Virus Bifrose encore présent après formatage Résolu/Fermé

Question

Bonjour,

mon pc est infecté par le virus Bifrose backdoor qui prend la forme de deux fichiers "exe" (c:\win.exe et c:\windows\system32\systeme34\antivir.exe) et qui sont impossible à supprimer pour l'heure!

En effet, j'ai réalisé deux formatages de mon disque dur et réinstallé win xp service pack 3; j'ai ensuite essayé d'installé l'antivirus "Antivir" (l'install a foiré car je n'arrive pas à ouvrir le logiciel) et ZoneAlarm Security suite (là encore j'ai l'impression que l'install n'a pas bien marché...bloquée par le virus ?).

Du coup je suis un peu perdu... les manifestations assez surprenantes de ce virus sont l'impossibilité d'accéder au gestionnaire de tâches (ALT+CTRL+SUPPR ne donne rien), le ralentissement du pc, et l'impossibilité d'accéder aux DD autrement qu'en faisant "clic droit/explorer" (le double clic ne donne rien), ainsi que l'impossibilité de supprimer les dits fichiers (ils restent invisibles mêmes en demandant l'affichage des fichiers et dossiers cachés). Aussi, le virus m'empêche de procéder à l'install de mes drivers (pour la carte graphique ATI par exemple).

J'ai réalisé (avant de tenter d'installer Antivir) un scan sur bitdfender qui m'a supprimé le fichier antivir.exe dans \systeme34 mais il revient à chaque fois.

Ma config : un portable Acer Aspire 5670.

Voici également les deux rapports HijackThis que je viens de réaliser.

Merci par avance

========= log.txt =================

Logfile of random's system information tool 1.06 (written by random/random)
Run by Séb at 2009-03-25 17:52:54
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 52 GB (95%) free of 55 GB
Total RAM: 1022 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:56, on 25/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Séb\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Séb.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewebtown.com/alrefai/login.live.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freewebtown.com/alrefai/login.live.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =    .-~= Hacked by ( ProoHack )X =~-.  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\win.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

pimprenelle27 · Answer

Telecharge malwarebytes

NB : S'il te manque COMCTL32.OCX alors télécharge le ici

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


Tutoriaux

sbur · Answer

Merci pour ta réponse,

j'ai donc suivi la procédure; lors du scan, j'ai eu un premier message d'erreur m'indiquant "erreur du chargement du script C:\Windows\system32\winjpg.jpg, le processus ne peut pas accéder au fichier car il est utilisé par un autre processus"; j'ai ensuite eu (toujours pendant le scan) énormément de fenêtres d'erreur "erreur de complilation VBscript, erreur:constante de chaîne non terminée, code:800A049".

Enfin, comme c'est indiqué dans le rapport ci-dessous, certains fichiers n'ont pas pu être supprimé à la suite du scan, à savoir :
- C:\Windows\system32\winjpg.jpg (encore lui !)
- C:\Windows\system32\wscript.exe

Au redémarrage, impossible de réinstaller zone alarm (erreur en rapport à wscript.exe) et toujours impossible d'accéder au gestionnaire de tâches (ctrl+alt+suppr). De même, lorsque j'essaye d'accéder (double clic) à ma partition C:\ ou D:\, j'ai un message d'erreur "windows ne trouve pas 'wscript.exe' (logique il a été supprimé par Malwarebyte).

C'est vraiment le désespoir... :(

==============================

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1897
Windows 5.1.2600 Service Pack 3

25/03/2009 20:34:20
mbam-log-2009-03-25 (20-34-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 96975
Temps écoulé: 7 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 136
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9d71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution OptionsfwProxy.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgcc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avginet.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgw.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32kui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTI-TROJAN.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPCC.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKD.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKICE.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER3.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRW.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMAPP.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMSERV.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOAD95.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOADNT.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICMON.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPP95.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPPNT.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IFACE.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOCKDOWN2000.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MOOLIVE.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
avw32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSCHED.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPHINX.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSECOMR.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSHWIN32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSSTAT.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVP32.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPCC.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AntiArp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32krn.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsfwsrv.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsuniep.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsfwstub.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\icesword.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArSwp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
od32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTray.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2FREE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVENGINE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGAS.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGNT.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGUARD.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCAN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EKRN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROTTRAY.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GUARD.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASARP.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVTRAY.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSTray.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREngLdr.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCAGENT.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCSHIELD.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MCVSESCN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVFNSVR.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSRV51.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PSCTRLS.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PSIMSVC.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavService.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCHED.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHSTAT.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TPSRV.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBPROXY.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwadins.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebscd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwebupw.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderml.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spiderui.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spml_set.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsescue32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Backdoor.Poison) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runegdiit (Backdoor.Poison) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Delete on reboot.
C:\winfile.jpg (Backdoor.Poison) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wscript.exe (Backdoor.Poison) -> Delete on reboot.
C:\WINDOWS\system32\win.exe (Backdoor.Poison) -> Quarantined and deleted successfully.

