Comment supprimer Mabezat / Tazebama ?

Décembre 2016




Qu'est-ce que l'infection Mabezat / Tazebama ?

Mabezat est un virus pour la plate-forme Windows qui se propage en se copiant sur les partages réseau et les supports amovibles.

Mabezat se copie sur les supports amovibles et fixes avec un ou plusieurs des noms de fichiers suivants :

- Adjust Time.exe           
- AmericanOnLine.exe
- Antenna2Net.exe
- BrowseAllUsers.exe
- CD Burner.exe
- Crack_GoogleEarthPro.exe
- Disk Defragmenter.exe
- FaxSend.exe.exe
- FloppyDiskPartion.exe
- GoogleToolbarNotifier.exe
- HP_LaserJetAllInOneConfig.exe
- IDE Conector P2P.exe
- InstallMSN11Ar.exe
- InstallMSN11En.exe
- Audio dump.exe
- Lock Folder.exe
- LockWindowsPartition.exe
- Make Windows Original.exe
- MakeUrOwnFamilyTree.exe
- Microsoft MSN.exe
- Microsoft Windows Network.exe
- msjavx86.exe
- NokiaN73Tools.exe
- Office2007 Serial.exe
- PanasonicDVD_DigitalCam.exe
- RadioTV.exe
- Recycle Bin.exe
- RecycleBinProtect.exe
- ShowDesktop.exe
- Sony Erikson DigitalCam.exe
- Win98compatibleXP.exe
- Windows Keys Secrets.exe
- WindowsXp StartMenu Settings.exe
- WinrRarSerialInstall.exe


Mabezat créé sur les supports amovibles et fixes des fichiers .rar avec les noms de fichiers suivants :

- backup.rar           
- documents_backup.rar
- imp_data.rar
- MyDocuments.rar
- office_crack.rar
- passwords.rar
- serials.rar
- source.rar
- windows.rar
- windows_secrets.rar


Ces archives contiennent un fichier dropper : Readme.doc .exe

Lorsque W32/Mabezat-B est installé, les fichiers suivants sont créés :

%Profile%\hook.dl_           
%Profile%\tazebama.dl_
%Profile%\tazebama.dll
%SystemDrive%\1.taz
%SystemDrive%\autorun.inf
%SystemDrive%\zPharaoh.exe
%AppData%\Microsoft\CD Burning\1.taz
%AppData%\Microsoft\CD Burning\autorun.inf
%AppData%\Microsoft\CD Burning\zPharaoh.exe
%appdata%\tazebama\zPharaoh.dat
%appdata%\tazebama\zPharaoh.exe
%appdata%\tazebama\zPharaoh.log
%appdata%\tazebama


Cette infection se transmet par :

=> Périphériques de stockage amovibles
=> Partages réseau
=> Fichiers infectés

Exemple dans un rapport HijackThis infecté par Mabezat :

C:\Documents and Settings\tazebama.dl_


Exemple d'infection Mabezat retrouvée :

C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama             
C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\zPharaoh.exe (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\zPharaoh.inf (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\Program Files\Microsoft Works\WkDStore.exe [RESULTAT] Contient le ver WORM/Mabezat.B.91
C:\Start Menu\Programs\Startup\zPharoh.exe
C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
C:\Documents and Settings\My Documents\readme.doc.exe


Des messages de ce type peuvent apparaitre :
  • "L'application ou la DLL c:\documents and settings\tazebama.dll n'est pas une image windows valide"

Préliminaires

  • L'infection se transmettant de pc à pc , il faut débrancher le réseau et nettoyer tous les pc avant de remettre votre réseau. Et aussi connecter tous vos supports amovibles susceptibles d'être infectés (clé usb, carte de mémoire, disque dur externe...)
  • Important 1, Si vous avez Vista ou 7 :
  • Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :



Méthodes de désinfection

Cette infection est très tenace !

Plusieurs solutions sont envisageables:

Dr Web

  • Téléchargez DR. Web CureIt

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
  • Double-cliquez sur Launch.exe (icône d'araignée noire)
  • Sur la page qui s'affiche, choisissez "Commencer le scan".
  • Confirmez, au message qui demande confirmation pour effectuer l'analyse.
  • L'analyse démarre, s'il trouve des choses, mettez en quarantaine et/ou désinfectez.


Cela peut durer un petit moment.
  • Postez le rapport qui apparaîtra ou sera créé à côté (fichier texte) si cela vous l'a été demandé sur le forum..
  • En fermant, ne cliquez pas pour acheter la version complète.

MalwareBytes' Anti-Malware



  • Installez le logiciel.
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Démarrez en mode sans échec.
  • Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs et unités externes.
  • Une fois le scan terminé, cliquez sur Résultat puis supprimer ce qui a été détecté (Si un message demande à redémarrer le PC, acceptez !)

Logiciel de suppression de Softpedia


Cinquième méthode: Logiciel de suppression d'AVG


Super antispyware

  • Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
    • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
    • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.


Septième méthode : Combofix

Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!
  • Faire un clic droit ici.
    • Choisir : Enregistrer la cible du lien sous
    • Choisir le Bureau comme destination.
    • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
    • Déconnectez-vous d'Internet, désactivez toutes vos défenses ( antivirus, pare feu, antispyware ) et fermez toutes les applications et programmes.
    • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
    • Pour XP : acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
    • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
    • Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
    • Le rapport sera créé sous la racine : C:\Combofix.txt



Après nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de faire un antivirus en ligne ( <= ici) de son ordinateur.

Informations supplémentaires

http://home.mcafee.com/virusInfo/VirusProfile.aspx?key=143555#none
http://www.symantec.com/...
http://www.viruslist.com/sp/viruses/encyclopedia?virusid=225010
http://vil.nai.com/vil/content/v_143555.htm
http://www.sophos.fr/security/analyses/viruses-and-spyware/w32mabezatb.html
http://www.f-secure.com/v-descs/worm_w32_mabezat_b.shtml
http://www.cloudantivirus.com/fr/threat-information/antivirus/Mabezat.C/183820/
http://threatinfo.trendmicro.com/...

A voir également :

Ce document intitulé «  Comment supprimer Mabezat / Tazebama ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.