Sujet Précédent Sujet Suivant

Infecté ou non ?

morbake Messages postés 60 Statut Membre -  
morbake Messages postés 60 Statut Membre -
Bonjour,

arfff désolé de vous embêter avec ça mais bon, si quelqu'un peux prendre un peu de son temps...

windows défender me dis que mon pc est infecté par un trojan (alerte grave ) du nom de Conhook, évidement il ne peux l'enlever ou le mettre en quarantaine.

syware terminator, pc tools spyware doctor, et zone alarm eux ne trouvent rien....

alors trojan à bord du pc ou pas...

ayant parcourut le forum, j'ai un rapport Hijack This qui suit....et j'ai même essayer de le lire moi même (grâce au forum), mais heuuu comment dire, je préfère avoir l'aide de gens expérimentés donc voila...

par avance merci.

Morb.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:19:48, on 03/08/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\hp\kbd\kbd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Windows\explorer.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\utilisateur\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {6EB35830-8222-4990-A484-D21FEDD4B033} - C:\Windows\system32\iifddccB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A21B2404-BA01-44FC-998C-C737FCDF2A97} - C:\Windows\system32\rqRKETlK.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\iifddccB.dll,#1
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

72 réponses

Précédent
Réponse 21 / 72
morbake Messages postés 60 Statut Membre
 
heuuuu....

j'ai relancé le pc....ecran noir pas plus....15 minutes d'attente...rien

j'ai relancé le pc en mode sans échec rebelote écran noir ..15 minutes

j'ai relancé le pc touche F8 : relancer avec la derniere bonne config connue, et là ça marche.

tiens une nouvelle fenetre : windows me dis microsoft a détecté : Win32:Vundo.gen!H

et j'ai toujours ma petite fenetre (en bas a droite) de spyware terminator qui bloque le trojan de tout a l'heure..
0
Réponse 22 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Réessaie ComBofix en mode sans échec.
0
Réponse 23 / 72
morbake Messages postés 60 Statut Membre
 
je suis sur un autre pc

combo fix est passé

il a relancé le pc et je pense qu'il est en stand by par spyware terminator (qui s'est relancé au reboot)

car j'ai une fenetre spyware terminator

action : modification des services
processus : catchme.cfexe
app enregistré : c:\combofix\catchme.sys

j'autorise ou je bloque ?
0
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
autorise.

catchme est le scanneur de rootkit intégré à ComBofix.

