analyser mon log please!!

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

analyser mon log please!!

Messagede juju18 » 05 Juil 2005, 16:54

voici mon log HijackThis!!
j'aimerais, svp, que vous analysiez se log!!SVP :cry:

Logfile of HijackThis v1.99.1
Scan saved at 17:39:09, on 05/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.fr/center
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (disabled by BHODemon)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {BAD9DF7C-7482-F8B0-6D10-5479CC7DD4A4} - C:\DOCUME~1\FAMILL~1\APPLIC~1\INTRAC~1\TICK PROXY.exe (disabled by BHODemon)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [signflag] C:\DOCUME~1\FAMILL~1\APPLIC~1\CREATI~1\bits memo exit.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: Ultra Hal Startup.lnk = C:\Program Files\Zabaware\Ultra Hal Assistant 5\HalAsst.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe


merci par avance!!
juju18
 

Messagede pierre » 05 Juil 2005, 16:59

Bonjour,

Je sens plusieurs choses :

1 - Bonjour

2 - Pourquoi ? Quels sont les symptômes de quelque chose qui vous fait demander une analyse

3 - Ce log n'a pas déjà été posté sur un autre forum ?
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 05 Juil 2005, 17:02

Je prend l'analyse. Retour dans 1 heure environ
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

excuse pour le retard

Messagede juju18 » 05 Juil 2005, 17:11

Bonjour Pierre!!
j'ai fais une analyse et demander les résultats parce que j'ai une espèce de malware très difficile à avoir, lop.com!!
je suis aller voir sur plein de forum, j'ai essayer plein de truc mais ça ne marcher pas!!alors j'ai décidé de poster mon log ici (je suis gentille, hein?)
et non, je n'ai pas poster ce log ailleur.
je vais attendre gentillement les résultats!! :roll:
et puis je te dis merci d'avance!! :D
juju18
 

Messagede pierre » 05 Juil 2005, 18:29

Bonsoir,

N'auriez-vous pas fait une mise à jour de Windows/me à Windows XP ?

Attention :
- HijackThis s'exécute actuellement dans un répertoire temporaire, même si vous avez créé un sous répertoire dans cette zone temporaire : bien exécuter le point 14 ci-dessous.
- Lisez une première fois tout ce qui suit et téléchargez les utilitaires qui vont être utilisés.

Phase préparatoire
Commencez par télécharger et installer les outils dont vous allez avoir besoin.


Protocole préalable
Avant de faire les actions personnalisées indiquées sous le point "Décontamination", commencez par faire ceci :
(1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable).
  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com.free.fr/p/comment/ac ... ration.php
  2. Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com.free.fr/p/comment/an ... aximum.php
  3. Si ce n'est déjà fait, exécutez CWShredder
    http://assiste.com.free.fr/p/internet_u ... redder.php
  4. Si ce n'est déjà fait, faites en sorte de tout voir
  5. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Le plus simple : utilisez CCleaner

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Videz les répertoires temporaires
    • Si vous êtes sous Windows 95/98/Me/XP, videz
      C:\Windows\Temp\
    • Si vous êtes sous Windows NT/2000, videz
      C:\Winnt\Temp\
  6. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
  7. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  8. Redémarrez en mode "Sans échec" et n'ouvrez aucune fenêtre
    Comment faire :
    http://assiste.com.free.fr/p/comment/de ... _echec.php

    Fermez toutes les fenêtres, dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox ou Opera, vous pourrez réouvrir votre navigateur après le point 10.
  9. Suspendre les protections temps réel de la base de registre
    • Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".
    • Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.
    • Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
      http://assiste.com.free.fr/p/comment/tuer_processus.php
    • Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.
    • Etc. ...
  10. Exécutez votre antivirus, réglé au maximum
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'antivirus au maximum : tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
  11. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Vous avez bien désactivé les points de restauration, vous êtes bien en mode sans échec, et vous avez bien poussé les réglages de l'anti-trojan au maximum.
    Voir, si besoin est, le mode d'emploi de PestPatrol en français à
    http://assiste.com.free.fr/p/internet_u ... rol_v4.php
  12. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.
  13. Faites une sauvegarde de la base de registre
    http://assiste.com.free.fr/p/comment/sa ... gistre.php
  14. Si ce n'est déjà fait, installer HijackThis dans son répertoire
    http://assiste.com.free.fr/p/internet_u ... ckthis.php
    Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.
  15. Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Cliquez sur le bouton "Back" (retour arrière)

Décontamination - Vous êtes toujours en mode sans échec :
  1. Fixer, avec HijackThis, les lignes suivants (si elles existent encore)

    Cette tâche active,
    c:\progra~1\intern~1\iexplore.exe
    est à un emplacement normal mais, curieusement, signalisation de noms courts alors qu'il ne semble pas, par ailleurs, que vous ayez installé votre système dans des répertoire autres que ceux par défaut et que tous les autres répertoires sont bien signalés avec des noms longs.
    Localisez ce fichier et testez-le avec ces 2 pages :
    http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
    http://assiste.com.free.fr/p/antivirus_ ... usscan.php

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.fr/center
    ainsi que
    O14 - IERESET.INF: START_PAGE_URL=www.packardbell.fr/center
    Mouais ! Vous avez probablement mieux à faire que d'être redirrigé vers le site du fabriquant de votre ordinateur.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
    Remplacez ce titre imbécile et très long. Vous n'avez pas à être matraqué par de la publicité pour Planetis sur chaque page visitée ce qui raccourcis d'autant le vrai titre de la page visitée qui, lui, n'a plus la place de s'afficher. Mettre "MSIE" est très suffisant, voire, rien du tout.

    O2 - BHO: (no name) - {BAD9DF7C-7482-F8B0-6D10-5479CC7DD4A4} - C:\DOCUME~1\FAMILL~1\APPLIC~1\INTRAC~1\TICK PROXY.exe (disabled by BHODemon)
    Vous avez désactivé ce BHO mais cette CLSID est totalement inconnue ainsi que "TICK PROXY.exe". Par contre cela ressemble fort aux conventions de nommage du parasite lop.com qui pourait avoir été présent sur votre machine et que vous auriez décontaminée. Fixez cette ligne

    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    Fixez cette ligne qui ne sert plus à rien.
    Auriez-vous fait un essai de flashget ? La version d'essai comporte un adware (Cydoor) qui est supprimé dès l'achat et l'enregistrement légal de flashget.

    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    Les "dump" mémoire sont discuté sur cette page :
    http://assiste.com.free.fr/p/internet_a ... g_tool.php
    Désactivé cette fonction et ne jamais faire remonter un vidage mémoire chez un éditeur.

    O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
    Quelle est l'application qui a installé cette tâche ? TEKNUM~1 n'est pas "parlant". Fixer cette ligne et, dans votre pare-feu, interdisez à cette tâche de sortir sur le Net.

    O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
    Inutile (pas de fichier désigné)

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    Ainsi que ces lignes, inutiles :

    La tâche active
    C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    est lancés par
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    Pilote Logitech Mouseware. Nécessaire pour gérer certaines fonctionnalités supplémentaires des souris/trackballs Logitech comme "SmartMove". Si vous le désactivez et trouvez que vous n'en avez pas besoin, laissez-le désactivé

    La tâche active
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    est lancée par
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    Cette tâche se connecte au site de Sun Microsystème, le développeur de la technologie Java, afin de vérifier si une mise à jour de votre version de JAVA est disponible. Les mises à jour de JAVA étant extrèmement rares, il est complètement inutile de laisser cette tâche occuper la mémoire de votre ordinateur pour rien. D'autre part, nous considérons les mises à jour automatiques (hormis celles des bases de signatures des antivirus et similaires), autorisant le téléchargement et l'installation de programmes (binaires) comme des failles de sécurité potentielles. Lancez simplement le Panneau de configuration du plug-in Java, de temps en temps. Pour en savoir plus sur JAVA, la machine virtuelle JAVA de Microsoft, celle de SUN Microsystème etc. et accéder aux sites de téléchargements et de mises à jour en français, suivre http://assiste.com.free.fr/p/internet_attaques/java.php et http://assiste.com.free.fr/p/internet_c ... i_java.php.

    La tâche active
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    est lancée par
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    Programme surveillant l'état de l'imprimante Seiko Epson. Désactivez-le si l'imprimante n'est pas utilisée souvent

    Tuez cette tâche
    C:\WINDOWS\system32\wuauclt.exe
    et désactivez la mise à jour automatique de Windows. Cette opération doit se faire manuellement, une fois pas mois (juste après le second mardi de chaque mois).

    Je vous signale que SDHelper de SpyBot S&D a été désactivé par vos soins en utilisant BHODemon
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (disabled by BHODemon)

    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    Accès rapide au panneau de contrôle via une icône dans le systray pour cartes graphiques basées sur les chipsets Intel (ex: i810). Ces chipsets sont souvent inclus sur des cartes-mères. Totalement inutile. Si vous avez besoin d'y accéder, utilisez la procédure normale via Démarrer -> Paramètres -> Panneau de configuration

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    Même remarque que ci-dessus : Installé avec les pilotes graphiques Intel chipset 810 et 815. Si vous voulez que Ctrl+Alt+F12 ou des combinaisons de touches similaires accèdent aux propriétés graphiques personnalisées d'Intel, vous en avez besoin, sinon peut être désactivé via les Propriétés de l'Affichage dans le Panneau de configuration.

    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    Inutile

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    En avez-vous besoin ? Voir http://support.microsoft.com/default.as ... ;fr;282599
    Attention, plusieurs vers et autres parasites portent ce même nom.
    Localisez ce fichier et testez-le avec ces 2 pages :
    http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
    http://assiste.com.free.fr/p/antivirus_ ... usscan.php

    O4 - HKCU\..\Run: [signflag] C:\DOCUME~1\FAMILL~1\APPLIC~1\CREATI~1\bits memo exit.exe
    Complètement inconnu et je ne sais pas ce que c'est.

    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    MessengerPlus!
    Justement, est livré avec, en cadeau, le super parasite lop.com. Avez-vous été vigilent lors de son installation (ne pas installer le "sponsor"). Lire :
    http://assiste.com.free.fr/p/internet_a ... op_com.php

    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    Vous êtes graphiste professionnel ? Sinon, totalement inutile et prend de la place.

    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    Probablement totalement inutile.
    Application qui lance des composants usuels de MS Office pour aider à accélérer le lancement des programmes Office. C'est en quelque sorte un dévoreur de ressources, et certains utilisateurs prétendent qu'il n'y a pas de différence avec ou sans, mais d'habitude elle n'est pas nécessaire. Note - si vous utilisez la barre de raccourcis de Microsoft Office en dehors d'un programme Office, cette application aura besoin d'être activée pour qu'elle soit affichée.

    O4 - Global Startup: Ultra Hal Startup.lnk = C:\Program Files\Zabaware\Ultra Hal Assistant 5\HalAsst.exe
    Est-ce que cela fonctionne ? (Zabaware Ultra Hal Assistant ).

    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    Probablement inutile

    O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
    O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
    Bon ! Alors ! Finalement... Lequel est utilisé ? Fixer l'autre et nettoyer le disque dur. Est-ce que FlashGet n'aurait pas étét désinstallé "à l'arracher" en effaçant son répertoire sans passer par la procédure de désinstallation ?
  2. Renommer les fichiers suivants
    - ... Rien à faire
  3. Editer la base de registre
    - ... Rien à faire
  4. Remarque
    - ... Néant
  5. Fichier hosts
    - ... Rien à faire
  6. Domaines dans la zone de confiance d'IE
    - ... Rien à faire
  7. Redémarrer en mode normal
    Pour l'instant, ne pas restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...). Nous restaurerons tout cela lorsque tout sera clean.
  8. Répertoire(s) à détruire
    - ... Aucun
  9. Fichier(s) à détruire
    - ... Aucun
  10. Nettoyage final
    Repassez un coup de CCleaner (déjà vu au point 5)
    http://assiste.com.free.fr/p/internet_u ... leaner.php
  11. Windows Update
    - Vous semblez à jour
  12. Redémarrer en mode normal
  13. Nouveau log HijackThis
    Refaire un log HijackThis et le poster à la suite (sans ouvrir un nouveau fil de discussion) afin que nous puissions effectuer une vérification.

Fin de la décontamination - phase de sécurisation
[list=1][*]Il n'y a pas de pare-feu actif. Le simple temps que vous allez mettre pour vous connecter au Net et arriver sur ce fil de discussion, avant même de l'avoir lu, est suffisant pour que vous soyez victime d'une attaque réussie. Votre chance de survie sur le Net, sans pare-feu, est de moins de 4 minutes. Installez, au moins, OutPost Free (gratuit), après la décontamination.
http://assiste.com.free.fr/p/internet_u ... utpost.php
[*]Utiliser Zeb Protect afin de fermer totalement certains ports critiques maintenus ouverts par des services de Windows
http://assiste.com.free.fr/p/internet_u ... rotect.php

A l'avenir, suivre les recommandations d' http://assiste.com : en particulier, ne jamais utiliser Internet Explorer (lire http://assiste.com.free.fr/p/internet_a ... plorer.php ), interdire les contrôles activex (lire http://assiste.com.free.fr/p/internet_a ... ctivex.php ), naviguer (bien mieux) avec Mozilla Firefox (lire http://assiste.com.free.fr/p/internet_u ... irefox.php ), tenir à jour les patchs de sécurité (deuxième mercredi de chaque mois - lire http://assiste.com.free.fr/p/carnets_de ... chwork.php ) etc. ...

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede juju18 » 05 Juil 2005, 18:46

merci, merci, merci, merci!!!!
je te tien au courant dès que j'ai finis!!! :p
juju18
 

Messagede pierre » 05 Juil 2005, 19:14

Re Juju

Je n'avais pas vu ton post intermédiaire tandis que j'analysais ton log. Ben oui - Lop.com livré avec MessengerPlus!

Enfin, normalement, SpyBot et Microsoft Antispyware, que tu as tous deux, devraient arriver à l'éradiquer. Tiens moi informé.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede juju18 » 05 Juil 2005, 19:51

en fait, en anti-spyware, j'ai ad-aware, microsoft anti-spyware et spybot.
mais en fait, quand un des trois le détecte, il l'éfface mais revient à chaque démarrage.
je comprends rien!! :shock:
juju18
 

Messagede juju18 » 05 Juil 2005, 21:31

saleté de malware!!! :cry:
mais je taurais un jour! :?
alors je rapporte des nouvelles!!
ce malware de m**** est encore là!!!
voici le nouveau log après avoir fais ce que tu ma dis:

Logfile of HijackThis v1.99.1
Scan saved at 22:30:03, on 05/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [signflag] C:\DOCUME~1\FAMILL~1\APPLIC~1\CREATI~1\bits memo exit.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Ultra Hal Startup.lnk = C:\Program Files\Zabaware\Ultra Hal Assistant 5\HalAsst.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

merci de passer du temps sur mes logs!! :Mouaaarrrrffffffff:
juju18
 

Messagede Vazkor » 06 Juil 2005, 02:49

Bonjour,

J'assure le quart de nuit.
Je reprends donc l'analyse de Pierre en tenant compte de ton dernier log.

Il y a progrès, mais de l'analyse de Pierre postée le Mar 05 Juil 2005, 7:29 pm, il reste pas mal de remarques dont il n'a pas été tenu compte.
J'ajoute mes commentaires en rouge.

Décontamination - Vous êtes toujours en mode sans échec :
[list=1][*]Fixer, avec HijackThis, les lignes suivants (si elles existent encore)

Cette tâche active, c:\progra~1\intern~1\iexplore.exe est à un emplacement normal mais, curieusement, signalisation de noms courts alors qu'il ne semble pas, par ailleurs, que vous ayez installé votre système dans des répertoires autres que ceux par défaut et que tous les autres répertoires sont bien signalés avec des noms longs.
Localisez ce fichier et testez-le avec ces 2 pages, si le chemin n'est pas C:\Program Files\Internet Explorer\iexplore.exe :
http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
http://assiste.com.free.fr/p/antivirus_ ... usscan.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
Remplacez ce titre imbécile et très long. Vous n'avez pas à être matraqué par de la publicité pour Planetis sur chaque page visitée ce qui raccourcit d'autant le vrai titre de la page visitée qui, lui, n'a plus la place de s'afficher. Mettre "MSIE" est très suffisant, voire, rien du tout.
Pour cela il faut plonger les mains dans le cambuis et utiliser regedit pour éditer la base de registre. Parcourir la clé HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main et Modifier (voire supprimer froidement)Window Title dans le panneau de droite.

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
Quelle est l'application qui a installé cette tâche ? TEKNUM~1 n'est pas "parlant". Fixer cette ligne et, dans votre pare-feu, interdisez à cette tâche de sortir sur le Net.

Ainsi que cette ligne inutile:

La tâche active
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
est lancée par
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
Programme surveillant l'état de l'imprimante Seiko Epson. Désactivez-le si l'imprimante n'est pas utilisée souvent

Tuez cette tâche
C:\WINDOWS\system32\wuauclt.exe
et désactivez la mise à jour automatique de Windows. Cette opération doit se faire manuellement, une fois par mois (juste après le second mardi de chaque mois).

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
Inutile

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
En avez-vous besoin ? Voir http://support.microsoft.com/default.as ... ;fr;282599
Attention, plusieurs vers et autres parasites portent ce même nom.
Localisez ce fichier et testez-le avec ces 2 pages :
http://assiste.com.free.fr/p/antivirus_ ... ivirus.php
http://assiste.com.free.fr/p/antivirus_ ... usscan.php

O4 - HKCU\..\Run: [signflag] C:\DOCUME~1\FAMILL~1\APPLIC~1\CREATI~1\bits memo exit.exe
Complètement inconnu et je ne sais pas ce que c'est.
Nom [signflag] et programme bits memo exit.exe inconnus, mais tout dans leurs noms laisse penser qu'ils ont été créés par Lop.com, par juxtaposition de noms repris d'une liste.
Recent versions create a new folder in C:\Program Files and installs the files to that location. The folder and file names are composed of random English words.

Some examples include:

* team pure
* bolt date book
* OozeBind
* Hold way amok
* KEEP AXIS
http://sarc.com/avcenter/venc/data/adware.lop.html

Nous tenons le responsable de la réapparition de cette merde.
A fixer absolument. Le fichier devra être supprimé en fin de procédure


O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
MessengerPlus! justement, est livré avec, en cadeau, le super parasite lop.com. Avez-vous été vigilant lors de son installation (ne pas installer le "sponsor"). Lire :
http://assiste.com.free.fr/p/internet_a ... op_com.php

O4 - Global Startup: Ultra Hal Startup.lnk = C:\Program Files\Zabaware\Ultra Hal Assistant 5\HalAsst.exe
Est-ce que cela fonctionne ? (Zabaware Ultra Hal Assistant ).
Zabaware Ultra Hal Assistant - artificial intelligence conversation simulator. It is capable of being your digital secretary and companion
Je connais mais c'est peu utile, si on n'a pas la reconnaissance vocale et si l'on ne parle pas correctement l'anglais.


O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
Probablement inutile

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
Bon ! Alors ! Finalement... Lequel est utilisé ? Fixer l'autre et nettoyer le disque dur. Est-ce que FlashGet n'aurait pas été désinstallé "à l'arracher" en effaçant son répertoire sans passer par la procédure de désinstallation ?

[*]Renommer ou supprimer les fichiers suivants
- C:\DOCUME~1\FAMILL~1\APPLIC~1\CREATI~1\bits memo exit.exe
Je te conseille de:

Localiser le fichier bits memo exit.exe, avec l'Explorateur de Windows.
Vérifier le contenu du dossier.
Il est fort probable qu'il ne contient que le fichier en question. Si c'est le cas supprimer carrément le dossier. Sinon supprimer le fichier sans l'envoyer à la Corbeille (combinaison des touches shift (au-dessus de Ctrl) et Suppr).


@+

PS: Plutôt que FlashGet ou Download Express, je te conseille LeechGet. C'est d'ailleurs l'accélérateur que recommande Patrick Kolla, l'auteur de Spybot S&D.[/quote]
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités

cron