Suspicion d'infection sur Windows 7

[cmrt]

Bonjour à tous

Je soupçonne une infection de mon Windows 7. J'ai quelques fenêtres de publicités non bloquées par Ad-Block Plus, le pare-feu de Windows qui se désactive tout seul et surtout l'impossibilité de lancer un scan du système avec Antivir.

Vous trouverez ci-joint les rapports d'analyse.
De mon point de vue de néophyte, il me semble y avoir des trucs malicieux.

Merci de votre aide.
Christine

rapport hijackthis.txt

ZHPDiag.txt

Rapport OTL + Extras.zip

[Malekal_morte]

Bonjour,

Tu as des publicités sur quel navigateur WEB ?

Je te conseille de désinstaller Lavasoft Ad-Aware Web Companion depuis le Panneau de Configuration puis Programmes et fonctionnalités.
Cherche WebCompanion et désinstalle le.
Si la désinstallation ne fonctionne pas, signale le nous.

puis :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[cmrt]

Re-bonjour

sur Firefox.

C'est très peu de publicités (2 ou 3 par semaine), c'est le support de ADP qui a suggéré que ça pouvait être un virus.
Ce qui m'inquiète le plus c'est la désactivation régulière du pare-feu Windows et l'impossibilité de lancer un scan à partir d'Antivir (Version Premium). Je les ai d'ailleurs sollicités sur ce point.

Je ferai le scan de FRST ce soir ainsi que la désinstallation.

Merci.
Christine

[cmrt]

Bonsoir

j'ai désinstallé Webcompanion. La désinstallation semble s'être bien passée.

Voici les liens des rapports de FRST :
http://pjjoint.malekal.com/files.php?id ... e13f8s11n7
http://pjjoint.malekal.com/files.php?id ... 0v15p13c15
http://pjjoint.malekal.com/files.php?id ... u10l8l15d7

Merci.
Christine

[angelique]

TU peux déjà faire ça , sinon y'a rien de spécial :

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  Winsock: Catalog9 01 C:\Windows\SysWOW64\LavasoftTcpService.dll [342016 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9 02 C:\Windows\SysWOW64\LavasoftTcpService.dll [342016 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9 03 C:\Windows\SysWOW64\LavasoftTcpService.dll [342016 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9 04 C:\Windows\SysWOW64\LavasoftTcpService.dll [342016 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9 15 C:\Windows\SysWOW64\LavasoftTcpService.dll [342016 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9-x64 01 C:\Windows\system32\LavasoftTcpService64.dll [422400 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9-x64 02 C:\Windows\system32\LavasoftTcpService64.dll [422400 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9-x64 03 C:\Windows\system32\LavasoftTcpService64.dll [422400 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9-x64 04 C:\Windows\system32\LavasoftTcpService64.dll [422400 2015-07-05] (Lavasoft Limited)
  Winsock: Catalog9-x64 15 C:\Windows\system32\LavasoftTcpService64.dll [422400 2015-07-05] (Lavasoft Limited)
  FirewallRules: [TCP Query User{A5031E7B-C6FA-4BB9-A6B6-7B65C7EFAD96}C:\users\christine\appdata\roaming\filehunter\pumpa.exe] => (Block) C:\users\christine\appdata\roaming\filehunter\pumpa.exe
  FirewallRules: [UDP Query User{ED039C26-9CBE-49A7-9F70-D3BF98B0B2E8}C:\users\christine\appdata\roaming\filehunter\pumpa.exe] => (Block) C:\users\christine\appdata\roaming\filehunter\pumpa.exe
  IE trusted site: HKU\S-1-5-21-982908160-3576497207-16034011-1003\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-982908160-3576497207-16034011-1006\...\lge.com -> hxxp://www.lge.com
  IE trusted site: HKU\S-1-5-21-982908160-3576497207-16034011-1006\...\webcompanion.com -> hxxp://webcompanion.com
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10264&gct=hp&dc=EU&locale=fr_FR
  HKU\S-1-5-21-982908160-3576497207-16034011-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/home?AF=18837
  SearchScopes: HKU\S-1-5-21-982908160-3576497207-16034011-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18837
  SearchScopes: HKU\S-1-5-21-982908160-3576497207-16034011-1006 -> {4388DFAB-31ED-46BE-8C3F-DD1BBF1B2AAD} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10264&src=kw&q={searchTerms}&locale=fr_FR&apn_ptnrs=^AGV&apn_dtid=^YYYYYY^YY^FR&apn_uid=615864be-ca42-4474-895d-a5e72fe6134e&apn_sauid=B0D2B43A-C4CC-433F-A32B-104E103BC109
  Toolbar: HKU\S-1-5-21-982908160-3576497207-16034011-1003 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
  Toolbar: HKU\S-1-5-21-982908160-3576497207-16034011-1006 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
  cmd: netsh winsock reset
  EmptyTemp:

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[cmrt]

Re-bonsoir

voilà le rapport.

Fixlog.txt

Merci.
Christine

[angelique]

La suppression est correct, tu peux supprimer frst.exe, ses rapports et C:\FRST

[cmrt]

Bonjour

Merci de ton aide.
Je me suis inquiétée pour rien.

Bonne journée à toi.
Christine

[Malekal_morte]

Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html