Création
d'entreprise
Posez votre question Signaler

Tazebama impossible à supprimer ! [Résolu]

gte8558 - Dernière réponse le 28 mai 2010 à 12:10
Bonjour,
J'ai été infecté par le virus tazebama et rien ne semble pouvoir l'arrêter. J'ai tout essayé, rien n'y fait !
J'ai suivi presque toutes les procédures présentes sur le sujet ici même mais à chaque ça coince ou ne marche pas (faut dire que je ne suis pas non plus expert en Hijackthis and d'autres soft pareils). J'ai utilisé Mabazet remover il me dit "the virus is active in memory and may disrupt cleaning".
J'ai fait des scans avec Malwarebytes et Spybot sans succès. J'ai également installé Avira pour l'essayer aussi mais il a fini par me virer plusieurs exe de logiciles sur mon PC, c'est la galère !!
S'il vous plait s'il y a quelqu'un qui puisse m'aider, je lui serait très reconnaissant. Je suis prêt à tout essayer pourvu que ça marche !
En attente de vos réponses. Merci d'avance
Lire la suite 

Tazebama impossible à supprimer »

36 réponses
Réponse
+1
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 2 nov. 2009 à 16:10
bonjour

Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.




Télécharge USBFix de Chiquitine29 , C_XX et Chimay8 sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 Ajouter un commentaire
gte8558 - 2 nov. 2009 à 17:46
Merci à toi nathandre de prêter attention à mon sujet et de me venir en aide. J'apprécie énormément !
J'ai fait ce que tu m'as demandé et voici le rapport. Je crois que j'ai plein de saletés mais j'ai l'impression que le rapport n'est pas complet, je crois que le soft USBFix s'est interrompu, dois-je tout refaire ?


############################## | UsbFix V6.047 |

User : Sky Walker (Administrateurs) # DIABLO
Update on 02/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:26:03 | 02/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : BitDefender Antivirus 12.0 [ (!) Disabled | (!) Outdated ]
AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006
FW : BitDefender Firewall[ (!) Disabled ]12.0
FW : Norton Internet Security 2006[ Enabled ]2006

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 14,45 Go (2,17 Go free) [OS Disc] # NTFS
D:\ -> Disque fixe local # 21,01 Go (4,73 Go free) [Random] # NTFS
E:\ -> Disque fixe local # 39,07 Go (10,31 Go free) [Mass Storage] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 169,9 Mo (4,91 Mo free) [MD300] # FAT
J:\ -> Disque fixe local # 18,71 Go (1,61 Go free) [Mini HD] # NTFS
K:\ -> Disque fixe local # 18,55 Go (654,69 Mo free) [Mini HD 2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\msdtc.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\GIGABYTE\C.O.M\GCSVR.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Documents and Settings\Sky Walker\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\tazebama.dl_
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\SKYWAL~1\LOCALS~1\Temp\AZ_3584.rar
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\zPharaoh.exe" ( Présent ! )
C:\8.bat
C:\9b9w3.exe
C:\e.cmd
C:\hl80c6b1.com
C:\oobbyju.exe
C:\whi.com
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\zPharaoh.exe" ( Présent ! )
D:\8.bat
D:\9b9w3.exe
D:\e.cmd
D:\eexyv.exe
D:\gi2ky.exe
D:\hl80c6b1.com
D:\j60osk9.cmd
D:\oobbyju.exe
D:\pook.com
D:\q8e6.bat
D:\w98.com
D:\whi.com
E:\autorun.inf
E:\autorun.inf -> fichier appelé : "E:\zPharaoh.exe" ( Présent ! )
E:\8.bat
E:\9b9w3.exe
E:\e.cmd
E:\eexyv.exe
E:\gi2ky.exe
E:\hl80c6b1.com
E:\j60osk9.cmd
E:\oobbyju.exe
E:\pook.com
E:\q8e6.bat
E:\w98.com
E:\whi.com
G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\zPharaoh.exe" ( Présent ! )
G:\10nb.exe
G:\8.exe
G:\9b9w3.exe
G:\AUTORUN.FCB
G:\dogyx90.exe
G:\eexyv.exe
G:\fsaht.cmd
G:\kgji.exe
G:\mjafm.exe
G:\New Folder.exe
G:\oobbyju.exe
G:\q8e6.bat
G:\SSVICHOSST.exe
G:\t2hjo0.exe
G:\w9uxx92.exe
G:\yudald.bat
J:\autorun.inf
J:\autorun.inf -> fichier appelé : "J:\zPharaoh.exe" ( Présent ! )
J:\9b9w3.exe
J:\dogyx90.exe
J:\e.cmd
J:\eexyv.exe
J:\em8tqm.cmd
J:\fsaht.cmd
J:\gi2ky.exe
J:\pook.com
J:\q8e6.bat
J:\t2hjo0.exe
J:\uvsqfgwd.cmd
J:\whi.com
J:\yudald.bat
K:\autorun.inf
K:\autorun.inf -> fichier appelé : "K:\zPharaoh.exe" ( Présent ! )
K:\9b9w3.exe
K:\dogyx90.exe
K:\e.cmd
K:\eexyv.exe
K:\em8tqm.cmd
K:\fsaht.cmd
K:\gi2ky.exe
K:\pook.com
K:\q8e6.bat
K:\t2hjo0.exe
K:\uvsqfgwd.cmd
K:\whi.com
K:\yudald.bat