A+
0
Réponse 24 / 72
morbake Messages postés 60 Statut Membre
 
rapport combofix

ComboFix 08-08-03.05 - utilisateur 2008-08-04 14:34:05.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1289 [GMT 2:00]
Endroit: C:\Users\utilisateur\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\mdelk.exe
C:\Windows\system32\gbdpelfb.dll
C:\Windows\system32\KlTEKRqr.ini
C:\Windows\System32\KlTEKRqr.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-04 to 2008-08-04 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 12:39 352,615 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-08-04 09:36 --------- d-----w C:\ProgramData\Google Updater
2008-08-04 09:22 --------- d-----w C:\Users\utilisateur\AppData\Roaming\Spyware Terminator
2008-08-04 08:19 --------- d-----w C:\Users\utilisateur\AppData\Roaming\GigaTribe
2008-08-04 08:16 --------- d-----w C:\Users\utilisateur\AppData\Roaming\Xfire
2008-08-04 07:22 136,888 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys
2008-08-03 15:53 --------- d-----w C:\Users\utilisateur\AppData\Roaming\teamspeak2
2008-08-03 09:31 --------- d-----w C:\ProgramData\Xfire
2008-08-03 08:16 --------- d-----w C:\Program Files\Spyware Doctor
2008-08-03 06:13 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-03 04:00 --------- d-----w C:\ProgramData\Spyware Terminator
2008-08-03 03:59 --------- d-----w C:\Program Files\Spyware Terminator
2008-08-03 03:58 141,312 ----a-w C:\Windows\system32\drivers\sp_rsdrv2.sys
2008-08-03 03:58 --------- d-----w C:\Program Files\Crawler
2008-08-02 11:59 --------- d-----w C:\Users\utilisateur\AppData\Roaming\PC Tools
2008-08-02 11:01 --------- d---a-w C:\ProgramData\TEMP
2008-08-02 10:13 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-02 10:10 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-08-02 10:10 --------- d-----w C:\Program Files\BitDefender
2008-08-02 06:39 --------- d-----w C:\Program Files\Common Files\BitDefender
2008-08-02 06:17 --------- d-----w C:\Users\utilisateur\AppData\Roaming\GetRightToGo
2008-08-02 06:15 --------- d-----w C:\Program Files\Google
2008-08-02 04:23 --------- d-----w C:\ProgramData\Grisoft
2008-08-01 21:34 --------- d-----w C:\ProgramData\BOONTY
2008-08-01 21:34 --------- d-----w C:\Program Files\Boonty
2008-08-01 21:14 --------- d-----w C:\Users\utilisateur\AppData\Roaming\Simply Super Software
2008-08-01 21:14 --------- d-----w C:\ProgramData\Simply Super Software
2008-08-01 21:14 --------- d-----w C:\Program Files\Trojan Remover
2008-08-01 19:27 --------- d-----w C:\Users\utilisateur\AppData\Roaming\Malwarebytes
2008-08-01 19:27 --------- d-----w C:\ProgramData\Malwarebytes
2008-08-01 19:23 --------- d-----w C:\Program Files\a-squared HiJackFree
2008-08-01 16:03 --------- d-----w C:\Program Files\a-squared Free
