البـــــوابـــة
Mabezat est un virus pour la plate-forme Windows qui se propage en se copiant sur les partages réseau et les supports amovibles.
Mabezat se copie sur les supports amovibles et fixes avec un ou plusieurs des noms de fichiers suivants :
- Adjust Time.exe
- AmericanOnLine.exe
- Antenna2Net.exe
- BrowseAllUsers.exe
- CD Burner.exe
- Crack_GoogleEarthPro.exe
- Disk Defragmenter.exe
- FaxSend.exe.exe
- FloppyDiskPartion.exe
- GoogleToolbarNotifier.exe
- HP_LaserJetAllInOneConfig.exe
- IDE Conector P2P.exe
- InstallMSN11Ar.exe
- InstallMSN11En.exe
- Audio dump.exe
- Lock Folder.exe
- LockWindowsPartition.exe
- Make Windows Original.exe
- MakeUrOwnFamilyTree.exe
- Microsoft MSN.exe
- Microsoft Windows Network.exe
- msjavx86.exe
- NokiaN73Tools.exe
- Office2007 Serial.exe
- PanasonicDVD_DigitalCam.exe
- RadioTV.exe
- Recycle Bin.exe
- RecycleBinProtect.exe
- ShowDesktop.exe
- Sony Erikson DigitalCam.exe
- Win98compatibleXP.exe
- Windows Keys Secrets.exe
- WindowsXp StartMenu Settings.exe
- WinrRarSerialInstall.exe
Mabezat créé sur les supports amovibles et fixes des fichiers .rar avec les noms de fichiers suivants :
- backup.rar
- documents_backup.rar
- imp_data.rar
- MyDocuments.rar
- office_crack.rar
- passwords.rar
- serials.rar
- source.rar
- windows.rar
- windows_secrets.rar
Ces archives contiennent un fichier dropper : Readme.doc .exe
Lorsque W32/Mabezat-B est installé, les fichiers suivants sont créés :
%Profile%\hook.dl_
%Profile%\tazebama.dl_
%Profile%\tazebama.dll
%SystemDrive%\1.taz
%SystemDrive%\autorun.inf
%SystemDrive%\zPharaoh.exe
%AppData%\Microsoft\CD Burning\1.taz
%AppData%\Microsoft\CD Burning\autorun.inf
%AppData%\Microsoft\CD Burning\zPharaoh.exe
%appdata%\tazebama\zPharaoh.dat
%appdata%\tazebama\zPharaoh.exe
%appdata%\tazebama\zPharaoh.log
%appdata%\tazebama
Cette infection se transmet par :
=> Périphériques de stockage amovibles
=> Partages réseau
=> Fichiers infectés
Exemple dans un rapport HijackThis infecté par Mabezat :
C:\Documents and Settings\tazebama.dl_
Exemple d'infection Mabezat retrouvée :
C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama
C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\zPharaoh.exe (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\zPharaoh.inf (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\Program Files\Microsoft Works\WkDStore.exe [RESULTAT] Contient le ver WORM/Mabezat.B.91
C:\Start Menu\Programs\Startup\zPharoh.exe
C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
C:\Documents and Settings\My Documents\readme.doc.exe
Des messages de ce type peuvent apparaitre :
Préliminaires
Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:
Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
A gauche, cliquez sur Outils, puis sur Résident.
Décochez la case devant Résident "TeaTimer" puis quittez Spybot :
Méthodes de désinfection
Cette infection est très tenace !
Plusieurs solutions sont envisageables:
Première méthode : Usbfix
UsbFix : Option 1
L'option 1 d' permet de rechercher les infections présentes sur le pc
"Process.exe", une composante de l'outil, est détecté par certains antivirus (, Dr.Web, ) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
UsbFix : Option 2
L'option 2 de Usbfix permet de nettoyer les infections trouvées
/!\ Avant de passer l'option 2, il est recommandé de demander conseil sur le forum . /!\
Deuxième méthode :MalwareBytes' Anti-Malware
Troisième méthode : Super antispyware
Quatrième méthode : Combofix
Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!