################## | Références de comparaison MD5 : |

File : G:\New Folder.exe
-> Crc32 : 99d25c62 | Md5 : 32bb13fcf499c3883913ab8a4dccb87a

################## | Autres détections |


################## | Mabezat |

C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\Documents and Settings\tazebama.dll
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama
C:\zPharaoh.exe
D:\zPharaoh.exe
E:\zPharaoh.exe
G:\zPharaoh.exe
J:\zPharaoh.exe
K:\zPharaoh.exe
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 2 nov. 2009 à 18:31
Salut ,

pour avancer nathandre ::


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )



Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
jfkpresident 13360Messages postés 3 septembre 2007Date d'inscription 29 mai 2012Dernière intervention 2 nov. 2009 à 18:32
Bonsoir a vous ;

Pour suivre..

Ajouter un commentaire - Site web
nathandre- 2 nov. 2009 à 21:32
gte8558, il faut procéder au nettoyage, fait le post de Chiquitine
gte8558 - 3 nov. 2009 à 11:32
Tout d'abord merci à toi Chiquitine pour ton aide et le gain de temps !
J'ai fait comme demandé et je voulais poster le rapport mais apparemment il est "trop long" et ça bug à chaque fois. Bref, il m'a viré beaucoup d'exe parmis eux certains dont j'ai besoin mais le tazebama.dll lui est toujours présent. je vais réessayer de poster le rapport...
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 3 nov. 2009 à 11:36
heberge le rapport sur ci joint : http://www.cijoint.fr/

et communique le lien qui te sera donné .

Ajouter un commentaire - Site web
gte8558 - 3 nov. 2009 à 11:42
Merci Chiquitine pour le tuyau !! Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijr2RXEwT.txt
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 3 nov. 2009 à 12:04
Tu vas devoir refaire l option 2 de usbfix , certains fichiers n not pas été supprimé voila pourquoi tazebama.dll est revenu

pour le rapport fais la meme chose .

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 3 nov. 2009 à 12:09
Bonjour
il me semble bien que c'est moi qui avais commencé
USBFix a supprimé de très nombreuses saletés qui étaient dans le PC, infection très importante

Tu as beaucoup de cracks qui sont un danger, car ils sont souvent vecteur d'infections, un conseil, supprime les

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 3 nov. 2009 à 12:12
Salut Nathandre ,

Je ne te voyais pas , c est pour ça que j ai passé des instructions à l user .

Je te laisse la suite .