2008-08-01 13:09 --------- d-----w C:\Program Files\Arovax AntiSpyware
2008-08-01 04:49 --------- d-----w C:\Users\utilisateur\AppData\Roaming\AlauxSoft
2008-08-01 04:49 --------- d-----w C:\Program Files\Comptes et Budget Free V5.0
2008-07-31 09:34 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-07-31 09:33 --------- d-----w C:\Users\utilisateur\AppData\Roaming\SystemRequirementsLab
2008-07-30 18:07 38,472 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys
2008-07-30 18:07 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-07-30 07:04 53,248 ----a-w C:\Windows\ipuninst.exe
2008-07-30 07:02 --------- d-----w C:\Program Files\BlackIsle
2008-07-26 20:39 --------- d-----w C:\Program Files\NeoTrace Express
2008-07-26 16:40 352,615 ---ha-w C:\Windows\system32\drivers\vsconfig(250).xml
2008-07-26 13:36 --------- d-----w C:\Program Files\McDonaldsDragons
2008-07-23 09:22 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-23 09:22 --------- d-----w C:\Program Files\Infogrames
2008-07-22 09:02 --------- d-----w C:\Program Files\Xfire
2008-07-19 17:43 --------- d-----w C:\ProgramData\TERMINAL Studio
2008-07-19 14:36 51,280 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-07-18 13:29 --------- d-----w C:\Program Files\NovaLogic
2008-07-18 11:50 --------- d-----w C:\Users\utilisateur\AppData\Roaming\funkitron
2008-07-18 10:00 --------- d-----w C:\ProgramData\PopCap Games
2008-07-18 10:00 --------- d-----w C:\Program Files\orange
2008-07-18 10:00 --------- d-----w C:\Program Files\GamesBar
2008-07-18 10:00 --------- d-----w C:\Program Files\Common Files\Oberon Media
2008-07-17 14:32 --------- d-----w C:\Program Files\Seagrand
2008-07-14 16:35 --------- d-----w C:\Program Files\films
2008-07-14 07:03 --------- d-----w C:\ProgramData\Diskeeper Corporation
2008-07-14 06:35 --------- d-----w C:\Program Files\Microsoft Games
2008-07-14 06:14 --------- d-----w C:\ProgramData\NVIDIA
2008-07-14 05:23 --------- d-----w C:\Program Files\Common Files\Microsoft Games
2008-06-25 04:08 --------- d-----w C:\Program Files\Windows Mail
2008-06-20 18:01 --------- d-----w C:\Users\utilisateur\AppData\Roaming\ArcSoft
2008-06-20 18:00 --------- d-----w C:\Users\utilisateur\AppData\Roaming\Canon
2008-03-26 14:33 91,192 ----a-w C:\Users\utilisateur\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-02-03 15:32 22,328 ----a-w C:\Users\utilisateur\AppData\Roaming\PnkBstrK.sys
2007-10-23 15:48 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 18:16 65536]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-04-19 18:11 151552]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-16 14:01 13535776]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-08-03 05:58 1783808]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 17:38 4390912 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@=""