pimprenelle27 · Answer

pas ma Backdoor.Poison, vide la quarantaine de malware et fait ceci : 

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

Utilisateur anonyme · Answer

Salut vous deux,

Non c'est pas le désespoir, il faut supprimer cette clé avant tout :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db416ca1-191d-11de-94cd-970d67a5f0e3}]     


Bon courage et bonne soirée à vous.

sbur · Answer

Une nouvelle fois merci pour l'aide que tu m'apportes :) 

voici le rapport SAS :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 03/25/2009 at 09:56 PM

Application Version : 4.25.1014

Core Rules Database Version : 3814
Trace Rules Database Version: 1768

Scan type       : Complete Scan
Total Scan Time : 00:10:23

Memory items scanned      : 592
Memory threats detected   : 0
Registry items scanned    : 3114
Registry threats detected : 1
File items scanned        : 7577
File threats detected     : 2

Worm.Sdbot Variant
	[regdiit] C:\WINDOWS\SYSTEM32\WIN.EXE
	C:\WINDOWS\SYSTEM32\WIN.EXE
	C:\WINDOWS\Prefetch\WIN.EXE-168C3FCC.pf

Utilisateur anonyme · Answer

Ok,
peux-tu poster un nouvel RSIT stp (complet cette fois ;) ) ?

Merci.

pimprenelle27 · Answer

eh oh je suis là, Supprime ce que SAS à trouvé ensuite fait moi ceci : 

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe  sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
et l option 4 : Recherche Cracks / Keygens
cette recherche se fait sur le pc et sur les disques amovibles , il est donc important qu ils soient branché ..
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage


Si besoin: Tutoriel

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

sbur · Answer

Voilà où j'en suis Pimprenelle :
à noter que je n'ai pas depuis bien longtemps manipuler de cracks/keygen... je ne sais vraiment pas d'où vient ce virus (il est arrivé d'un coup sans avoir (je crois) rien fait de spécial).


############################## [ FindyKill V4.720 ] 

# User : S‚b (Administrateurs) # GET7NME-SEB
# Update on 22/03/09 by Chiquitine29
# Start at: 23:22:32 | 25/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Genuine Intel(R) CPU           T2300  @ 1.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 53,7 Go (49,73 Go free) # NTFS
# D:\ # Disque fixe local # 54,18 Go (5,57 Go free) [DATA] # FAT32
# E:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
 
# Contenu de l'autorun : C:\autorun.inf  

[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg
 
# Contenu de l'autorun : D:\autorun.inf  

[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg
# Presence des fichiers :  

Found ! [25/03/2009 23:22][-rahs----] - C:\autorun.inf 
Found ! [25/03/2009 23:22][-rahs----] - D:\autorun.inf 
 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.720 ! ]

Utilisateur anonyme · Answer

Re Seb,
Ok, là il est complet ;)

Ton antivirus et zone alarm ne sont actifs. Peux-tu les réactiver ?

Puis,
fais ceci stp :
> Lance Hijackthis : (lien de téléchargement si besoin est).
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewebtown.com/alrefai/login.live.html     
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freewebtown.com/alrefai/login.live.html     
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = .-~= Hacked by ( ProoHack )X =~-. 

O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg     
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE     
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\win.exe 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O23 - Service: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe (file missing)

Ensuite, sans redémarrer le PC,
- Ferme toutes les autres fenêtres et applications (même internet).
- Clic sur <Fixe checked>

Puis,
branche tes clés USB sans les ouvrir, et :
> Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste Instructions for items to be moved > ( Image ).

