TR/PCK.Monder.43520.11

Question

Bonjour, 

Mon ordinateur a récemment attrapé ce virus (TR/PCK.Monder.43520.11), ce qui affole de temps en temps l'antivirus (avira antivir free), qui ne peut pas le supprimer. C'est assez désagréable quand on travaille dessus.
Est-il possible de supprimer ce virus ? Par quel moyen ?

                                                                              merci, Vivien

Configuration: Windows Vista / Firefox 3.1

jlpjlp · Answer

slt

colle le rapport de l'antivirus

puis


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Vivien · Answer

Bonjour,

alors l'antivirus me dit:

C:\WindowsSystem32xxyVPfGW.dll contient le cheval de troie TR/PCK.Monder.43520.11

Vivien · Answer

et voice le lien du rapport  

http://www.cijoint.fr/cjlink.php?file=cj201102/cijf5YI3Ib.txt 

merci pour votre aide

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Copie/colle les lignes en gras suivantes : 

----------------------------------------------------------  
 
4 - HKLM\..\Run: [MSServer] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\xxyVPfGW.dll  
[MD5.00000000000000000000000000000000] [APT] [{2EA1274D-1614-4A36-8744-E51F30843E07}] (.Pas de propriétaire.) -- C:\Program Files\rhc137j0e7ag\uninstall.exe (.not file.) 
[MD5.29BCEBD2017102969F18AFC281E320D9] [APT] [{46A4060E-1AB6-4A2B-AAC8-D2D15A8D6A0B}] (.Pas de propriétaire.) -- C:\Program Files\Image-Line\PoiZone\uninstall.exe 
[MD5.00000000000000000000000000000000] [APT] [{A6233A1B-E9DF-4BC4-8588-470BC3B940DC}] (.Pas de propriétaire.) -- C:\Program Files\Orange\Connexion Internet Orange\installation\core\Installgui.exe (.not file.) 
[HKCU\Software\MyWebSearch] 
[HKCU\Software\Poker 770] 
[HKCU\Software\qCOHaNyWv4] 
[HKLM\Software\Fun Web Products] 
[HKLM\Software\MyWebSearch] 
[HKLM\Software\Poker 770] 
O46 - SEH:ShellExecuteHooks - (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\Windows\system32\xxyVPfGW.dll 
O69 - SBI: SearchScopes [HKCU] {56256A51-B582-467e-B8D4-7786EDA79AE0} - (My Web Search) - http://www.mywebsearch.com 
O87 - FAEL: "{0F31C959-65BC-4480-B41B-79C39CC5AC81}" |In - Private - P17 - TRUE | .(...) -- C:\Users\bobby.PC-de-gobby\AppData\Local\Temp\.ttACE8.tmp (.not file.) 
O87 - FAEL: "{DC892D53-CF22-4822-A708-924FB5B45D2A}" |In - Private - P6 - TRUE | .(...) -- C:\Users\bobby.PC-de-gobby\AppData\Local\Temp\.ttACE8.tmp (.not file.) 
[HKCU\Software\AppDataLow\Software\MyWebSearch] 
[HKCU\Software\MyWebSearch] 
[HKLM\Software\MyWebSearch] 
O69 - SBI: SearchScopes [HKCU] {56256A51-B582-467e-B8D4-7786EDA79AE0} - (My Web Search) - http://www.mywebsearch.com 
 


---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 







--------------- 


ensuite télécharge ad remover et colle un rapport de nettoyage (suppression ) avec 
http://www.teamxscript.org/adremoverTelechargement.html 

puis 

--------------- 

télécharge malwarebyte antimalware, mets le à jour puis colle un rapport d'analyse rapide avec et supprime ce qui est trouvé 
---------------- 

puis remets un rapport avec antivir  complet cette fois


a plus

Vvien · Answer

rapport ZHPfix:

Rapport de ZHPFix 1.12.3250 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by bobby at 09/02/2011 09:47:33
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Logiciel(s) ==========
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1 => Logiciel supprimé avec succès

========== Récapitulatif ==========
1 : Logiciel(s)

End of the scan

rapport ad remover:

