[Hack] Victime d'un Hack complet: Que faire ?
Fermé
Pakito
-
6 nov. 2006 à 21:24
crapoulou Messages postés 28161 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 18 oct. 2010 à 23:03
crapoulou Messages postés 28161 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 18 oct. 2010 à 23:03
A voir également:
- [Hack] Victime d'un Hack complet: Que faire ?
- Télécharger film complet sur mobile - Télécharger - TV & Vidéo
- Telecharger fl studio 20 pour pc gratuit complet - Télécharger - Édition & Montage
- Hack linky - Accueil - Objets connectés
- Telechargement film d'action complet en francais - Télécharger - TV & Vidéo
- Film complet en français gratuit sans inscription ✓ - Forum Téléchargement
10 réponses
marwanted
Messages postés
13
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
28 mai 2008
2
28 mai 2008 à 11:25
28 mai 2008 à 11:25
pour bien proteger de c'est trojan il faut comprendre leur phenomene pour plus d'information et des toturial+help visiter
www.mafiaroot.com
www.mafiaroot.com
Qc001
Messages postés
256
Date d'inscription
samedi 11 février 2006
Statut
Membre
Dernière intervention
9 juillet 2009
17
6 nov. 2006 à 22:07
6 nov. 2006 à 22:07
Salut Pakito :-)
Difficile, à distance, de te dire si le réseau entier est affecté. C'est possible par contre..
Voici, en gros, ce que j'en pense (humblement, et sous toutes réserves) :
Il s'agit probablement d'une infection par IRCBot, et non d'un hack direct (qui sont plutôt rares..). Ces infections peuvent être extrêment bien protégées et coriaces. De plus, elles peuvent dérober les infos confidentielles et les transmettre via serveurs IRC (ou autre méthode, selon le Bot).
Une désinfection sur forum peut s'étaler sur plusieurs jours, selon la disponibilité des bénévoles et du visiteur. Selon l'habileté du visiteur également. Si tu ne penses pas avoir un accès prolongé sur cette bécane, faudrait peut-être penser au plan B (ouais..). Si tu veux tenter l'expérience d'identification et ensuite de désinfection, alors ça nous prendra des analyses avec logs. Norton n'est pas si mauvais en tant qu'antivirus ; les détections et fonctionnalités sont Ok. Ce que je déteste de Norton : il s'incruste PARTOUT dans l'OS et il est donc quasi impossible de le désinstaller proprement. Kaspersky et NOD32 (BitDefender aussi) sont supérieurs par contre. AVG-AntiSpy en Sans Échec aussi ? Oui. Il faudra également un rapport HijackThis! Tuto ici :
https://www.malekal.com/tutoriel-hijackthis/
Faut juste faire un scan et sauvegarder le rapport.
=======================
Si tu n'as pas le temps... Il faut que ce PC soit débranché du réseau pronto de toute façon. Formater demeure une option viable et sûre dans de tels cas.
Faudrait scanner les autres PCs du réseau également.
Voilà..
Nous serons là si tu veux attaquer ;-)
Difficile, à distance, de te dire si le réseau entier est affecté. C'est possible par contre..
Voici, en gros, ce que j'en pense (humblement, et sous toutes réserves) :
Il s'agit probablement d'une infection par IRCBot, et non d'un hack direct (qui sont plutôt rares..). Ces infections peuvent être extrêment bien protégées et coriaces. De plus, elles peuvent dérober les infos confidentielles et les transmettre via serveurs IRC (ou autre méthode, selon le Bot).
Une désinfection sur forum peut s'étaler sur plusieurs jours, selon la disponibilité des bénévoles et du visiteur. Selon l'habileté du visiteur également. Si tu ne penses pas avoir un accès prolongé sur cette bécane, faudrait peut-être penser au plan B (ouais..). Si tu veux tenter l'expérience d'identification et ensuite de désinfection, alors ça nous prendra des analyses avec logs. Norton n'est pas si mauvais en tant qu'antivirus ; les détections et fonctionnalités sont Ok. Ce que je déteste de Norton : il s'incruste PARTOUT dans l'OS et il est donc quasi impossible de le désinstaller proprement. Kaspersky et NOD32 (BitDefender aussi) sont supérieurs par contre. AVG-AntiSpy en Sans Échec aussi ? Oui. Il faudra également un rapport HijackThis! Tuto ici :
https://www.malekal.com/tutoriel-hijackthis/
Faut juste faire un scan et sauvegarder le rapport.
