virus de merde

Question

Bonjour,
Je viens moi aussi de choper le virus total security. Je suis en ce moment même en mode sans échec prise en charge réseau. J'ai effecté une analyse avec ZHPDiag1.24.07.exe mais sans succès j'ai toujours le virus.
Je suis entrain de faire une analyse avec malwarebytes.

S'il vous plait aidez moi !!

XaTon · Answer

Bonjour ,

Poste moi le rapport de Mbam

mamzel78 · Answer

Merci de répondre si rapidement, l'analyse est assez longue j'en suis à 20 minutes... avec 5 éléments infectés. Que dois je faire supprimer ces éléments ?

Je vous envois le rapport dès que c'est terminé.

XaTon · Answer

Tu ne supprime surtout pas , tu me poste le rapport et on avisera

mamzel78 · Answer

Voici le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2067
Windows 5.1.2600 Service Pack 2

20/08/2009 17:16:05
mbam-log-2009-08-20 (17-15-57).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 146885
Temps écoulé: 23 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009 (Rogue.Systemsecurity) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12069684 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\12069684 (Rogue.Multiple.H) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\12069684\12069684 (Rogue.Multiple.H) -> No action taken.
C:\Documents and Settings\All Users\Application Data\12069684\12069684.exe (Rogue.Multiple.H) -> No action taken.
C:\Documents and Settings\All Users\Application Data\12069684\pc12069684ins (Rogue.Multiple.H) -> No action taken.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv101249950026.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv141250688751.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv501249806738.exe (Trojan.Agent) -> No action taken.

XaTon · Answer

Ok !

Ne touche pas a Mbam , il va rendre les infections inivisble

Fait ceci :

~~~~~~~~~~~~~~> SmitFraudfix <~~~~~~~~~~~~~~~~~~~

Telecharger SmitFraudfix sur ce lien :

> http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

* Place le sur le bureau tu obtiens alors une icône SmitFraudfix avec un triangle jaune.
* Double-cliquez sur l'icone, un nouveau dossier est alors créé.

* Clic sur l'icône SmitFraudfix 
* Effectuer l'option 1 (  Recherche )

Note
Une fois, l'option 1 lancée.
Une fenêtre sur fond bleu s'ouvre alors... un message d'informations s'ouvre, appuyez sur une touche pour passer à l'étape suivante.

/!\ Laisse l'analyse ce terminer /!\

_ Une fois le scan terminé, un rapport va s'ouvrir sur le Bloc-Note.
    * Clique sur le menu Édition puis Sélectionner tout.
    * Puis poste moi le rapport

mamzel78 · Answer

Je suis allée jusqu'à l'étape de la création du nouveau dossier intitulé SmitFraudfix. Mais je ne comprends pas ce qu'il faut faire après ? Cliquer sur le lien puis sur excécuter ou entrer dans ce nouveau dossier et cliquer sur SmitFraudfix.cmd ??

En tout les cas j'ai executé le logiciel et apparait le logiciel avast qui se lance tout seul et disparait de l'écran.

Comprends pas

XaTon · Answer

Clic sur l'icône Smitfraud

mamzel78 · Answer

tu me parles bien de l'icone smitfraudfix.exe qui est sur mon bureau ? C'est fait si c'est bien ça mais comme je te disais l'analyse semble s'être lancée mais je n'ai as accés à son déroulement en live ^^
Je ne sais pas si ton exe travaille ou pas ??

Merci;)

XaTon · Answer

Renomme le par ton prénom

mamzel78 · Answer

C'est fait, je le relance mais j'ai l'impression qu'il ne marche pas car il se lance mais disparait de mon écran dans la seconde qui suit son lancement !

XaTon · Answer

Lis Option 1 : Recherche d'infection sur ce lien :

> http://www.malekal.com/tutorial_SmitFraudfix.php

/!\  Ne touche pas a l'option 2  /!\

XaTon · Answer

On va peut être s'occuper des infection avant                                    


(???)

XaTon · Answer

Malwarebytes n'est pas du tout à jour, il faudrai le mettre à jour, et le relancer

Je préfère utiliser les fix qui sont plus approprié pour ce genre d'infection et on verra pour Mbam after


;-)

mamzel78 · Answer

Ca ne marche pas j'essais de lancer smitfraudfix mais il ne veut meme pas souvir cad qu'il ny a meme pas la fenetre bleue dont le titre de son encadré commence par C:windows /system...etc


Que dois je faire ???

mamzel78 · Answer

Je suis aussi allée sur le site malekal et ai re telecharger les smitfraudfix sur les sites mirroirs.
Jai essayé chaque nouveau smitfraudfix sans succès...

mamzel78 · Answer

Could you help me please !!!!!

XaTon · Answer

Bon , lets go Mbam