Clé supprimée: HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé supprimée: HKLM\Software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}
Clé supprimée: HKLM\Software\Fun Web Products
Clé supprimée: HKLM\Software\MyWebSearch
Clé supprimée: HKLM\Software\Poker 770
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\MyWebSearch
Clé supprimée: HKCU\Software\PartyGaming
Clé supprimée: HKCU\Software\Poker 770
Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Everest Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF}
Clé supprimée: HKLM\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45DD-9B68-D6A12C30E5D7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll
Clé supprimée: HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss

============== SCAN ADDITIONNEL ==============

-- C:\Users\bobby\AppData\Roaming\Mozilla\FireFox\Profiles\3buryu3v.default --
Extensions\fbjmpas1@fbext.fr (Facebook J'aime pas)
Extensions\fbosef1@fbext.fr (Facebook On s'en fout)
Extensions\{5A170DD3-63CA-4c58-93B7-DE9FF536C2FF} (Walnut for Firefox)
Prefs.js - browser.download.dir, C:\\Users\\bobby\\Desktop
Prefs.js - browser.download.lastDir, C:\\Users\\bobby\\Desktop
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1b3

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKLM_ElevationPolicy\{58F04068-17A5-41a3-B5B7-111004DDF5DC} - C:\Program Files\Real\RealPlayer\realplay.exe (RealNetworks, Inc.)
HKLM_ElevationPolicy\{E56200D6-445E-45ce-89D8-E0EF39ECF849} - C:\Program Files\Real\RealPlayer\RecordingManager.exe (RealNetworks, Inc.)
BHO\{3049C3E9-B461-4BC5-8870-4C09146192CA} - "RealPlayer Download and Record Plugin for Internet Explorer" (C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{7E853D72-626A-48EC-A868-BA8D5E23E045} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/02/2011 (5475 Octet(s))

Fin à: 09:49:57, 09/02/2011

============== E.O.F ==============

rapport de malwarebyte antimalware, mais il n'a rien trouvé :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5718

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

09/02/2011 10:03:37
mbam-log-2011-02-09 (10-03-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 132946
Temps écoulé: 6 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

rapport d'antivir, lui a trouvé quelque chose :

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 9 février 2011 10:06

La recherche porte sur 2461013 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows :(Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :PC-DE-GOBBY

Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:12:33
ANTIVIR1.VDF : 7.11.0.11 13365104 Bytes 14/12/2010 21:02:18
ANTIVIR2.VDF : 7.11.2.79 2963360 Bytes 04/02/2011 16:00:20
ANTIVIR3.VDF : 7.11.2.88 62464 Bytes 07/02/2011 16:52:49
Version du moteur: 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 21:07:48
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 30/01/2011 19:02:33
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 18:54:45
AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 18:54:41
AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 18:55:33
AEPACK.DLL : 8.2.4.9 512374 Bytes 30/01/2011 19:02:30
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 30/01/2011 19:02:27
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 06/02/2011 16:00:23
AEHELP.DLL : 8.1.16.1 246134 Bytes 06/02/2011 16:00:21
AEGEN.DLL : 8.1.5.2 397683 Bytes 20/01/2011 18:36:33
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 18:53:43
AECORE.DLL : 8.1.19.2 196983 Bytes 20/01/2011 18:36:26
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 16:23:29
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 17:33:20
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:, F:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : mercredi 9 février 2011 10:06

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'46' processus ont été contrôlés avec '46' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\Windows\System32\geBsrOFX.dll
[RESULTAT] Contient le cheval de Troie TR/PCK.Monder.43520.11
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Redémarrage nécessaire.
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.