=======================
Si tu n'as pas le temps... Il faut que ce PC soit débranché du réseau pronto de toute façon. Formater demeure une option viable et sûre dans de tels cas.
Faudrait scanner les autres PCs du réseau également.
Voilà..
Nous serons là si tu veux attaquer ;-)
Salut Qc001,
Merci pour ta réponse super rapide ;)
Je regarde tout ça demain et vous tiens au courant. Comme ce n'est pas mon PC et mon entreprise je vais discuter avec mon pote a sa famille et voir ce qu'ils acceptent que je fasse.
S'ils refusent le formatage (qui a mon avis serait plus simple et plus sure et surtout plus rapide pour moi lol, je bosse moi aussi :-) ) je vous posterai le rapport Hijackthis.
Encore merci c'est super sympa ;)
Merci pour ta réponse super rapide ;)
Je regarde tout ça demain et vous tiens au courant. Comme ce n'est pas mon PC et mon entreprise je vais discuter avec mon pote a sa famille et voir ce qu'ils acceptent que je fasse.
S'ils refusent le formatage (qui a mon avis serait plus simple et plus sure et surtout plus rapide pour moi lol, je bosse moi aussi :-) ) je vous posterai le rapport Hijackthis.
Encore merci c'est super sympa ;)
Bonjour,
Bon, je suis passé dans la société de mon copin ce midi comme c'était prévu mai sje n'ai pas eu le temps de faire grand chose en une heure.
Donc effeecctivement il avait mIRC d'installé sur son ordi (il m'avait fait un imprim écran pour voir ce que c'était) mais il l'avait supprimé. Jusque la rien d'anormal je ocnnait le programme pour l'avoir utilisé il y'a quelques années.
Mais au démarrage une fenêtre DOS avec l'intitulé A"dobe Gamma Loader" s'ouvre super rapidement et se referme sans avoir le temps de voir ce que c'est. J'ai donc fait un imprim écran au bon moment pour lire ce qu'il y'avait dedans. Donc il s'agit de PSYBNC en version 2.3.2-5: il y est marqué:
Configuration File: psybnc.conf
Language File: psyBNC Language File - English
No Logfile specified, logging to log/psybnc.log
Listening on: 0.0.0.0 port 31337
J'ai scanné l'ordi en mode sans echec avec AVG Anti spyware qui a décelé 3 trojans. J'ai donc selectionné l'option de "suppression" (je me demande s'il n'aurait pas fallu selectionner "suppression après redémarrage" ??)
Je suis ensuite revenu en mode normal et j'ai géneré le LOG Hijackthis suivant:
Logfile of HijackThis v1.99.1
Scan saved at 14:09:57, on 07/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\InstantTimeZone\InstantTimeZone.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllcache\msidev.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Laurent\Bureau\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://support.norton.com/sp/en/us/home/current/info
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
O4 - Startup: Mise à jour Antivirus.lnk = C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPDN_LU.exe
O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cracnaman.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098196333671
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1064481.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
Donc on voit encore:
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
alors que j'avais en principe supprimé toutes les anomalies décelés par AVG dont les 3 trojans.
Pour l'instant comme il en peu se passer de la connection réseau pour bosser je lui ai dit de tuer toutes l'aroborescence du processus msidev.exe
Mais que faire faut-il le supprimer manuellement cela suffira-t-il?
Par ailleur le LOG fait-il apparaître d'autres anomalies?
L'attaque a bien du être un IRCBot comme tu m'avais dit QC001 ;)
Je lui ai dit que tous ses mots de pass ont du être piqué du gren MSN pouisque le type qui l'a hacké s'est seri de son compte pour insulter des contacts (il a également un compte sur un messagerie outlook express et un autre sur outlook). J e lui ai dit qu'il pouvait changer tous ses mots de pass par le futur.
Par ailleur il se demande comme il consulte ses comptes bancaires sur cet ordi si le type à pu voir lorsqu'il saisissait par clique avec la souris (c un comte BNP, c comme la Société Générale, c'est des chiffre qui change de place dans un carré pas de saisie manuelle du mote de pass)?