~~~~~~~~~~~~~~> Malwarebytes <~~~~~~~~~~~~~~~~~~~


- Télécharger Malwarebytes
- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes

- Double-clique sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre

- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu clique dessus pour l’afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

mamzel78 · Answer

Je m'exécute^^

J'ai trouvé ça : https://fr.pcthreat.com/parasitebyid-8197fr.html
Est ce utile ?

XaTon · Answer

Bon , on veut bien t'aider nathandre et moi mais coopère un petit peu 


Ce site a pas une bonne réputation Wot , je n y suis pas aller
> https://www.mywot.com/fr/scorecard/fr.pcthreat.com

romrom15 · Answer

ben il y a quelque chose que je comprend pas pk tu ne met pas un "anti-virus" comme tout le monde
où alors quelqu'un te pirate ton ordi ( j'ai vu cela dans un reportage sur arte!)

mamzel78 · Answer

Je coopère pas de problèmes ! Je n'y peux rien si ça fonctionne pas ! Be cool ! Je vous fais confiance.

romrom15 · Answer

ecoute moi pas si cela te chante...

XaTon · Answer

( j'ai vu cela dans un reportage sur arte!) 

Moi j'ai mangé une pomme un jour , elle était drôlement bonne .

Sinon , je pense que mamzel a un antivirus   

( ??? )

romrom15 · Answer

Arrete de te foutre de moi je te le jure X(

XaTon · Answer

Arrete de te foutre de moi je te le jure X( 

En aucun cas je me fou de toi mais je pense pas qu'un antivirus servirait dans ce cas .
Il faut pour supprimer ces infections des moyen plus drastique .

Bonne continuation romrom et excuse moi si je t'ai offensé

mamzel78 · Answer

Romrom tu as le dont de faire des frayeurs aux pauvres malheureux qui sont dotés d'un bon anti virus et qui en chopent des virus de merdeuuu sans trop savoir pourquoi. C'est pas drôle les gars ;)

mamzel78 · Answer

J'ai fait la mise a jour de malwarebytes et la je scanne. Pourquoi xaton tu dis ke je coopère pas ???! J'espere ne pas t'avoir offensé ?

Merci Nana et xaton;)

mamzel78 · Answer

Je veux bien técouter aussi romrom si tu es d'aussi bon conseil que nana et xaton mais javais lancé tout le tralala du scan bien avant ke tu me parle de ton ami...

Et puis je m'exécute les gars pas facile lol

XaTon · Answer

xaton je t'ai signalé je te signale 

Pas gentil        

( sniff )

-> Stop avec romrom et je m'occupe de ton cas mamzel


Tu scan et une foi le scan terminé , tu me le colle dans ton prochain message

XaTon · Answer

Je vais ENFIN pouvoir décrocher un mot sans que xaton se moque de moi

Oui tout a fait , tu me rappeler je me suis ( sois disant ) moqué de toi ?