Le registre a été contrôlé ( '34' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Users\bobby\AppData\Local\Temp\tmp000073e7
[RESULTAT] Contient le cheval de Troie TR/PCK.Monder.43520.11
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dc25b70.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\7747d0cc-708d6860
[0] Type d'archive: ZIP
--> Downloader.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Agent.L
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d865b41.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\6827dfd2-731f575e
[0] Type d'archive: ZIP
--> bpac/a.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/OpenConnect.CF
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d845b47.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\2175addd-2d0420ea
[0] Type d'archive: ZIP
--> dev/s/AdgredY.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.BH
--> dev/s/DyesyasZ.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.GS
--> dev/s/LoaderX.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.BO
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d895b45.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\608553a1-3242e98d
[0] Type d'archive: ZIP
--> Downloader.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Agent.L
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8a5b4a.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5c1322e5-6634ab26
[0] Type d'archive: ZIP
--> Downloader.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Agent.L
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d835b81.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\79ae0068-51b10cd7
[0] Type d'archive: ZIP
--> dev/s/AdgredY.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.BH
--> dev/s/DyesyasZ.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.GS
--> dev/s/LoaderX.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoader.BO
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4db35b5c.qua' !
C:\Users\bobby\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\562ef547-220d133a
[0] Type d'archive: ZIP
--> bpac/a.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.HN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d845b5f.qua' !
C:\Windows\System32\B03C.tmp
[RESULTAT] Contient le cheval de Troie TR/Dldr.FraudLoa.NC
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d855d62.qua' !
C:\Windows\System32\enwrydaf.exe
[RESULTAT] Contient le modèle de détection du virus ADWARE/Adware.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dc95db4.qua' !
C:\Windows\System32\geBsrOFX.dll
[RESULTAT] Contient le cheval de Troie TR/PCK.Monder.43520.11
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Redémarrage nécessaire.
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
Recherche débutant dans 'E:\' <Expansion Drive>
Recherche débutant dans 'F:\' <Elements>

Fin de la recherche : mercredi 9 février 2011 10:56
Temps nécessaire: 49:50 Minute(s)

La recherche a été effectuée intégralement

21688 Les répertoires ont été contrôlés
282566 Des fichiers ont été contrôlés
16 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
10 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
282548 Fichiers non infectés
1890 Les archives ont été contrôlées
4 Avertissements
12 Consignes

Vivien · Answer

C'est bon ? Qu'y a t'il d'autre a faire après ?

jlpjlp · Answer

tu as mal fais la manipulation avec zhpfix . Pour antivir il faut utiliser la derniere version la 10 et colle une analyse avec

Vivien · Answer

nouveau rapport zhpfix : 

Rapport de ZHPFix 1.12.3250 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09-02-2011-19-24-36.txt
Run by bobby at 09/02/2011 19:24:36
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Program Files\Image-Line\PoiZone\uninstall.exe  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\MyWebSearch  => Clé absente
HKCU\Software\Poker 770  => Clé absente
HKCU\Software\qCOHaNyWv4  => Clé supprimée avec succès
HKLM\Software\Fun Web Products  => Clé absente
HKLM\Software\MyWebSearch  => Clé absente
HKLM\Software\Poker 770  => Clé absente
[HKLM\SOFTWARE\Classes\CLSID\{6584C510-924B-486A-A1A0-E380DE08C2DB}]  => Clé supprimée avec succès
[HKCR\CLSID\{6584C510-924B-486A-A1A0-E380DE08C2DB}]  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {56256A51-B582-467e-B8D4-7786EDA79AE0} - (My Web Search) - http://www.mywebsearch.com  => Clé absente
HKCU\Software\AppDataLow\Software\MyWebSearch  => Clé absente

========== Valeur(s) du Registre ==========
O46 - SEH:ShellExecuteHooks - (no name) - {6584C510-924B-486A-A1A0-E380DE08C2DB} - C:\Windows\system32\xxyVPfGW.dll  => Valeur supprimée avec succès
{0F31C959-65BC-4480-B41B-79C39CC5AC81}  => Valeur supprimée avec succès
{DC892D53-CF22-4822-A708-924FB5B45D2A}  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\rhc137j0e7ag\uninstall.exe (.not file.)  => Fichier absent
c:\program files\orange\connexion internet orange\installation\core\installgui.exe (.not file.)  => Fichier absent
c:\windows\system32\xxyvpfgw.dll  => Fichier absent