:processes
explorer.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON"=-
"regdiit"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db416ca1-191d-11de-94cd-970d67a5f0e3}] 
:files
C:\WINDOWS\system32\winjpg.jpg     
C:\WINDOWS\system32\win.exe 
C:\WINDOWS\ALCMTR.EXE 
C:\WINDOWS\system32\systeme34 
e:vbs winfile.jpg 
D:\autorun.inf 
C:\autorun.inf 
C:\WINDOWS\SET8.tmp     
C:\WINDOWS\SET4.tmp     
C:\WINDOWS\SET3.tmp   
:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.

Poste pour finir un nouveau RSIT stp.

A+

PS : tes clés USB doivent être infectées. Ne le branche pas avant la fin de la désinfection.

Utilisateur anonyme · Answer

Ok, très bien.

Plus d'alerte ? Mais c'est pas fini :

> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
Sous Vista : Execute Internet Explorer en tant qu'administrateur, pour cela fais un clic droit sur le raccourci d'Internet Explorer et choisis "Exécuter en tant qu'administrateur".
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

PS : pimprenelle27 :: ici : http://www.commentcamarche.net/forum/affich 11699738 virus bifrose encore present apres formatage?#15
C'est considéré dans les suppressions ;)
Ne crois pas que je kidnappe le topique, loin de là, mais j'ai pas mal de discussions en "lecture seule" dans mes interventions et parfois j'agis. Rien contre toi, au contraire. :)

Thx.

pimprenelle27 · Answer

non non mais y pas de mal rassure toi. C'est juste que parfois y en a qui intervienne et qui n'y connaisse rien du tout alors je me méfie un peu c'est tout. mais j'ai total confiance en toi rassure toi.

pimprenelle27 · Answer

oui je voudrais bien danser sous le soleil des tropics

pimprenelle27 · Answer

Cela aurait été avec plaisir mais il commence à se faire tard, demain je dois voir l'anpe donc lever de bon heure, demain soir si tu veux y aucun problème.

Utilisateur anonyme · Answer

Ok, bonne chance pour demain  alors Pimprenelle !-)


Sbur,
poste en fin de discussion stp pour conserver la chronologie ;)

Peux-tu faire ceci mais après le scan Kasper ? (en attendant utilise au minimum ton PC) :
> Télécharge Zeb-Restore : https://www.tayo.fr/download/zebrestore
- Mets le dans un dossier, sur ton bureau par exemple.
- Lance Zebrestore et coche la/les case(s) suivante(s) :

RegEdit
Clés RUN
Bouton Arrêter
Gestionnaire des tâches
Panneau de configuration

Bureau
Réparation IE
Sites de confiance et sensibles
Préfixes et Protocoles Internet
Ajout/Suppression de programmes

Policies
Fichier Hosts
Windows Update
Extension des fichiers
Restauration du système

- Ne coche que la/les case(s) indiquée(s).
- Clique sur le bouton <Restaurer>.
- Quitte le programme.



PS : J'espère que tu as bien branché tous tes éléments USB avant le scan ?-)

A+

sbur · Answer

voilà pour l'analyse en ligne kaspersky :

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Thursday, March 26, 2009 1:38:13 AM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 25/03/2009
 Enregistrements dans la base antivirus Kaspersky : 1779627
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	D:\
	E:\
	F:\

Statistiques de l'analyse:
	Total d'objets analysés: 58064
	Nombre de virus trouvés: 1
	Nombre d'objets infectés: 2 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:12:07

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Historique\History.IE5\MSHist012009032620090327\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Temp\~DFCD77.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Séb
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\_OTMoveIt\MovedFiles\03252009_235539\WINDOWS\system32\systeme34\antivir.exe	Infecté : Backdoor.Win32.Bifrose.ajwv	ignoré
C:\_OTMoveIt\MovedFiles\03252009_235539\WINDOWS\system32\win.exe	Infecté : Backdoor.Win32.Bifrose.ajwv	ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré

Analyse terminée.

sbur · Answer

Quant à Zeb-Restore, j'obtiens une succession de message d'erreur (correspondant vraisemblablement à chacun des éléments sélectionnés pour la restauration)  "Windows Script Host" m'indiquant le message "Impossible de trouver le fichier script "C:\WINDOWS\system32\winjpg.jpg". 
Pas d'évolution quand je fais ALT+CTRL+SUPPR, ou exécuter> regedit (ce même message apparaît).

