Comment supprimer Mabezat / Tazebama sous windows ?

Mabezat est un virus pour la plate-forme Windows qui se propage en se copiant sur les partages réseau et les supports amovibles.

Mabezat se copie sur les supports amovibles et fixes avec un ou plusieurs des noms de fichiers suivants :

- Adjust Time.exe
- AmericanOnLine.exe
- Antenna2Net.exe
- BrowseAllUsers.exe
- CD Burner.exe
- Crack_GoogleEarthPro.exe
- Disk Defragmenter.exe
- FaxSend.exe.exe
- FloppyDiskPartion.exe
- GoogleToolbarNotifier.exe
- HP_LaserJetAllInOneConfig.exe
- IDE Conector P2P.exe
- InstallMSN11Ar.exe
- InstallMSN11En.exe
- Audio dump.exe
- Lock Folder.exe
- LockWindowsPartition.exe
- Make Windows Original.exe
- MakeUrOwnFamilyTree.exe
- Microsoft MSN.exe
- Microsoft Windows Network.exe
- msjavx86.exe
- NokiaN73Tools.exe
- Office2007 Serial.exe
- PanasonicDVD_DigitalCam.exe
- RadioTV.exe
- Recycle Bin.exe
- RecycleBinProtect.exe
- ShowDesktop.exe
- Sony Erikson DigitalCam.exe
- Win98compatibleXP.exe
- Windows Keys Secrets.exe
- WindowsXp StartMenu Settings.exe
- WinrRarSerialInstall.exe



Mabezat créé sur les supports amovibles et fixes des fichiers .rar avec les noms de fichiers suivants :

- backup.rar
- documents_backup.rar
- imp_data.rar
- MyDocuments.rar
- office_crack.rar
- passwords.rar
- serials.rar
- source.rar
- windows.rar
- windows_secrets.rar



Ces archives contiennent un fichier dropper : Readme.doc .exe

Lorsque W32/Mabezat-B est installé, les fichiers suivants sont créés :

%Profile%\hook.dl_
%Profile%\tazebama.dl_
%Profile%\tazebama.dll
%SystemDrive%\1.taz
%SystemDrive%\autorun.inf
%SystemDrive%\zPharaoh.exe
%AppData%\Microsoft\CD Burning\1.taz
%AppData%\Microsoft\CD Burning\autorun.inf
%AppData%\Microsoft\CD Burning\zPharaoh.exe
%appdata%\tazebama\zPharaoh.dat
%appdata%\tazebama\zPharaoh.exe
%appdata%\tazebama\zPharaoh.log
%appdata%\tazebama



Cette infection se transmet par :

=> Périphériques de stockage amovibles
=> Partages réseau
=> Fichiers infectés

Exemple dans un rapport HijackThis infecté par Mabezat :

C:\Documents and Settings\tazebama.dl_



Exemple d'infection Mabezat retrouvée :

C:\DOCUME~1\PROPRI~1\APPLIC~1\tazebama
C:\Documents and Settings\tazebama.dll
C:\Documents and Settings\JAROD\Application Data\tazebama\zPharaoh.dat
C:\Documents and Settings\hook.dl_
C:\Documents and Settings\tazebama.dl_
C:\zPharaoh.exe (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\zPharaoh.inf (la lettre du lecteur peut changer car tous les supports peuvent être touchés)
C:\Program Files\Microsoft Works\WkDStore.exe [RESULTAT] Contient le ver WORM/Mabezat.B.91
C:\Start Menu\Programs\Startup\zPharoh.exe
C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
C:\Documents and Settings\My Documents\readme.doc.exe



Des messages de ce type peuvent apparaitre :

* "L'application ou la DLL c:\documents and settings\tazebama.dll n'est pas une image windows valide"


Préliminaires

* Important 1, Si vous avez Vista ou 7 :
o Vous devez désactiver l'UAC le temps de la désinfection.
* Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:
o Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
o A gauche, cliquez sur Outils, puis sur Résident.
o Décochez la case devant Résident "TeaTimer" puis quittez Spybot
Méthodes de désinfection

Cette infection est très tenace !

Plusieurs solutions sont envisageables
Première méthode : Usbfix

A- Option Scanner d' Usbfix ( recherche )

* Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.
* Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
* /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil.
* Cliquer sur le bouton Recherche.
* Laisser travailler l'outil.
* Poster le rapport UsbFix.txt obtenu si vous avez créé un sujet sur le forum Virus/Sécurité.
* Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).


B- Option Suppression d' Usbfix ( nettoyage )

/!\ Avant de passer l'option Suppression, il est recommandé de demander conseil sur le forum Virus/Sécurité. /!\

* Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
* Double-cliquer sur le programme UsbFix sur le Bureau.
* Cliquer sur le bouton Suppression.
* Le Bureau disparaîtra et réapparaîtra à le fin de la désinfection.
* Ensuite, poster le rapport UsbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
* Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).



Tutoriel sur UsbFix.