Infection par trojan Win32/Reno.JM Résolu/Fermé

Question

Bonjour a tous,

Depuis hier soir le centre de securité windows m'alerte de la presence de ce trojan, j'ai essayé de faire supprimer mais windows me le ressore 2min apres.... Je suis sous windows 7 à la vu d'autre message sur le forum je poste ci dessous le rapport : 

Merci d'avance, pour vos reponse.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:47, on 28/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe
C:\Users\COMTES~1\AppData\Local\Temp\Zrk.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Users\COMTES~1\AppData\Local\Temp\Zrl.exe
C:\Users\Comtesse de Bouillon\Desktop\SECURITE\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UpdatePRCShortCut] "C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_ccf0dd3cb081af84\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Lyonnais92 · Answer

Bonsoir,

il est décelé dans quel fichier ?

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users\COMTES~1\AppData\Local\Temp\Zrk.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

===

Recommence avec :

C:\Users\COMTES~1\AppData\Local\Temp\Zrl.exe 

===

Relance Hijackthis.

Choisis Open the misc tools section.

Choisis Open Process manager.

Clique sur C:\Users\COMTES~1\AppData\Local\Temp\Zrk.exe pour le mettre en surbrillance.

Clique sur Kill process.

Recommence avec C:\Users\COMTES~1\AppData\Local\Temp\Zrl.exe

Ferme Hijackthis.  

===
Relance Hijackthis.

Choisis Open the misc tools section.

Choisis Delete a file on reboot

Cherche  C:\Users\COMTES~1\AppData\Local\Temp\Zrk.exe et clique sur Ouvrir

Réponds non à la question pour redémarrer immédiatement.

Recommence avec C:\Users\COMTES~1\AppData\Local\Temp\Zrl.exe
 
Maintenant, accepte de redémarrer l'ordi.

Remets un rapport Hijckthis.

Recommence avec C:\Users\COMTES~1\AppData\Local\Temp\Zrl.exe

Ferme Hijackthis. 


===

Tipatpat · Answer

Tout d'abord merci de ton aide rapport pour zrk : 

Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.01.28 	Trojan.Win32.FakeAV!IK
AhnLab-V3 	5.0.0.2 	2010.01.28 	-
AntiVir 	7.9.1.154 	2010.01.28 	-
Antiy-AVL 	2.0.3.7 	2010.01.28 	-
Authentium 	5.2.0.5 	2010.01.28 	-
Avast 	4.8.1351.0 	2010.01.28 	-
AVG 	9.0.0.730 	2010.01.28 	Crypt.NQC
BitDefender 	7.2 	2010.01.28 	-
CAT-QuickHeal 	10.00 	2010.01.28 	(Suspicious) - DNAScan
ClamAV 	0.94.1 	2010.01.28 	-
Comodo 	3740 	2010.01.28 	-
DrWeb 	5.0.1.12222 	2010.01.28 	-
eSafe 	7.0.17.0 	2010.01.28 	-
eTrust-Vet 	None 	2010.01.28 	-
F-Prot 	4.5.1.85 	2010.01.28 	-
F-Secure 	9.0.15370.0 	2010.01.28 	Suspicious:W32/Malware!Gemini
Fortinet 	4.0.14.0 	2010.01.28 	-
GData 	19 	2010.01.28 	-
Ikarus 	T3.1.1.80.0 	2010.01.28 	Trojan.Win32.FakeAV
Jiangmin 	13.0.900 	2010.01.28 	-
K7AntiVirus 	7.10.957 	2010.01.26 	-
Kaspersky 	7.0.0.125 	2010.01.28 	-
McAfee 	5875 	2010.01.28 	-
McAfee+Artemis 	5875 	2010.01.28 	-
McAfee-GW-Edition 	6.8.5 	2010.01.28 	-
Microsoft 	1.5406 	2010.01.28 	TrojanDownloader:Win32/Renos.KF
NOD32 	4815 	2010.01.28 	a variant of Win32/Kryptik.CAK
Norman 	6.04.03 	2010.01.27 	-
nProtect 	2009.1.8.0 	2010.01.28 	-
Panda 	10.0.2.2 	2010.01.28 	Trj/Downloader.XHK
PCTools 	7.0.3.5 	2010.01.28 	-
Prevx 	3.0 	2010.01.28 	High Risk Cloaked Malware
Rising 	22.32.03.04 	2010.01.28 	-
Sophos 	4.50.0 	2010.01.28 	-
Sunbelt 	3.2.1858.2 	2010.01.28 	-
Symantec 	20091.2.0.41 	2010.01.28 	Supicious.Insight
TheHacker 	6.5.0.9.167 	2010.01.28 	Trojan/Kryptik.cak
TrendMicro 	9.120.0.1004 	2010.01.28 	-
VBA32 	3.12.12.1 	2010.01.28 	-
ViRobot 	2010.1.28.2160 	2010.01.28 	-
VirusBuster 	5.0.21.0 	2010.01.28 	Trojan.Codecpack.Gen
Information additionnelle
File size: 135168 bytes
MD5   : edf2ed6a15a0b667cb131a80aef22551
SHA1  : 0b483dcf5dd969399701d0509a6cfd684f5cf222
SHA256: 2c6550b9ed2dd1778028d23764a7b89a88777afcd3a418af03f13555318650b6
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1648
timedatestamp.....: 0x4685DF3B (Sat Jun 30 06:42:35 2007)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17E4 0x1800 6.28 a9b91d76c6a72da3d4a0d3d201b64489
.rdata 0x3000 0x9C09 0x9C00 6.07 5fd3ac86b4791c3fc8c28dbd9fb72882
.data 0xD000 0x2A6E6 0xB200 6.47 3c3a56159c485c719de99628dcb5ce78
.idata 0x38000 0xA413 0xA400 6.07 6d36728cae6591fc10e0c4dd4bc602ed
.reloc 0x43000 0x1E6 0x200 3.12 b6ac25a0b777f1c125202f204216ad6d

( 5 imports )

> comctl32.dll: ImageList_Create, ImageList_Draw, PropertySheetW, CreatePropertySheetPageW
> kernel32.dll: GetCurrentProcessId, VirtualAlloc, GetCurrentThreadId, IsBadWritePtr, FileTimeToLocalFileTime, GetLastError, CreateFileA, ExitProcess, lstrlenW, HeapAlloc, CreateEventW, SetLastError, FormatMessageW, GetLocalTime, GetConsoleMode, Sleep, QueryPerformanceCounter, FindResourceW, OpenEventA, GetStringTypeA
> msvcrt.dll: swscanf, _finite, __p__osver, _rotl, wcscpy, __p__fmode, isspace, isxdigit, _stat, _commit, setlocale, __set_app_type, ctime, _strlwr, srand, _ftol, malloc, __setusermatherr, _vsnprintf, __p__commode, _access, calloc, _strdup, rand, __p__iob
> ole32.dll: StringFromIID, CoCreateGuid, CoInitializeEx, CoTaskMemRealloc, CoGetInterfaceAndReleaseStream, CoRegisterClassObject, OleSaveToStream, CoFreeUnusedLibraries, GetHGlobalFromStream, CoCreateFreeThreadedMarshaler, CoImpersonateClient, CoMarshalInterface
> version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, GetFileVersionInfoW, VerQueryValueA

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ssdeep: 3072:dTGMo9BD7WV8wAJtYWgI/QDUR1s904/AwAACsPEzKbhZxAt:ReDtZnYQR6AwAAVZy
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=4AC8302C00F3504C10CF023D1B067F00FFCFD2AE
PEiD  : -
RDS   : NSRL Reference Data Set
-
END

Tipatpat · Answer

Et voila pour ZRL : 

