SAntivirus et SpyHunter m'a laissé un souvenir [Résolu]

Signaler
Messages postés
51
Date d'inscription
mercredi 1 août 2007
Statut
Membre
Dernière intervention
6 juin 2020
-
Messages postés
51
Date d'inscription
mercredi 1 août 2007
Statut
Membre
Dernière intervention
6 juin 2020
-
Bonjour,

Dans un moment d'égarement j'ai validé l'installation d'un truc qui m'a apporté des saletés comme SAntivirus que j'ai eu le plus grand mal à virer.

Dans un autre moment d'égarement, j'ai installé SpyHunter à qui il me semble avoir déjà eu affaire dans le passé. J'ai vite réalisé qu'il fallait le désinstaller (plus nettoyage fichiers et base de registres sous CCleaner), mais il m'a laissé un souvenir: à chaque connexion une fenêtre cmd s'affiche puis une boîte demandant si j'autorise SpyHunter à apporter des modifications sur mon PC, bref à le lancer.

J'ai beau posséder un certain vécu "problèmes système" et leurs résolutions depuis les tout débuts de Windows, je n'ai jamais très bien compris comment accéder aux trucs qui se logent, possiblement dans ce cas, dans le secteur de boot même si j'ai utilisé HijackThis avec joie et bonheur qui a été remplacé par FRST qui me parle moins et que j'avais eu du mal à utiliser car certains virus le détectent. Existe-t'il un autre moyen de vérifier où se loge l'indésirable, et bien entendu de le supprimer ?

D'avance merci.

5 réponses

Messages postés
178805
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 juillet 2020
21 398
Bonjour,

Désinstalle CCleaner, SpyHunter, pas utile.


Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).


Messages postés
51
Date d'inscription
mercredi 1 août 2007
Statut
Membre
Dernière intervention
6 juin 2020
3
Messages postés
178805
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 juillet 2020
21 398
Pas de SAntivirus, ni de Spyhunter.
Donc tout va bien.
Messages postés
51
Date d'inscription
mercredi 1 août 2007
Statut
Membre
Dernière intervention
6 juin 2020
3
Non. Enfin, oui, mais non jusque là.

Je viens de résoudre le problème: j'ai relancé Windows et cette fois j'ai répondu "oui" à la question. Spyhunter a donc été réinstallé à une vitesse supersonique, après quoi j'ai lancé sa désinstallation qui a fonctionné. Cette fois en relançant ma session, je n'ai plus le message.

Comme quoi, malgré un rapport FRST négatif il restait quand même bien une saleté installée quelque part. CCleaner m'a livré le nom de l'installeur et je ne sais pas pourquoi c'est resté dans la base de registres alors qu'il était supposé l'avoir supprimé après le premier nettoyage.

Après désinstallation, il reste donc ceci:
Ordinateur\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC qui contient quatre clés sur toutes les sal.... qui se sont installées à mon insu: SpyHunter, SAntivirus et PremierOpinion. Je les ai détruites.

et aussi d'autres clés dans Ordinateur\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store, Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\State\UserSettings\S-1-5-21-1710025856-7861771-2188129856-1001, et Ordinateur\HKEY_USERS\S-1-5-21-1710025856-7861771-2188129856-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store,Ordinateur\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppSwitched pour SAntivirus et rien pour PremierOpinion.
Beaucoup de clés pour SAntivirus dans Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\amd64_dual_c_fsantivirus.inf_31bf3856ad364e35_none_b570512174d39eea mais j'ai préféré ne pas y toucher et j'ai cessé la recherche.

CCleaner n'a trouvé et nettoyé qu'une seule clé et j'ai supprimé les autres, sauf pour SpyHunter où regedit ne veut rien savoir donc je laisserai comme ça.
Messages postés
178805
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 juillet 2020
21 398
Ce sont juste des clés dans le registre...
Rien de grave.


Attention à ce que tu télécharges et les fenêtres d'installation.
Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, Segurazo, Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore



A lire pour ne plus faire avoir car c'est surement par une de ces méthodes que les pubs sont arrivées.

Messages postés
51
Date d'inscription
mercredi 1 août 2007
Statut
Membre
Dernière intervention
6 juin 2020
3
Oui, je sais tout ça et je ne télécharge jamais les trucs qui me sont proposés en plus, je bloque systématiquement les demandes de notifications aussi, mais là comme je disais ce fut un double instant d'étourderie en plus du fait que j'avais récupéré l'installeur sur un site qui m'a paru douteux après coup (et là aussi, ça ne m'arrive jamais).

Avant que je ne clôture le sujet en résolu, aurais-tu une idée de l'endroit où pouvait se loger cette cmd qui se déclenchait à chaque démarrage malgré que j'avais désinstallé SpyHunter ? C'est pour ma culture perso.