Monthly Archives: March 2013

Analyse d’un ransomware avec Volatility

Posted on by

Volatility est un framework d’analyse de dump mémoire; Il permet de parcourir la mémoire à la recherche de divers éléments.

Ce framework est écrit en python et offre la possibilité d’ajouter des plugins (donc quelque part, scriptable).

Pour récupérer le code et en savoir plus : [url=http://code.google.com/p/volatility/source/checkout] SVN [/url]

Je vais présenter l’outil sur une analyse rapide de LokoMoto, un ransomware.

Volatility va aller lire un dump mémoire. Pour cela, il faut donc dumper la mémoire dans un fichier pour qu’elle soit lisible. Pour que ce soit plus simple, j’utilise les dumps de Virtualbox que je fais ainsi :

[code]
vboxmanage debugvm WindowsHoneyPot dumpguestcore –filename test.elf
[/code]

WindowsHoneyPot est le nom de la VM et test.elf sera notre dump mémoire.

Le problème, c’est que ce dump n’est pas lisible directement par Volatility, car il ne contient pas qu’un dump mémoire, mais aussi des informations sur les registres du processeur (entre autre).

Il existe un plugin qui permet d’aider Volatility à la lire ce dump. : http://code.google.com/p/volatility/source/browse/branches/scudette/volatility/plugins/addrspaces/vboxelf.py?r=1950

Il faudra penser à ajouter cette option à chaque fois pour que Volatility puisse interpréter nos commandes.

Ok, tout est ok, commençons notre petite analyse. Le malware a été exécuté dans la VM, et nous avons un dump de sa mémoire faire avec la commande ci-dessus.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf imageinfo
[/code]

[quote]
Determining profile based on KDBG search…

Suggested Profile(s) : Win7SP0x86, Win7SP1x86
AS Layer1 : JKIA32PagedMemoryPae (Kernel AS)
AS Layer2 : VirtualBoxCoreDumpElf64 (/home/igor51/volatility-2.2/test.elf)
AS Layer3 : FileAddressSpace (/home/igor51/volatility-2.2/test.elf)
PAE type : PAE
DTB : 0x185000L
KDBG : 0x82731c28
Number of Processors : 1
Image Type (Service Pack) : 0
KPCR for CPU 0 : 0x82732c00
KUSER_SHARED_DATA : 0xffdf0000
Image date and time : 2013-03-01 20:42:33 UTC+0000
Image local date and time : 2013-03-01 21:42:33 +0100

[/quote]

On obtient le type de notre VM, le plus important est de connaître le profile pour aider Volatility à trouver les éléments.

On liste les processus en cours :
[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 pslist
[/code]

On obtient :
[quote]

Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
———- ——————– —— —— —— ——– —— —— ——————– ——————–
0x84ecab10 System 4 0 84 488 —— 0 2013-03-01 20:41:57
0x85ed23b0 smss.exe 264 4 4 29 —— 0 2013-03-01 20:41:57
0x85e5dc20 csrss.exe 336 328 8 368 0 0 2013-03-01 20:42:00
0x84f50110 wininit.exe 384 328 7 83 0 0 2013-03-01 20:42:00
0x85e599d8 csrss.exe 396 376 7 99 1 0 2013-03-01 20:42:00
0x85e376d0 winlogon.exe 436 376 6 137 1 0 2013-03-01 20:42:00
0x86544660 services.exe 484 384 22 212 0 0 2013-03-01 20:42:01
0x865545b0 lsass.exe 492 384 11 485 0 0 2013-03-01 20:42:01
0x8655b960 lsm.exe 500 384 10 141 0 0 2013-03-01 20:42:01
0x867b4470 svchost.exe 608 484 15 350 0 0 2013-03-01 20:42:12
0x867d3b68 VBoxService.ex 672 484 11 110 0 0 2013-03-01 20:42:12
0x867e1758 svchost.exe 724 484 10 198 0 0 2013-03-01 20:42:12
0x865e9bf8 svchost.exe 772 484 21 402 0 0 2013-03-01 20:42:12
0x86825030 svchost.exe 896 484 21 322 0 0 2013-03-01 20:42:13
0x86829458 svchost.exe 928 484 59 811 0 0 2013-03-01 20:42:13
0x86829030 audiodg.exe 984 772 5 78 0 0 2013-03-01 20:42:13
0x86850a90 svchost.exe 1068 484 15 276 0 0 2013-03-01 20:42:13
0x8685eb78 svchost.exe 1140 484 21 369 0 0 2013-03-01 20:42:14
0x8689fd40 spoolsv.exe 1296 484 15 297 0 0 2013-03-01 20:42:15
0x868b9030 svchost.exe 1324 484 22 320 0 0 2013-03-01 20:42:15
0x868d3658 armsvc.exe 1456 484 5 62 0 0 2013-03-01 20:42:15
0x868e4940 svchost.exe 1516 484 14 171 0 0 2013-03-01 20:42:15
0x8692c5e8 taskhost.exe 1692 484 10 167 1 0 2013-03-01 20:42:16
0x869c7340 userinit.exe 312 436 3 48 1 0 2013-03-01 20:42:19
0x868f0d40 dwm.exe 320 896 3 68 1 0 2013-03-01 20:42:19
0x869eb4f0 797faaaf50a012 552 340 1 48 1 0 2013-03-01 20:42:20
0x868fd488 WmiPrvSE.exe 1640 608 8 114 0 0 2013-03-01 20:42:23
[/quote]

Le processus qui nous intéresse est clairement celui-la :

[quote]0x869eb4f0 797faaaf50a012 552 340 1 48 1 0 2013-03-01 20:42:20 [/quote]

On continue l’analyse pour savoir qui a lancé notre processus :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 pstree
[/code]

[quote]
Name Pid PPid Thds Hnds Time
————————————————– —— —— —— —— ——————–
0x84f50110:wininit.exe 384 328 7 83 2013-03-01 20:42:00
. 0x8655b960:lsm.exe 500 384 10 141 2013-03-01 20:42:01
. 0x86544660:services.exe 484 384 22 212 2013-03-01 20:42:01
.. 0x86825030:svchost.exe 896 484 21 322 2013-03-01 20:42:13
… 0x868f0d40:dwm.exe 320 896 3 68 2013-03-01 20:42:19
.. 0x868b9030:svchost.exe 1324 484 22 320 2013-03-01 20:42:15
.. 0x8689fd40:spoolsv.exe 1296 484 15 297 2013-03-01 20:42:15
.. 0x865e9bf8:svchost.exe 772 484 21 402 2013-03-01 20:42:12
… 0x86829030:audiodg.exe 984 772 5 78 2013-03-01 20:42:13
.. 0x8692c5e8:taskhost.exe 1692 484 10 167 2013-03-01 20:42:16
.. 0x86829458:svchost.exe 928 484 59 811 2013-03-01 20:42:13
.. 0x86850a90:svchost.exe 1068 484 15 276 2013-03-01 20:42:13
.. 0x868d3658:armsvc.exe 1456 484 5 62 2013-03-01 20:42:15
.. 0x867d3b68:VBoxService.ex 672 484 11 110 2013-03-01 20:42:12
.. 0x867e1758:svchost.exe 724 484 10 198 2013-03-01 20:42:12
.. 0x868e4940:svchost.exe 1516 484 14 171 2013-03-01 20:42:15
.. 0x867b4470:svchost.exe 608 484 15 350 2013-03-01 20:42:12
… 0x868fd488:WmiPrvSE.exe 1640 608 8 114 2013-03-01 20:42:23
.. 0x8685eb78:svchost.exe 1140 484 21 369 2013-03-01 20:42:14
. 0x865545b0:lsass.exe 492 384 11 485 2013-03-01 20:42:01
0x85e5dc20:csrss.exe 336 328 8 368 2013-03-01 20:42:00
0x84ecab10:System 4 0 84 488 2013-03-01 20:41:57
. 0x85ed23b0:smss.exe 264 4 4 29 2013-03-01 20:41:57
0x85e599d8:csrss.exe 396 376 7 99 2013-03-01 20:42:00
0x85e376d0:winlogon.exe 436 376 6 137 2013-03-01 20:42:00
. 0x869c7340:userinit.exe 312 436 3 48 2013-03-01 20:42:19
0x869eb4f0:797faaaf50a012 552 340 1 48 2013-03-01 20:42:20
[/quote]

On note qu’il n’a pas de père (j’ai redémarré la VM pour être sûr que l’infection fonctionnait). Le PPID 340 ne renvoie sur aucun processus en cours.

Cherchons comment est lancé le processus. Les ruches du registre sont actuellement chargées en mémoire. Mais avant de pouvoir les interroger, il faut savoir où elles sont. Pour cela, on exécute cette commande :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 hivelist
[/code]

Ce qui donne :

[quote]
Virtual Physical Name
———- ———- —-
0x823499d0 0x81b759d0 \??\C:\Users\toto\ntuser.dat
0x8234f5e8 0x8158d5e8 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0x823da008 0x80f5c008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x8cc0c008 0x8a579008 [no name]
0x8cc1a360 0x8b0c5360 \REGISTRY\MACHINE\SYSTEM
0x8cc429d0 0x8a5ef9d0 \REGISTRY\MACHINE\HARDWARE
0x8ccc8008 0x88e96008 \SystemRoot\System32\Config\SECURITY
0x8cccf450 0x892ae450 \SystemRoot\System32\Config\SOFTWARE
0x8db33650 0x7cf46650 \??\C:\Users\toto\AppData\Local\Microsoft\Windows\UsrClass.dat
0x90c92008 0x8929e008 \SystemRoot\System32\Config\SAM
0x90d20550 0x897e5550 \SystemRoot\System32\Config\DEFAULT
0x974a65c8 0xd93e45c8 \Device\HarddiskVolume1\Boot\BCD
0x9ae259d0 0x74f3b9d0 \??\C:\System Volume Information\Syscache.hve
0x82973140 0x02973140 [no name]

[/quote]
Après, c’est de la recherche et la connaissance du registre qui fait le reste.

Essayons le cas le plus simple : HKLM\Software\Microsoft\Windows\CurrentVersion\Run. On utilisera l’option pintkey avec, comme option, l’adresse virtuelle (VA) du chargement de la hive et la sous-clé interrogée.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 printkey -o 0x8cccf450 -K “Microsoft\Windows\CurrentVersion\Run”
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Legend: (S) = Stable (V) = Volatile

—————————-
Registry: User Specified
Key name: Run (S)
Last updated: 2012-10-11 13:44:21

Subkeys:

Values:
REG_SZ Adobe ARM : (S) “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe”
REG_SZ SunJavaUpdateSched : (S) “C:\Program Files\Common Files\Java\Java Update\jusched.exe”
REG_SZ VBoxTray : (S) C:\Windows\system32\VBoxTray.exe

[/quote]

Ok loupé. Essayons dans HKCU. Notons que l’on a modifié la VA.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 printkey -o 0x823499d0 -K “Software\Microsoft\Windows\CurrentVersion\Run”
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Legend: (S) = Stable (V) = Volatile

—————————-
Registry: User Specified
Key name: Run (S)
Last updated: 2013-03-01 20:35:43

Subkeys:

Values:
REG_SZ c:\users\toto\desktop\797faaaf50a01276a084a871e3be708773c213d8.exe : (S) c:\users\toto\desktop\797faaaf50a01276a084a871e3be708773c213d8.exe
[/quote]

On a donc trouvé son point de chargement.

Après, pour analyser plus en détail le processus cible, on peut le dumper :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 procmemdump -D /tmp/ -p 552
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Process(V) ImageBase Name Result
———- ———- ——————– ——
0x869eb4f0 0x00400000 797faaaf50a012 OK: executable.552.exe

[/quote]

On obtient ici un binaire non-packé que l’on peut analyser (RE).

Une dernière chose que l’on peut regarder, ce sont les injections de code

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 malfind
[/code]

[quote]

Process: 797faaaf50a012 Pid: 552 Address: 0x400000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 38, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00400000 4d 5a 50 00 02 00 00 00 04 00 0f 00 ff ff 00 00 MZP………….
0x00400010 b8 00 00 00 00 00 00 00 40 00 1a 00 00 00 00 00 ……..@…….
0x00400020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….
0x00400030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 …………….

0x400000 4d DEC EBP
0x400001 5a POP EDX
0x400002 50 PUSH EAX
0x400003 0002 ADD [EDX], AL
0x400005 0000 ADD [EAX], AL
0x400007 000400 ADD [EAX+EAX], AL
0x40000a 0f DB 0xf
0x40000b 00ff ADD BH, BH
0x40000d ff00 INC DWORD [EAX]
0x40000f 00b800000000 ADD [EAX+0x0], BH
0x400015 0000 ADD [EAX], AL
0x400017 004000 ADD [EAX+0x0], AL
0x40001a 1a00 SBB AL, [EAX]
0x40001c 0000 ADD [EAX], AL
0x40001e 0000 ADD [EAX], AL
0x400020 0000 ADD [EAX], AL
0x400022 0000 ADD [EAX], AL
0x400024 0000 ADD [EAX], AL
0x400026 0000 ADD [EAX], AL
0x400028 0000 ADD [EAX], AL
0x40002a 0000 ADD [EAX], AL
0x40002c 0000 ADD [EAX], AL
0x40002e 0000 ADD [EAX], AL
0x400030 0000 ADD [EAX], AL
0x400032 0000 ADD [EAX], AL
0x400034 0000 ADD [EAX], AL
0x400036 0000 ADD [EAX], AL
0x400038 0000 ADD [EAX], AL
0x40003a 0000 ADD [EAX], AL
0x40003c 0001 ADD [ECX], AL
0x40003e 0000 ADD [EAX], AL
[/quote]

Voila une première analyse de malware avec Volatility.

Pour toutes questions ou remarques, vous pouvez le faire sur le forum ici

Réparer Windows avec Windows Repair (All in One)

Posted on by

[color=purple]Windows Repair (All in One) est un utilitaire développé par [b]Tweaking.com[/b] qui permet de résoudre de nombreux problèmes sur Windows XP, Vista et 7 (32 et 64 bits), principalement rencontrées après des infections[/color]

Il existe en version [b]installable[/b] ou [b]portable[/b] (sans installation), nous utiliserons cette dernière.

[color=#FF8000][b]Télécharger [url=http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip]Windows Repair[/url] (de [i]Tweaking.com[/i]) sur votre bureau.[/b][/color]

[i]Note : [url=http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe]la version installable se trouve ici[/url][/i]

[b]Décompresser l’archive[/b] (clic-droit -> extraire tout… )
Cliquer sur l’icône [b]Repair_Windows.exe[/b] [img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair.png[/img]
[color=#FF0000]([i]Utilisateur de Vista/Windows 7 faites un clic droit -> “Exécuter en tant qu’administrateur”[/i])[/color]

L’outil s’ouvre sur ce premier écran de présentation.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair1.png[/img]

La navigation se fait par étape, [b]aucune n’est obligatoire, mais certaines sont importantes avant d’entamer les réparations[/b]. Vous pouvez passer à la suivante avec les boutons “[b]Next[/b]” ou en cliquant sur [b]l’onglet[/b] désiré directement en haut.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair2.png[/img]

Cette première étape vous incite à prioritairement [b]désinfecter votre pc[/b] avec divers outils si vous rencontrez certains problèmes.
Nous vous conseillons plutôt dans ces cas là de venir ouvrir un sujet dans le forum de désinfection pour une prise en charge ([i]certains outils étant puissants ou spécifiques[/i])

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair3.png[/img]

Cette seconde étape est importante si vous rencontrez des [b]erreurs d’accès aux fichiers[/b] (problèmes de permission, etc …), elle lancera l'[b]outil de vérification des disques[/b] pour réparer au besoin les erreurs avant d’aller plus loin.
Si vous choisissez cette étape, cliquer sur “[b]Do It[/b]”, l’ordinateur demandera à redémarrer, accepter, puis un scan s’effectuera au démarrage.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair4.png[/img]

Pour la troisième étape, l’outil vous propose de lancer une [b]vérification des fichiers système[/b] (le fameux SFC), il permet de vérifier l'[b]intégrité des fichiers[/b] essentiels du système. [b]Cette étape est primordiale avant de passer à certaines réparations[/b] (service manquant, parfeu HS, etc …)
Pour lancer, cliquer sur “[b]Do It[/b]”, sur XP, le cd original de Windows pourrait vous être demander, ce ne sera pas le cas sous Vista et 7.
Il faut ensuite impérativement [b]redémarrer le pc[/b] avant de continuer.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair5.png[/img]

L’étape 4 permet de créer [b]un point de restauration système[/b] et une [b]sauvegarde du registre[/b].
Il est intéressant de le faire car les réparations peuvent dans certains cas provoquer des anomalies.
L’outil vous demandera de toute manière de les faire avant d’entamer la dernière étape si vous ne le faite pas à ce point.
Vous pouvez créer un point de restauration système en cliquant sur “[b]Create[/b]”, et une sauvegarde du registre en cliquant sur “[b]BackUp[/b]”
Vous pouvez aussi lancer l’outil de restauration système en cas de problème avec le bouton “[b]Restore[/b]”, et de même, restaurer la sauvegarde du registre avec “[b]Restore[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair11.png[/img]

Le dernier onglet, nommé “[b]Settings[/b]”, permet de personnaliser l’emplacement du dossier où seront conservé les rapports de réparation.
Par défaut il créera un dossier “Log” dans le dossier où se situe l’outil.
Si vous désirez modifier cela, vous pouvez le changer ici

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair6.png[/img]

Une fois ces étapes réalisées, vous pouvez vous diriger vers l’onglet “[b]Start Repairs[/b]”, si vous êtes prêt à commencer les réparations, cliquer sur “[b]Start[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair7.png[/img]

[b]Si vous n’aviez pas créé un point de restauration et une sauvegarde du registre[/b], l’outil vous propose alors de les faire, si vous êtes d’accord, cliquer sur “[b]Oui[/b]”, si vous voulez continuer sans les faire, cliquer sur “[b]Non[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair8.png[/img]

Vous voici arrivé sur l’écran principal des réparations.
Vous pouvez retrouver un descriptif de chaque option de réparation en cliquant sur l’onglet “[b]Repair info[/b]” à droite, puis en sélectionnant une des options de réparation à gauche.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair9.png[/img]

Par défaut l’outil vous affiche une sélection de réparations possible déjà pré-cochée.
Vous pouvez les dé-sélectionner une par une ou entièrement avec le bouton “[b]UnselectAll[/b]”, et inversement avec “[b]SelectAll[/b]”
N’oubliez pas de cocher l’option “[b]Restart/Shutdown pc when finished[/b]”
Une fois le ou les options choisies, cliquez sur “[b]Start[/b]” à droite.
Les réparations se dérouleront dans le fenêtre “[b]log[/b]” au dessus (vous pouvez en copier une partie si on vous le demande)

[i]Note : certaines réparations demandent beaucoup de temps, soyez patient ! [color=red]Certaines réparation demande le lancement d’autres processus, acceptez-les ![/color][/i]

Une fois terminée, [b]l’ordinateur redémarrera automatiquement[/b] ([i]sauf si vous n’avez pas coché l’option “Restart/Shutdown pc when finished”[/i]) pour que certaines réparations soient prises en compte.

L’outil [b]crée alors un rapport texte[/b] dans le dossier “Log” dans le même répertoire que celui de lancement de l’outil, sous cette forme :
[b]_Windows_Repair_Log.txt[/b]
Vous pouvez y retrouver le déroulement des réparations (ce qu’on voit dans l’onglet “log” de l’outil)

[b][u]Voici un descriptif rapide des options de réparation disponible à ce jour :[/u][/b] (dans l’ordre)

[li]Remettre les permissions du registre par défaut[/li]
[li]Remettre les permissions des fichiers par défaut[/li]
[li]Ré-enregistrer les fichiers systèmes[/li]
[li]Réparer le WMI (Windows Management Instrumentation : gestion du système)[/li]
[li]Réparer le parefeu Windows[/li]
[li]Réparer Internet Explorer[/li]
[li]Réparer le MDAC (Microsoft Data Access Components) et Microsoft Jet[/li]
[li]Réparer le fichier Hosts[/li]
[li]Supprimer les restrictions systèmes mises par certaines infections (regedit, taskmanager, etc)[/li]
[li]Réparer les icônes du menu Démarrer enlevé par certaines infections[/li]
[li]Réparer les icônes (affichage bureau, etc …)[/li]
[li]Réparer Winsock et le cache DNS (problème connexion)[/li]
[li]Supprimer les fichiers temporaires[/li]
[li]Réparer les paramètres Proxy (problème connexion)[/li]
[li]Ré-afficher les fichiers non système (Attribut “fichiers cachés” appliqué par certaines infections)[/li]
[li]Réparer Windows Update[/li]
[li]Réparer les problèmes ou l’absence de reconnaissance des lecteurs CD/DVD[/li]
[li]Réparer le service des clichés instantanés système (Restauration système et “version précédentes” des fichiers)[/li]
[li]Réparer les Gadgets Windows et la Sidebar[/li]
[li]Remettre les services Windows à leur démarrage par défault[/li]
[li]Réparer MSI (Windows Installer)[/li]
[li]Réparer l’Outil Capture de Windows (capture d’écran)[/li]
[li]Réparer des associations de fichiers (à choisir)[/li]
[li]Réparer le mode sans échec (via clé de registre)[/li]
[li]Réparer le service d’impression (en cas de problème avec certaines imprimantes)[/li]
[li]Restaurer certains services important de Windows (généralement lié à l’infection zeroaccess)[/li]

[color=red][i][b]Cas de l’infection du rootkit ZeroAccess[/b][/i][/color]

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair10.png[/img]

Voici un exemple de [b]choix d’options[/b] à faire pour réparer les dégâts provoqué par une des variantes de ce rootkit
Il faudra au préalable aussi avoir effectué une [b]vérification des fichiers systèmes[/b] ([b]step 3[/b])

Pour toutes questions, venez les poser sur le forum. ici