@+

Ajouter un commentaire - Site web
nathandre- 3 nov. 2009 à 12:17
Je ne suis pas toujours sur mon PC, merci de m'avoir avancé, et je m'adressais à gte
gte8558 - 3 nov. 2009 à 12:21
Moi en tout cas je vous remercie tous les deux, et je refais l'option 2 du USBFix de suite. Je vais supprimer toutes les saletés nathandre. Je vous tiens au courant...
gte8558 - 3 nov. 2009 à 15:48
Voici le deuxième rapport. Tazebama toujours présent, il est plutôt coriace mon tazebama à moi !!

http://www.cijoint.fr/cjlink.php?file=cj200911/cijMNjKYs0.txt
Ajouter un commentaire
Réponse
+0
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 3 nov. 2009 à 15:54
on va employer la méthode forte

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

 Ajouter un commentaire
gte8558 - 3 nov. 2009 à 16:02
OK nathandre, merci. Je fais ça et je tiens au courant...
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 3 nov. 2009 à 17:14
edith

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Chiquitine29 1443Messages postés 12 août 2009Date d'inscription 3 nov. 2009 à 17:50
t as besoin des mp pour t expliquer , perso ça me derange pas de le faire ici

Ajouter un commentaire - Site web
gte8558 - 3 nov. 2009 à 20:00
Voici le rapport de ComboFIX. Cela dit il ne m'a donné aucun choix d'actions, il a fait son truc de lui même et je pense qu'il a essayer de désinfecter ma machine. En tout il n'a pas réussi, tazebama est toujours là !!!!

http://www.cijoint.fr/cjlink.php?file=cj200911/cijIGvuaDX.txt
Ajouter un commentaire
Réponse
+0
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 3 nov. 2009 à 21:53
effectivement, il résiste, je vais me renseigner

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+1
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 3 nov. 2009 à 23:38
Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTM.exe


Double-clique sur OTM.exe pour le lancer.Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui est en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

processes
explorer.exe
zPharaoh.exe

:files
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\Documents and Settings\tazebama.dll
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama
C:\zPharaoh.exe
D:\zPharaoh.exe
E:\zPharaoh.exe
G:\zPharaoh.exe
J:\zPharaoh.exe
K:\zPharaoh.exe
C:\1.taz
J:\1.taz
c:\windows\system32\_000058_.tmp.dll
c:\windows\system32\_000068_.tmp.dll
c:\windows\system32\_000079_.tmp.dll
c:\windows\system32\_000239_.tmp.dll
c:\windows\system32\_004619_.tmp.dll
c:\windows\system32\_004620_.tmp.dll
c:\windows\system32\_004621_.tmp.dll
c:\windows\system32\_004622_.tmp.dll
c:\windows\system32\_004629_.tmp.dll
c:\windows\system32\_004630_.tmp.dll
c:\windows\system32\_004631_.tmp.dll
c:\windows\system32\_004632_.tmp.dll
c:\windows\system32\_004634_.tmp.dll
c:\windows\system32\_004635_.tmp.dll
c:\windows\system32\_004636_.tmp.dll
c:\windows\system32\_004638_.tmp.dll
c:\windows\system32\_004639_.tmp.dll
c:\windows\system32\_004641_.tmp.dll
c:\windows\system32\_004642_.tmp.dll
c:\windows\system32\_004643_.tmp.dll
c:\windows\system32\_004645_.tmp.dll
c:\windows\system32\_004648_.tmp.dll
c:\windows\system32\_004649_.tmp.dll
c:\windows\system32\_004653_.tmp.dll
c:\windows\system32\_004654_.tmp.dll
c:\windows\system32\_004656_.tmp.dll
c:\windows\system32\_004659_.tmp.dll
c:\windows\system32\_004662_.tmp.dll
c:\windows\system32\_004663_.tmp.dll
c:\windows\system32\_004664_.tmp.dll
c:\windows\system32\_004665_.tmp.dll
c:\windows\system32\_004666_.tmp.dll
c:\windows\system32\_004669_.tmp.dll
c:\windows\system32\_004670_.tmp.dll
c:\windows\system32\_004670_.tmp.dll
c:\windows\system32\_004671_.tmp.dll
c:\windows\system32\_004672_.tmp.dll
c:\windows\system32\_004673_.tmp.dll
c:\windows\system32\_004678_.tmp.dll

:commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


si le rapport est trop grand poste le par le biais de cijoint :

envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

puis envoie le fichier.

un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

renvoie le lien tout frais dans ta prochaine reponse .