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\Windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^TribalWeb.lnk]
path=C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TribalWeb.lnk
backup=C:\Windows\pss\TribalWeb.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AdobeUpdater"=C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"EPSON Stylus DX4400 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SE12E.tmp" /EF "HKCU"
"ehTray.exe"=C:\Windows\ehome\ehTray.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
"Speech Recognition"="C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
"NeroFilterCheck"=C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"Windows Mobile-based device management"=%windir%\WindowsMobile\wmdSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4157885162-2316668312-3984447808-1001]
"EnableNotificationsRef"=dword:00000004

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4CB1F77F-F403-4321-8D23-70FB70CCCA56}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{26A31198-65CE-48F3-A5BD-07163DE3618D}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{CD61E78C-BD93-4D02-929F-88CAED04F5B1}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{EE96F814-5637-43FB-93DE-D916B8F9C3C1}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{507DC995-9177-4318-A170-1ACDE684A6BB}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{C72A90ED-6963-4C81-BB5F-EE5CCE0818A5}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{6B4A54A7-4934-4DE1-873C-8E7992D3C207}"= TCP:9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{3CE6ECAA-3B71-4066-9BE8-50B743EF3272}"= TCP:1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"TCP Query User{97253F66-C00B-422B-8282-F0484482A5FA}C:\\program files\\novalogic\\joint operations typhoon rising\\jointops.exe"= UDP:C:\program files\novalogic\joint operations typhoon rising\jointops.exe:Jointops
"UDP Query User{ED6A62D3-A770-47E0-B689-AB231B6739D9}C:\\program files\\novalogic\\joint operations typhoon rising\\jointops.exe"= TCP:C:\program files\novalogic\joint operations typhoon rising\jointops.exe:Jointops
"TCP Query User{9A821945-7346-433E-A35A-46AFA56254B3}C:\\program files\\novalogic\\joint operations typhoon rising\\update.exe"= UDP:C:\program files\novalogic\joint operations typhoon rising\update.exe:UPDATE
"UDP Query User{0E45408B-5EC8-4DB7-AB8A-8B05D23BA4CD}C:\\program files\\novalogic\\joint operations typhoon rising\\update.exe"= TCP:C:\program files\novalogic\joint operations typhoon rising\update.exe:UPDATE
"TCP Query User{8B09E0C5-67AA-4FA3-ACBB-CC4B2A2A226A}C:\\program files\\bhd\\truc\\truc\\delta force black hawk down\\dfbhd.exe"= UDP:C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{DF49937E-8A3E-464E-9FCC-C83A284E1FF3}C:\\program files\\bhd\\truc\\truc\\delta force black hawk down\\dfbhd.exe"= TCP:C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{1BA8BB44-42B9-404B-93CE-60DDEA59D5E8}C:\\program files\\tribalweb\\tribalweb.exe"= UDP:C:\program files\tribalweb\tribalweb.exe:tribalweb
"UDP Query User{DBC9821C-865D-443E-B79B-932D229BC7EB}C:\\program files\\tribalweb\\tribalweb.exe"= TCP:C:\program files\tribalweb\tribalweb.exe:tribalweb
"{8873D012-4894-4600-BDDE-AD7ACF4C07C2}"= UDP:C:\Program Files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{32433785-1541-489B-851B-2CCE259D1678}"= TCP:C:\Program Files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"TCP Query User{C3B56AFA-9EA3-4F49-BD53-5627231D626C}C:\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\program files\bittorrent\bittorrent.exe:bittorrent
"UDP Query User{21411806-8D5D-4BBB-8ADC-E2A249E2EC16}C:\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\program files\bittorrent\bittorrent.exe:bittorrent
"TCP Query User{C40C0F0B-4A79-4240-8A3A-BE8C198C2256}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{AE87D4EA-E61D-4C2E-B7EB-B680D9835864}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{808AFA22-B97E-48DF-9635-231FE051913C}C:\\program files\\tribalweb\\tribalweb.exe"= UDP:C:\program files\tribalweb\tribalweb.exe:tribalweb
"UDP Query User{4B25ACC0-F4AB-4CAC-B1CD-8550AB3AF3C9}C:\\program files\\tribalweb\\tribalweb.exe"= TCP:C:\program files\tribalweb\tribalweb.exe:tribalweb
"TCP Query User{9F8CE0EE-1DF4-480B-B17C-C0739AFCA233}C:\\program files\\bhd\\truc\\truc\\delta force black hawk down\\dfbhd.exe"= UDP:C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{9B128FFA-2E7E-4B98-B835-E1BCFFB37BB0}C:\\program files\\bhd\\truc\\truc\\delta force black hawk down\\dfbhd.exe"= TCP:C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe:DFBHD
