Research - Scripts - cinema - lyrics - Sport - Poemes

عــلوم ، دين ـ قرآن ، حج ، بحوث ، دراسات أقســام علمية و ترفيهية .


    Qu'est-ce que l'infection Mabezat / Tazebama ?

    شاطر

    trojan b
    زائر

    Qu'est-ce que l'infection Mabezat / Tazebama ?

    مُساهمة من طرف trojan b في الخميس 15 أبريل - 13:02

    Mabezat est un virus pour la plate-forme Windows qui se propage en se copiant sur les partages réseau et les supports amovibles.


    Mabezat se copie sur les supports amovibles et fixes avec un ou plusieurs des noms de fichiers suivants :


    - Adjust Time.exe
    - AmericanOnLine.exe
    - Antenna2Net.exe
    - BrowseAllUsers.exe
    - CD Burner.exe
    - Crack_GoogleEarthPro.exe
    - Disk Defragmenter.exe
    - FaxSend.exe.exe
    - FloppyDiskPartion.exe
    - GoogleToolbarNotifier.exe
    - HP_LaserJetAllInOneConfig.exe
    - IDE Conector P2P.exe
    - InstallMSN11Ar.exe
    - InstallMSN11En.exe
    - Audio dump.exe
    - Lock Folder.exe
    - LockWindowsPartition.exe
    - Make Windows Original.exe
    - MakeUrOwnFamilyTree.exe
    - Microsoft MSN.exe
    - Microsoft Windows Network.exe
    - msjavx86.exe
    - NokiaN73Tools.exe
    - Office2007 Serial.exe
    - PanasonicDVD_DigitalCam.exe
    - RadioTV.exe
    - Recycle Bin.exe
    - RecycleBinProtect.exe
    - ShowDesktop.exe
    - Sony Erikson DigitalCam.exe
    - Win98compatibleXP.exe
    - Windows Keys Secrets.exe
    - WindowsXp StartMenu Settings.exe
    - WinrRarSerialInstall.exe


    Mabezat créé sur les supports amovibles et fixes des fichiers .rar avec les noms de fichiers suivants :


    - backup.rar
    - documents_backup.rar
    - imp_data.rar
    - MyDocuments.rar
    - office_crack.rar
    - passwords.rar
    - serials.rar
    - source.rar
    - windows.rar
    - windows_secrets.rar


    Ces archives contiennent un fichier dropper : Readme.doc .exe


    Lorsque W32/Mabezat-B est installé, les fichiers suivants sont créés :


    %Profile%\hook.dl_
    %Profile%\tazebama.dl_
    %Profile%\tazebama.dll
    %SystemDrive%\1.taz
    %SystemDrive%\autorun.inf
    %SystemDrive%\zPharaoh.exe
    %AppData%\Microsoft\CD Burning\1.taz
    %AppData%\Microsoft\CD Burning\autorun.inf
    %AppData%\Microsoft\CD Burning\zPharaoh.exe
    %appdata%\tazebama\zPharaoh.dat
    %appdata%\tazebama\zPharaoh.exe
    %appdata%\tazebama\zPharaoh.log
    %appdata%\tazebama


    Cette infection se transmet par :


    => Périphériques de stockage amovibles

    => Partages réseau

    => Fichiers infectés


    Exemple dans un rapport HijackThis infecté par Mabezat :


    C:\Documents and Settings\tazebama.dl_


    Exemple d'infection Mabezat retrouvée :


    C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama
    C:\Documents and Settings\tazebama.dll
    C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
    C:\Documents and Settings\hook.dl_
    C:\Documents and Settings\tazebama.dl_
    C:\zPharaoh.exe (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
    C:\zPharaoh.inf (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
    C:\Program Files\Microsoft Works\WkDStore.exe [RESULTAT] Contient le ver WORM/Mabezat.B.91
    C:\Start Menu\Programs\Startup\zPharoh.exe
    C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
    C:\Documents and Settings\My Documents\readme.doc.exe



    Des messages de ce type peuvent apparaitre :


    • "L'application ou la DLL c:\documents and settings\tazebama.dll n'est pas une image windows valide"


    Préliminaires




    • Important 1, Si vous avez Vista ou 7 :

      • Vous devez le temps de la désinfection.

    • Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:

      • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
      • A gauche, cliquez sur Outils, puis sur Résident.
      • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :





    Méthodes de désinfection



    Cette infection est très tenace !


    Plusieurs solutions sont envisageables:

    Première méthode : Usbfix






    UsbFix : Option 1



    L'option 1 d' permet de rechercher les infections présentes sur le pc


    • Télécharger (de Chiquitine29 & C_XX) sur le Bureau.
    • Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    • Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
    • Choisir l'option 1 (Recherche).
    • Laisser travailler l'outil.
    • Poster le rapport UsbFix.txt sur le forum si vous avez créé un sujet sur le forum .
    • Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).



    "Process.exe", une composante de l'outil, est détecté par certains antivirus (, Dr.Web, ) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.




    UsbFix : Option 2


    L'option 2 de Usbfix permet de nettoyer les infections trouvées


    /!\ Avant de passer l'option 2, il est recommandé de demander conseil sur le forum . /!\


    • Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    • Double-cliquer sur le programme UsbFix sur le Bureau.
    • Choisir l'option 2 (Suppression).
    • Le Bureau disparaîtra et le PC redémarrera.
    • Au redémarrage, UsbFix scannera le PC, laisser travailler l'outil.
    • Ensuite, poster le rapport usbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
    • Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).





    Deuxième méthode :MalwareBytes' Anti-Malware




    • Téléchargez (by RubbeR DuckY) sur votre Bureau.






    • Installez le logiciel.
    • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger
    • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
    • Démarrez en mode sans échec.
    • Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un
      examen complet puis Rechercher et sélectionnez tous vos disques durs.
    • Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)


    Troisième méthode : Super antispyware






    • Téléchargez puis installez le et mettez le à jour.

      • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
      • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
      • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.




    Quatrième méthode : Combofix



    Pour tous les lecteurs :

    -- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

    -- Ne pas utiliser en dehors de ce cas de figure : dangereux!


    • Faire un clic droit .

      • Choisir : Enregistrer la cible du lien sous
      • Choisir le Bureau comme destination.
      • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
      • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
      • Déconnectez-vous d'Internet et fermez toutes les applications et programmes.
      • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il
        faut cliquer droit sur CCM.exe et choisir "Exécuter en tant
        qu'administrateur").
      • Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
      • Le rapport sera créé sous la racine : C:\Combofix.txt






    Autres méthodes de désinfection



    Logiciel de suppression de Softpedia





    Après nettoyage




    • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.



    Bitdefender en ligne






    Kaspersky en ligne






      الوقت/التاريخ الآن هو الإثنين 25 سبتمبر - 22:25