 Ajouter un commentaire
gte8558 - 4 nov. 2009 à 11:29
Merci à toi nathandre pour l'effort. Malheureusement, mauvaise surprise, il résiste toujours !!

Voici le rapport de OTM :

All processes killed
Error: Unable to interpret <processes> in the current context!
Error: Unable to interpret <explorer.exe> in the current context!
Error: Unable to interpret <zPharaoh.exe> in the current context!
========== FILES ==========
C:\Documents and Settings\hook.dl_ moved successfully.
C:\Documents and Settings\tazebama.dl_ moved successfully.
LoadLibrary failed for C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\tazebama.dll NOT unregistered.
C:\Documents and Settings\tazebama.dll moved successfully.
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat moved successfully.
C:\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama moved successfully.
C:\zPharaoh.exe moved successfully.
D:\zPharaoh.exe moved successfully.
E:\zPharaoh.exe moved successfully.
G:\zPharaoh.exe moved successfully.
J:\zPharaoh.exe moved successfully.
K:\zPharaoh.exe moved successfully.
C:\1.taz moved successfully.
J:\1.taz moved successfully.
File/Folder c:\windows\system32\_000058_.tmp.dll not found.
File/Folder c:\windows\system32\_000068_.tmp.dll not found.
File/Folder c:\windows\system32\_000079_.tmp.dll not found.
File/Folder c:\windows\system32\_000239_.tmp.dll not found.
File/Folder c:\windows\system32\_004619_.tmp.dll not found.
File/Folder c:\windows\system32\_004620_.tmp.dll not found.
File/Folder c:\windows\system32\_004621_.tmp.dll not found.
File/Folder c:\windows\system32\_004622_.tmp.dll not found.
File/Folder c:\windows\system32\_004629_.tmp.dll not found.
File/Folder c:\windows\system32\_004630_.tmp.dll not found.
File/Folder c:\windows\system32\_004631_.tmp.dll not found.
File/Folder c:\windows\system32\_004632_.tmp.dll not found.
File/Folder c:\windows\system32\_004634_.tmp.dll not found.
File/Folder c:\windows\system32\_004635_.tmp.dll not found.
File/Folder c:\windows\system32\_004636_.tmp.dll not found.
File/Folder c:\windows\system32\_004638_.tmp.dll not found.
File/Folder c:\windows\system32\_004639_.tmp.dll not found.
File/Folder c:\windows\system32\_004641_.tmp.dll not found.
File/Folder c:\windows\system32\_004642_.tmp.dll not found.
File/Folder c:\windows\system32\_004643_.tmp.dll not found.
File/Folder c:\windows\system32\_004645_.tmp.dll not found.
File/Folder c:\windows\system32\_004648_.tmp.dll not found.
File/Folder c:\windows\system32\_004649_.tmp.dll not found.
File/Folder c:\windows\system32\_004653_.tmp.dll not found.
File/Folder c:\windows\system32\_004654_.tmp.dll not found.
File/Folder c:\windows\system32\_004656_.tmp.dll not found.
File/Folder c:\windows\system32\_004659_.tmp.dll not found.
File/Folder c:\windows\system32\_004662_.tmp.dll not found.
File/Folder c:\windows\system32\_004663_.tmp.dll not found.
File/Folder c:\windows\system32\_004664_.tmp.dll not found.
File/Folder c:\windows\system32\_004665_.tmp.dll not found.
File/Folder c:\windows\system32\_004666_.tmp.dll not found.
File/Folder c:\windows\system32\_004669_.tmp.dll not found.
File/Folder c:\windows\system32\_004670_.tmp.dll not found.
File/Folder c:\windows\system32\_004670_.tmp.dll not found.
File/Folder c:\windows\system32\_004671_.tmp.dll not found.
File/Folder c:\windows\system32\_004672_.tmp.dll not found.
File/Folder c:\windows\system32\_004673_.tmp.dll not found.
File/Folder c:\windows\system32\_004678_.tmp.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Sky Walker
->Temp folder emptied: 587550 bytes
->Temporary Internet Files folder emptied: 1942055 bytes
->Java cache emptied: 43209728 bytes
->FireFox cache emptied: 91049494 bytes

