~gv^pimmn~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~gwqawdcs~ (~gwqawdcs~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~hgvkwxrc~ (~hgvkwxrc~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~ibmksadt~ (~ibmksadt~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~irlkcvu^~ (~irlkcvu^~) -> C:\Windows\system32\7zG.exe
S2 - ~isx@ddvx~ (~isx@ddvx~) -> C:\Windows\system32\7zG.exe
S2 - ~iwrwritg~ (~iwrwritg~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~i^vdvkmi~ (~i^vdvkmi~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~jgqacrrr~ (~jgqacrrr~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~juud@@bm~ (~juud@@bm~) -> C:\Windows\system32\MiniToolBox.exe
S2 - ~jveri@aq~ (~jveri@aq~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~kbwojkln~ (~kbwojkln~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~kf@jnkh^~ (~kf@jnkh^~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~kjbjsokc~ (~kjbjsokc~) -> C:\Windows\system32\firefox.exe
S2 - ~kviknbxu~ (~kviknbxu~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~kxrtfrix~ (~kxrtfrix~) -> C:\Windows\system32\7zG.exe
S2 - ~lgaiuqtb~ (~lgaiuqtb~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~lppnkgoj~ (~lppnkgoj~) -> C:\Windows\system32\LULnchr.exe
S2 - ~m@qvbteh~ (~m@qvbteh~) -> C:\Windows\system32\HControl.exe
S2 - ~mjittvwr~ (~mjittvwr~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~mtkrw@os~ (~mtkrw@os~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~nnrqngmq~ (~nnrqngmq~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~objvuoxl~ (~objvuoxl~) -> C:\Windows\system32\LULnchr.exe
S2 - ~obv@eu^b~ (~obv@eu^b~) -> C:\Windows\system32\HControl.exe
S2 - ~ohmr^iho~ (~ohmr^iho~) -> C:\Windows\system32\CCleaner.exe
S2 - ~oqvpkrtx~ (~oqvpkrtx~) -> C:\Windows\system32\HControl.exe
S2 - ~qwond@xl~ (~qwond@xl~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~reognlqv~ (~reognlqv~) -> C:\Windows\system32\jqs.exe
S2 - ~rjanequl~ (~rjanequl~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~rqencxwg~ (~rqencxwg~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~s@wjjeku~ (~s@wjjeku~) -> C:\Windows\system32\7zG.exe
S2 - ~sfaaofrc~ (~sfaaofrc~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~sjqbgoli~ (~sjqbgoli~) -> C:\Windows\system32\firefox.exe
S2 - ~skehhuvu~ (~skehhuvu~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~snjmjrjn~ (~snjmjrjn~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~sunhroxo~ (~sunhroxo~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~tgamh@ca~ (~tgamh@ca~) -> C:\Windows\system32\LULnchr.exe
S2 - ~thuvffdh~ (~thuvffdh~) -> C:\Windows\system32\iusb3mon.exe
S2 - ~topswqkm~ (~topswqkm~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~tqvpjwwh~ (~tqvpjwwh~) -> C:\Windows\system32\TeamViewer.exe
S2 - ~tw@hvdfu~ (~tw@hvdfu~) -> C:\Windows\system32\CCleaner.exe
S2 - ~txkfwrkc~ (~txkfwrkc~) -> C:\Windows\system32\LULnchr.exe
S2 - ~ubmrnjlq~ (~ubmrnjlq~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~uhvf^jj^~ (~uhvf^jj^~) -> C:\Windows\system32\TeamViewer.exe
S2 - ~uk@r@pqd~ (~uk@r@pqd~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~v@^un@l@~ (~v@^un@l@~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~vjdsnnfl~ (~vjdsnnfl~) -> C:\Windows\system32\FlashUtil32_11_7_700_224_Plugin.exe
S2 - ~voblljcd~ (~voblljcd~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~voesxgut~ (~voesxgut~) -> C:\Windows\system32\7zG.exe
S2 - ~v^ntucrb~ (~v^ntucrb~) -> C:\Windows\system32\7zG.exe
S2 - ~^glppcvt~ (~^glppcvt~) -> C:\Windows\system32\Updater.exe
S2 - ~^mawicrj~ (~^mawicrj~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~^mtppjfw~ (~^mtppjfw~) -> C:\Windows\system32\iusb3mon.exe
S2 - ~^quaxrwm~ (~^quaxrwm~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~^umoihfb~ (~^umoihfb~) -> C:\Windows\system32\firefox.exe



je suis en train de me battre

22 réponses

  • 1
  • 2
Réponse 1 / 22
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 807
15 juil. 2013 à 21:59
Bravo gen :)