"{9E1A1BE1-2E2F-4507-A03C-053DE7B99F4F}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{30B12F95-7611-44CB-8B6B-E9FD9EF0DAE0}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{292700DE-329D-4621-8D61-3F7BBE51DF52}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{02DE71A0-2185-484D-9D50-541AFEF8C31E}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{F61AB914-CA90-4972-9B83-B411BC73C55B}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{925B8AC8-F87D-418C-8021-0A631189DCB9}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{71DFEC6F-7993-4D26-B594-A008689F043D}"= UDP:990:LocalSubnet:LocalSubnet|IF={B087264E-386D-4CD0-A2E5-F6CE406921C0}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"TCP Query User{6B62DD4D-AB6B-4EE7-AD4A-F707BDC5BB58}C:\\program files\\activision\\call of duty 4 - modern warfare\\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe"= UDP:C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe:call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2)
"UDP Query User{EAF5EC4B-27EB-4759-8EFF-74FC1517E839}C:\\program files\\activision\\call of duty 4 - modern warfare\\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe"= TCP:C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe:call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2)
"TCP Query User{1108B711-57D9-4E1F-8378-87B1708B7891}C:\\program files\\xfire\\xfire.exe"= UDP:C:\program files\xfire\xfire.exe:Xfire
"UDP Query User{73B81E25-0F84-44F4-BB98-12D41FB76FA7}C:\\program files\\xfire\\xfire.exe"= TCP:C:\program files\xfire\xfire.exe:Xfire
"TCP Query User{83B8A739-1AD3-4180-8BFB-656328B17862}C:\\program files\\novalogic\\delta force black hawk down\\update.exe"= UDP:C:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"UDP Query User{9540D55E-E512-4DE4-A654-CEF607DE5FD6}C:\\program files\\novalogic\\delta force black hawk down\\update.exe"= TCP:C:\program files\novalogic\delta force black hawk down\update.exe:UPDATE
"TCP Query User{0FD89FCD-76ED-4046-AAA1-ADB6807D4A47}C:\\program files\\novalogic\\delta force black hawk down\\dfbhd.exe"= UDP:C:\program files\novalogic\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{CCEF37C0-E82D-47BB-B2D8-908E28BAC4C2}C:\\program files\\novalogic\\delta force black hawk down\\dfbhd.exe"= TCP:C:\program files\novalogic\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{06EC86FD-0320-4A11-904A-5BBDD163DAEF}C:\\program files\\momo\\bhd\\truc\\delta force black hawk down\\dfbhd.exe"= UDP:C:\program files\momo\bhd\truc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{57557E15-38F9-4B55-A4FA-006CBAA94151}C:\\program files\\momo\\bhd\\truc\\delta force black hawk down\\dfbhd.exe"= TCP:C:\program files\momo\bhd\truc\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{C6C3FD4D-9900-426F-8F8B-97351899641A}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{3C7E3E11-2487-45D4-98E1-AE5BB9DE5315}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{5C634D01-30C0-4EA0-8825-CFE91624D347}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{CA72BBA9-FD71-493B-AF80-1BDC1FC7309A}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{2FD55FA6-14D8-4E27-8779-C6FA7187BDCC}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{47DE0DEB-6D96-465C-A95B-21251EDB670A}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"TCP Query User{6A6EBC23-A50E-4C55-9A04-C3A9D0CF3E8E}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{E366CF8D-F4C8-493D-A4F4-AED786776064}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{C38FFFBE-6D68-48DD-93F0-51043C0AD5D2}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{458D6446-DEA3-491C-B833-D12CAF24240D}"= Disabled:UDP:C:\Users\utilisateur\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer
"{4CFF8860-BD5F-4032-8825-28E2A204B38C}"= Disabled:TCP:C:\Users\utilisateur\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer
"{70FEF9AE-DA48-4AB1-8AAD-89875DEA8615}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{133AAD93-AA7F-415E-9354-5DDC7BA45710}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\\Program Files\\uusee\\UUSeePlayer.exe"= C:\Program Files\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-08-03 05:58]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 16:36]
R2 DQLWinService;DQLWinService;C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2006-09-03 10:32]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R3 camfilt2;camfilt2;C:\Windows\system32\DRIVERS\camfilt2.sys [2007-08-29 16:56]
R3 ovt530;Hercules Deluxe Webcam;C:\Windows\system32\Drivers\ov530vid.sys [2007-02-02 15:55]
S2 IntelDHSvcConf;Intel DH Service;C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2006-05-10 09:13]
S3 LTXMD_VAC;Litex Media Virtual Audio Cabel (WDM);C:\Windows\system32\drivers\lmvac.sys [2008-04-28 21:27]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-03-30 10:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{284fc49f-84a8-11dc-8394-001bfcb58a60}]
\shell\AutoRun\command - J:\autorun.exe
\shell\setup\command - J:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-04 C:\Windows\Tasks\Maintenance en 1 clic.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-03-03 09:42]