User: SYSTEM

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp\AS1C97B3.tmp folder deleted successfully.
C:\WINDOWS\msdownld.tmp\AS17D939.tmp folder deleted successfully.
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 36699825 bytes
%systemroot%\System32 .tmp files removed: 203734048 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 359,79 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11042009_102311

Files moved on Reboot...

Registry entries deleted on Reboot...
nathandre- 4 nov. 2009 à 14:21
bonjour
nos efforts sont vains, cela devient décourageant, je pense que quelque chose le régénère
Si tu as sauvegardé tes documents, formate ton PC
j'ai fait tout ce que j'ai pu pour essayer de t'aider, désolée
Ajouter un commentaire
Réponse
+0
moins plus
nathandre 10064Messages postés 29 avril 2009Date d'inscription 17 juillet 2010Dernière intervention 4 nov. 2009 à 15:25
edit
quelqu'un devrai venir

 Ajouter un commentaire
gte8558 - 4 nov. 2009 à 16:48
Je vois bien que ça ne mène nullepart, grand à merci à toi en tout cas et à Chiquitine pour votre aide et temps !!
Je crois qu"un formatage serait plus facile vu les circonstances.
Encore merci à vous et à la prochaine
Ajouter un commentaire
Réponse
+0
moins plus
jacques.gache 16704Messages postés 13 novembre 2007Date d'inscription 29 mai 2012Dernière intervention 4 nov. 2009 à 17:41
nathandre bonjour, pourquoi dis tu 
nos efforts sont vains, cela devient décourageant, je pense que quelque chose le régénère 
Si tu as sauvegardé tes documents, formate ton PC


as tu un rapport qui prouve qu'il est encore la suite à OTM , si j'arrive pas trop tard si le formatage n'a pas été fais il serait bien de rechercher ce qui est lieé à tazebama et de supprimer cela

gte8558 si tu n'as pas encore formaté peux tu faire cela , merci



http://forum-aide-contre-virus.be/download/C_XX/SF.exe


Double cliquez sur SF.exe (Exécuter en tant qu'administrateur pour Vista) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre et Entrée.

pour toi tu mets ce qui est en gras en dessous sans oublier la virgule

tazebama , zPharaoh.exe


Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copiez/collez ce rapport sur la prochaine réponse

Ajouter un commentaire
gte8558 - 4 nov. 2009 à 18:31
Merci jacques.gache pour ton intervention très appréciée, j'ai toujours pas formté alors j'espère que ça va marcher. J'ai fait comme demandé et voici le log :

========================= SF 1.0.0.4 - C_XX | 17:18:09,45

Valeur(s) recherchée(s):

tazebama
zPharaoh.exe


========================= Fichier(s)/Dossier(s):