3
Réponse 2 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
20 juil. 2013 à 23:09
il semblerait que drweb laisse un paquet de traces ( l'infection n'est plus active )

https://www.cjoint.com/c/CGutOSakR1L
2
Réponse 3 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 20:57
bon je confirme , drweb cureIt desinfecte totalement mabezat
1
mpuissance4 Messages postés 14921 Date d'inscription dimanche 26 juillet 2009 Statut Contributeur Dernière intervention 18 août 2024 2 133
15 juil. 2013 à 21:19
cool
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 21:33
très
0
billmaxime Messages postés 50446 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 3 janvier 2025 6 011
15 juil. 2013 à 21:56
salut Gen

mabezat est mort, et toi tu es toujours vivant et prêt a aider les internautes qui se présentent avec 1

infection.

je vais paraître cynique en souhaitant "longue vie " aux virus, mais c'est juste dans l'espoir de pouvoir

suivre les désinfections, voir destructions de virus que tu effectues.

en te souhaitant de manière simple, tout ce qui pourras, où pourrais te faire plaisir, le bonheur dans son intégralité.

prends soin de toi

@+ ma poule

stéphane
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 21:56
c:\windows\system32\crashreporter.exe - infected with Win32.Cave
c:\windows\system32\crashreporter.exe - infected
c:\windows\system32\updater.exe - infected with Win32.Cave
c:\windows\system32\updater.exe - infected
c:\windows\system32\flashutil32_11_7_700_224_plugin.exe - infected with Win32.Cave
c:\windows\system32\flashutil32_11_7_700_224_plugin.exe - infected
c:\windows\system32\teamviewer.exe - infected with Win32.Cave
c:\windows\system32\teamviewer.exe - infected
c:\windows\system32\iusb3mon.exe - infected with Win32.Cave
c:\windows\system32\iusb3mon.exe - infected
c:\windows\system32\jqs.exe - infected with Win32.Cave
c:\windows\system32\jqs.exe - infected
c:\windows\system32\photosnapviewer.exe - infected with Win32.Cave
c:\windows\system32\photosnapviewer.exe - infected
c:\windows\system32\minitoolbox.exe - infected with Win32.Cave
c:\windows\system32\minitoolbox.exe - infected
c:\windows\system32\nmindexstoresvr.exe - infected with Win32.Cave
c:\windows\system32\nmindexstoresvr.exe - infected
c:\windows\system32\revouninstaller.exe - infected with Win32.Cave
c:\windows\system32\revouninstaller.exe - infected
c:\windows\system32\jaureg.exe - infected with Win32.Cave
c:\windows\system32\jaureg.exe - infected
c:\windows\system32\hcontrol.exe - infected with Win32.Cave
c:\windows\system32\hcontrol.exe - infected
c:\windows\system32\nerocheck.exe - infected with Win32.Cave
c:\windows\system32\nerocheck.exe - infected
c:\windows\system32\zhp2.exe - infected with Win32.Cave
c:\windows\system32\zhp2.exe - infected
c:\windows\system32\firefox.exe - infected with Win32.Cave
c:\windows\system32\firefox.exe - infected
c:\windows\system32\lulnchr.exe - infected with Win32.Cave
c:\windows\system32\lulnchr.exe - infected
c:\windows\system32\ccleaner.exe - infected with Win32.Cave
c:\windows\system32\ccleaner.exe - infected
c:\windows\system32\solitaire.exe - infected with Win32.Cave
c:\windows\system32\solitaire.exe - infected
c:\windows\system32\comupdatus.exe - infected with Win32.Cave
c:\windows\system32\comupdatus.exe - infected
c:\windows\system32\7zg.exe - infected with Win32.Cave
c:\windows\system32\7zg.exe - infected
c:\windows\system32\logitechupdate.exe - infected with Win32.Cave
c:\windows\system32\logitechupdate.exe - infected
c:\windows\system32\nmbgmonitor.exe - infected with Win32.Cave
c:\windows\system32\nmbgmonitor.exe - infected
0
Réponse 4 / 22
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
15 juil. 2013 à 21:55
"bon je confirme , drweb cureIt desinfecte totalement mabezat "
C'est cela qu'il faut retenir