========== Tache planifiée ==========
Task : {2EA1274D-1614-4A36-8744-E51F30843E07}  => Tâche supprimée avec succès
Task : {46A4060E-1AB6-4A2B-AAC8-D2D15A8D6A0B}  => Tâche supprimée avec succès
Task : {A6233A1B-E9DF-4BC4-8588-470BC3B940DC}  => Tâche supprimée avec succès

========== Autre ==========
4 - HKLM\..\Run: [MSServer] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\xxyVPfGW.dll  => Format Non supporté


========== Récapitulatif ==========
1 : Processus mémoire
10 : Clé(s) du Registre
3 : Valeur(s) du Registre
3 : Fichier(s)
3 : Tache planifiée
1 : Autre


End of the scan

jlpjlp · Answer

ok télécharge la dernière version d'antivir  (<= ici)

puis colle une analyse avec

Vivien · Answer

je peux supprimer des fichiers mais par défaut il me le placerait en quarantainz, je fais quoi ?

jlpjlp · Answer

oui mets en quarantaine

Vivien · Answer

voila le rapport

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 9 février 2011 20:10

La recherche porte sur 2390458 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-GOBBY

Informations de version :
BUILD.DAT : 10.0.0.107 31825 Bytes 09/12/2010 10:51:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 06/12/2010 07:47:41
AVSCAN.DLL : 10.0.3.0 56168 Bytes 06/12/2010 07:48:04
LUKE.DLL : 10.0.3.2 104296 Bytes 06/12/2010 07:47:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 06/12/2010 07:48:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:02:43
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 19:04:23
VBASE003.VDF : 7.11.3.1 2048 Bytes 09/02/2011 19:04:23
VBASE004.VDF : 7.11.3.2 2048 Bytes 09/02/2011 19:04:24
VBASE005.VDF : 7.11.3.3 2048 Bytes 09/02/2011 19:04:24
VBASE006.VDF : 7.11.3.4 2048 Bytes 09/02/2011 19:04:24
VBASE007.VDF : 7.11.3.5 2048 Bytes 09/02/2011 19:04:25
VBASE008.VDF : 7.11.3.6 2048 Bytes 09/02/2011 19:04:25
VBASE009.VDF : 7.11.3.7 2048 Bytes 09/02/2011 19:04:25
VBASE010.VDF : 7.11.3.8 2048 Bytes 09/02/2011 19:04:25
VBASE011.VDF : 7.11.3.9 2048 Bytes 09/02/2011 19:04:26
VBASE012.VDF : 7.11.3.10 2048 Bytes 09/02/2011 19:04:26
VBASE013.VDF : 7.11.3.11 2048 Bytes 09/02/2011 19:04:26
VBASE014.VDF : 7.11.3.12 2048 Bytes 09/02/2011 19:04:26
VBASE015.VDF : 7.11.3.13 2048 Bytes 09/02/2011 19:04:27
VBASE016.VDF : 7.11.3.14 2048 Bytes 09/02/2011 19:04:27
VBASE017.VDF : 7.11.3.15 2048 Bytes 09/02/2011 19:04:27
VBASE018.VDF : 7.11.3.16 2048 Bytes 09/02/2011 19:04:27
VBASE019.VDF : 7.11.3.17 2048 Bytes 09/02/2011 19:04:27
VBASE020.VDF : 7.11.3.18 2048 Bytes 09/02/2011 19:04:27
VBASE021.VDF : 7.11.3.19 2048 Bytes 09/02/2011 19:04:27
VBASE022.VDF : 7.11.3.20 2048 Bytes 09/02/2011 19:04:27
VBASE023.VDF : 7.11.3.21 2048 Bytes 09/02/2011 19:04:27
VBASE024.VDF : 7.11.3.22 2048 Bytes 09/02/2011 19:04:27
VBASE025.VDF : 7.11.3.23 2048 Bytes 09/02/2011 19:04:29
VBASE026.VDF : 7.11.3.24 2048 Bytes 09/02/2011 19:04:30
VBASE027.VDF : 7.11.3.25 2048 Bytes 09/02/2011 19:04:31
VBASE028.VDF : 7.11.3.26 2048 Bytes 09/02/2011 19:04:31
VBASE029.VDF : 7.11.3.27 2048 Bytes 09/02/2011 19:04:31
VBASE030.VDF : 7.11.3.28 2048 Bytes 09/02/2011 19:04:31
VBASE031.VDF : 7.11.3.32 12288 Bytes 09/02/2011 19:04:32
Version du moteur : 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 06/12/2010 07:47:38
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 09/02/2011 19:08:27
AESCN.DLL : 8.1.7.2 127349 Bytes 06/12/2010 07:47:36
AESBX.DLL : 8.1.3.2 254324 Bytes 06/12/2010 07:47:36
AERDL.DLL : 8.1.9.2 635252 Bytes 06/12/2010 07:47:36
AEPACK.DLL : 8.2.4.9 512374 Bytes 09/02/2011 19:08:26
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 09/02/2011 19:08:26
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 09/02/2011 19:08:25
AEHELP.DLL : 8.1.16.1 246134 Bytes 09/02/2011 19:05:04
AEGEN.DLL : 8.1.5.2 397683 Bytes 09/02/2011 19:04:55
AEEMU.DLL : 8.1.3.0 393589 Bytes 06/12/2010 07:47:31
AECORE.DLL : 8.1.19.2 196983 Bytes 09/02/2011 19:04:45
AEBB.DLL : 8.1.1.0 53618 Bytes 06/12/2010 07:47:30
AVWINLL.DLL : 10.0.0.0 19304 Bytes 06/12/2010 07:47:42
AVPREF.DLL : 10.0.0.0 44904 Bytes 06/12/2010 07:47:41
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 13:27:52
AVREG.DLL : 10.0.3.2 53096 Bytes 06/12/2010 07:47:41
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 06/12/2010 07:47:41
AVARKT.DLL : 10.0.22.6 231784 Bytes 06/12/2010 07:47:39
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 06/12/2010 07:47:40
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 06/12/2010 07:47:42
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 23:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 06/12/2010 07:48:06

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mercredi 9 février 2011 20:10

La recherche d'objets cachés commence.
HKEY_USERS\S-1-5-21-3231008829-2089630883-3644617952-1000\Software\SecuROM\License information\datasecu
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
[AVERTISSEMENT] Fichier ignoré.
HKEY_USERS\S-1-5-21-3231008829-2089630883-3644617952-1000\Software\SecuROM\License information\rkeysecu
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
[AVERTISSEMENT] Fichier ignoré.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag12.00.00.01professional
[REMARQUE] L'entrée d'enregistrement n'est pas visible.
[AVERTISSEMENT] Fichier ignoré.

La recherche sur les processus démarrés commence :
Processus de recherche 'Aurora.scr' - '25' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '49' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '79' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '29' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '64' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '110' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '53' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '56' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '33' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '64' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '48' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '34' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '33' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '28' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '93' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '29' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '38' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés
Processus de recherche 'Monitor.exe' - '26' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '18' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '59' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '7' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '44' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '173' module(s) sont contrôlés
Module OK -> <C:\Windows\explorer.exe>
[REMARQUE] Le processus 'explorer.exe' a été arrêté
Module infecté -> <C:\Windows\System32\urqRHwVN.dll>
[RESULTAT] Contient le cheval de Troie TR/PCK.Monder.43520.11
[REMARQUE] L'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6584C510-924B-486A-A1A0-E380DE08C2DB}> a été supprimée.
[REMARQUE] L'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6584C510-924B-486A-A1A0-E380DE08C2DB}> a été supprimée.
Processus de recherche 'taskeng.exe' - '78' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '62' module(s) sont contrôlés
Processus de recherche 'Dwm.exe' - '32' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '79' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '84' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '86' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '45' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '26' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '149' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '97' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '66' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '33' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '33' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '39' module(s) sont contrôlés
Module OK -> <C:\Windows\System32\winlogon.exe>
[AVERTISSEMENT] Impossible d'arrêter le processus <winlogon.exe>. Cause possible : Erreur système [2]: Le fichier spécifié est introuvable.
Module infecté -> <C:\Windows\System32\urqRHwVN.dll>
[RESULTAT] Contient le cheval de Troie TR/PCK.Monder.43520.11
[REMARQUE] L'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6584C510-924B-486A-A1A0-E380DE08C2DB}> a été supprimée.
[REMARQUE] L'entrée de registre <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6584C510-924B-486A-A1A0-E380DE08C2DB}> a été supprimée.
Processus de recherche 'lsm.exe' - '22' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '59' module(s) sont contrôlés
Processus de recherche 'services.exe' - '33' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '26' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

Vivien · Answer

il y a eu une nouvelle analyse au démarrage, il faut supprimer un fichier

jlpjlp · Answer

ok

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Vivien · Answer

voila c'est fait

le rapport:

ComboFix 11-02-09.05 - bobby 10/02/2011  18:30:47.4.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1378 [GMT 1:00]
Lancé depuis: c:\users\bobby\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ARKE8B9.tmp
C:\ARKF0C5.tmp
c:\windows\system32\404Fix.exe
c:\windows\system32\arp.exe
c:\windows\system32\Config.ini
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-10 au 2011-02-10  ))))))))))))))))))))))))))))))))))))
.

2011-02-10 17:37 . 2011-02-10 17:37	--------	d-----w-	c:\users\bobby\AppData\Local	emp
2011-02-10 17:37 . 2011-02-10 17:37	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-02-10 17:06 . 2011-02-10 17:06	--------	d-----w-	C:\avrescue
2011-02-10 17:01 . 2011-02-07 20:25	43520	------w-	c:\windows\system32\awTlKbBt.dll
2011-02-09 18:58 . 2011-02-09 18:58	--------	d-----w-	c:\users\bobby\AppData\Roaming\Avira
2011-02-09 18:38 . 2011-02-09 18:38	--------	d-----w-	c:\programdata\Avira
2011-02-09 18:38 . 2011-02-09 18:38	--------	d-----w-	c:\program files\Avira
2011-02-09 18:38 . 2010-12-06 07:48	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-02-09 18:38 . 2010-12-06 07:48	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-09 08:56 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-09 08:56 . 2011-02-09 08:56	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-02-09 08:56 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-09 08:48 . 2011-02-09 08:48	--------	d-----w-	c:\program files\Ad-Remover
2011-02-08 19:22 . 2011-02-09 18:24	--------	d-----w-	c:\program files\ZHPDiag
2011-02-07 20:30 . 2011-02-07 20:30	--------	d-----w-	c:\program files\ASIO4ALL v2
2011-02-07 20:29 . 2002-07-07 22:14	1294336	----a-w-	c:\windows\system32\vorbis.acm
2011-02-06 17:10 . 2011-02-06 17:10	--------	d-----w-	c:\program files\Winamp Detect
2011-02-06 17:10 . 2011-02-09 20:24	--------	d-----w-	c:\users\bobby\AppData\Roaming\Winamp
2011-01-22 21:08 . 2011-01-22 21:08	--------	d-----w-	c:\program files\Outsim
2011-01-22 21:04 . 2011-02-07 20:26	--------	d-----w-	c:\program files\Image-Line

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-06 281768]
"MSServer"="c:\windows\system32\awTlKbBt.dll" [2011-02-07 43520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"FilterAdministratorToken"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{6584C510-924B-486A-A1A0-E380DE08C2DB}"= "c:\windows\system32\awTlKbBt.dll" [2011-02-07 43520]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 PAC207;SoC PC-Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-06 135336]
S2 Vcs;Vcs support;c:\windows\system32\Drivers\Vcs.sys [2004-11-14 6852]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - aswFsBlk
*Deregistered* - aswMonFlt
*Deregistered* - aswRdr
*Deregistered* - aswSP
*Deregistered* - aswTdi
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\users\bobby\AppData\Roaming\Mozilla\Firefox\Profiles\3buryu3v.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox 3.1 Beta 2\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Walnut for Firefox: {5A170DD3-63CA-4c58-93B7-DE9FF536C2FF} - %profile%\extensions\{5A170DD3-63CA-4c58-93B7-DE9FF536C2FF}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Facebook On s'en fout: fbosef1@fbext.fr - %profile%\extensions\fbosef1@fbext.fr
FF - Ext: Facebook J'aime pas: fbjmpas1@fbext.fr - %profile%\extensions\fbjmpas1@fbext.fr
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\program files\Real\RealPlayer\browserrecord
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-PoiZone - c:\program files\Image-Line\PoiZone\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-10 18:37
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3231008829-2089630883-3644617952-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:57,04,07,3d,e1,bb,6f,25,80,cc,d7,03,24,24,60,1b,ec,72,a7,8b,3c,cd,d0,
   8f,27,ea,79,72,2f,7c,96,fc,e6,f7,60,53,e9,d6,ed,1e,3f,1d,60,3f,51,55,47,1b,\
"??"=hex:fa,b8,07,30,65,ec,55,cd,37,b5,7b,17,66,45,b5,ec