"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\SKYWAL~1\APPLIC~1\tazebama"
d-------- 04/11/2009 10:23
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama"
d-------- 04/11/2009 13:15
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama"
d-------- 03/11/2009 18:22
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama"
d-------- 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix"
d-------- 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama"
d-------- 03/11/2009 12:15
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat"
MD5: dcc27396ba1a718951e75010aee8e2f9 | --a------ | 03/11/2009 19:56
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\tazebama.dl_"
MD5: DENIED | --a------ | 03/11/2009 19:50
.
"C:\_OTM\MovedFiles\11042009_102311\Documents and Settings\tazebama.dll"
MD5: 5d8f0af82f5528399221183eb93aa1af | --a------ | 04/11/2009 10:14
.
"C:\_OTM\MovedFiles\11042009_102311\zPharaoh.exe"
MD5: DENIED | -rahs---- | 03/11/2009 19:50
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama\tazebama.log"
MD5: ed6a9432dcb6392ec9534554c50e157f | --a------ | 04/11/2009 15:35
.
"C:\Documents and Settings\Sky Walker\Application Data\tazebama\zPharaoh.dat"
MD5: 1d9fd05d52f19fd55f5a60a1d45c6998 | --a------ | 04/11/2009 15:38
.
"C:\Documents and Settings\Sky Walker\Local Settings\temp\WERa765.dir00\tazebama.dl_.mdmp"
MD5: 93b20252049f3908baddb51f69bdf270 | --a------ | 04/11/2009 11:42
.
"C:\Documents and Settings\tazebama.dl_"
MD5: 54cebaf62937ff21fc0919f14939709b | --a------ | 04/11/2009 14:33
.
"C:\Documents and Settings\tazebama.dll"
MD5: DENIED | --a------ | 04/11/2009 12:35
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama\tazebama.log.vir"
MD5: de95928c2a6f62981fcfa789121b5abc | --a------ | 03/11/2009 16:49
.
"C:\Qoobox\Quarantine\C\Documents and Settings\Sky Walker\Application Data\tazebama\zPharaoh.dat.vir"
MD5: a142c25e38a55983279fda55b2c0c880 | --a------ | 03/11/2009 18:10
.
"C:\Qoobox\Quarantine\C\zPharaoh.exe.vir"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\Qoobox\Quarantine\D\zPharaoh.exe.vir"
MD5: DENIED | --a------ | 03/11/2009 14:06
.
"C:\Qoobox\Quarantine\E\zPharaoh.exe.vir"
MD5: DENIED | --a------ | 03/11/2009 14:06
.
"C:\Qoobox\Quarantine\J\zPharaoh.exe.vir"
MD5: 645b9b6e25ff43fb9a15cf474e3c247b | --a------ | 03/11/2009 17:48
.
"C:\Qoobox\Quarantine\K\zPharaoh.exe.vir"
MD5: ea59906becd4475ba93a31daf61903ba | --a------ | 03/11/2009 17:48
.
"C:\Qoobox\zPharaoh.exe"
MD5: cebb9cf6eff66e2ae6308d4020d149ca | --ahs---- | 03/11/2009 17:49
.
"C:\Qoobox\zPharaoh.exe-ren-1057"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\Qoobox\zPharaoh.exe-ren-1466"
MD5: DENIED | --ahs---- | 03/11/2009 18:05
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama.log"
MD5: 3ddc0aff528eb60e4e2bd6b89d8b814e | --a------ | 02/11/2009 17:02
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama.UsbFix\tazebama\tazebama.log"
MD5: 41c6264e46dd88851f03535b43c6004b | --a------ | 03/11/2009 11:53
.
"C:\UsbFix\Quarantine\C\DOCUME~1\SKYWAL~1\APPLIC~1\tazebama\zPharaoh.dat.UsbFix"
MD5: 53b8697fa5669161d0c7cd5d62d7b5f7 | --a------ | 03/11/2009 11:53
.
"C:\UsbFix\Quarantine\C\Documents and Settings\tazebama.dl_.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:08
.
"C:\UsbFix\Quarantine\C\Documents and Settings\tazebama.dll.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:08
.
"C:\UsbFix\Quarantine\C\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\D\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\E\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:15
.
"C:\UsbFix\Quarantine\G\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\UsbFix\Quarantine\J\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\UsbFix\Quarantine\K\zPharaoh.exe.UsbFix"
MD5: DENIED | --a------ | 03/11/2009 12:16
.
"C:\WINDOWS\Prefetch\TAZEBAMA.DL_-1B94900B.pf"
MD5: 4b17d1ede845c34bebb5a073ebf68839 | --a------ | 04/11/2009 14:34
.
"C:\WINDOWS\Prefetch\ZPHARAOH.EXE-3041DEC1.pf"
MD5: 8aca0577341b815982b83b216ccaa19f | --a------ | 02/11/2009 15:25
.
"C:\zPharaoh.exe"
MD5: DENIED | -r-hs---- | 04/11/2009 10:33
.
"G:\zPharaoh.exe"
MD5: DENIED | |
Alternate Data Stream: No streams found..