merci g3n

Smart
1
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 22:11
par contre le systeme est sauvé mais j'ai du reinstaller 4/5 progs dont autoit je pouvais plus compiler pre_scan mdr drweb m'avait bouffé tous les executables , heureusement que l'infection n'affecte pas les fichiers .au3 ou .reg j'aurais été beau tiens !! ^^
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
15 juil. 2013 à 22:54
Bon à savoir
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 23:07
m'enfin c'est bon tout est rentré dans l'ordre et rien que pour faire iech mabezat je viens de faire une mise à jour que j'ai mise en ligne ^^ mdr !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 17/07/2013 à 14:41
Merci de ne pas faire de demande d'aide sur ce topic que j'ai ouvert pour discuter de Mabezat

en l'occurence Pre_Scan avait detecté ca avant le passage de drWeb :

Possible Mabezat (bad offsets) : C:\Windows\explorer.backup.exe : 000000000000000000000000600000E2A43C674DB8000100113E674DC5000000
Possible Mabezat (bad offsets) : C:\Users\g3n-h@ckm@n\Desktop\install_flash_player.exe : 000000000000000000000000600000E200000000000000000000000000000000
Possible Mabezat (bad offsets) : C:\Users\g3n-h@ckm@n\Desktop\notepad.exe : D017000000AE0200000000000000000000000000600000E27ED95B4A80000000


le notepad du bureau était le notepad que j'avais copié du dossier windows pour experiences autres que mabezat
je viens d'y rajouter la detection plus etendue on verra bien ^^

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
1
Réponse 6 / 22
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
15 juil. 2013 à 15:15
Courrage, g3n :P
0
Réponse 7 / 22
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
15 juil. 2013 à 15:22
G3n, tu as le lien de la discussion ?

Smart
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 15/07/2013 à 18:37
hello smart ben la discussion elle est dans mon pc ce que tu vois est dans pre_diag suite au passage de pre_scan , mais j'ai rien compris , j'ai passé drweb et il y a plus aucun service je crois que je l'ai eu et qu il a tout desinfecté. là je passe mbam complet sur tous mes disques pour voir

drweb m'a desinfecté 789 fichiers , deja quand j'ouvre un exe j'ai plus mbam qui me le bloque en tant que Backdoor irc.Bot
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
Modifié par Sugel le 15/07/2013 à 18:58
je suppose que tu as attrapé cette horreeeuur en manipluant des fichiers tests hors de ta vm
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 18:59
oui il est possible que j'ai cliqué sur un dropper par inadvertance :)
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
15 juil. 2013 à 19:30
OK.

"oui il est possible que j'ai cliqué sur un dropper par inadvertance :)"

Ou alors pour tes tests

Smart
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 19:47
ben je ne mets pas en contact les VM et l'hote via usb
0
Réponse 8 / 22
STARGATE43 Messages postés 14584 Date d'inscription samedi 3 décembre 2011 Statut Contributeur Dernière intervention 26 septembre 2023 2 402
15 juil. 2013 à 15:29
Salut mon p'tit g3n, je sais que tu peux le faire, sinon, y a la manière FORTE :



Cdlt et @++ ;-)
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
15 juil. 2013 à 19:00
coucou stargate plaisir de te lire :)

il y a tellement d'armes pour se battre avant de formater :)
0
Réponse 9 / 22
mpuissance4 Messages postés 14921 Date d'inscription dimanche 26 juillet 2009 Statut Contributeur Dernière intervention 18 août 2024 2 133
15 juil. 2013 à 16:04
kikou toi ;)

bon courage ^^ sérieux je me moque pas


0
Réponse 10 / 22
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 juil. 2013 à 19:39
Hello Gen

Merci pour les infos.
Et bravo pour ton réflexe avec DrWeb.

Amicalement
Albert
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
16 juil. 2013 à 19:55
merci albert :)
0
Réponse 11 / 22
Antyne Messages postés 121 Date d'inscription samedi 11 mai 2013 Statut Membre Dernière intervention 11 décembre 2013 7
Modifié par Antyne le 17/07/2013 à 07:30
Salut g3n j'aurais à nouveau besoin de tes compétences stp :)

https://forums.commentcamarche.net/forum/affich-28270003-help-pc-qui-s-allumme-en-boucle

Merci
0
Réponse 12 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 17/07/2013 à 17:12
autre chose

Malwarebytes Anti-Exploit , me bloquait un exploit à chaque lancement d'un exe contaminé par mabezat , j'en conclus donc que meme infecté par ce ver , mbam + MBAE restent les meilleures protections qui soient.

l'un bloque l'exe en tant qu'IRC.Bot , et l'autre bloque les exploits qui tentent de passer par Java sous l 'infection.
d'ailleurs java a été neutralisé par mbae sur le coup
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
Réponse 13 / 22
mpuissance4 Messages postés 14921 Date d'inscription dimanche 26 juillet 2009 Statut Contributeur Dernière intervention 18 août 2024 2 133
17 juil. 2013 à 18:00
kikou

Trop bien alors parce que je veux plus le voir celui la sur mon ordi ;)

@+
0
Réponse 14 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 21/07/2013 à 09:30
lol il semblerait que Mr Mabezat se soit planqué dans les drivers graphiques et est reparti de plus belle j'en ai de partout

tant pis je formate , ca m'apprendra à jouer en direct au lieu d'utiliser une VM ^^

il se relance aussi via googleupdate ( google chrome )

quand je dis que ce browser c'est de la mer$e qui ramasse toutes les me$es de la terre ....

tous les fichiers .dat ont changé d'icone et ont l'icone de synchronisation de firefox
l'icone de desinstall de update checker a pris l'icone de ask toolbar

moralité :

Mabezat 1 , g3n-h@ckm@n 0

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
Utilisateur anonyme
21 juil. 2013 à 12:28
re

je croyais que c'était que des restes ??
0
Réponse 15 / 22
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
21 juil. 2013 à 14:10
Coucou

Tu sais pourquoi tu détectes 2 MD5 différents ici ? 


Possible ZeroAccess (bad offsets) : C:\Windows\System32\Drivers\vmhgfs.sys : 210CFDEA656D93B9656D93B9656D93B9656D92B9646D93B9A662CEB9666D93B9
Possible ZeroAccess (bad offsets) : C:\Windows\System32\Drivers\vmhgfs.sys : 7EF03CB9636D93B97EF008B9646D93B97EF00EB9646D93B952696368656D93B9


Essaie combofix aussi :)
0
Réponse 16 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
21 juil. 2013 à 17:40
c'est pas des MD5 ^^lol !!

ce sont des sequences d'offsets injectées par zeroaccess

==

Combofix n'aurait pas fait le poids , à peine lancé il aurait été infecté (".exe")

j'ai lancé drweb qui n'a plus rien detecté sur mes DDE , et Kaspersky en a encore detecté 550 ^^ )
0
Réponse 17 / 22
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
21 juil. 2013 à 19:29
Ah ok :x

0
Réponse 18 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
21 juil. 2013 à 21:38
ou modifiées*
0
Réponse 19 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
22 juil. 2013 à 11:11
la dernière variante Mabezat ne crée pas le fichier zPharaoh.exe aux racines des disques ni le processus tazebama.dll , ni le dossier tazebama

elle s'attaque directement eu systeme

par contre il suffit de lancer un exe d'un DDE ou clé usb pour injecter celui-ci ( s'il fait moins de 10 Mo en gros ) , et placer un fichier du meme nom mais c'est un fichier mabezat (393 Ko ) dans le system32 et en créant un service qui se lance en automatique sur ce fichier.donc en faisant une détection à l'envers sur les services avec le nom du fichier , ca passe en légitime.
0
Réponse 20 / 22
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
17 juil. 2013 à 21:34
bah ca fait des degats quand même , car drweb desinfecte mabezat mais certains executables ne sont plus utilisables ,bien que desinfectés , j'ai bossé sur les offsets pour la detection et pour la suppression / remplacement mais il est pratiquement impossible de savoir suivant le fichier la sequence d'offsets à mettre à la place , sinon d'avoir le fichier original et de faire une triple comparaison mais j'ai pas encore trouvé comment
-1
Utilisateur anonyme
Modifié par Homerlulu le 17/07/2013 à 22:23
hello

Mabezat est (pour le moment) pas désinfectable à 100%. C'est vraiment le plus coriace..
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
17 juil. 2013 à 22:31
desinfectable si bien sur mais on ne peut rendre à chaque executable touché toutes ses fonctions suivant l'offset touché
0
Utilisateur anonyme
Modifié par Homerlulu le 17/07/2013 à 22:50
je me suis mal exprimé, c'est les executables touchés par Mabezat qui sont pas tous récupérable à 100%...
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
17 juil. 2013 à 22:53
y'a un mieux ^^
0
Utilisateur anonyme
18 juil. 2013 à 00:31
mdr
0

Discussions similaires

W32/Mabezat
naimsoufiane -
Utilisateur anonyme -

1 réponse