Voila, que faut 'il faire en fait maintenant?
Par ailleur si le problème est résolu, il risque de se faire hackr à nouveau non? le Mec a du trouver un port ouvert? je me dit aussi que vu qu'il est branché sur le réseau, le hacker est passé par l'adresse IP Fixe de la connection que tout le monde utilise?
Et pour finir le prestataire informatique par lequel passe la société n'avait activé sur aucun ordi les mises à jour Windows; tous les postes étaient en XP SP1 sans mise à jour de sécurité; on a donc sur les 6 postes de la société fait les updates windows et réalisé un scan avec AVG en mode sans écher sans rien déceler.
Voila, si une personne arrive à m'aider, je la remerci egrandement d'avance.
Bon, je suis passé dans la société de mon copin ce midi comme c'était prévu mai sje n'ai pas eu le temps de faire grand chose en une heure.
Donc effeecctivement il avait mIRC d'installé sur son ordi (il m'avait fait un imprim écran pour voir ce que c'était) mais il l'avait supprimé. Jusque la rien d'anormal je ocnnait le programme pour l'avoir utilisé il y'a quelques années.
Mais au démarrage une fenêtre DOS avec l'intitulé A"dobe Gamma Loader" s'ouvre super rapidement et se referme sans avoir le temps de voir ce que c'est. J'ai donc fait un imprim écran au bon moment pour lire ce qu'il y'avait dedans. Donc il s'agit de PSYBNC en version 2.3.2-5: il y est marqué:
Configuration File: psybnc.conf
Language File: psyBNC Language File - English
No Logfile specified, logging to log/psybnc.log
Listening on: 0.0.0.0 port 31337
J'ai scanné l'ordi en mode sans echec avec AVG Anti spyware qui a décelé 3 trojans. J'ai donc selectionné l'option de "suppression" (je me demande s'il n'aurait pas fallu selectionner "suppression après redémarrage" ??)
Je suis ensuite revenu en mode normal et j'ai géneré le LOG Hijackthis suivant:
Logfile of HijackThis v1.99.1
Scan saved at 14:09:57, on 07/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\InstantTimeZone\InstantTimeZone.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllcache\msidev.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Laurent\Bureau\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://outlook.live.com/owa/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://support.norton.com/sp/en/us/home/current/info
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
O4 - Startup: Mise à jour Antivirus.lnk = C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\VPDN_LU.exe
O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cracnaman.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098196333671
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1064481.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{E2322F71-0D08-4B78-8672-3C806FE62F43}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
Donc on voit encore:
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
alors que j'avais en principe supprimé toutes les anomalies décelés par AVG dont les 3 trojans.
Pour l'instant comme il en peu se passer de la connection réseau pour bosser je lui ai dit de tuer toutes l'aroborescence du processus msidev.exe
Mais que faire faut-il le supprimer manuellement cela suffira-t-il?
Par ailleur le LOG fait-il apparaître d'autres anomalies?
L'attaque a bien du être un IRCBot comme tu m'avais dit QC001 ;)
Je lui ai dit que tous ses mots de pass ont du être piqué du gren MSN pouisque le type qui l'a hacké s'est seri de son compte pour insulter des contacts (il a également un compte sur un messagerie outlook express et un autre sur outlook). J e lui ai dit qu'il pouvait changer tous ses mots de pass par le futur.
Par ailleur il se demande comme il consulte ses comptes bancaires sur cet ordi si le type à pu voir lorsqu'il saisissait par clique avec la souris (c un comte BNP, c comme la Société Générale, c'est des chiffre qui change de place dans un carré pas de saisie manuelle du mote de pass)?
Voila, que faut 'il faire en fait maintenant?
Par ailleur si le problème est résolu, il risque de se faire hackr à nouveau non? le Mec a du trouver un port ouvert? je me dit aussi que vu qu'il est branché sur le réseau, le hacker est passé par l'adresse IP Fixe de la connection que tout le monde utilise?
Et pour finir le prestataire informatique par lequel passe la société n'avait activé sur aucun ordi les mises à jour Windows; tous les postes étaient en XP SP1 sans mise à jour de sécurité; on a donc sur les 6 postes de la société fait les updates windows et réalisé un scan avec AVG en mode sans écher sans rien déceler.
