Mabezat Fermé

Question

Bonjour, 

salut à tous si ca peut interesser quelqu'un je me suis ramassé Mabezat , voici à quoi ressenblent les services

R2 - ~@ndcqxkg~ (~@ndcqxkg~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~@oodm^gk~ (~@oodm^gk~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~@qxgaxwe~ (~@qxgaxwe~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~@vxvd^ue~ (~@vxvd^ue~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~aiwu^^ia~ (~aiwu^^ia~) -> C:\Windows\system32\7zG.exe
S2 - ~ajhehhas~ (~ajhehhas~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~aqacebtf~ (~aqacebtf~) -> C:\Windows\system32\Solitaire.exe
S2 - ~awlhommb~ (~awlhommb~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~axkkc@al~ (~axkkc@al~) -> C:\Windows\system32\CCleaner.exe
S2 - ~a^ogbpx@~ (~a^ogbpx@~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~bndvbapu~ (~bndvbapu~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~bvkkvxmm~ (~bvkkvxmm~) -> C:\Windows\system32\LULnchr.exe
S2 - ~cebrgbti~ (~cebrgbti~) -> C:\Windows\system32\firefox.exe
S2 - ~ck@joeo^~ (~ck@joeo^~) -> C:\Windows\system32\ZHP2.exe
S2 - ~cqcmr@hh~ (~cqcmr@hh~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~ctjthxqt~ (~ctjthxqt~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~cxgscopf~ (~cxgscopf~) -> C:\Windows\system32\HControl.exe
S2 - ~dmr@vfsh~ (~dmr@vfsh~) -> C:\Windows\system32\jaureg.exe
S2 - ~ebdlanhk~ (~ebdlanhk~) -> C:\Windows\system32\firefox.exe
S2 - ~emkfpccp~ (~emkfpccp~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~epuxlhu^~ (~epuxlhu^~) -> C:\Windows\system32\HControl.exe
S2 - ~esrbcrjf~ (~esrbcrjf~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~fngdrwmb~ (~fngdrwmb~) -> C:\Windows\system32\firefox.exe
S2 - ~gtegaenr~ (~gtegaenr~) -> C:\Windows\system32\Revouninstaller.exe
S2 - ~gv^pimmn~ (~gv^pimmn~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~gwqawdcs~ (~gwqawdcs~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~hgvkwxrc~ (~hgvkwxrc~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~ibmksadt~ (~ibmksadt~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~irlkcvu^~ (~irlkcvu^~) -> C:\Windows\system32\7zG.exe
S2 - ~isx@ddvx~ (~isx@ddvx~) -> C:\Windows\system32\7zG.exe
S2 - ~iwrwritg~ (~iwrwritg~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~i^vdvkmi~ (~i^vdvkmi~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~jgqacrrr~ (~jgqacrrr~) -> C:\Windows\system32\LogitechUpdate.exe
S2 - ~juud@@bm~ (~juud@@bm~) -> C:\Windows\system32\MiniToolBox.exe
S2 - ~jveri@aq~ (~jveri@aq~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~kbwojkln~ (~kbwojkln~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~kf@jnkh^~ (~kf@jnkh^~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~kjbjsokc~ (~kjbjsokc~) -> C:\Windows\system32\firefox.exe
S2 - ~kviknbxu~ (~kviknbxu~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~kxrtfrix~ (~kxrtfrix~) -> C:\Windows\system32\7zG.exe
S2 - ~lgaiuqtb~ (~lgaiuqtb~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~lppnkgoj~ (~lppnkgoj~) -> C:\Windows\system32\LULnchr.exe
S2 - ~m@qvbteh~ (~m@qvbteh~) -> C:\Windows\system32\HControl.exe
S2 - ~mjittvwr~ (~mjittvwr~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~mtkrw@os~ (~mtkrw@os~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~nnrqngmq~ (~nnrqngmq~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~objvuoxl~ (~objvuoxl~) -> C:\Windows\system32\LULnchr.exe
S2 - ~obv@eu^b~ (~obv@eu^b~) -> C:\Windows\system32\HControl.exe
S2 - ~ohmr^iho~ (~ohmr^iho~) -> C:\Windows\system32\CCleaner.exe
S2 - ~oqvpkrtx~ (~oqvpkrtx~) -> C:\Windows\system32\HControl.exe
S2 - ~qwond@xl~ (~qwond@xl~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~reognlqv~ (~reognlqv~) -> C:\Windows\system32\jqs.exe
S2 - ~rjanequl~ (~rjanequl~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~rqencxwg~ (~rqencxwg~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~s@wjjeku~ (~s@wjjeku~) -> C:\Windows\system32\7zG.exe
S2 - ~sfaaofrc~ (~sfaaofrc~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~sjqbgoli~ (~sjqbgoli~) -> C:\Windows\system32\firefox.exe
S2 - ~skehhuvu~ (~skehhuvu~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~snjmjrjn~ (~snjmjrjn~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~sunhroxo~ (~sunhroxo~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~tgamh@ca~ (~tgamh@ca~) -> C:\Windows\system32\LULnchr.exe
S2 - ~thuvffdh~ (~thuvffdh~) -> C:\Windows\system32\iusb3mon.exe
S2 - ~topswqkm~ (~topswqkm~) -> C:\Windows\system32\NeroCheck.exe
S2 - ~tqvpjwwh~ (~tqvpjwwh~) -> C:\Windows\system32\TeamViewer.exe
S2 - ~tw@hvdfu~ (~tw@hvdfu~) -> C:\Windows\system32\CCleaner.exe
S2 - ~txkfwrkc~ (~txkfwrkc~) -> C:\Windows\system32\LULnchr.exe
S2 - ~ubmrnjlq~ (~ubmrnjlq~) -> C:\Windows\system32\FlashPlayerPlugin_11_7_700_224.exe
S2 - ~uhvf^jj^~ (~uhvf^jj^~) -> C:\Windows\system32\TeamViewer.exe
S2 - ~uk@r@pqd~ (~uk@r@pqd~) -> C:\Windows\system32\ComUpdatus.exe
S2 - ~v@^un@l@~ (~v@^un@l@~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~vjdsnnfl~ (~vjdsnnfl~) -> C:\Windows\system32\FlashUtil32_11_7_700_224_Plugin.exe
S2 - ~voblljcd~ (~voblljcd~) -> C:\Windows\system32\NMIndexStoreSvr.exe
S2 - ~voesxgut~ (~voesxgut~) -> C:\Windows\system32\7zG.exe
S2 - ~v^ntucrb~ (~v^ntucrb~) -> C:\Windows\system32\7zG.exe
S2 - ~^glppcvt~ (~^glppcvt~) -> C:\Windows\system32\Updater.exe
S2 - ~^mawicrj~ (~^mawicrj~) -> C:\Windows\system32\PhotoSnapViewer.exe
S2 - ~^mtppjfw~ (~^mtppjfw~) -> C:\Windows\system32\iusb3mon.exe
S2 - ~^quaxrwm~ (~^quaxrwm~) -> C:\Windows\system32\NMBgMonitor.exe
S2 - ~^umoihfb~ (~^umoihfb~) -> C:\Windows\system32\firefox.exe