A demain ! merci DllD :)

Utilisateur anonyme · Answer

Bon,
Alors fais cela stp (tu peux poster le rapport RSIT dans un message précédent si tu le souhaites (c'est mieux d'envoyer ce rapport en plus du Combo pour en avoir au maximum) :

> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe puis accepte le contrat de licence.
- Si Combofix ne trouve pas de console de récupération système d'installée alors accepte son installation.
- A la fin de l'installation de la console de récupération Combofix va te proposer de lancer une recherche de nuisibles. Clique alors sur <Oui>.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport soit trop long pour être publié totalement. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).


Bon courage.

A+

sbur · Answer

Salut DllD !

voici le rapport de ComboFix : http://www.cijoint.fr/cjlink.php?file=cj200903/cijhZb05oE.txt

Utilisateur anonyme · Answer

Salut Sbur,

Houlala, tu as utilisé tout une multitude d'antivirus, non ?

Ok, alors fais ceci please (si cela ne marche pas je te préparerai un script. Mais là ton rapport est trop garni et j'y passerai trop de temps) :

Alors,
> Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe ou https://free.drweb.com/cureit/
- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;
- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Bon courage.

pimprenelle27 · Answer

bonjour, pour info voici les 2 virus détecté par kaspersky : 

C:\_OTMoveIt\MovedFiles\03252009_235539\WINDOWS\system32\sys­teme34\antivir.exe Infecté : Backdoor.Win32.Bifrose.ajwv ignoré

C:\_OTMoveIt\MovedFiles\03252009_235539\WINDOWS\system32\win­.exe Infecté : Backdoor.Win32.Bifrose.ajwv ignoré .

sbur · Answer

Re !!
désolé pour le retard dans la réponse... mais il faut dire que mon pc m'en a fait voir de toutes les couleurs cet aprem!
Je m'explique : après l'utilisation de Combofix, tout semblait aller pour le mieux (gestionnaire de tâches enfin accessible), mon antivirus Antivir qui fonctionne enfin (il se lance, alors qu'avant ce n'était pas le cas). Je lance donc une analyse de mon DD principal et il me trouve les deux fichiers virus du dossier OTMoveIT3 (jusque là pas de problème).
J'essaye donc d'installer mes logiciels (étant donné que je viens de formater), et premier problème, plusieurs install rencontrent des erreurs avant d'arriver à la fin (ex: Microsoft .NET Framework 3.0, ZoneAlarm...). Du coup je me rabats sur Kerio Personal Firewall (qui lui s'installe bien).
Puis, voilà que me prend l'idée de brancher mon DD externe, et là Antivir me détecte un virus illico presto (Bifrose) et se bloque par la même occasion (impossible de lancer le programme Antivir).

J'ai donc réexecuté les deux dernières étapes, à savoir : Hijack+OTMoveIT3 et ComboFix (en veillant cette fois à laisser mon DD externe branché).
Voici le nouveau rapport ComboFix : http://www.cijoint.fr/cjlink.php?file=cj200903/cijbVO3Zse.txt

Je vais maintenant appliquer tes dernieres directives DllD concernant DrWeb Cure It. Je vous tiens au courant...

Quant à un potentiel ennemi... ça m'étonnerait. En revanche, habitant dans une résidence étudiante, mes deux voisins les plus proches sont atteint du même virus ! (il s'agit d'un réseau pour la résidence).

sbur · Answer

L'analyse Dr. Web est en cours... (ça prend du temps mine de rien !!) :)

Je ne sais pas si ça peut t'être utile dans ton raisonnement, mais j'ai fait le test sécurité sur zebulon et il se trouve que j'ai les résultats suivants :

- Ports TCP ouverts
  	22 	ssh 	Le shell SSH permet de se connecter à un serveur de façon sécurisée  	Trojans possibles : Adore sshd, Shaft 

- Ports TCP fermés
  	443 	https 	Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger 

Tous les autres ports sont masqués...
Ces résultats sont obtenus alors que mon kerio personal firewall est bien activé.

sbur · Answer

alors alors... voici les résultats !