Et je me suis excusé de mettre emporté

romrom , je te laisse la désinfection mais avant je veut savoir quels outils va tu utiliser ?

mamzel78 · Answer

Voici le rapport :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2665
Windows 5.1.2600 Service Pack 2 (Safe Mode)

20/08/2009 18:46:58
mbam-log-2009-08-20 (18-46-50).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 159270
Temps écoulé: 24 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009 (Rogue.SystemSecurity) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12069684 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\promoreg (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\12069684 (Rogue.Multiple.H) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\12069684\12069684 (Rogue.Multiple.H) -> No action taken.
C:\Documents and Settings\All Users\Application Data\12069684\12069684.exe (Rogue.Multiple.H) -> No action taken.
C:\Documents and Settings\All Users\Application Data\12069684\pc12069684ins (Rogue.Multiple.H) -> No action taken.
C:\System Volume Information\_restore{CA4454B2-2D70-4AD3-9440-B6D6DE5823B4}\RP281\A0141840.exe (Worm.KoobFace) -> No action taken.
C:\System Volume Information\_restore{CA4454B2-2D70-4AD3-9440-B6D6DE5823B4}\RP282\A0141889.exe (Worm.Koobface) -> No action taken.
C:\WINDOWS\Temp\wpv101249950026.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Olivia\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\Temp\wpv141250688751.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv501249806738.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\prxid93ps.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Olivia\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> No action taken.

XaTon · Answer

Tu peut virer toutes ces vilaines bébêtes

Et fait moi un log Hijack

mamzel78 · Answer

Je clic sur supprimer à la fin de la recherche c'est bien ça ??

XaTon · Answer

Oui et en même temps vide ta quarantaine

mamzel78 · Answer

Merci pour cette judicieuse remarque romrom ^^
Un piratage logique vu que j'avais un trojan. Lol

Sinon ok je vais faire l'analyse avec HiJack

Merci à vous, je vous tiens au courant

mamzel78 · Answer

Aye mon ordi peut ouvrir des fichiers dossiers programmes sans pb mais il y a toujours un espece de rootkit ki persiste à infecter mon ordinateur !!!
Ce sera la 1er et le dernier a voir l'existence de mon ordi^^
Savez vous quoi faire les gars ?

mamzel78 · Answer

Anybody could help me please !!!

XaTon · Answer

Fait ceci :

~~~~~~~~~~~~~~> The Avenger <~~~~~~~~~~~~~~~~~~~

--> Télécharge The Avenger sur ton Bureau.

> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

--> Dézippe le fichier avenger.zip (Clique droit > Extraire).

/!\ Ferme toutes les fenêtres et toutes les applications en cours. /!\

--> Clique droit sur l'icône Avenger (Icône avec l'épée) et choisis Exécuter en tant qu'administrateur.
--> Clique sur OK pour accepter les termes d'utilisation.

--> Une fois le programme lancé, verifie bien que :
- La case "Scan For RootKit" soit cochée.
- La case "Automatically disable any rootkits found" ne soit pas cochée.

--> Clique sur Execute pour lancer le scan.
--> Répondre Oui à ce message de confirmation.
--> Répondre Oui pour exécuter un scan antirootkit.

--> La première étape étant finie, The Avenger a désormais besoin de redémarrer votre PC pour finir, clique sur Oui.

Ton PC redémarrera alors automatiquement.
--> Au redémarrage, le rapport de The Avenger s'ouvrira automatiquement, poste-le (C:\avenger.txt).

mamzel78 · Answer

Voici le rapport mais je crains que le rootkit soit latent soit toujours là car avast l'avait détecté

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

mamzel78 · Answer

J'ai oublié de te dire que je ne sais pas comment fonctionne lelogiciel hijack je sais pas quoi selectionner

XaTon · Answer

~~~~~~~~~~~~~~> Gmer <~~~~~~~~~~~~~~~~~~

Télécharge GMER à partir de ce lien : 

> http://www.gmer.net#files

 - Clic sur "Download EXE" et télécharge le fichier sur ton bureau.