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.5.0.50	2010.01.28	Trojan.Win32.FakeAV!IK
AVG	9.0.0.730	2010.01.28	Generic16.APYY
BitDefender	7.2	2010.01.28	-
ClamAV	0.94.1	2010.01.28	-
eSafe	7.0.17.0	2010.01.28	-
F-Secure	9.0.15370.0	2010.01.28	-
GData	19	2010.01.28	-
Ikarus	T3.1.1.80.0	2010.01.28	Trojan.Win32.FakeAV
Jiangmin	13.0.900	2010.01.28	-
K7AntiVirus	7.10.957	2010.01.26	-
Kaspersky	7.0.0.125	2010.01.28	-
McAfee	5875	2010.01.28	FakeAlert-LJ
McAfee+Artemis	5875	2010.01.28	FakeAlert-LJ
McAfee-GW-Edition	6.8.5	2010.01.28	-
Microsoft	1.5406	2010.01.28	TrojanDownloader:Win32/Renos.KF
Norman	6.04.03	2010.01.27	-
nProtect	2009.1.8.0	2010.01.28	-
PCTools	7.0.3.5	2010.01.28	-
Sophos	4.50.0	2010.01.28	Mal/EncPk-NI
Sunbelt	3.2.1858.2	2010.01.28	-
Symantec	20091.2.0.41	2010.01.28	Suspicious.IRCBot
TheHacker	6.5.0.9.167	2010.01.28	Trojan/Kryptik.cak
VBA32	3.12.12.1	2010.01.28	-
VirusBuster	5.0.21.0	2010.01.28	Trojan.Codecpack.Gen
Information additionnelle
File size: 129536 bytes
MD5...: 73d3cfee4ff326f854353581b2db67d8
SHA1..: 8daba1f55cf8e2911e724e6bbdc2449a53315909
SHA256: f205378c874d8fea9f35cc49f41e35ca69f9ae4541f02dd59efefc584b76a3fe
ssdeep: 3072:43txAtBDSwA5KWHqJKDWpy0AKSuzJ28b6UWqjdZ0ZCWD:atqSr5KW08WDrb
AGdZQC
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14a0
timedatestamp.....: 0x478ca089 (Tue Jan 15 12:01:13 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13e4 0x1400 6.33 ae2eadd91bed33c0045aae4c3b30b73c
.rdata 0x3000 0xa40c 0xa400 6.06 510fae7657011c9da4ce7c78c55eb2c9
.data 0xe000 0x26251 0xa800 6.50 b05131fb334ba622ccd00dad4c1f3309
.idata 0x35000 0x9415 0x9400 6.10 053ecfbde1ea07579330c1005d1c3ada
.reloc 0x3f000 0x1f0 0x200 2.12 c15d9e9050cec934ddf53b46acfc25d0

( 6 imports )
> shlwapi.dll: PathIsURLW, PathIsDirectoryW, PathSkipRootW, PathGetDriveNumberW, PathAddBackslashW, PathIsUNCW, PathFindExtensionW, SHDeleteKeyW, StrRChrW
> ole32.dll: CoCreateFreeThreadedMarshaler, CoCreateGuid, CreateStreamOnHGlobal, StgCreateDocfileOnILockBytes, CoGetMalloc, StringFromCLSID, WriteClassStm, CoCreateInstance, StgIsStorageFile, CLSIDFromString, CreateDataAdviseHolder, StgCreateDocfile
> VERSION.dll: VerQueryValueW, GetFileVersionInfoA
> USER32.dll: SetForegroundWindow, GetClientRect, MapWindowPoints, GetWindowDC, IsZoomed, SetRect, GetWindowLongA, IsWindowVisible, GetMessagePos, CreateWindowExW, CalcMenuBar, GetDC, TranslateMessage, GetActiveWindow, LoadStringW, DialogBoxParamW, GetAsyncKeyState, CharUpperA, GetFocus, ChangeMenuA, RegisterClipboardFormatW, GetParent, GetWindow, SetWindowLongW
> MSVCRT.dll: free, __set_app_type, _wtol, __p__fmode, fflush, _XcptFilter, __setusermatherr, __p__commode, _strdup, isdigit, _wcsdup, _lock
> KERNEL32.dll: GetCurrentProcessId, SetEvent, GetStdHandle, OpenMutexW, FindResourceW, Sleep, GetModuleHandleW, FindNextFileW, ExitProcess, CreateProcessA, lstrcmpW, GlobalLock, GetProcAddress, GetFileType, GetFileSize, VirtualAlloc, SetLastError, GetProcessHeap, IsBadWritePtr, GetCurrentThreadId, IsBadReadPtr, WriteConsoleW

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Lyonnais92 · Answer

Re,

tu continues la procédure.

ca risque de ne pas suffire.

===

Ensuite,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Tipatpat · Answer

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3651
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/01/2010 13:22:57
mbam-log-2010-01-28 (13-22-42).txt

Type de recherche: Examen rapide
Eléments examinés: 93961
Temps écoulé: 3 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Comtesse de Bouillon\AppData\Local\Temp\Zrj.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

Lyonnais92 · Answer

Re,

No action taken.

tu as pris le rapport trop tôt ou tu n'as rien mis en quarantaine ?

Tipatpat · Answer

Nouveau rapport : 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3651
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28/01/2010 17:18:57
mbam-log-2010-01-28 (17-18-54).txt

Type de recherche: Examen rapide
Eléments examinés: 94064
Temps écoulé: 2 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Comtesse de Bouillon\AppData\Local\Temp\Zrj.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.

Lyonnais92 · Answer

re,

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

Tipatpat · Answer

A priori c'est resolu ! Merci bcp pour votre précieuse aide.

:)

Lyonnais92 · Answer

Re,

que ce soit résolu, c'est moi qui le dirait.

Tu confonds disparition des symptômes et éradication des infections.

===

Tu postes le rapport de MBAM après mise en quarantaine.

Tu fais redémarrer l'ordi.

===

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tipatpat · Answer

Voila le dernier rapport mbam : 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3651
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29/01/2010 11:17:11
mbam-log-2010-01-29 (11-17-11).txt

Type de recherche: Examen rapide
Eléments examinés: 93926
Temps écoulé: 3 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Tipatpat · Answer

Et voila pour le rapport ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=cj201001/cijcoxeE6X.txt

Lyonnais92 · Answer

Re,

OK, on peut en terminer.

===

Mets à jour ta console java (c'est une faille de sécurité) :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

===

Suppression des outils :

 Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

===

Je te suggère de remplacer Avast par Antivir (version gratuite).

Tu as un tutoriel ici :

 tutoriel et lien pour Antivir :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

qui contient un tutoriel pour la migration :

http://forum.malekal.com/abandonner-...vir-t4192.html

Tipatpat · Answer

Voici le rapport javara.log : 


JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Jan 29 13:24:05 2010

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

------------------------------------

Finished reporting.



JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Jan 29 13:24:33 2010

------------------------------------

Finished reporting.



JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Jan 29 13:24:52 2010

------------------------------------

Finished reporting.

Lyonnais92 · Answer

Re,

si tu as supprimé les outils, on en a terminé (sauf si tu as des questions).

Tipatpat · Answer

Ok merci bcp, je met resolu.

Ptite question pk avira plus que avast : avantage, incovenient??

Merci du temps consacré.

Lyonnais92 · Answer

Bonjour,

la protection d'Antivir est meilleure car les mises à jour sont plus rapides.

De rien pour l'aide, ce fut avec plaisir.

Bon surf.

jean · Answer

fais gaffe moi jai du formater mon ordi window 7 a cause de ce virus et il fesai chauffe enormaiment mon ordi

Infection par trojan Win32/Reno.JM

18 réponses

Discussions similaires