Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Ordinateur de plus en plus bloqué

Cartier83

Par Cartier83
dans Analyses et éradication malwares

 Partager

Messages recommandés

Cartier83 Member

Cartier83

Posté(e)
  • Auteur
Posté(e)

J'ai lancé Gmer. Il a bien trouvé un rootkit MBR. J'ai accepté le scan qui a duré 2 heures et à la fin, le bouton "copy" a disparu pffff. Le scan il avait au moins 1500 lignes notamment à cause de la poubelle.

Allors, j'ai relancé Gmer, refusé le scan complet et voila le (petit) log :

 

GMER 1.0.14.14205 - http://www.gmer.net

Rootkit scan 2008-03-20 13:54:08

Windows 5.1.2600 Service Pack 2

 

 

---- Disk sectors - GMER 1.0.14 ----

 

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit detected !!! <-- ROOTKIT !!!

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior

Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior

Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

 

---- Threads - GMER 1.0.14 ----

 

Thread 4:716 865AEFC0

Thread 4:720 865A7E44

Thread 4:724 865AD54E

Thread 4:864 865A7884

Thread 4:880 865A7884

Thread 4:3332 865E08C0

Thread 4:1632 865CC350

Thread 4:1228 86614790

Thread 4:3432 865B85B0

 

---- EOF - GMER 1.0.14 ----

 

 

Je fais la manip FIXMBR ou j'attends ?

angelique Devil Member !

angelique

Posté(e)
Posté(e)

c'est précisé::

 

Disk \Device\Harddisk0\DR0 sector 00: MBR rootkit detected !!! <-- ROOTKIT !!!

 

Attaque la procedure fixmbr et CFScript

 

je te previens c'est absolument pas gagné

Pang Godlike Member

Pang

Posté(e)
Posté(e)

il eut été prudent de sauvegarder tes documents importants avant de commencer cette manipulation...

Cartier83 Member

Cartier83

Posté(e)
  • Auteur
Posté(e)
il eut été prudent de sauvegarder tes documents importants avant de commencer cette manipulation...

 

Oui, c'est ce que je suis en train de faire. Je mets toutes mes petites affaires sur un autre disque. Je me suis dit que j'étais peut-être aussi en train de sauvegarder les problèmes par la même occasion lol on verra bien...

cauxboy Power Member

cauxboy

Posté(e)
Posté(e)
Oui, c'est ce que je suis en train de faire. Je mets toutes mes petites affaires sur un autre disque. Je me suis dit que j'étais peut-être aussi en train de sauvegarder les problèmes par la même occasion lol on verra bien...

 

Attention que le probleme ne se transfere sur ton autre disque !!!! :P

Les problemes type MBR attaque tous les disques. Je te conseille plutot CD ou DVD ou éventuellement si tu as un autre PC, faire le transfert vers un disque réseau en partage.

Cartier83 Member

Cartier83

Posté(e)
  • Auteur
Posté(e) (modifié)

Et ben voilà, c'est fait : FIXMBR et puis Combofix avec le CFScript.txt

Voici le log :

 

ComboFix 08-03-17.1 - Ed 2008-03-21 12:01:55.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.694 [GMT 1:00]

Endroit: C:\Documents and Settings\Ed\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Ed\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\cnten.sys

C:\WINDOWS\TEMP\fobagsbslmm.dll

.

TimeOut - progfile.dat

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\cnten.sys

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-21 to 2008-03-21 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-21 12:02 . 2007-06-13 14:22 113,664 --a------ C:\WINDOWS\SYSTEM32\fqfrlbcsnit.nls

2008-03-20 11:46 . 2008-03-20 13:53 250 --a------ C:\WINDOWS\gmer.ini

2008-03-19 16:07 . 2008-03-19 19:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-19 16:07 . 2008-03-19 19:19 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2008-03-19 15:27 . 2008-03-19 15:44 <REP> d-------- C:\WINDOWS\BDOSCAN8

2008-03-18 15:33 . 2008-03-19 14:12 1,414 --a------ C:\WINDOWS\SYSTEM32\tmp.reg

2008-03-18 14:09 . 2007-06-13 14:22 113,664 --a------ C:\WINDOWS\SYSTEM32\gtkfieactrm.drv

2008-03-18 13:52 . 2008-03-18 13:53 <REP> d-------- C:\WINDOWS\ERUNT

2008-03-18 13:16 . 2008-03-18 13:16 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Application Data\Grisoft

2008-03-16 23:09 . 2008-03-16 23:09 <REP> d-------- C:\Documents and Settings\Walter\Application Data\Grisoft

2008-03-16 19:06 . 2008-03-16 19:06 <REP> d-------- C:\Documents and Settings\Ed\Application Data\Grisoft

2008-03-16 19:05 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\AvgAsCln.sys

2008-03-16 19:04 . 2008-03-16 19:04 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft

2008-03-16 19:00 . 2008-03-16 19:00 <REP> d-------- C:\Program Files\CCleaner

2008-03-16 12:26 . 2008-03-16 12:26 <REP> d-------- C:\Program Files\Trend Micro

2008-03-13 16:03 . 2008-03-17 12:20 5,120 --a------ C:\Documents and Settings\LocalService.AUTORITE NT\ftpdll.dll

2008-03-12 18:29 . 2008-03-12 18:29 <REP> d-------- C:\Documents and Settings\LocalService.AUTORITE NT\Application Data\Webroot

2008-03-12 18:26 . 2008-03-12 18:26 <REP> d-------- C:\Program Files\Webroot

2008-03-12 17:38 . 2004-08-20 01:09 221,184 --a------ C:\WINDOWS\SYSTEM32\wmpns.dll

2008-03-12 17:37 . 2007-06-13 14:22 113,664 --a------ C:\WINDOWS\SYSTEM32\pgfahcn.sys

2008-03-12 17:29 . 2008-03-15 14:30 <REP> d--h----- C:\Documents and Settings\Administrateur.AMATEUR\Modèles

2008-03-12 17:29 . 2008-03-12 17:29 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Menu Démarrer

2008-03-12 17:29 . 2008-03-12 17:29 <REP> dr------- C:\Documents and Settings\Administrateur.AMATEUR\Favoris

2008-03-12 17:29 . 2008-03-18 18:44 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Bureau

2008-03-12 17:00 . 2008-03-12 17:00 35,464 --a------ C:\WINDOWS\SYSTEM32\BluetoothAuthorizationAgent.exe

2008-03-12 16:52 . 2008-03-12 16:52 <REP> dr------- C:\Documents and Settings\LocalService.AUTORITE NT\Favoris

2008-03-11 19:59 . 2008-03-11 19:59 63 --a------ C:\WINDOWS\mdm.ini

2008-03-07 20:21 . 2008-03-07 20:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-03-07 20:21 . 2008-03-07 20:21 1,409 --a------ C:\WINDOWS\QTFont.for

2008-03-06 21:34 . 2008-03-06 21:34 36,240 --a------ C:\Program Files\instaler.exe

2008-03-03 21:07 . 2008-03-03 21:09 <REP> d-------- C:\Everest Poker

2008-02-23 12:55 . 2003-05-28 17:53 45,056 --a------ C:\WINDOWS\SYSTEM32\WNASPI2K.BAK

2008-02-23 12:55 . 2003-05-28 17:53 17,005 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ASPI2K.BAK

2008-02-23 12:55 . 2003-05-28 17:53 5,600 --a------ C:\WINDOWS\SYSTEM\WINASPI.BAK

2008-02-23 12:55 . 2003-05-28 17:53 4,672 --a------ C:\WINDOWS\SYSTEM\WOWPOST.BAK

2008-02-23 12:53 . 2003-09-12 13:08 83,208 --a------ C:\WINDOWS\SYSTEM32\S32EVNT1.DLL

2008-02-23 12:53 . 2003-09-12 13:08 82,136 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SYMEVENT.SYS

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-19 10:48 94,208 ----a-w C:\WINDOWS\DUMP9971.tmp

2008-03-12 15:53 14,336 ----a-w C:\WINDOWS\SYSTEM32\svchost.exe

2008-03-07 19:23 --------- d-----w C:\Documents and Settings\Walter\Application Data\Corel

2008-03-07 17:26 --------- d-----w C:\Program Files\Norton SystemWorks

2008-03-04 18:46 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Messenger Plus!

2008-03-03 13:30 --------- d-----w C:\Program Files\Riven

2008-03-03 12:15 --------- d-----w C:\Program Files\Spamihilator

2008-02-28 14:06 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-02-25 13:13 --------- d-----w C:\Documents and Settings\Ed\Application Data\Corel

2008-02-23 11:57 --------- d-----w C:\Documents and Settings\Walter\Application Data\Symantec

2008-02-23 11:55 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec

2008-02-23 11:54 --------- d-----w C:\Program Files\Symantec

2008-02-11 18:05 --------- d-----w C:\Program Files\Myst Online

2008-02-10 12:16 --------- d-----w C:\Program Files\QuickTime

2008-02-10 11:57 --------- d-----w C:\Program Files\Lavasoft

2008-02-10 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft

2008-02-10 11:26 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-01-27 17:06 --------- d-----w C:\Program Files\Common Files

2008-01-27 15:54 --------- d-----w C:\Documents and Settings\Walter\Application Data\Apple Computer

2008-01-27 14:09 --------- d-----w C:\Program Files\L'Amerzone

2008-01-21 11:43 --------- d-----w C:\Program Files\Snapshot Viewer

2008-01-21 11:43 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\SBT

2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe

2007-12-29 00:31 39,424 ----a-w C:\WINDOWS\zipinst.exe

2007-12-29 00:26 47,104 ----a-w C:\WINDOWS\SYSTEM32\KMVIDC32.DLL

2004-05-11 17:58 39,859 ----a-w C:\Program Files\3dsUninst.exe

2004-05-11 17:58 1,210 ----a-w C:\Program Files\install.log

2004-03-29 15:21 958,549 ----a-w C:\Program Files\ThereKernel.dll

2004-03-29 15:21 24,657 ----a-w C:\Program Files\GnuMalloc.dll

2004-03-29 15:21 1,294,427 ----a-w C:\Program Files\ThereNetClient.dll

2002-04-01 18:51 266 --sh--w C:\Program Files\desktop.ini

2002-04-01 18:51 11,208 ---ha-w C:\Program Files\folder.htt

2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\INF\Agfa\message.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-03-18_23.23.59.90 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-03-19 14:28:18 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll

+ 2008-03-19 14:28:18 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll

+ 2008-03-19 14:28:18 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll

+ 2008-03-19 14:28:21 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll

+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll

+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll

+ 2008-03-19 14:28:23 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll

+ 2008-03-19 14:28:19 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll

+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll

+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll

- 2008-03-18 17:39:41 581,632 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

+ 2008-03-19 11:12:24 5,009,408 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

- 2008-03-18 17:39:41 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-03-19 11:12:24 708,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-03-20 10:45:37 819,200 ----a-w C:\WINDOWS\gmer.dll

+ 2008-03-03 19:29:06 761,856 ----a-r C:\WINDOWS\gmer.exe

+ 2008-03-20 10:45:37 86,097 ----a-w C:\WINDOWS\SYSTEM32\DRIVERS\gmer.sys

+ 2007-06-13 13:22:28 113,664 ----a-w C:\WINDOWS\SYSTEM32\qggssaoii.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"lgrdpdi"="C:\WINDOWS\TEMP\ldgoeq.sys WLEntryPoint" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

C:\Documents and Settings\Solenne Gilpin\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\Osa9.exe [2000-01-21 09:15:56 65588]

Norton System Doctor.lnk - C:\Program Files\Norton SystemWorks\Norton Utilities\Sysdoc32.exe [2003-09-13 14:17:26 57344]

Rappels du Calendrier Microsoft Works.lnk - C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [1999-08-06 08:53:00 53317]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"gdsgejks"= rundll32.exe "C:\WINDOWS\system32\qggssaoii.dll" WLEntryPoint

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur.AMATEUR^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\Administrateur.AMATEUR\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^.protected]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\.protected

backup=C:\WINDOWS\pss\.protectedCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^autorun.exe]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\autorun.exe

backup=C:\WINDOWS\pss\autorun.exeCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^EPSON Background Monitor.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\EPSON Background Monitor.lnk

backup=C:\WINDOWS\pss\EPSON Background Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk

backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^PGPtray.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\PGPtray.lnk

backup=C:\WINDOWS\pss\PGPtray.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Ed^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\Ed\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Ed^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\Ed\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^TEMP^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\TEMP\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

--a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcctMgr]

--a------ 2003-09-15 16:04 582168 C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-01-02 17:41 45056 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autoload]

C:\Documents and Settings\Ed\Local Settings\Application Data\cftmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthorizationAgent]

--a------ 2008-03-12 17:00 35464 C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-20 00:09 15360 C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]

--a------ 2003-06-10 18:02 94208 C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]

--a------ 2001-07-25 10:00 192568 C:\Program Files\Microsoft Money\System\Money Express.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton SystemWorks]

--a------ 2003-09-18 17:03 124048 C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-ra------ 2005-12-09 08:49 15691264 C:\WINDOWS\RTHDCPL.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySweeper]

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-06-08 11:40 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDefender]

C:\Program Files\SystemDefender\SystemDefender.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-10-06 14:32 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\trgiieco]

--a------ 2004-08-20 00:10 33792 C:\WINDOWS\SYSTEM32\rundll32.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"aawservice"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Myst Online\\UruExplorer.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Team17\\Worms2\\frontend.exe"=

"C:\\Program Files\\AC2\\ac2probe.exe"=

"C:\\WINDOWS\\SYSTEM32\\rundll32.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"64567:TCP"= 64567:TCP:@xpsp2res.dll,-22005

"17082:TCP"= 17082:TCP:@xpsp2res.dll,-22005

"7657:TCP"= 7657:TCP:@xpsp2res.dll,-22005

"58156:TCP"= 58156:TCP:@xpsp2res.dll,-22005

 

R0 ULiFilter;ULi PCIE Bridge Filter;C:\WINDOWS\system32\DRIVERS\ULiFiltr.sys [2005-12-08 08:20]

R1 GhPciScan;GhostPciScanner;C:\Program Files\Norton SystemWorks\Norton Ghost\ghpciscan.sys [2003-05-28 19:01]

R2 PGPmemlock;PGPmemlock;C:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-10-29 05:52]

S3 SmartCd;SmartCd;C:\WINDOWS\system32\Drivers\SmartCd.sys []

S3 ultradfg;ultradfg;C:\WINDOWS\system32\DRIVERS\ultradfg.sys [2007-10-08 10:54]

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-10 15:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-03-07 17:28:08 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"

- C:\Program Files\Norton SystemWorks\OBC.exe

"2008-03-04 23:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job"

- C:\Program Files\Fichiers communs\Symantec Shared\SymDrmc.exe

"2008-03-21 11:07:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-21 12:06:06

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-21 12:07:37

ComboFix-quarantined-files.txt 2008-03-21 11:07:29

ComboFix2.txt 2008-03-19 18:47:30

ComboFix3.txt 2008-03-18 22:25:06

.

2008-03-12 12:26:50 --- E O F ---

 

 

L'activité disque a l'air de s'être calmé. Par contre, je ne peux toujours pas charger Antivir : Message : "Cannot load master resource file"

Modifié par Cartier83
angelique Devil Member !

angelique

Posté(e)
Posté(e)

Tu veux faire un rapport Gmer comme precedemment stp! mais c'est pas bon à mon avis !!!

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\WINDOWS\TEMP\ldgoeq.sys
C:\WINDOWS\system32\qggssaoii.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lgrdpdi"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"gdsgejks"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

CFScript.gif

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Cartier83 Member

Cartier83

Posté(e)
  • Auteur
Posté(e)

Voici le rapport Gmer :

 

GMER 1.0.14.14205 - http://www.gmer.net

Rootkit scan 2008-03-21 16:22:46

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess [0xF7C518AC]

SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess [0xF7C51812]

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_name aqjdttkmhtg

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_expand drv

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@reg_name lgrdpdi

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@reg_id 234533

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_name ojclpcsdlqi

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_expand sys

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_path C:\WINDOWS\system32\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@reg_name gdsgejks

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@reg_id 235124

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_name gqrdpfbhnbc

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_expand dll

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@reg_name hllqmrss

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@reg_id 987234

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_name fqhgbiton

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_expand nls

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_path C:\WINDOWS\system32\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@reg_name qsdrhh

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@reg_id 7237565

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_name ilcikggmb

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_expand dll

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@reg_name akcsrcfa

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@reg_id 7523455

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@start_function WLEntry

 

---- EOF - GMER 1.0.14 ----

 

 

 

 

 

 

Et voici le rapport ComboFix :

 

 

ComboFix 08-03-17.1 - Ed 2008-03-21 16:26:53.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.575 [GMT 1:00]

Endroit: C:\Documents and Settings\Ed\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Ed\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\qggssaoii.dll

C:\WINDOWS\TEMP\ldgoeq.sys

.

TimeOut - progfile.dat

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-21 to 2008-03-21 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-21 12:52 . 2008-03-21 12:52 <REP> d-------- C:\Documents and Settings\Ed\Application Data\Webroot

2008-03-20 11:46 . 2008-03-21 16:19 250 --a------ C:\WINDOWS\gmer.ini

2008-03-19 16:07 . 2008-03-19 19:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-19 16:07 . 2008-03-19 19:19 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2008-03-19 15:27 . 2008-03-21 16:17 <REP> d-------- C:\WINDOWS\BDOSCAN8

2008-03-18 15:33 . 2008-03-19 14:12 1,414 --a------ C:\WINDOWS\SYSTEM32\tmp.reg

2008-03-18 13:52 . 2008-03-18 13:53 <REP> d-------- C:\WINDOWS\ERUNT

2008-03-18 13:16 . 2008-03-18 13:16 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Application Data\Grisoft

2008-03-16 23:09 . 2008-03-16 23:09 <REP> d-------- C:\Documents and Settings\Walter\Application Data\Grisoft

2008-03-16 19:06 . 2008-03-16 19:06 <REP> d-------- C:\Documents and Settings\Ed\Application Data\Grisoft

2008-03-16 19:05 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\AvgAsCln.sys

2008-03-16 19:04 . 2008-03-16 19:04 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft

2008-03-16 19:00 . 2008-03-16 19:00 <REP> d-------- C:\Program Files\CCleaner

2008-03-16 12:26 . 2008-03-16 12:26 <REP> d-------- C:\Program Files\Trend Micro

2008-03-12 17:38 . 2004-08-20 01:09 221,184 --a------ C:\WINDOWS\SYSTEM32\wmpns.dll

2008-03-12 17:29 . 2008-03-15 14:30 <REP> d--h----- C:\Documents and Settings\Administrateur.AMATEUR\Modèles

2008-03-12 17:29 . 2008-03-12 17:29 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Menu Démarrer

2008-03-12 17:29 . 2008-03-12 17:29 <REP> dr------- C:\Documents and Settings\Administrateur.AMATEUR\Favoris

2008-03-12 17:29 . 2008-03-18 18:44 <REP> d-------- C:\Documents and Settings\Administrateur.AMATEUR\Bureau

2008-03-12 17:00 . 2008-03-12 17:00 35,464 --a------ C:\WINDOWS\SYSTEM32\BluetoothAuthorizationAgent.exe

2008-03-12 16:52 . 2008-03-12 16:52 <REP> dr------- C:\Documents and Settings\LocalService.AUTORITE NT\Favoris

2008-03-11 19:59 . 2008-03-11 19:59 63 --a------ C:\WINDOWS\mdm.ini

2008-03-07 20:21 . 2008-03-07 20:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-03-07 20:21 . 2008-03-07 20:21 1,409 --a------ C:\WINDOWS\QTFont.for

2008-03-03 21:07 . 2008-03-03 21:09 <REP> d-------- C:\Everest Poker

2008-02-23 12:55 . 2003-05-28 17:53 45,056 --a------ C:\WINDOWS\SYSTEM32\WNASPI2K.BAK

2008-02-23 12:55 . 2003-05-28 17:53 17,005 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ASPI2K.BAK

2008-02-23 12:55 . 2003-05-28 17:53 5,600 --a------ C:\WINDOWS\SYSTEM\WINASPI.BAK

2008-02-23 12:55 . 2003-05-28 17:53 4,672 --a------ C:\WINDOWS\SYSTEM\WOWPOST.BAK

2008-02-23 12:53 . 2003-09-12 13:08 83,208 --a------ C:\WINDOWS\SYSTEM32\S32EVNT1.DLL

2008-02-23 12:53 . 2003-09-12 13:08 82,136 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SYMEVENT.SYS

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-21 13:58 --------- d-----w C:\Program Files\WAV to MP3 Encoder

2008-03-21 13:47 --------- d-----w C:\Program Files\MessenPass

2008-03-19 10:48 94,208 ----a-w C:\WINDOWS\DUMP9971.tmp

2008-03-12 15:53 14,336 ----a-w C:\WINDOWS\SYSTEM32\svchost.exe

2008-03-07 19:23 --------- d-----w C:\Documents and Settings\Walter\Application Data\Corel

2008-03-07 17:26 --------- d-----w C:\Program Files\Norton SystemWorks

2008-03-04 18:46 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Messenger Plus!

2008-03-03 13:30 --------- d-----w C:\Program Files\Riven

2008-03-03 12:15 --------- d-----w C:\Program Files\Spamihilator

2008-02-28 14:06 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-02-25 13:13 --------- d-----w C:\Documents and Settings\Ed\Application Data\Corel

2008-02-23 11:57 --------- d-----w C:\Documents and Settings\Walter\Application Data\Symantec

2008-02-23 11:55 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Symantec

2008-02-23 11:54 --------- d-----w C:\Program Files\Symantec

2008-02-11 18:05 --------- d-----w C:\Program Files\Myst Online

2008-02-10 12:16 --------- d-----w C:\Program Files\QuickTime

2008-02-10 11:57 --------- d-----w C:\Program Files\Lavasoft

2008-02-10 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft

2008-02-10 11:26 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-01-27 17:06 --------- d-----w C:\Program Files\Common Files

2008-01-27 15:54 --------- d-----w C:\Documents and Settings\Walter\Application Data\Apple Computer

2008-01-27 14:09 --------- d-----w C:\Program Files\L'Amerzone

2008-01-21 11:43 --------- d-----w C:\Program Files\Snapshot Viewer

2008-01-21 11:43 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\SBT

2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe

2007-12-29 00:31 39,424 ----a-w C:\WINDOWS\zipinst.exe

2007-12-29 00:26 47,104 ----a-w C:\WINDOWS\SYSTEM32\KMVIDC32.DLL

2004-05-11 17:58 39,859 ----a-w C:\Program Files\3dsUninst.exe

2004-05-11 17:58 1,210 ----a-w C:\Program Files\install.log

2004-03-29 15:21 958,549 ----a-w C:\Program Files\ThereKernel.dll

2004-03-29 15:21 24,657 ----a-w C:\Program Files\GnuMalloc.dll

2004-03-29 15:21 1,294,427 ----a-w C:\Program Files\ThereNetClient.dll

2002-04-01 18:51 266 --sh--w C:\Program Files\desktop.ini

2002-04-01 18:51 11,208 ---ha-w C:\Program Files\folder.htt

2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\INF\Agfa\message.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-03-18_23.23.59.90 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-03-19 14:28:18 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll

+ 2008-03-19 14:28:18 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll

+ 2008-03-19 14:28:18 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll

+ 2008-03-19 14:28:21 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll

+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll

+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll

+ 2008-03-19 14:28:23 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll

+ 2008-03-19 14:28:19 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll

+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll

+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll

- 2008-03-18 17:39:41 581,632 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

+ 2008-03-19 11:12:24 5,009,408 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

- 2008-03-18 17:39:41 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-03-19 11:12:24 708,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2008-03-20 10:45:37 819,200 ----a-w C:\WINDOWS\gmer.dll

+ 2008-03-03 19:29:06 761,856 ----a-r C:\WINDOWS\gmer.exe

+ 2008-03-20 10:45:37 86,097 ----a-w C:\WINDOWS\SYSTEM32\DRIVERS\gmer.sys

+ 2007-06-13 13:22:28 113,664 ----a-w C:\WINDOWS\SYSTEM32\ojclpcsdlqi.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

"rronsoce"="C:\WINDOWS\TEMP\aqkieggckcq.nls WLEntryPoint" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

C:\Documents and Settings\Solenne Gilpin\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\Osa9.exe [2000-01-21 09:15:56 65588]

Norton System Doctor.lnk - C:\Program Files\Norton SystemWorks\Norton Utilities\Sysdoc32.exe [2003-09-13 14:17:26 57344]

Rappels du Calendrier Microsoft Works.lnk - C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [1999-08-06 08:53:00 53317]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"sioocseq"= rundll32.exe "C:\WINDOWS\system32\ojclpcsdlqi.sys" WLEntryPoint

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Administrateur.AMATEUR^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\Administrateur.AMATEUR\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^.protected]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\.protected

backup=C:\WINDOWS\pss\.protectedCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^autorun.exe]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\autorun.exe

backup=C:\WINDOWS\pss\autorun.exeCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^EPSON Background Monitor.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\EPSON Background Monitor.lnk

backup=C:\WINDOWS\pss\EPSON Background Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk

backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^PGPtray.lnk]

path=C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\PGPtray.lnk

backup=C:\WINDOWS\pss\PGPtray.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Ed^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\Ed\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Ed^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\Ed\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^TEMP^Menu Démarrer^Programmes^Démarrage^findfast.exe]

path=C:\Documents and Settings\TEMP\Menu Démarrer\Programmes\Démarrage\findfast.exe

backup=C:\WINDOWS\pss\findfast.exeStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

--a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcctMgr]

--a------ 2003-09-15 16:04 582168 C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-01-02 17:41 45056 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autoload]

C:\Documents and Settings\Ed\Local Settings\Application Data\cftmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthorizationAgent]

--a------ 2008-03-12 17:00 35464 C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-20 00:09 15360 C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]

--a------ 2003-06-10 18:02 94208 C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hhjg5jfd93dftdf]

C:\WINDOWS\TEMP\winlogan.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jnskdfmf9eldfd]

C:\DOCUME~1\Walter\LOCALS~1\Temp\csrssc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lgrdpdi]

C:\WINDOWS\TEMP\sqbbrsfnihd.drv WLEntryPoint

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]

--a------ 2001-07-25 10:00 192568 C:\Program Files\Microsoft Money\System\Money Express.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton SystemWorks]

--a------ 2003-09-18 17:03 124048 C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-ra------ 2005-12-09 08:49 15691264 C:\WINDOWS\RTHDCPL.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySweeper]

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-06-08 11:40 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDefender]

C:\Program Files\SystemDefender\SystemDefender.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-10-06 14:32 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\trgiieco]

--a------ 2004-08-20 00:10 33792 C:\WINDOWS\SYSTEM32\rundll32.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"aawservice"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Myst Online\\UruExplorer.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Team17\\Worms2\\frontend.exe"=

"C:\\Program Files\\AC2\\ac2probe.exe"=

"C:\\WINDOWS\\SYSTEM32\\rundll32.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"7069:TCP"= 7069:TCP:@xpsp2res.dll,-22005

"5152:TCP"= 5152:TCP:@xpsp2res.dll,-22005

"17031:TCP"= 17031:TCP:@xpsp2res.dll,-22005

"16514:TCP"= 16514:TCP:@xpsp2res.dll,-22005

 

R0 ULiFilter;ULi PCIE Bridge Filter;C:\WINDOWS\system32\DRIVERS\ULiFiltr.sys [2005-12-08 08:20]

R1 GhPciScan;GhostPciScanner;C:\Program Files\Norton SystemWorks\Norton Ghost\ghpciscan.sys [2003-05-28 19:01]

R2 PGPmemlock;PGPmemlock;C:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-10-29 05:52]

S3 SmartCd;SmartCd;C:\WINDOWS\system32\Drivers\SmartCd.sys []

S3 ultradfg;ultradfg;C:\WINDOWS\system32\DRIVERS\ultradfg.sys [2007-10-08 10:54]

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-10 15:06:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-03-07 17:28:08 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job"

- C:\Program Files\Norton SystemWorks\OBC.exe

"2008-03-04 23:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job"

- C:\Program Files\Fichiers communs\Symantec Shared\SymDrmc.exe

"2008-03-21 15:27:19 C:\WINDOWS\Tasks\Symantec NetDetect.job"

- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-21 16:31:22

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-21 16:32:52

ComboFix-quarantined-files.txt 2008-03-21 15:32:49

ComboFix2.txt 2008-03-21 11:07:37

ComboFix3.txt 2008-03-19 18:47:30

ComboFix4.txt 2008-03-18 22:25:06

.

2008-03-12 12:26:50 --- E O F ---

angelique Devil Member !

angelique

Posté(e)
Posté(e)

Bon ok!! Gmer voit plus le RK MBR mais faut que je me renseigne d'un truc qui va pas car ça sera interminable.

 

malekal m'a conseillé départitionnage\formatage :P

 

• desinstalle ta version de ComboFix en copiant collant la ligne ci dessous dans executer et valide la :

 

ComboFix /u

 

ceci ci dessous va les éliminer mais se recréer aléatoirement!! en relation direct avec le rouge de Gmer ci dessous.

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\WINDOWS\system32\ojclpcsdlqi.sys
C:\WINDOWS\TEMP\aqkieggckcq.nls

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rronsoce"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sioocseq"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

CFScript.gif

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

-----------------------------------------------------

 

Ton rapport de Gmer est mieux mais montre bien les points incriminés que je ne sais pas comment traiter ... enfin sans planter ton pc :P

 

en rouge:

 

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_name aqjdttkmhtg

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_expand drv

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@reg_name lgrdpdi

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@reg_id 234533

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\0@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_name ojclpcsdlqi

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_expand sys

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@file_path C:\WINDOWS\system32\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@reg_name gdsgejks

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@reg_id 235124

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\1@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_name gqrdpfbhnbc

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_expand dll

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@reg_name hllqmrss

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@reg_id 987234

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\2@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_name fqhgbiton

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_expand nls

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@file_path C:\WINDOWS\system32\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@reg_name qsdrhh

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@reg_id 7237565

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\3@start_function WLEntryPoint

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_name ilcikggmb

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_expand dll

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@file_path C:\WINDOWS\TEMP\

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@reg_name akcsrcfa

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@reg_id 7523455

Reg HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}\Storage\4@start_function WLEntry

 

Je ferais direct un via CFScript

 

Registry::
[-HKLM\SOFTWARE\Classes\CLSID\{2926C2DD-8E0B-4CB1-BD1C-B9C914FF9C1B}]

 

mais ne le fait pas!! Vu que je suis toute seule sur l'affaire .... et que j'aimerais que d'autres experts sécus (qui sont de plus en plus rare en intervention :P ) interviennent , je ne sais pas .... je ne veux pas te faire jouer à pile ou face! c'est pas mon PC

 

je vais voir à me renseigner...peut etre....

 

[/color]

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...