Autres méthodes de désinfection
Logiciel de suppression de Softpedia
Après nettoyage
Bitdefender en ligne
Kaspersky en ligne
Mabezat se copie sur les supports amovibles et fixes avec un ou plusieurs des noms de fichiers suivants :
- Adjust Time.exe
- AmericanOnLine.exe
- Antenna2Net.exe
- BrowseAllUsers.exe
- CD Burner.exe
- Crack_GoogleEarthPro.exe
- Disk Defragmenter.exe
- FaxSend.exe.exe
- FloppyDiskPartion.exe
- GoogleToolbarNotifier.exe
- HP_LaserJetAllInOneConfig.exe
- IDE Conector P2P.exe
- InstallMSN11Ar.exe
- InstallMSN11En.exe
- Audio dump.exe
- Lock Folder.exe
- LockWindowsPartition.exe
- Make Windows Original.exe
- MakeUrOwnFamilyTree.exe
- Microsoft MSN.exe
- Microsoft Windows Network.exe
- msjavx86.exe
- NokiaN73Tools.exe
- Office2007 Serial.exe
- PanasonicDVD_DigitalCam.exe
- RadioTV.exe
- Recycle Bin.exe
- RecycleBinProtect.exe
- ShowDesktop.exe
- Sony Erikson DigitalCam.exe
- Win98compatibleXP.exe
- Windows Keys Secrets.exe
- WindowsXp StartMenu Settings.exe
- WinrRarSerialInstall.exe
Mabezat créé sur les supports amovibles et fixes des fichiers .rar avec les noms de fichiers suivants :
- backup.rar
- documents_backup.rar
- imp_data.rar
- MyDocuments.rar
- office_crack.rar
- passwords.rar
- serials.rar
- source.rar
- windows.rar
- windows_secrets.rar
Ces archives contiennent un fichier dropper : Readme.doc .exe
Lorsque W32/Mabezat-B est installé, les fichiers suivants sont créés :
%Profile%\hook.dl_
%Profile%\tazebama.dl_
%Profile%\tazebama.dll
%SystemDrive%\1.taz
%SystemDrive%\autorun.inf
%SystemDrive%\zPharaoh.exe
%AppData%\Microsoft\CD Burning\1.taz
%AppData%\Microsoft\CD Burning\autorun.inf
%AppData%\Microsoft\CD Burning\zPharaoh.exe
%appdata%\tazebama\zPharaoh.dat
%appdata%\tazebama\zPharaoh.exe
%appdata%\tazebama\zPharaoh.log
%appdata%\tazebama
Cette infection se transmet par :
=> Périphériques de stockage amovibles
=> Partages réseau
=> Fichiers infectés
Exemple dans un rapport HijackThis infecté par Mabezat :
C:\Documents and Settings\tazebama.dl_
Exemple d'infection Mabezat retrouvée :
C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama
C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\zPharaoh.exe (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\zPharaoh.inf (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\Program Files\Microsoft Works\WkDStore.exe [RESULTAT] Contient le ver WORM/Mabezat.B.91
C:\Start Menu\Programs\Startup\zPharoh.exe
C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
C:\Documents and Settings\My Documents\readme.doc.exe
Des messages de ce type peuvent apparaitre :
- "L'application ou la DLL c:\documents and settings\tazebama.dll n'est pas une image windows valide"
Préliminaires
- Important 1, Si vous avez Vista ou 7 :
- Vous devez le temps de la désinfection.
Méthodes de désinfection
Cette infection est très tenace !
Plusieurs solutions sont envisageables:
Première méthode : Usbfix
UsbFix : Option 1
L'option 1 d' permet de rechercher les infections présentes sur le pc
- Télécharger (de Chiquitine29 & C_XX) sur le Bureau.
- Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
- Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
- Choisir l'option 1 (Recherche).
- Laisser travailler l'outil.
- Poster le rapport UsbFix.txt sur le forum si vous avez créé un sujet sur le forum .
- Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détecté par certains antivirus (, Dr.Web, ) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
UsbFix : Option 2
L'option 2 de Usbfix permet de nettoyer les infections trouvées
/!\ Avant de passer l'option 2, il est recommandé de demander conseil sur le forum . /!\
- Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
- Double-cliquer sur le programme UsbFix sur le Bureau.
- Choisir l'option 2 (Suppression).
- Le Bureau disparaîtra et le PC redémarrera.
- Au redémarrage, UsbFix scannera le PC, laisser travailler l'outil.
- Ensuite, poster le rapport usbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
- Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
Deuxième méthode :MalwareBytes' Anti-Malware
- Téléchargez (by RubbeR DuckY) sur votre Bureau.
- Installez le logiciel.
- S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger
- Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
- Démarrez en mode sans échec.
- Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un
examen complet puis Rechercher et sélectionnez tous vos disques durs. - Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)
Troisième méthode : Super antispyware
- Téléchargez puis installez le et mettez le à jour.
- Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
- Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
- Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.
Quatrième méthode : Combofix
Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!
- Faire un clic droit .
- Choisir : Enregistrer la cible du lien sous
- Choisir le Bureau comme destination.
- Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
- Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
- Déconnectez-vous d'Internet et fermez toutes les applications et programmes.
- Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il
faut cliquer droit sur CCM.exe et choisir "Exécuter en tant
qu'administrateur"). - Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
- Le rapport sera créé sous la racine : C:\Combofix.txt
Autres méthodes de désinfection
Logiciel de suppression de Softpedia
Après nettoyage
- Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.
Bitdefender en ligne
Kaspersky en ligne