/!\   Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.   /!\

- Double-clic sur le fichier GMER téléchargé.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

- Clic sur l'onglet "rootkit"
- Laisse tout coché.
- Clic sur Scan
- Lorsque le scan est terminé, clic sur "Copy"

- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Note

Voir le tutorial GMER, ça peut peut-être t'aider : 

> https://www.malekal.com/tutorial-gmer/

mamzel78 · Answer

GMER 1.0.15.15077 [p1nf361b.exe] - http://www.gmer.net
Rootkit scan 2009-08-20 21:27:56
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwClose [0xF2F326B8]                                                           <-- ROOTKIT !!!
SSDT            \??\C:\WINDOWS\system32\drivers\soqwx32.sys                                                                                         ZwCreateEvent [0xF75CD715]                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwCreateKey [0xF2F32574]                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwDeleteValueKey [0xF2F32A52]                                                  <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwDuplicateObject [0xF2F3214C]                                                 <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenKey [0xF2F3264E]                                                         <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenProcess [0xF2F3208C]                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenThread [0xF2F320F0]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwQueryValueKey [0xF2F3276E]                                                   <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwRestoreKey [0xF2F3272E]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwSetValueKey [0xF2F328AE]                                                     <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

?               rkuaypfo.sys                                                                                                                        Le fichier spécifié est introuvable. !
?               C:\WINDOWS\system32\drivers\soqwx32.sys                                                                                             Le fichier spécifié est introuvable.
?               C:\DOCUME~1\Olivia\LOCALS~1\Temp\mc21.tmp                                                                                           Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\RTHDCPL.EXE[212] kernel32.dll!LoadLibraryExW                                                                             7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\RTHDCPL.EXE[212] SHELL32.dll!SHFileOperationW                                                                            7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\RTHDCPL.EXE[212] SHELL32.dll!SHFileOperation                                                                             7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\wuauclt.exe[232] kernel32.dll!LoadLibraryExW                                                                    7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\wuauclt.exe[232] kernel32.dll!FreeLibrary + 15                                                                  7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\system32\wuauclt.exe[232] SHELL32.dll!SHFileOperationW                                                                   7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\wuauclt.exe[232] SHELL32.dll!SHFileOperation                                                                    7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\Program Files\iTunes\iTunesHelper.exe[272] kernel32.dll!LoadLibraryExW                                                           7C801AF1 6 Bytes  JMP 5F040F5A 
.text           C:\Program Files\iTunes\iTunesHelper.exe[272] SHELL32.dll!SHFileOperationW                                                          7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\Program Files\iTunes\iTunesHelper.exe[272] SHELL32.dll!SHFileOperation                                                           7CA800D6 6 Bytes  JMP 5F070F5A 
.text           C:\Program Files\SuperCopier2\SuperCopier2.exe[280] kernel32.dll!LoadLibraryExW                                                     7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\Program Files\SuperCopier2\SuperCopier2.exe[280] shell32.dll!SHFileOperationW                                                    7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\Program Files\SuperCopier2\SuperCopier2.exe[280] shell32.dll!SHFileOperation                                                     7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[316] kernel32.dll!LoadLibraryExW                                                                     7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[316] SHELL32.dll!SHFileOperationW                                                                    7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\system32\ctfmon.exe[316] SHELL32.dll!SHFileOperation                                                                     7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[396] kernel32.dll!LoadLibraryExW                                            7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[396] shell32.dll!SHFileOperationW                                           7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe[396] shell32.dll!SHFileOperation                                            7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[424] kernel32.dll!LoadLibraryExW                                   7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[424] SHELL32.dll!SHFileOperationW                                  7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe[424] SHELL32.dll!SHFileOperation                                   7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\System32\svchost.exe[1232] kernel32.dll!FreeLibrary + 15                                                                 7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\system32\agrsmsvc.exe[1524] kernel32.dll!FreeLibrary + 15                                                                7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1536] kernel32.dll!FreeLibrary + 15  7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\Bonjour\mDNSResponder.exe[1596] kernel32.dll!FreeLibrary + 15                                                      7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\System32
vsvc32.exe[1728] kernel32.dll!FreeLibrary + 15                                                                 7C80AC03 4 Bytes  CALL 5F00003D 
.text           ...                                                                                                                                 
.text           C:\Program Files\Mozilla Firefox\firefox.exe[1836] kernel32.dll!LoadLibraryExW                                                      7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\Program Files\Mozilla Firefox\firefox.exe[1836] kernel32.dll!FreeLibrary + 15                                                    7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\Mozilla Firefox\firefox.exe[1836] SHELL32.dll!SHFileOperationW                                                     7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\Program Files\Mozilla Firefox\firefox.exe[1836] SHELL32.dll!SHFileOperation                                                      7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] kernel32.dll!LoadLibraryExW                                                                           7C801AF1 6 Bytes  JMP 5F070F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] SHELL32.dll!SHFileOperationW                                                                          7CA7FDEE 6 Bytes  JMP 5F0A0F5A 
.text           C:\WINDOWS\Explorer.EXE[1884] SHELL32.dll!SHFileOperation                                                                           7CA800D6 6 Bytes  JMP 5F040F5A 
.text           C:\WINDOWS\System32\svchost.exe[1992] kernel32.dll!FreeLibrary + 15                                                                 7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\system32\wdfmgr.exe[2120] kernel32.dll!FreeLibrary + 15                                                                  7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe[2368] kernel32.dll!FreeLibrary + 15                                             7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\Alwil Software\Avast4\ashWebSv.exe[2440] kernel32.dll!FreeLibrary + 15                                             7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Program Files\iPod\bin\iPodService.exe[2788] kernel32.dll!FreeLibrary + 15                                                       7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\Documents and Settings\Olivia\Bureau\p1nf361b.exe[2876] kernel32.dll!LoadLibraryExW                                              7C801AF1 6 Bytes  JMP 5F040F5A 
.text           C:\Documents and Settings\Olivia\Bureau\p1nf361b.exe[2876] kernel32.dll!FreeLibrary + 15                                            7C80AC03 4 Bytes  CALL 5F00003D 
.text           C:\WINDOWS\System32\alg.exe[3048] kernel32.dll!FreeLibrary + 15                                                                     7C80AC03 4 Bytes  CALL 5F00003D