[HKEY_USERS\S-1-5-21-3231008829-2089630883-3644617952-1000\Software\SecuROM\License information*]
"datasecu"=hex:1a,49,e2,27,cf,ea,eb,a7,87,43,8b,26,15,3e,bf,ed,bc,5c,df,79,bf,
   3d,70,31,26,66,16,01,37,52,5b,93,a2,52,2f,c2,62,c3,aa,6b,aa,5f,b9,9d,71,b1,\
"rkeysecu"=hex:30,07,c0,cb,3a,ab,ca,09,a5,38,fe,1d,9d,f3,1d,0f

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\awTlKbBt.dll
.
Heure de fin: 2011-02-10  18:39:08
ComboFix-quarantined-files.txt  2011-02-10 17:39

Avant-CF: 2 535 481 344 octets libres
Après-CF: 2 367 221 760 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 36D0CECE397F7B3A9886F9E02D69BFB3

jlpjlp · Answer

ok

analyse ce fichier sur virus total et colle le rapport  https://www.virustotal.com/gui/

c:\windows\system32\awTlKbBt.dll

Vivien · Answer

j'ai pas l'autorisation de l'ouvrir

jlpjlp · Answer

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





File::
c:\windows\system32\awTlKbBt.dll
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSServer"=-



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Vivien · Answer

voila le rapport:

ComboFix 11-02-09.05 - bobby 10/02/2011  22:57:06.5.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1344 [GMT 1:00]
Lancé depuis: C:\Users\bobby\Desktop\ComboFix.exe
Commutateurs utilisés :: C:\Users\bobby\Desktop\CFscript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\awTlKbBt.dll"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\awTlKbBt.dll
E:\Autorun.inf
F:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-10 au 2011-02-10  ))))))))))))))))))))))))))))))))))))
.

2011-02-10 22:02:27 . 2011-02-10 22:04:18	--------	d-----w-	C:\Users\bobby\AppData\Local	emp
2011-02-10 22:02:27 . 2011-02-10 22:02:27	--------	d-----w-	C:\Users\Default\AppData\Local	emp
2011-02-09 18:58:37 . 2011-02-09 18:58:37	--------	d-----w-	C:\Users\bobby\AppData\Roaming\Avira
2011-02-09 18:38:41 . 2011-02-09 18:38:41	--------	d-----w-	C:\ProgramData\Avira
2011-02-09 18:38:41 . 2011-02-09 18:38:41	--------	d-----w-	C:\Program Files\Avira
2011-02-09 18:38:41 . 2010-12-06 07:48:06	61960	----a-w-	C:\Windows\system32\drivers\avgntflt.sys
2011-02-09 18:38:41 . 2010-12-06 07:48:06	135096	----a-w-	C:\Windows\system32\drivers\avipbb.sys
2011-02-09 08:56:06 . 2010-11-29 16:42:18	38224	----a-w-	C:\Windows\system32\drivers\mbamswissarmy.sys
2011-02-09 08:56:02 . 2011-02-09 08:56:08	--------	d-----w-	C:\Program Files\Malwarebytes' Anti-Malware
2011-02-09 08:56:02 . 2010-11-29 16:42:06	20952	----a-w-	C:\Windows\system32\drivers\mbam.sys
2011-02-09 08:48:52 . 2011-02-09 08:48:53	--------	d-----w-	C:\Program Files\Ad-Remover
2011-02-08 19:22:53 . 2011-02-09 18:24:36	--------	d-----w-	C:\Program Files\ZHPDiag
2011-02-07 20:30:08 . 2011-02-07 20:30:09	--------	d-----w-	C:\Program Files\ASIO4ALL v2
2011-02-07 20:29:36 . 2002-07-07 22:14:24	1294336	----a-w-	C:\Windows\system32\vorbis.acm
2011-02-06 17:10:50 . 2011-02-06 17:10:50	--------	d-----w-	C:\Program Files\Winamp Detect
2011-02-06 17:10:34 . 2011-02-10 20:12:27	--------	d-----w-	C:\Users\bobby\AppData\Roaming\Winamp
2011-01-22 21:08:34 . 2011-01-22 21:08:34	--------	d-----w-	C:\Program Files\Outsim
2011-01-22 21:04:19 . 2011-02-07 20:26:43	--------	d-----w-	C:\Program Files\Image-Line

