spyhunter 4 Résolu/Fermé

Question

Bonjour, 
J'essaie depuis plusieurs jours de désinstaller spyhunter 4 de mon PC, j'ai lu sur de nombreux forums qu'il était nocif et très difficile à désinstaller, spybot et Malewarebytes ne le détectent pas, la fonction désinstaller le programme le lance au contraire et je ne trouve pas de solution.
J'ai vu que vous proposiez une manipulation que je n'ai pas comprise, pourriez-vous m'aider? J'ai un Samsung windows 8.
Merci d'avance...

Malekal_morte- · Answer

Salut,


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

celmaxence · Answer

Merci pour ta réponse rapide, j'espère avoir correctement suivi la marche à suivre :
https://pjjoint.malekal.com/files.php?id=FRST_20150110_x12o6s5p11m6

Malekal_morte- · Answer

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista   

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:  

begin copying here:  
Drivers to delete:  
SpyHunter 4 Service
esgiguard
EsgScanner
Files to delete:  
C:\WINDOWS\system32\Drivers\EsgScanner.sys
C:\Users\Virginie\AppData\Roaming\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\Windows\System32\Tasks\SpyHunter4Startup
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\Users\celmax\Desktop\SpyHunter.lnk
C:\Users\celmax\AppData\Roaming\Enigma Software Group
C:\Users\celmaxc\Desktop\SpyHunter.lnk   

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt  


Relance Combofix et poste le rapport ici.

celmaxence · Answer

il me dit que je ne peux pas le telecharger car j'ai windows 8...

Malekal_morte- · Answer

et Combofix ça passe ?




Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs! 

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE 

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
SpyHunter 4 Service
esgiguard
EsgScanner
file::
C:\WINDOWS\system32\Drivers\EsgScanner.sys
folder::
C:\Users\Virginie\AppData\Roaming\Enigma Software Group
C:\Program Files\Enigma Software Group
C:\Windows\System32\Tasks\SpyHunter4Startup
file::
C:\WINDOWS\System32\Tasks\SpyHunter4Startup
C:\Users\celmax\Desktop\SpyHunter.lnk 
C:\Users\celmax\AppData\Roaming\Enigma Software Group 
C:\Users\celmaxc\Desktop\SpyHunter.lnk 




Enregistre ce fichier sous le nom CFScript 

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 

[*]Combofix se lance, laisse toi guider.. 

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

celmaxence · Answer

Je n'y arrive pas non plus avec Combofix, ça me dit que Windows ne trouve pas le chemin spécifique....

Destrio5 · Answer

Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

celmaxence · Answer

ça me dit la même chose sur le chemin spécifique.... :(

Destrio5 · Answer

Redémarre le PC et réessaie.

celmaxence · Answer

J'ai redémarré le PC qui a été très long à se rallumer, Combofix a démarré mais a été bloqué par Spyhunter avant la fin et à nouveau Windows ne trouve pas le chemin spécifique ...J'ai essayé de redémarrer à nouveau, cela ne change pas

Destrio5 · Answer

Et pour ZHPDiag et FRST ?

Tente de lancer ZHPCleaner :
https://nicolascoolman.eu

celmaxence · Answer

ZHP Diag me dit la même chose et FRST je l'ai fait hier matin, j'ai envoyé les rapports, faut-il que je le refasse?
Je tente ZHPCleaner...
Merci de ton aide!


Voilà le rapport!

~ ZHPCleaner v2015.1.10.12 by Nicolas Coolman (10/01/2015)
~ Run by celmax (Administrator)  (10/01/2015 14:22:56)
~ Forum : http://forum.nicolascoolman.fr
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\celmax\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\celmax\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Windows 8, 64-bit  (Build 9200)


---\  Service. (2)
SERVICE ARRETÉ : SpyHunter 4 Service
TROUVÉ: HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service (Crapware.SpyHunter)


---\  Navigateur internet. (21)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.AL", 4); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.aflt", "vst_ggfc_15_02_ff"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.appId", "{4CB3598A-82E8-4D1F-983F-061238AE696E}"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.cd", "2XzuyEtN2Y1L1QzutBtDzzzyzzyE0Azz0DzzyCzytCyB0B0BtN0D0Tzu0StCtC[...] (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.cr", "1387328515"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.dfltLng", ""); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.dfltSrch", true); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.dnsErr", true); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.excTlbr", false); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.hmpg", true); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.id", "208984A8D86917BB"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.instlDay", "16438"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.instlRef", "142905_s3"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.prdct", "srchvstrn"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.tlbrId", ""); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.vrsn", ""); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn.vrsni", ""); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn_i.newTab", true); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn_i.smplGrp", "none"); (PUP.Vosteran)
TROUVÉ: [aulzwkws.default] - user_pref("extensions.srchvstrn_i.vrsnTs", "21:14:42"); (PUP.Vosteran)
TROUVÉ Chrome URL: "hxxp://Vosteran.com/?f=7&a=vst_ggfc_15_02_ff&cd=2XzuyEtN2Y1L1QzutBtDzzzyzzyE0Azz0DzzyCzytCyB0B0BtN0[...]