========================= Registre:

Aucun élément du registre trouvé.

========================= E.O.F | 17:27:07,23
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 4 nov. 2009 à 18:59
hello a tous

suite a une demande nathandre, je jette un oeil par ici.


@gte8558 : as tu le CD de windows ?

car les nombreuses infectieux que tu as et a eux, ont infecté enormement de fichiers vitaux du systeme et peut etre meme le cache d'ou ils ont ete restauré...

essaye ceci aussi stp cela permettra si tu as le CD de windows de remplacer les fichiers verolés

- va dans demarrer/executer et tape

CMD

puis entrée dans la fentre noir tape

sfc /scannow (il y a un espace entre les 2)

puis entrée un scan va ce relancer pour verifier l'integrité des fichiers de windows, si un probleme est trouvée, il va te demander le CD de windows insere le si tu l'as, si tu ne l'as pas fait moi savoir que l'on ta demandé le CD

puis fait ceci stp

* Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double clique sur RSIT.exe pour lancer l'outil.
* Clique sur ' continue ' à l'écran Disclaimer.
* Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 Ajouter un commentaire - Site web
nathandre- 4 nov. 2009 à 20:59
Bonsoir à tous

gte
j'ai fait appel à quelques personnes compétentes pour t'aider, je vais suivre
Ajouter un commentaire
Réponse
+0
moins plus
jacques.gache 16704Messages postés 13 novembre 2007Date d'inscription 29 mai 2012Dernière intervention 4 nov. 2009 à 21:28
bonjour, je laisse poplus te guider , sinon sur le résultat de SF il semblerais que des traces de ces salopperies se trouvent dans le dossier Prefetch ce qui expliquerais peut être la regénération du problème !! tu suis les recommandation de poplus @+

Ajouter un commentaire
nathandre- 4 nov. 2009 à 21:29
Bonjour jacques gache
un grand merci à toi
gte8558 - 8 nov. 2009 à 16:53
Salut à tous
Désolé pour ma réponse tardive mais j'ai été très malade et je n'ai plus touché à mon pc.
Bref, problème résolu !! j'ai confié la tache à un ami qui a simplement installé zone alarm et fait un scan, ça a tout viré en 4h de désinfection !!
merci à tous en tout cas pour votre aide.
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 8 nov. 2009 à 17:52
salut

j'ai des doutes...

fait sa pour etre sur sa prend 2

* Télécharge Random's system information tool (RSIT) et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double clique sur RSIT.exe pour lancer l'outil.
* Clique sur ' continue ' à l'écran Disclaimer.
* Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.


( C:\RSIT\log.txt & C:\RSIT\info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
haro 28 mai 2010 à 03:13
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:13:39
mbam-log-2010-05-28 (03-13-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118002
Temps écoulé: 2 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users\hook.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\Users\tazebama.dl_ (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
haro 28 mai 2010 à 03:27
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4150

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/05/2010 03:26:18
mbam-log-2010-05-28 (03-26-18).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 118061
Temps écoulé: 2 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Mauson\AppData\Roaming\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\autorun.inf (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\zPharaoh.exe (Worm.Mabezat) -> Quarantined and deleted successfully.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 28 mai 2010 à 12:10
Haro crée ton propre sujet car tu es infecter et a mon avis c'est pas fini sa revenir car tout tes support USB sont infecter !!

 Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « Tazebama impossible à supprimer ! » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?