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 17:41:00 1832272]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 22:33:40 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Monitor"="C:\Windows\PixArt\PAC207\Monitor.exe" [2006-11-03 10:01:16 319488]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 02:04:47 35760]
"Adobe ARM"="C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 18:37:40 932288]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 13:40:44 155648]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 09:44:46 248552]
"avgnt"="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-06 07:47:40 281768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"FilterAdministratorToken"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@=""

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 11:16:28 130384]
R3 PAC207;SoC PC-Camera;C:\Windows\system32\DRIVERS\PFC027.SYS [2006-12-05 10:34:42 507136]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;C:\Windows\system32\Drivers\PCAMp50.sys [2009-08-24 11:22:32 28224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 11:16:28 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-12-06 07:47:54 135336]
S2 Vcs;Vcs support;C:\Windows\system32\Drivers\Vcs.sys [2004-11-14 05:01:02 6852]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - aswFsBlk
*Deregistered* - aswMonFlt
*Deregistered* - aswRdr
*Deregistered* - aswSP
*Deregistered* - aswTdi
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - C:\Users\bobby\AppData\Roaming\Mozilla\Firefox\Profiles\3buryu3v.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - C:\Program Files\Mozilla Firefox 3.1 Beta 2\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - C:\Program Files\Mozilla Firefox 3.1 Beta 2\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Walnut for Firefox: {5A170DD3-63CA-4c58-93B7-DE9FF536C2FF} - %profile%\extensions\{5A170DD3-63CA-4c58-93B7-DE9FF536C2FF}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Facebook On s'en fout: fbosef1@fbext.fr - %profile%\extensions\fbosef1@fbext.fr
FF - Ext: Facebook J'aime pas: fbjmpas1@fbext.fr - %profile%\extensions\fbjmpas1@fbext.fr
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - C:\Program Files\Real\RealPlayer\browserrecord
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

jlpjlp · Answer

tu peux me faire passer le dossier qoobox via ce site  http://pjjoint.malekal.com/

il est ici C:\Qoobox\ 

tu me l'envoies ici en privé https://forums.commentcamarche.net/forum/inbox/new/jlpjlp

_______________

ensuite:

Téléchargez DelFix (d'Xplode) sur votre bureau.

Lancez le puis sélectionnez   [Suppression] .

Copiez/collez le contenu du rapport qui s'ouvrira dans votre sujet si vous vous faites aider sur un forum.

Vous pouvez également lancer l'option [Désinstallation] par la suite

Note : Les rapports sont également enregistrés à la racine du disque dur ( C:\DelFixSearch.txt pour l'option recherche et C:\DelFixSuppr.txt pour l'option suppression ) 


________________


colle un nouveau rapport antivir et explique tes problèmes actuels 



a plus

Vivien · Answer

ben en fait j'ai plus de problèmes là, ça doit être bon non ?

jlpjlp · Answer

fais ce qui est noté dans mon précédent message pour conclure

TR/PCK.Monder.43520.11

22 réponses

Votre réponse

Discussions similaires

Newsletters