Configuration: windows 3.0 ^^ , pas d'antivirus 
 
je suis en train de me battre

lilidurhone · Accepted Answer

Bravo gen :)

Sugel · Answer

Courrage, g3n :P

Smart91 · Answer

G3n, tu as le lien de la discussion ?
 
Smart

STARGATE43 · Answer

Salut mon p'tit g3n, je sais que tu peux le faire, sinon, y a la manière FORTE :

Cdlt et @++ ;-)

mpuissance4 · Answer

kikou toi ;) 

bon courage  ^^ sérieux  je me moque pas

g3n-h@ckm@n · Answer

bon je confirme , drweb cureIt desinfecte totalement mabezat

Smart91 · Answer

"bon je confirme , drweb cureIt desinfecte totalement mabezat " 
C'est cela qu'il faut retenir

merci g3n

Smart

afideg · Answer

Hello Gen

Merci pour les infos.
Et bravo pour ton réflexe avec DrWeb.

Amicalement
Albert

Antyne · Answer

Salut g3n j'aurais à nouveau besoin de tes compétences stp :)

https://forums.commentcamarche.net/forum/affich-28270003-help-pc-qui-s-allumme-en-boucle

Merci

g3n-h@ckm@n · Answer

Merci de ne pas faire de demande d'aide sur ce topic que j'ai ouvert pour discuter de Mabezat 

en l'occurence Pre_Scan avait detecté ca avant le passage de drWeb :

Possible Mabezat (bad offsets) : C:\Windows\explorer.backup.exe :  000000000000000000000000600000E2A43C674DB8000100113E674DC5000000
Possible Mabezat (bad offsets) : C:\Users\g3n-h@ckm@n\Desktop\install_flash_player.exe :  000000000000000000000000600000E200000000000000000000000000000000
Possible Mabezat (bad offsets) : C:\Users\g3n-h@ckm@n\Desktop
otepad.exe :  D017000000AE0200000000000000000000000000600000E27ED95B4A80000000


le notepad du bureau était le notepad que j'avais copié du dossier windows pour experiences autres que mabezat
je viens d'y rajouter la detection plus etendue on verra bien ^^
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

autre chose

Malwarebytes Anti-Exploit , me bloquait un exploit à chaque lancement d'un exe contaminé par mabezat , j'en conclus donc que meme infecté par ce ver , mbam + MBAE restent les meilleures protections qui soient. 
 
l'un bloque l'exe en tant qu'IRC.Bot , et l'autre bloque les exploits qui tentent de passer par Java sous l 'infection.
d'ailleurs java a été neutralisé par mbae sur le coup
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

mpuissance4 · Answer

kikou 

Trop bien  alors parce que  je veux plus le voir celui la sur mon ordi  ;)