2008-08-03 C:\Windows\Tasks\User_Feed_Synchronization-{886EB2CC-F919-4C7F-861E-B97C54E63899}.job
- C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45]
.
- - - - ORPHANS REMOVED - - - -

BHO-{807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32\rqRKETlK.dll
HKLM-Run-BM3d5076b4 - C:\Windows\system32\gbdpelfb.dll
MSConfigStartUp-MsnMsgr - C:\Program Files\MSN Messenger\msnmsgr.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 14:40:38
Windows 6.0.6000 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

**************************************************************************
.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Il y a une trace d'infection par un bagle. On attrape cette infection via le P2P ( emule et compagnie ) en téléchargeant de faux cracks de logiciels.

1) On va le vérifier.

il faut utiliser Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.

Lance l'executable ( click droit --> Executer en tant qu'administrateur )
Tu postes le rapport qui se trouve en C:\Infosat.txt.

2) poste moi un rapport Hijackthis ( click droit --> Executer en tant qu'administrateur )

A+
0
morbake Messages postés 60 Statut Membre
 
rapport elibagla


Mon Aug 04 15:06:24 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Aug 04 15:06:28 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Windows\System32\drivers\MDELK.EXE.VIR --> Eliminado Bagle.dldr

Nº Total de Directorios: 15318
Nº Total de Ficheros: 106436
Nº de Ficheros Analizados: 14730
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1


rapport Hijacthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12, on 2008-08-04
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Windows\system32\wbem\unsecapp.exe
C:\hp\kbd\kbd.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Users\utilisateur\Desktop\virus\utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32\rqRKETlK.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [BM3d5076b4] Rundll32.exe "C:\Windows\system32\gbdpelfb.dll",s
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
0
Réponse 26 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32\rqRKETlK.dll (file missing)
O4 - HKLM\..\Run: [BM3d5076b4] Rundll32.exe "C:\Windows\system32\gbdpelfb.dll",s
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)

Tu choisis l'option " Fixchecked" en bas de la page.

2) Il y a trois logiciels de P2P sur le PC : emule, bit torrent et trialweb.
Tu devrais au moins en désinstaller deux, et en particulier trialweb.
Dis moi si tu le trouves dans le panneau de configuration.
choisis affichage classique --> Programmes

Tant que tu y es, regarde si il y a le logiciel spywareDoctor qui est installé par défaut avec ZoneAlarm.

Utilises-tu AVG 7.5 ? Si non, désinstalle le.

3) Quel est ton lecteur J: ?

4) Relance elibagla.
poste le rapport qui est en C:\Infosat.txt

A+
0
Réponse 27 / 72
morbake Messages postés 60 Statut Membre
 
scan only effectué ligne demandées fixées.

emule schootée

pas trouvé le bittorent ni le trailweb (tribalweb/gigatribe) sous le panneau de config\désinstaller un programme...
0
Réponse 28 / 72
morbake Messages postés 60 Statut Membre
 
comme tu as du le voir j'ai essayé pas mal d'antispyware avant de passer sur le forum

on fait un point

zone alarm se lance au démarrage

tc tools spyware doctor ne se lance pas au démarrage

spyware terminator se lance au démarrage

par avg 7.5 tu entend avast ?

je refais le truc espagnol et te dis
0
Réponse 29 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.

C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TribalWeb.lnk
C:\Windows\pss\TribalWeb.lnk.Startup
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Il y a deux barres d'outils qui espionnent ton PC.

Télécharge Toolbar-S&D sur ton Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue puis valide.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Copie/colle le contenu du rapport situé dans C:\TB.txt .

3) J'aurais bien aimé voir le rapport d'Elibagla.
Peux-tu me le poster ?

A+
0
Réponse 30 / 72
morbake Messages postés 60 Statut Membre
 
elibagla

pendant son execution 4 fenetres ouvertes

acceso denegado a la carpeta

c\window\registration\CRMLog (16)

c\windows\system 32\com\dmp (16)

c\windows\system32\LogFiles\WMI\RtBackup (16)

c\windows\system32\spool\printers (16)

j'ai cliqué sur ok a chaque fois

voici le rapport

Mon Aug 04 15:06:24 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Aug 04 15:06:28 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Windows\System32\drivers\MDELK.EXE.VIR --> Eliminado Bagle.dldr

Nº Total de Directorios: 15318
Nº Total de Ficheros: 106436
Nº de Ficheros Analizados: 14730
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Mon Aug 04 15:38:01 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Aug 04 15:38:03 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 15310
Nº Total de Ficheros: 106218
Nº de Ficheros Analizados: 14684
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
0
Réponse 31 / 72
morbake Messages postés 60 Statut Membre
 
rapport moveit

File/Folder C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start­ Menu\Programs\Startup\TribalWeb.lnk not found.
C:\Windows\pss\TribalWeb.lnk.Startup moved successfully.
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_154659
0
Réponse 32 / 72
morbake Messages postés 60 Statut Membre
 
ai fait aussi le Toolbar-S&D.