Voila, si une personne arrive à m'aider, je la remerci egrandement d'avance.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Excusez moi j'ai oublié (désolé pour les fautes de frappe au fait) de demander comment est-ce possible au départ que le hacker ai pu installer mIRC sur le poste?
Qc001
Messages postés
256
Date d'inscription
samedi 11 février 2006
Statut
Membre
Dernière intervention
9 juillet 2009
17
7 nov. 2006 à 23:07
7 nov. 2006 à 23:07
Salut Pakito :-)
D'après mes recherches, ce msidev.exe est plus que louche, effectivement. J'aurais bien aimé pouvoir le faire analyser par contre... Si tu y retournes et que le fichier existe toujours, prière de visiter ce site :
http://www.virustotal.com/en/virustotalx.html
- Clique "Parcourir" au haut, puis recherche le fichier suivant :
C:\WINDOWS\system32\dllcache\msidev.exe
- Sélectionne-le puis clique sur "Send".
- Un rapport d'analyse apparaîtra. Copie/colle ce rapport dans un fichier texte.
-----------------------------
Voici un gros méchant :
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
..Cette peste est un keylogger de la pire espèce... qui pique les infos bancaires (# de comptes, mots de passe, # de cartes de crédits, etc..). C'est lui qui donne le contrôle à distance au pirate.
Petite note : ce "hack" n'était pas ciblé, mais plutôt le résultat d'une infection. Chopée comment ? Hmmm... Fichier infecté probablement (crack, fichier d'un Peer-to-peer, etc..). Pour mIRC, je ne sais pas qui et comment... je soupçonne que ce soit quelqu'un dans la société qui l'ait installé par contre... mais pas de preuve ! Le keylogger installe ses propres fichiers de propagation/communication.
En général, avec ce type d'infection, je suggère un formatage, mais je suis ouvert à la désinfection - sans pouvoir garantir la propreté par la suite. Ces keyloggers sont souvent protégées par Rootkit, qui peuvent être quasi indétectables.
Autre truc : ton copain devra revoir tous les mots de passe et # de compte avec la banque, peu importe l'option choisie. Note importante : ne pas modifier les mots de passe et # de comptes avant que la bécane ne soit propre !!
Alors je te laisse le choix :-)
Si tu veux attaquer, fais-moi signe. Si tu as conservé le rapport d'AVG Antispy, j'aimerais bien le voir s'il te plaît.
@+
D'après mes recherches, ce msidev.exe est plus que louche, effectivement. J'aurais bien aimé pouvoir le faire analyser par contre... Si tu y retournes et que le fichier existe toujours, prière de visiter ce site :
http://www.virustotal.com/en/virustotalx.html
- Clique "Parcourir" au haut, puis recherche le fichier suivant :
C:\WINDOWS\system32\dllcache\msidev.exe
- Sélectionne-le puis clique sur "Send".
- Un rapport d'analyse apparaîtra. Copie/colle ce rapport dans un fichier texte.
-----------------------------
Voici un gros méchant :
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
..Cette peste est un keylogger de la pire espèce... qui pique les infos bancaires (# de comptes, mots de passe, # de cartes de crédits, etc..). C'est lui qui donne le contrôle à distance au pirate.
Petite note : ce "hack" n'était pas ciblé, mais plutôt le résultat d'une infection. Chopée comment ? Hmmm... Fichier infecté probablement (crack, fichier d'un Peer-to-peer, etc..). Pour mIRC, je ne sais pas qui et comment... je soupçonne que ce soit quelqu'un dans la société qui l'ait installé par contre... mais pas de preuve ! Le keylogger installe ses propres fichiers de propagation/communication.
En général, avec ce type d'infection, je suggère un formatage, mais je suis ouvert à la désinfection - sans pouvoir garantir la propreté par la suite. Ces keyloggers sont souvent protégées par Rootkit, qui peuvent être quasi indétectables.
Autre truc : ton copain devra revoir tous les mots de passe et # de compte avec la banque, peu importe l'option choisie. Note importante : ne pas modifier les mots de passe et # de comptes avant que la bécane ne soit propre !!