XaTon · Answer

Il y avait bien quelques Rookit .

Les as tu supprimés ?

mamzel78 · Answer

la suite

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[640] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                        00370002
IAT             C:\WINDOWS\system32\services.exe[640] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                              00370000

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                              soqwx32.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                              aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                            aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\aswTdi \Device\AswUdpFilter                                                                                                 soqwx32.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device          \Driver\aswTdi \Device\ASWTDI                                                                                                       soqwx32.sys
Device          \Driver\aswTdi \Device\AswTcpFilter                                                                                                 soqwx32.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                           aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                         aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\soqwx32.sys (*** hidden *** )                                                                           [SYSTEM] soqwx32                                                               <-- ROOTKIT !!!

mamzel78 · Answer

comment je fais pour les supprimer ??

XaTon · Answer

Relance un scan Gmer .

Tu va repérer les lignes infectée car il sont en rouge .

Je vais te demander de supprimer qu'une seul ligne car les autre sont des faux-positifs

Clique droit sur cette ligne

> C:\WINDOWS\system32\drivers\soqwx32.sys

Et tu fait Delete files

mamzel78 · Answer

Je t'ai seulement copier les fichiers en rouge j'ai fait ce que tu viens de medire mais windows me dis ke je ne peux pas supprimer le fichier. comment faire ??


GMER 1.0.15.15077 [p1nf361b.exe] - http://www.gmer.net
Rootkit scan 2009-08-20 21:56:21
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwClose [0xF2F326B8]                                                           <-- ROOTKIT !!!
SSDT            \??\C:\WINDOWS\system32\drivers\soqwx32.sys                                                                                         ZwCreateEvent [0xF75CD715]                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwCreateKey [0xF2F32574]                                                       <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwDeleteValueKey [0xF2F32A52]                                                  <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwDuplicateObject [0xF2F3214C]                                                 <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenKey [0xF2F3264E]                                                         <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenProcess [0xF2F3208C]                                                     <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwOpenThread [0xF2F320F0]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwQueryValueKey [0xF2F3276E]                                                   <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwRestoreKey [0xF2F3272E]                                                      <-- ROOTKIT !!!
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                               ZwSetValueKey [0xF2F328AE]                                                     <-- ROOTKIT !!!
---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\soqwx32.sys (*** hidden *** )                                                                           [SYSTEM] soqwx32                                                               <-- ROOTKIT !!!