- Rapport Dr Web

ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\Séb\Bureau\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Documents and Settings\Séb\Bureau;L'archive contient des éléments infectés;;
ComboFix.exe;C:\Documents and Settings\Séb\Bureau;Conteneur comporte des objets infectés;Quarantaine.;
Process.exe;C:\Program Files\FindyKill\Tools;Tool.Prockill;Quarantaine.;

- Analyse VirusTotal : fichier DivX.dll => 0/40 : le fichier n'a pas l'air d'être infecté!

merci pour tout le temps que tu m'accordes, ça me rassure!

Utilisateur anonyme · Answer

Ok,
je suis entrain de préparer le script.

Mais tu me le ponds ce virus total : http://www.commentcamarche.net/forum/affich 11699738 virus bifrose encore present apres formatage?page=2#35 

???

J'en ai besoin nondediou !

sbur · Answer

ok je te mets la totalité de la page VirusTotal pour le fichier DivX.dll ! j'avais compris que tu voulais juste savoir si il était infecté ou pas...

 Fichier DivX.dll reçu le 2009.03.26 19:28:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.0.0.101	2009.03.26	-
AhnLab-V3	5.0.0.2	2009.03.26	-
AntiVir	7.9.0.129	2009.03.26	-
Antiy-AVL	2.0.3.1	2009.03.26	-
Authentium	5.1.2.4	2009.03.26	-
Avast	4.8.1335.0	2009.03.25	-
AVG	8.5.0.283	2009.03.26	-
BitDefender	7.2	2009.03.26	-
CAT-QuickHeal	10.00	2009.03.26	-
ClamAV	0.94.1	2009.03.26	-
Comodo	1085	2009.03.26	-
DrWeb	4.44.0.09170	2009.03.26	-
eSafe	7.0.17.0	2009.03.26	-
eTrust-Vet	31.6.6418	2009.03.26	-
F-Prot	4.4.4.56	2009.03.26	-
F-Secure	8.0.14470.0	2009.03.26	-
Fortinet	3.117.0.0	2009.03.26	-
GData	19	2009.03.26	-
Ikarus	T3.1.1.48.0	2009.03.26	-
K7AntiVirus	7.10.682	2009.03.26	-
Kaspersky	7.0.0.125	2009.03.26	-
McAfee	5565	2009.03.26	-
McAfee+Artemis	5565	2009.03.26	-
McAfee-GW-Edition	6.7.6	2009.03.26	-
Microsoft	1.4502	2009.03.26	-
NOD32	3966	2009.03.26	-
Norman	6.00.06	2009.03.26	-
nProtect	2009.1.8.0	2009.03.26	-
Panda	10.0.0.10	2009.03.26	-
PCTools	4.4.2.0	2009.03.26	-
Prevx1	V2	2009.03.26	-
Rising	21.22.32.00	2009.03.26	-
Sophos	4.40.0	2009.03.26	-
Sunbelt	3.2.1858.2	2009.03.26	-
Symantec	1.4.4.12	2009.03.26	-
TheHacker	6.3.3.7.292	2009.03.26	-
TrendMicro	8.700.0.1004	2009.03.26	-
VBA32	3.12.10.1	2009.03.26	-
ViRobot	2009.3.26.1664	2009.03.26	-
VirusBuster	4.6.5.0	2009.03.26	-
Information additionnelle
File size: 684032 bytes
MD5...: a7815f80257e6e61fba051b757f8c605
SHA1..: b09fca46c8ca59c91068e470f5136dea002cebb7
SHA256: 30f9c9d1ecddbd0d29c36595fed240f30b233de00933b8686af24f24c1fea09d
SHA512: 516c758da2bcf7c860ee6554f5886b02dd86260740a5852f7a28bea9a0e84a73
aff7bf2ac1ef7ac9f43312a848836d00aeb4c47ecce5dc4f600989c176cd5d8c
ssdeep: 12288:rBJ6KrfQa0a5CJPXD75720nskdoL/FHN7LH/4FcyX2ujMylQ1dhCXPsnb:
+s5AK0cyvjV2hCQ
PEiD..: PECompact 2.xx --> BitSum Technologies
TrID..: File type identification
Win32 EXE PECompact compressed (v2.x) (48.9%)
Win32 EXE PECompact compressed (generic) (34.4%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Generic Win/DOS Executable (1.6%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2a0530
timedatestamp.....: 0x4908c356 (Wed Oct 29 20:11:02 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x29e000 0xa4a00 7.97 eed92c7990eb18ee7bb314402223b80a
.rsrc 0x29f000 0x2000 0x2000 5.16 2661c497d3d4d56c99fd8a7d54f720f7
.reloc 0x2a1000 0x1000 0x200 0.16 e537bcd0778ae6005ca4628ce4031fc1