Alors je te laisse le choix :-)
Si tu veux attaquer, fais-moi signe. Si tu as conservé le rapport d'AVG Antispy, j'aimerais bien le voir s'il te plaît.
@+
Salut QC001 ;-)
Bon je suis repasse après mon boulot ce soir dans la boite d emon copain.
Concernant le rapport AVG je ne l'avais pas sauvegardé mais jai refait une nouvelle analyse et il reste toujours un trojan (au final je l'ai mis en quaratiane et au redémarrge en mode normal je l'ai supprimé par AVG, néanmoins j'ai pas refait un nouveau scan pour voir s'il est bien parti...). Je te met le rapport, mais c clair c'est dommage que je n'ai pas le 1er:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 18:00:37 08/11/2006
+ Résultat de l'analyse:
C:\Documents and Settings\Laurent\Cookies\laurent@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}\RP326\A0012310.exe -> Trojan.Diamin.j : Aucune action entreprise.
Fin du rapport
________________________________________________________
Ensuite pour ton info, je t'ai scanné sur le site comme tu m'avais demandé le fichier "msidev.exe"
je te rapelle qu'il s'agit en réalité du programme PSYBNC (d'après mes recherche il rentre bien dans un procédure de hack jumelé avec un client IRC comme mIRC qui s'était installé, mais je n'y comprends rien).
Donc voila l'analyse, il semble que tous les antivirus ne détectent rien, c pas normal:
STATUS: FINISHEDComplete scanning result of "msidev.exe", received in VirusTotal at 11.08.2006, 18:24:08 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.39 11.08.2006 no virus found
Authentium 4.93.8 11.07.2006 no virus found
Avast 4.7.892.0 11.07.2006 no virus found
AVG 386 11.08.2006 no virus found
BitDefender 7.2 11.08.2006 no virus found
CAT-QuickHeal 8.00 11.08.2006 no virus found
ClamAV devel-20060426 11.08.2006 no virus found
DrWeb 4.33 11.08.2006 no virus found
eTrust-InoculateIT 23.73.49 11.08.2006 no virus found
eTrust-Vet 30.3.3182 11.08.2006 no virus found
Ewido 4.0 11.08.2006 no virus found
Fortinet 2.82.0.0 11.08.2006 no virus found
F-Prot 3.16f 11.07.2006 no virus found
F-Prot4 4.2.1.29 11.07.2006 no virus found
Ikarus 0.2.65.0 11.08.2006 no virus found
Kaspersky 4.0.2.24 11.08.2006 no virus found
McAfee 4890 11.07.2006 no virus found
Microsoft 1.1609 11.08.2006 no virus found
NOD32v2 1.1859 11.08.2006 no virus found
Norman 5.80.02 11.08.2006 no virus found
Panda 9.0.0.4 11.08.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.114 11.08.2006 no virus found
UNA 1.83 11.07.2006 no virus found
VBA32 3.11.1 11.08.2006 no virus found
VirusBuster 4.3.15:9 11.08.2006 no virus found
Aditional Information
File size: 242176 bytes
MD5: 279b0b9067e89ae9b8c9bb3150a04ce5
SHA1: 2a62b30578520c0024ce89070f59c8d8d6a9e891
__________________________________________________________
Enfin par sécurité j'ai rescanné avec Hijackthis tous les PC de l'entreprise pour voir s'il n'ya avait pas le fichier "msidev.exe" ou "IBM00007.exe"; ils n'étaient pas présents.
_________________________________________________________
Voila donc ce que j'ai eu le temps de faire.
Merci de me donner des conseils sur la démarche à suivre maintenant; faut-il supprimer manuellement les 2 fichiers? que faire par la suite?
Merci d'avance de ton aide.
Bon je suis repasse après mon boulot ce soir dans la boite d emon copain.
Concernant le rapport AVG je ne l'avais pas sauvegardé mais jai refait une nouvelle analyse et il reste toujours un trojan (au final je l'ai mis en quaratiane et au redémarrge en mode normal je l'ai supprimé par AVG, néanmoins j'ai pas refait un nouveau scan pour voir s'il est bien parti...). Je te met le rapport, mais c clair c'est dommage que je n'ai pas le 1er:
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 18:00:37 08/11/2006
+ Résultat de l'analyse:
C:\Documents and Settings\Laurent\Cookies\laurent@adbrite[2].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Laurent\Cookies\laurent@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}\RP326\A0012310.exe -> Trojan.Diamin.j : Aucune action entreprise.