XaTon · Answer

C:\WINDOWS\system32\drivers\soqwx32.sys

Que celui ci

mamzel78 · Answer

ok j'essaie de le supprimer mais ca marche pas^^

XaTon · Answer

Tu essaye de le supprimer avec Gmer ?

Essaye avec l'outil Windows

mamzel78 · Answer

j'ai cliquer sur disable car delete ne marchait pas apres avoir cliquer droit puis cliquer sur disable gmer ma di ke javais reussi et ma demandé de redémarrer mon ordi. je pense ke c'est bon. Qu'en penses tu ?

mamzel78 · Answer

je refais un scan avec gmer pour voir sil a ete supprimé je pense ke ca devrait le faire

J'ai fait un autre scan avec spybot ki ma trouvé 2 trojans je les ai supprimé

Je ne sais pas sil y a dautre virus car avast avait aussi detecté un virus/ver. Est ce que ce kappele avast un virus ver est un trojan ?

XaTon · Answer

Il a disparue le fichier ?

mamzel78 · Answer

Ca y est il n'apparait plus dans la 2nde analyse de gmer. Je te dois une fiere chandelle xaton. Merci beaucoup de m'avoir accorder du temps. Tu as de bonnes adresses en tout les cas. Bonne continuation.

XaTon · Answer

Tu peut me refaire un log Hijack

mamzel78 · Answer

ok mais je ne sais pas comment ca marche^^

XaTon · Answer

~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

- Telecharger Hijack 
>http://www.infos-du-net.com/telecharger/HijackThis.html

Une fois Hijack installer, exécuter le :
- Cliquer sur "Do a system scan and save a logfile"

- Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
- Faire édition / sélectionner tout
- Clic droit / copier

- Poste moi le rapport entier

mamzel78 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:04:31, on 21/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\o2flash.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Olivia\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ask.com/?o=13928&l=dis
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32undll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\System32\o2flash.exe

XaTon · Answer

C'est pas fini 

:-)

~~~~~~~~~~~~~~~> Ad-Remover <~~~~~~~~~~~~~~~~~~~

/!\ Désactive temporairement ton antivirus /!\

Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

> http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

      /!\ Déconnecte-toi et ferme toutes applications en cours /!\

    * Lance l'installation avec les paramètres par défaut.
    * Double-clique sur le raccourci Ad-Remover sur ton Bureau.
    * Choisit ta langue F pour française.
    * Au menu principal, choisis l'option S.

      /!\ Laisse travailler l'outil /!\
  

  * Poste le rapport qui apparaît à la fin. 


(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

mamzel78 · Answer

J'ai quoi comme virus encore ???

XaTon · Answer

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis 

Rien de bien inquiétant mais il faut quand même l'enlever

mamzel78 · Answer

Une fenetre toute violette s'affiche je clique F puis entrer et la fenetre se ferme juste apres
Ca ne marche pas ^^ (pour changer)

XaTon · Answer

Renomme le .

Tu as bien stoppé avast et spybot le temps du scan ?

mamzel78 · Answer

Oui je les ai stoppé mais fuuuck ca marche pas !

XaTon · Answer

Tu l'a renommé

mamzel78 · Answer

Oui aussi !

XaTon · Answer

->Démarre en mode sans échec :

> Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
> Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
> Puis tape « entrée ».
> Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

Note

Si F8 ne marche pas utilise la touche F5

Et tu va suivre la procédure que j'ai décrit avant

Ps : Tu n'auras plus de connexion en mode sans échec

mamzel78 · Answer

j'ai fait exactement ce que tu m'as dit mais meme topo en mode sans echec !

Virus de merde

68 réponses

Votre réponse

Discussions similaires

Newsletters