( 10 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> WINMM.dll: DefDriverProc
> dpl100.dll: divXLicenseRelease
> MFC42.DLL: -
> MSVCRT.dll: sin
> USER32.dll: GetScrollRange
> GDI32.dll: StretchDIBits
> ADVAPI32.dll: RegEnumKeyExA
> SHELL32.dll: SHGetFolderPathA
> MSVCP60.dll: __5std@@YAAAV_$basic_istream@DU_$char_traits@D@std@@@0@AAV10@AAV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@@Z

( 3 exports )
DriverProc, GetGuiVersion, doModalConfigure
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact

Utilisateur anonyme · Answer

Pour info je t'ai répondu en #41 : http://www.commentcamarche.net/forum/affich 11699738 virus bifrose encore present apres formatage?page=2#41

Réponds en fin de discussion stp ;)

Vala.

sbur · Answer

roulez jeunesse! voila le dernier rapport combofix : http://www.cijoint.fr/cjlink.php?file=cj200903/cijTlUUE6q.txt

;)

Utilisateur anonyme · Answer

Ok, 
c'est mieux là. :)

Alors, 
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

KILLALL::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\[u]0/u0hoeav.com]     
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\[u]0/uw.com]     

File::
c:\windows\system32\win.exe    
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).



Puis refais un scan MBAM en scan rapide (poste alors son rapport stp).

Dis moi comment va la bécane aussi. ;)

sbur · Answer

voici pour le dernier rapport Combofix: http://www.cijoint.fr/cjlink.php?file=cj200903/cijakIbh1a.txt

sbur · Answer

et le dernier rapport MBAM dans la foulée...

il faudrait peut-être que je réussisse à masquer les ports qui sont ouverts/fermés ? Le souci c'est qu'avec Kerio je ne trouve pas la manip pour les masquer! :(

sbur · Answer

Avec le texte c'est mieux... ;)

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1897
Windows 5.1.2600 Service Pack 3

26/03/2009 22:41:18
mbam-log-2009-03-26 (22-41-18).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 108197
Temps écoulé: 19 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2FREE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROTTRAY.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVFNSVR.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHSTAT.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TPSRV.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBPROXY.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rescue32.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

Hi Sbur !-)

Bon,
alors la syntaxe du script ne passe pas sur CCM : elle est modifiée par le site et donc la suppression ne se fait pas correctement. Je vais leur signaler le bug.

Pour que celui-ci fonctionne je t'envoie directement le script en fichier téléchargeable : http://www.cijoint.fr/cjlink.php?file=cj200903/cijOfqydTo.txt 

Comme d'hab, fais glisser ce fichier (assure toi qu'il est bien nommé en CFScript (type : tous les fichiers) sur Combofix puis poste le rapport généré stp. 
N'oublie pas de désactiver tes protections résidentes avant et de fermer toutes le fenêtres d'ouvertes. Bref, tu sais faire maintenant, hein ?-)


Refais un MBAM en scan rapide aussi. Puis poste son rapport.



Puis on aura presque fini.
Comment va ton PC aussi ? 

Bonne journée.

g!rly · Answer

Salut DllD, 

Me suis faite copine avec le nectar des butineuses, chianlie de crève !
Ça va comme tu veux ? 
;-)

sbur · Answer

Salut DllD, tout d'abord je tiens à te remercier du fond du coeur pour cette aide... car mon pc semble aller pour le mieux (mis à part les deux ports non masqués que je vais tacher de traiter)! Quel soulagement après ce temps passé !

Je te poste le dernier rapport combofix : http://www.cijoint.fr/cjlink.php?file=cj200903/cijaCar9m5.txt
Et l'analyse MBAM rapide me donne un résultat nickel (aucun élément nuisible détecté).

Je pense qu'on approche (si ça se trouve on l'a déjà touchée!) la fin...

Un grand merci à toi :)

Utilisateur anonyme · Answer

Bonsoir Sbur,

Bah moi je ne suis pas satisfait : il reste encore ces deux clés de mes....


Bon, on va essayer de feinter :
> Assure toi d'avoir accès aux fichiers cachés :
Menu démarrer => apparence et thèmes (panneau de configurations) => options des dossiers => affichage
"Afficher les fichiers cachés" => coché
"Masquer les extensions.." => décoché
"Masquer les fichiers protégés du système" => décoché

Ensuite,
navigue jusqu'au dossier (qui ne porte pas ce véritable nom - en gras- ci-dessous) :

c:\windows\system32\mui\[u]0/u409\mscorees.dll  

Donne moi alors le nom exact de ce dossier stp (celui en gras).


Après ce devrait être bon pour supprimer ces fameuses clés, car sinon tout risque de se remettre en place très vite :(


PS : Fais ensuite la manip. suivante :
Menu démarrer => apparence et thèmes (panneau de configurations) => options des dossiers => affichage
"Afficher les fichiers cachés" => décoché
"Masquer les extensions.." => coché
"Masquer les fichiers protégés du système" => coché


Aller, on va y arriver.

PS2 : je ne c'est pas si tu comprends que le problème est que je ne connais pas le chemin de ces clés (problème d'affichage dans le rapport Combo et sur CCM) ;)

sbur · Answer

Re DllD,

en fait la dll en question apparait dans deux dossiers distincts :
- mui\040C\
- mui\409\

Utilisateur anonyme · Answer

Je te réponds demain. Là chuicrevé.

BN ;-)

sbur · Answer

héhé ça fait pas de mal de dormir un peu des fois =)

Utilisateur anonyme · Answer

Hi Sbur :)

Oui, il faut bien mettre la viande dans le torchon parfois ;)

Bon, 
alors voilà : on y est presque ::

/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\ 
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.


Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

KILLALL::
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"="-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\00hoeav.com]     
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\0w.com]     
File::
c:\windows\system32\win.exe     
FileLook::
c:\windows\ERDNT\subs\ERDNT.EXE
DirLook::
C:\ac51a39eb90b65fd891c14054d  
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).



Après on voit pour ton parefou.

A+ l'ami.

sbur · Answer

Hello DllD,
voici le rapport ComboFix suite à la dernière manip' : http://www.cijoint.fr/cjlink.php?file=cj200903/cijjzgB4NQ.txt

Utilisateur anonyme · Answer

Ok,
mais c'est parfait tout ça. Ca y est tu n'es plus infecté.
Mais c'est pas tout à fait fini.

Bon, je vois que tu as installé pleins de PF différents. Maintenant tu es passé à Comodo. N'oublie pas : 1 seul antivirus et 1 seul pare feu, hein !-)


Alors,
comme PF je te conseille Online Armor. Enfin, c'est mon préféré.
http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
Sinon Comodo est très bien aussi mais je ne le connais pas, ni Kério d'aillerus.


Peux-tu me renvoyer un nouveau RSIT stp ? 
Qu'on fasse le point sur l'état de tes protections et sur les mises à jour de ton PC.

Puis on termine ;)


A+

sbur · Answer

Snif c'est la fin... va falloir ce quitter mon cher DllD :'(  lol

Effectivement je suis passé à Comodo (n'arrivant pas à masquer mes ports 22 et 443 avec Kerio). J'ai donc désinstallé Kerio puis installé Comodo. Le test de ports sur zebulon donne les résultats suivants:
- ports 22 ouvert et 443 fermé (connexipn sur le réseau de ma résidence)
- tous les ports sont masqués (connexion sur le wifi Neuf que je capte de chez moi).
Je vais donc privilégier le wifi pour le moment... !! A moins que t'aies une idée pour que je sois aussi protégé sur mon réseau résidentiel ?

Sinon pour le rapport RSIT, le voici : http://www.cijoint.fr/cjlink.php?file=cj200903/cijEjD4xof.txt

Utilisateur anonyme · Answer

Et oui mon ami, toutes les meilleurs choses ont une fin :( Mais rien ne t'empêche de passer de temps en temps faire un "coucou". Et puis on a pas totalement fini ; chouette :D Alors, pour ton souci de réseau je te conseille de créer un nouveau sujet sur ici : http://www.commentcamarche.net/forum/forum 5 reseaux Car j'y connais pas grand chose en ce domaine. Bon, alors, Utilise ce patch pour bien désinstaller Kasper 2009 : https://support.kaspersky.com/fr/viruses/kvrt2015?qid=208279473 Puis, > Lance Hijackthis : (lien de téléchargement si besoin est). - Puis sélectionne - Coche les cases des lignes suivantes : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O23 - Service: Kaspersky Anti-Virus (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe (file missing) Ensuite, - Ferme toutes les autres fenêtres et applications (même internet). - Clic sur Après, Tu peux désinstaller Zone Alarm puis après : Tu peux supprimer ces dossiers : C:\Program Files\Sunbelt Software Kerio Firewall C:\Program Files\Zone Labs <= si encore présent. Passe alors un coup de Ccleaner en mode sans échec. Alors, maintenant voici la fin (mise à jour puis suppressions des tools que nous avons utilisé) : > Rends toi sur ce site avec Internet Explorer (pas avec un autre navigateur) : http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr - Effectue toutes les mises à jour proposées. - relance ton PC. - Effectue plusieurs fois la même opération (avec reboot du PC) jusqu'à ce que plus aucune mise à jour ne te soit proposée. NB : Eventuellement MS Update peut te proposer des mises à jour facultatives. Je te conseille de les faire. > Télécharge et installe Update Checker : http://www.filehippo.com/updatechecker/FHSetup.exe - Lance le programme. Une page web de ce type va s'ouvrir. - Fais les mises à jour de tous les logiciels proposés pour Update. Je ne te conseille pas de faire celles pour les versions béta (elles peuvent être instables). - Fais un copier/coller de la liste de éléments "Updates" ou de l'adresse http (préférable). Puis poste la sur le forum. - Une fois les mises à jour effectuées, relance ton PC. /!\ Attention /!\ : Pour la console Java et Acrobat il faut désinstaller les versions précédentes (ajout/supp. de programmes) avant de faire les mises à jour. Tuto si problèmes : http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour NB : après cette opération de Update Checker je te conseille de relancer Microsoft Update et de vérifier qu'il n'existe pas de nouvelles mises à jour disponibles. > Télécharge ToolsCleaner : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ sur ton bureau pour supprimer les boîtes de Pandore. - Clique sur Recherche et laisse le scan agir ... - Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives) - Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)). - Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation). > Télécharge et installe Easy Cleaner : https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html (lien miroir : https://www.clubic.com/telecharger-fiche11170-easycleaner.html ) - Lance le programme puis clique sur puis sur . - A la fin du scan clique sur puis confirme par puis quitte le programme. Si besoin tuto ici : https://www.pcparadise.fr et http://www.6ma.fr/tuto/easycleaner-nettoyer-windows-des-elements-obsoletes/ NB : Je te conseille de n'utiliser que cette fonction de nettoyeur de registre avec ce programme ; c'est la seule qui à mon sens vaut le coup. > Tu peux aussi vider ta corbeille. > Si nous avons utilisé MalwaresByte's Anti-Malware : vide sa quarantaine. - Lance le programme puis clique sur . - Sélectionne tous les éléments puis clique sur . - Quitte le programme. > Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait... > Désactive et réactive la restauration système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924 PS : Si tu es sous Vista c'est ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/c066b2e9a50cc948802572870032b170?OpenDocument ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : > Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" de Ccleaner : clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures"). - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI] PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système. Info : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html > Quelques liens utiles : - http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet - https://sebsauvage.net/safehex.html - https://www.zebulon.fr/telechargements/securite/protection-donnees-personnelles/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan) Voila, Bonne lecture.... A+ PS : N'oublies pas les deux rapports stp : Update Checker (le lien de préférence) et Toolscleaner (le rapport).

sbus · Answer

ça y est j'ai fait toute les MAJ windows, et je vais appliquer tous tes conseils!
je te remercie vraiment pour avoir soigné mon PC (il fonctionne nickel aujourd'hui !).

Très bonne continuation M. DllD!!

@Bientot

sbur · Answer

Nous sommes dans une grande école d'ingé ;)

Virus Bifrose encore présent après formatage

45 réponses

Discussions similaires