Fin du rapport
________________________________________________________
Ensuite pour ton info, je t'ai scanné sur le site comme tu m'avais demandé le fichier "msidev.exe"
je te rapelle qu'il s'agit en réalité du programme PSYBNC (d'après mes recherche il rentre bien dans un procédure de hack jumelé avec un client IRC comme mIRC qui s'était installé, mais je n'y comprends rien).
Donc voila l'analyse, il semble que tous les antivirus ne détectent rien, c pas normal:
STATUS: FINISHEDComplete scanning result of "msidev.exe", received in VirusTotal at 11.08.2006, 18:24:08 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.39 11.08.2006 no virus found
Authentium 4.93.8 11.07.2006 no virus found
Avast 4.7.892.0 11.07.2006 no virus found
AVG 386 11.08.2006 no virus found
BitDefender 7.2 11.08.2006 no virus found
CAT-QuickHeal 8.00 11.08.2006 no virus found
ClamAV devel-20060426 11.08.2006 no virus found
DrWeb 4.33 11.08.2006 no virus found
eTrust-InoculateIT 23.73.49 11.08.2006 no virus found
eTrust-Vet 30.3.3182 11.08.2006 no virus found
Ewido 4.0 11.08.2006 no virus found
Fortinet 2.82.0.0 11.08.2006 no virus found
F-Prot 3.16f 11.07.2006 no virus found
F-Prot4 4.2.1.29 11.07.2006 no virus found
Ikarus 0.2.65.0 11.08.2006 no virus found
Kaspersky 4.0.2.24 11.08.2006 no virus found
McAfee 4890 11.07.2006 no virus found
Microsoft 1.1609 11.08.2006 no virus found
NOD32v2 1.1859 11.08.2006 no virus found
Norman 5.80.02 11.08.2006 no virus found
Panda 9.0.0.4 11.08.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.114 11.08.2006 no virus found
UNA 1.83 11.07.2006 no virus found
VBA32 3.11.1 11.08.2006 no virus found
VirusBuster 4.3.15:9 11.08.2006 no virus found
Aditional Information
File size: 242176 bytes
MD5: 279b0b9067e89ae9b8c9bb3150a04ce5
SHA1: 2a62b30578520c0024ce89070f59c8d8d6a9e891
__________________________________________________________
Enfin par sécurité j'ai rescanné avec Hijackthis tous les PC de l'entreprise pour voir s'il n'ya avait pas le fichier "msidev.exe" ou "IBM00007.exe"; ils n'étaient pas présents.
_________________________________________________________
Voila donc ce que j'ai eu le temps de faire.
Merci de me donner des conseils sur la démarche à suivre maintenant; faut-il supprimer manuellement les 2 fichiers? que faire par la suite?
Merci d'avance de ton aide.
Qc001
Messages postés
256
Date d'inscription
samedi 11 février 2006
Statut
Membre
Dernière intervention
9 juillet 2009
17
10 nov. 2006 à 00:03
10 nov. 2006 à 00:03
Me revoilà...
Ok, rapidement. Oui, il faudra virer ces deux fichiers, et possiblement d'autres. Le "msidev.exe" est lancé du répertoire dllcache, ce qui est 100% louche. Ce répertoire est un dossier système, donc il te faudra modifier quelques options des dossiers afin de le repérer (via l'Explorateur). Voici comment :
Afin de voir tous les fichiers/dossiers cachés :
* Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
* Double-clique sur le "Poste de Travail"
<gra* Du menu "Outils", clique Options des dossiers...
* De la nouvelle fenêtre, choisis l'onglet Affichage
* Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
* Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
* Décoche la case Masquer les extensions des fichiers dont le type est connu
* Décoche la case Masquer les fichiers protégés du système d'exploitation (recommendé). Clique "Ok" à l'invite.
* Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
------------------------------
Imprime ces intructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec ;
Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
Clique "Fix checked", puis ferme HijackThis!