aprés avoir fait 1 rechercher entrée

la fenetre se ferme et il ne se passe rien, pas de rapport TB sous C....
0
Réponse 33 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Désolé, j'ai oublié : VISTA

Click droit --> Executer en tant qu'administrateur pour lancer Toolbar S&D

A+
0
Réponse 34 / 72
morbake Messages postés 60 Statut Membre
 
pareil, clic droit ou pas ...résultat identique ...
0
Réponse 35 / 72
morbake Messages postés 60 Statut Membre
 
le pc est plus rapide qu'avant pour l'ouverture des logiciels...

merci a toi de passer tant de temps avec le boulet que je suis en informatique
0
Réponse 36 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Tu vas aller dans le panneau de configuration.
Programmes --> Désinstalle Crawler Toolbar et GamesBar ( si présent )
Désinstalle aussi ToolBar

Dis moi si tu les trouves.

2) J'ai un doute sur une infection possible : Dossiers douteux
On attrape cette infection via justement des bannières de publicités sur des pages Webs ou en installant certains logiciels comme :
* BitDownload
* BitGrabber
* BitRoll
* MessengerPlus! 3 sous le nom de sponsors
* Messenger Plus! Live sous le nom de sponsors
* NetPumper
* TorrentQ
* Torrent101

Télécharge LopS&D.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
Installe le logiciel. Une icône va apparaitre sur le bureau.
Lance le logiciel en tant qu’administrateur. ( click droit --> Exécuter en tant qu’administrateur )
Tu choisis la langue et valide puis l'option 1 pour effectuer la recherche.
A la fin de la recherche, un rapport LopR.txt apparait. Il se trouve en C:\LopR.txt.
Tu posteras ce rapport dans le prochain message.

A+
0
Réponse 37 / 72
morbake Messages postés 60 Statut Membre
 
crawler tools bar shooté

toolsbar pas trouvé dans le panneau de config\désintallation de prg

Lop pas fonctionné, fenetre rouge me disant just for windows XP et Vista 32 Bytes...
0
Réponse 38 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Pourquoi, c'est Vista 64 bits que tu as ?

2) Et GamesBar ?

3) Fais appraitre les fichiers et les dossiers cachés.
Démarrer --> Ordinateur --> Appuie sur Alt.
Ceci va faire apparaitre un menu identique à celui de XP.

Menu Outils --> Options des dossiers --> Onglet Affichage
Vérifier que " Afficher les fichiers et dossiers cachés" est coché.
Vérifier que " Masquer les fichiers protégés du système d'exploitation ( recommandé )" est décoché.

Va voir dans les dossiers suivants et dis moi du mieux possible le contenu ( .exe, ... )

C:\Users\utilisateur\AppData\Roaming­\GigaTribe
C:\Users\utilisateur\AppData\Roaming\Simply Super Software

C:\ProgramData\Simply Super Software
C:\ProgramData\GigaTribe
C:\Program Files\GamesBar

A+
0
Réponse 39 / 72
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Je sois m'absenter. Je te mettrais la suite ce soir sur le forum.

A+
0
Réponse 40 / 72
morbake Messages postés 60 Statut Membre
 
1) comment savoir si vista 32 ou 64 ?

2) pas trouvé de Games bar

3)

C:\Users\utilisateur\AppData\Roaming­\GigaTribe

fichiers existants :

chathistoryMorbake.bin
News Morbake.jpg
Session.log
upnp.log

C:\Users\utilisateur\AppData\Roaming\Simply Super Software

un dossier TRojan remover : vide

C:\ProgramData\Simply Super Software

un dossier Trojan Remover\Data : vide

C:\ProgramData\GigaTribe

pas de dossier ou fichiers de ce nom sous ce repertoire

C:\Program Files\GamesBar
Localization-French.ini
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses