Virus détecté par AVG : services.exe et Win64/Patched.A

Salut,

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

puis :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Merci pour la rapidité de ta réponse !

Je rappelle que l'ordinateur infecté n'a aucun accès possible à internet depuis son infection, j'espère que cela n'empêche pas le fonctionnement des programmes utilisés (RogueKiller semblait chercher à se connecter...)

J'ai deux rapports RogueKiller :

*** RKreport[0]_S_04122013_173245 ***

RogueKiller V8.7.10 _x64_ [Nov 25 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marco [Droits d'admin]
Mode : Recherche -- Date : 04/12/2013 17:32:45
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ouc.exe -- C:\ProgramData\Chiavetta Internet E173\OnlineUpdate\ouc.exe [7] -> Chiuso [TermProc]

¤¤¤ Entrees de registre : 21 ¤¤¤
[DNS][PUM] HKLM\[...]\CCSet\[...]\{025BA459-6161-410A-8EE3-2C5D3E4D309E} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{279D0E54-B5E1-4E73-B146-308DE6A1E052} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{55A8F367-B3A7-4E27-B14A-4B62900C0F23} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{6F24C0BF-2ABB-48FA-9271-35964071B127} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{A7C7F56F-381B-40C5-BE2E-A86A4DDB0C24} : NameServer (62.13.173.94 62.13.173.95) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{B4AEB5D8-4861-4F3D-B5D5-228C4B287345} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{025BA459-6161-410A-8EE3-2C5D3E4D309E} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{279D0E54-B5E1-4E73-B146-308DE6A1E052} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{55A8F367-B3A7-4E27-B14A-4B62900C0F23} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{6F24C0BF-2ABB-48FA-9271-35964071B127} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{A7C7F56F-381B-40C5-BE2E-A86A4DDB0C24} : NameServer (62.13.173.94 62.13.173.95) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{B4AEB5D8-4861-4F3D-B5D5-228C4B287345} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{025BA459-6161-410A-8EE3-2C5D3E4D309E} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{279D0E54-B5E1-4E73-B146-308DE6A1E052} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{55A8F367-B3A7-4E27-B14A-4B62900C0F23} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{6F24C0BF-2ABB-48FA-9271-35964071B127} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{A7C7F56F-381B-40C5-BE2E-A86A4DDB0C24} : NameServer (62.13.173.94 62.13.173.95) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS002\[...]\{B4AEB5D8-4861-4F3D-B5D5-228C4B287345} : NameServer (62.13.173.92 62.13.173.93) -> TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\Windows\TEMP\{7BC2241C-CC25-4329-83D3-C97E95079D4B}.exe - --uninstall=1 [x] -> TROUVÉ
[V2][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv : C:\Windows\TEMP\{7BC2241C-CC25-4329-83D3-C97E95079D4B}.exe - --uninstall=1 [x] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\@ [-] --> TROUVÉ
[ZeroAccess][Repertoire] U : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\U [-] --> TROUVÉ
[ZeroAccess][Repertoire] L : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\L [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][Jonction] it-IT : C:\Program Files\Windows Defender\it-IT >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[Aslr|ZeroAccess][Fichier] services.exe : C:\Windows\System32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547564A9E384 +++++
--- User ---
[MBR] f992cc6205b2e6509b2f71738d0a0ed1
[BSP] 7b61dd228c5a256b48ec146d7fe214bf : Linux MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 381469 Mo
2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 781660158 | Size: 228705 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_04122013_173245.txt >>

______________________________________________________________
*** RKreport[0]_D_04122013_173422 ***

RogueKiller V8.7.10 _x64_ [Nov 25 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Marco [Droits d'admin]
Mode : Suppression -- Date : 04/12/2013 17:34:22
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] ouc.exe -- C:\ProgramData\Chiavetta Internet E173\OnlineUpdate\ouc.exe [7] -> Chiuso [TermProc]

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 2 ¤¤¤
[V1][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv.job : C:\Windows\TEMP\{7BC2241C-CC25-4329-83D3-C97E95079D4B}.exe - --uninstall=1 [x] -> SUPPRIMÉ
[V2][SUSP PATH] AVG-Secure-Search-Update_JUNE2013_TB_rmv : C:\Windows\TEMP\{7BC2241C-CC25-4329-83D3-C97E95079D4B}.exe - --uninstall=1 [x] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] U : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Windows\Installer\{a6cec64c-c6a4-f58e-4d51-608e48272f74}\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Jonction] it-IT : C:\Program Files\Windows Defender\it-IT >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpAsDesc.dll : C:\Program Files\Windows Defender\MpAsDesc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpClient.dll : C:\Program Files\Windows Defender\MpClient.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCmdRun.exe : C:\Program Files\Windows Defender\MpCmdRun.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpCommu.dll : C:\Program Files\Windows Defender\MpCommu.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpEvMsg.dll : C:\Program Files\Windows Defender\MpEvMsg.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpOAV.dll : C:\Program Files\Windows Defender\MpOAV.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpRTP.dll : C:\Program Files\Windows Defender\MpRTP.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MpSvc.dll : C:\Program Files\Windows Defender\MpSvc.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MSASCui.exe : C:\Program Files\Windows Defender\MSASCui.exe >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpCom.dll : C:\Program Files\Windows Defender\MsMpCom.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpLics.dll : C:\Program Files\Windows Defender\MsMpLics.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Windows Defender\MsMpRes.dll >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[Aslr|ZeroAccess][Fichier] services.exe : C:\Windows\System32\services.exe [-] --> REMPLACÉ AU REBOOT -> (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS547564A9E384 +++++
--- User ---
[MBR] f992cc6205b2e6509b2f71738d0a0ed1
[BSP] 7b61dd228c5a256b48ec146d7fe214bf : Linux MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 381469 Mo
2 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 781660158 | Size: 228705 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_04122013_173422.txt >>
RKreport[0]_S_04122013_173245.txt

Et voici donc le rapport TDSSKiller (qui n'a apparemment rien détecté)

https://pjjoint.malekal.com/files.php?id=20131204_y13h12e7j15k6

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

Malheureusement, sans internet, je ne suis pas en mesure de mettre à jour quoi que ce soit une fois le logiciel installé sur l'ordinateur infecté...

Cependant, j'ai quand même fait le scan et tout le reste. Voici le rapport :
https://pjjoint.malekal.com/files.php?id=20131205_g6j9m11f10i8

Apparemment toutes les menaces ont été supprimées, et finalement c'était le firewall qui bloquait la connexion... Donc tout va bien maintenant !
Un grand merci !!!

:)

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

D'accord, merci pour les explications !
Je vais regarder ça attentivement avec mon mari (c'est lui qui s'est fait infecter), comme ça on va tous les deux apprendre à être moins négligents !

Et vraiment encore un grand merci pour ton temps et ta pédagogie.