Toujours en Sans Échec, recherche et supprime ces fichiers :
C:\WINDOWS\system32\dllcache\msidev.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe
**Regarde bien dans le répertoire ci-dessus ("Web Folders"), et si tu vois des fichiers comme ceci :
ibm0000*.dll ou ibm000**.dll >> supprime-les. (les * sont des chiffres)
------------------------
Redémarre en mode Normal.
Ceci peut être long, mais j'aimerais bien que tu fasses un scan en ligne chez Kaspersky, ici :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Scanne le C:, et sauvegarde le rapport s'il te plaît.
Poste un nouvreau log HijackThis!, ainsi que le rapport de Kaspersky quand tu le pourras.
Autre petit truc... Faudra revoir la sécurité de ce réseau avec ton copain. Parefeu, Service Pack 2 pour Windows, etc... Sinon ce sera à recommencer tôt ou tard ;-)
À bientôt..
Ok, rapidement. Oui, il faudra virer ces deux fichiers, et possiblement d'autres. Le "msidev.exe" est lancé du répertoire dllcache, ce qui est 100% louche. Ce répertoire est un dossier système, donc il te faudra modifier quelques options des dossiers afin de le repérer (via l'Explorateur). Voici comment :
Afin de voir tous les fichiers/dossiers cachés :
* Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
* Double-clique sur le "Poste de Travail"
<gra* Du menu "Outils", clique Options des dossiers...
* De la nouvelle fenêtre, choisis l'onglet Affichage
* Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système
* Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés
* Décoche la case Masquer les extensions des fichiers dont le type est connu
* Décoche la case Masquer les fichiers protégés du système d'exploitation (recommendé). Clique "Ok" à l'invite.
* Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
------------------------------
Imprime ces intructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec ;
Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - Startup: Adobe Gamma Loader.lnk = C:\WINDOWS\system32\dllcache\msidev.exe
Clique "Fix checked", puis ferme HijackThis!
Toujours en Sans Échec, recherche et supprime ces fichiers :
C:\WINDOWS\system32\dllcache\msidev.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe
**Regarde bien dans le répertoire ci-dessus ("Web Folders"), et si tu vois des fichiers comme ceci :
ibm0000*.dll ou ibm000**.dll >> supprime-les. (les * sont des chiffres)
------------------------
Redémarre en mode Normal.
Ceci peut être long, mais j'aimerais bien que tu fasses un scan en ligne chez Kaspersky, ici :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Scanne le C:, et sauvegarde le rapport s'il te plaît.
Poste un nouvreau log HijackThis!, ainsi que le rapport de Kaspersky quand tu le pourras.
Autre petit truc... Faudra revoir la sécurité de ce réseau avec ton copain. Parefeu, Service Pack 2 pour Windows, etc... Sinon ce sera à recommencer tôt ou tard ;-)
À bientôt..
Utilisateur anonyme
Modifié par crapoulou le 18/10/2010 à 23:02
Modifié par crapoulou le 18/10/2010 à 23:02
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - [hxxp://deposito.hostance.net/dialer/*1*0*6*4*4*8*1*.exe]
virus :)
virus :)
anthonice
Messages postés
1316
Date d'inscription
samedi 10 novembre 2007
Statut
Membre
Dernière intervention
30 octobre 2011
131
16 oct. 2010 à 16:02
16 oct. 2010 à 16:02
Petit conseil, changer de prestataire informatique de l'entreprise : il ont pas assuré c'est n'importe quoi par-feu désactivés, maàj désactivé
Il vous ont même installé des PC avec des copies illégales s'il faut !
Il vous ont même installé des PC avec des copies illégales s'il faut !
anthonice
Messages postés
1316
Date d'inscription
samedi 10 novembre 2007
Statut
Membre
Dernière intervention
30 octobre 2011
131
18 oct. 2010 à 22:32
18 oct. 2010 à 22:32
Mince j'avais pas vu la date :(
Désolé lol
En même temps il était pas mis "RESOLU" donc voilà....
Désolé lol
En même temps il était pas mis "RESOLU" donc voilà....
crapoulou
Messages postés
28161
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 mai 2024
7 998
18 oct. 2010 à 23:03
18 oct. 2010 à 23:03
Bonsoir,
Ce n'est pas forcément résolu :-).
C'est juste un déserteur :D
++
Ce n'est pas forcément résolu :-).
C'est juste un déserteur :D
++