---\  Fichier hôte. (1)
~ Le fichier hôte est légitime. (21)


---\  Tâche planifiée. (1)
TROUVÉ tâche: [SpyHunter4Startup] [C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe] (Crapware.SpyHunter)


---\  Explorateur  ( Dossiers, Fichiers ). (16)
TROUVÉ fichier:C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [Enigma Software Group USA, LLC. - Execution Guard] (PUP.EnigmaSoftware)
TROUVÉ fichier:C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [Enigma Software Group USA, LLC. - Service scanner interface] (PUP.EnigmaSoftware)
TROUVÉ fichier: [SpyHunter4Startup] [Enigma Software Group USA, LLC. - SpyHunter4 application] C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe  (Crapware.SpyHunter)
TROUVÉ fichier:C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [Enigma Software Group USA, LLC. - Service scanner interface] (Crapware.SpyHunter)
TROUVÉ dossier: C:\Program Files\Enigma Software Group (PUP.EnigmaSoftware)
TROUVÉ: C:\Program Files\Enigma Software Group\SpyHunter [ - ] (PUP.EnigmaSoftware)
TROUVÉ dossier: C:\Users\celmax\AppData\Roaming\1H1Q1V1N1N1O1R (Adware.InstallCore)
TROUVÉ: C:\Users\celmax\AppData\Roaming\1H1Q1V1N1N1O1R\PDF Creator Packages [ - ] (Adware.InstallCore)
TROUVÉ dossier: C:\Users\celmax\AppData\Roaming\Enigma Software Group (PUP.EnigmaSoftware)
TROUVÉ: C:\Users\celmax\AppData\Roaming\Enigma Software Group\sh_installer.exe [Enigma Software Group USA, LLC. - Enigma Installer] (PUP.EnigmaSoftware)
TROUVÉ fichier: C:\windows\Prefetch\SOFTONICDOWNLOADER_POUR_UTORR-B2C07DEF.pf (PUP.Softonic)
TROUVÉ fichier: C:\windows\Prefetch\SPYHUNTER-INSTALLER.EXE-6DC41721.pf (Crapware.SpyHunter)
TROUVÉ fichier: C:\windows\Prefetch\SPYHUNTER4.EXE-3B4E3201.pf (Crapware.SpyHunter)
TROUVÉ fichier: C:\Users\celmax\Downloads\cacaoweb.exe (PUP.CacaoWeb)
TROUVÉ fichier: C:\Users\celmax\Downloads\SpyHunter-Installer.exe (Crapware.SpyHunter)
TROUVÉ fichier:C:\windows\System32\Drivers\EsgScanner.sys (PUP.EnigmaSoftware)


---\  Base de Registres ( Clés, Valeurs, Données ). (8)
TROUVÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\esgiguard [C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys] (PUP.EnigmaSoftware)
TROUVÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service [C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe] (PUP.EnigmaSoftware)
TROUVÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Update Solution Real ["C:\Program Files (x86)\Solution Real\updateSolutionReal.exe"] (Adware.SolutionReal)
TROUVÉ clé: [X64] HKLM\SYSTEM\CurrentControlSet\Services\Util Solution Real ["C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe"] (Adware.SolutionReal)
TROUVÉ valeur: HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeAAMUpdater-1.0 ["C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"]  (Trojan.Dropper)
TROUVÉ valeur: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher ["C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"]  (Trojan.Dropper)
TROUVÉ valeur: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Adobe ARM ["C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"]  (Trojan.Dropper)
TROUVÉ clé: [X64] HKLM\SOFTWARE\EnigmaSoftwareGroup [] (PUP.EnigmaSoftware)



---\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent  (Opera Software)
~ Réparation annulée par l'utilisateur  (Mozilla Firefox)


---\ Statistiques
~ Items scannés : 55403
~ Items trouvés : 47
~ Items réparés : 0


End of clean at 14:27:17
===================
ZHPCleaner-[S]-10012015-14_27_17.txt

Destrio5 · Answer

ZHPCleaner détecte SpyHunter, relance-le et choisis "Réparer".

Puis fais ceci :

--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].

celmaxence · Answer

Voilà le rapport

http://pjjoint.malekal.com/files.php?id=20150111_11x15x14c12e7

L'icône de Spyhunter apparaît toujours sur le bureau... c'est pas bon signe, non?

Destrio5 · Answer

Si c'est juste le raccourci, ce n'est pas grave.

Je voudrais un nouveau rapport FRST (et Addition) s'il te plaît (pour vérifier).

celmaxence · Answer

Spyhunter n'apparaît plus dans les programmes du panneau de configuration

http://pjjoint.malekal.com/files.php?id=FRST_20150111_m6w13k12z10z6

celmaxence · Answer

j'ai oublié Addition , le voici, pardon 

http://pjjoint.malekal.com/files.php?id=20150111_x7s11r6h10f6

Destrio5 · Answer

Plus de souci ?

--> Ouvre le Bloc-notes.
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


start 
SearchScopes: HKU\S-1-5-21-3893194558-318786084-3912438258-1001 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = 
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
C:\Users\celmax\Start Menu\Programs\SpyHunter
end


--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.

celmaxence · Answer

bloc notes c'est la même chose que document texte?si non , je ne sais pas ce que c'est

celmaxence · Answer

Voilà... je ne vois plus spyhunter nulle part ...

http://pjjoint.malekal.com/files.php?id=20150111_s6t9z9i10x10

Spyhunter 4

27 réponses

Discussions similaires