@+

g3n-h@ckm@n · Answer

bah ca fait des degats quand même , car drweb desinfecte mabezat mais certains executables ne sont plus utilisables ,bien que desinfectés , j'ai bossé sur les offsets pour la detection et pour la suppression / remplacement mais il est pratiquement impossible de savoir suivant le fichier la sequence d'offsets à mettre à la place , sinon d'avoir le fichier original et de faire une triple comparaison mais j'ai pas encore trouvé comment

g3n-h@ckm@n · Answer

comme je disais j'ai étendu la recherche sur mabezat , prochainement je m'attaque à la detection des services

https://www.cjoint.com/c/CGsx7bpbvDc

g3n-h@ckm@n · Answer

en fait je retire ce que j'ai dit , drWeb ne desinfecte pas à 100% il y'a des restes de mabezat dans les executables , l'infection n'st plus active mais il y a des restes dans les offsets

Possible Mabezat (bad offsets) : C:\Windows\System32\intelcphecisvc.exe : 000000000000000000000000600000E200000000000000000000000000000000
Possible Mabezat (bad offsets) : C:\Windows\System32\vmicsvc.exe : FF350000005003000026000000240300000000000000000000000000600000E2
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\bth.inf_x86_neutral_2d4ce84c4a0b8470\fsquirt.exe : 000000000000000000000000600000E206B7E74C78000000EFB8E74C85000100
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\bth.inf_x86_neutral_92c343c9dc681a74\fsquirt.exe : 000000000000000000000000600000E206B7E74C78000000EFB8E74C85000100
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\bth.inf_x86_neutral_a6bf6d613b46f6a5\fsquirt.exe : 000000000000000000000000600000E206B7E74C78000000EFB8E74C85000100
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\divacx86.inf_x86_neutral_d9558f410186db36\ditrace.exe : 000000000000000000000000600000E2ADDA5B4A18000100DBDA5B4A25000000
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\divacx86.inf_x86_neutral_d9558f410186db36\xlog.exe : 000000000000000000000000600000E2ADDA5B4A18000100DBDA5B4A25000000
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\igdlh.inf_x86_neutral_ebfab40beb2d0c6b\IntelCpHeciSvc.exe : 000000000000000000000000600000E200000000000000000000000000000000
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository
vam.inf_x86_neutral_23f35bca3de056bb\dbInstaller.exe : 000000000000000000000000600000E200000000000000000000000000000000
Possible Mabezat (bad offsets) : C:\Windows\System32\DriverStore\FileRepository\wvmic.inf_x86_neutral_b94eb92e8150fa35\vmicsvc.exe : FF350000005003000026000000240300000000000000000000000000600000E2
Possible Mabezat (bad offsets) : C:\Windows\System32\Macromed\Flash\FlashUtil32_11_7_700_224_ActiveX.exe : 000000000000000000000000600000E200000000000000000000000000000000

g3n-h@ckm@n · Answer

il semblerait que drweb laisse un paquet de traces ( l'infection n'est plus active )

https://www.cjoint.com/c/CGutOSakR1L

g3n-h@ckm@n · Answer

lol il semblerait que Mr Mabezat se soit planqué dans les drivers graphiques et est reparti de plus belle j'en ai de partout

tant pis je formate , ca m'apprendra à jouer en direct au lieu d'utiliser une VM ^^ 
 
il se relance aussi via googleupdate ( google chrome )

quand je dis que ce browser c'est de la mer$e qui ramasse toutes les me$es de la terre ....

tous les fichiers .dat ont changé d'icone et ont l'icone de synchronisation de firefox
l'icone de desinstall de update checker a pris l'icone de ask toolbar

moralité :

Mabezat 1 , g3n-h@ckm@n 0

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

juju666 · Answer

Coucou

Tu sais pourquoi tu détectes 2 MD5 différents ici ? 



Possible ZeroAccess (bad offsets) : C:\Windows\System32\Drivers\vmhgfs.sys : 210CFDEA656D93B9656D93B9656D93B9656D92B9646D93B9A662CEB9666D93B9
Possible ZeroAccess (bad offsets) : C:\Windows\System32\Drivers\vmhgfs.sys : 7EF03CB9636D93B97EF008B9646D93B97EF00EB9646D93B952696368656D93B9
 
 
Essaie combofix aussi :)

g3n-h@ckm@n · Answer

c'est pas des MD5 ^^lol !!

ce sont des sequences d'offsets injectées par zeroaccess

==

Combofix n'aurait pas fait le poids , à peine lancé il aurait été infecté (".exe")

j'ai lancé drweb qui n'a plus rien detecté sur mes DDE , et Kaspersky en a encore detecté 550 ^^ )

juju666 · Answer

Ah ok :x

g3n-h@ckm@n · Answer

ou modifiées*

g3n-h@ckm@n · Answer

la dernière variante Mabezat ne crée pas le fichier zPharaoh.exe aux racines des disques ni le processus tazebama.dll , ni le dossier tazebama

elle s'attaque directement eu systeme  

par contre il suffit de lancer un exe d'un DDE ou clé usb pour injecter celui-ci ( s'il fait moins de 10 Mo en gros ) , et placer un fichier du meme nom mais c'est un fichier mabezat (393 Ko ) dans le system32 et en créant un service qui se lance en automatique sur ce fichier.donc en faisant une détection à l'envers sur les services avec le nom du fichier , ca passe en légitime.

Mabezat

22 réponses

Discussions similaires