EDeals virus ne veux pas se supprimer.

Résolu
louskywalker Messages postés 5 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je rencontre actuellement un problème avec edeals, ce programme c'est installé sur mon pc et malgré les nombreux forums et aide je n'arrive pas à m'en débarrasser.

Y'a t-il un moyen de le supprimer définitivement sans formater mon disque dur ? ^^

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
    Voici la procédure à suivre pour les supprimer :

    Commence par ceci :

    Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
    Télécharge le sur ton bureau ou dossier de téléchargement.
    Lance AdwCleaner, clique sur [Scanner].
    L'analyse peux durer plusieurs minutes, patiente.
    Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

    Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. louskywalker Messages postés 5 Statut Membre
     
    Mon ordinateur a redémarré après le nettoyage, je suppose que c'est normal ?

    voici le rapport adwCleaner :

    # AdwCleaner v4.113 - Rapport créé le 25/03/2015 à 18:31:39
    # Mis à jour le 22/03/2015 par Xplode
    # Base de données : 2015-03-23.1 [Serveur]
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
    # Nom d'utilisateur : Louca - LOUCA-PC
    # Exécuté depuis : C:\Users\Louca\Desktop\adwcleaner_4.113.exe
    # Option : Nettoyer
            • [ Services ] *****


    [#] Service Supprimé : wauctla Service
            • [ Fichiers / Dossiers ] *****


    Dossier Supprimé : C:\Users\Louca\AppData\Local\Temp\NetCrawl
    Dossier Supprimé : C:\Users\Louca\AppData\Local\Rocket
    Dossier Supprimé : C:\Users\Louca\AppData\Local\CheckCode
    Dossier Supprimé : C:\Users\Louca\AppData\Local\WinnerDM
    Dossier Supprimé : C:\Users\Louca\AppData\Local\HelperApp
    Dossier Supprimé : C:\Users\Louca\AppData\Roaming\cacaoweb
    Dossier Supprimé : C:\Users\Louca\AppData\Roaming\wp_update
    Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Dorrible
    Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocket
    Dossier Supprimé : C:\Users\Louca\Documents\Optimizer Pro
    Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Mozilla\Firefox\Profiles\ev5sttw4.default-1420631658512\Extensions\cacaoweb@cacaoweb.org
    Fichier Supprimé : C:\END
    Fichier Supprimé : C:\Users\Louca\AppData\Local\Temp\OptimizerPro.exe
    Fichier Supprimé : C:\Users\Louca\Desktop\cacaoweb.exe
            • [ Tâches planifiées ] *****


    Tâche Supprimée : wp_update
            • [ Raccourcis ] *****


    Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
            • [ Registre ] *****


    Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{D2195854-4C0F-B8C6-0B1B-3AFE55BC1594}]
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com
    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
    Clé Supprimée : HKCU\Software\Mozilla\Extends
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
    Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\genesis
    Clé Supprimée : HKCU\Software\GlobalUpdate
    Clé Supprimée : HKCU\Software\Optimizer Pro
    Clé Supprimée : HKCU\Software\Rocket Browser
    Clé Supprimée : HKCU\Software\Tutorials
    Clé Supprimée : HKCU\Software\WSE Rocket
    Clé Supprimée : HKCU\Software\WINNERDM
    Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
    Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
    Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
    Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
    Clé Supprimée : HKLM\SOFTWARE\GlobalUpdate
    Clé Supprimée : HKLM\SOFTWARE\InstallCore
    Clé Supprimée : HKLM\SOFTWARE\Pirrit
    Clé Supprimée : HKLM\SOFTWARE\Upt
    Clé Supprimée : HKLM\SOFTWARE\Wpm
    Clé Supprimée : HKLM\SOFTWARE\WinUpd
    Clé Supprimée : HKLM\SOFTWARE\SI-App
    Clé Supprimée : HKLM\SOFTWARE\RST
    Clé Supprimée : HKLM\SOFTWARE\Taronja
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller
    Clé Supprimée : [x64] HKLM\SOFTWARE\Pirrit
    Clé Supprimée : [x64] HKLM\SOFTWARE\Upt
    Clé Supprimée : [x64] HKLM\SOFTWARE\WinUpd
    Clé Supprimée : [x64] HKLM\SOFTWARE\SI-App
    Clé Supprimée : [x64] HKLM\SOFTWARE\RST
    Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C168639F-5810-4EC8-B1E8-0251AA8A771C}
    Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>;*origin.com;*ea.com;*akamaihd.net
    Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:10045
    Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
            • [ Navigateurs ] *****


    -\\ Internet Explorer v11.0.9600.17689

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

    -\\ Mozilla Firefox v36.0.4 (x86 fr)

    -\\ Google Chrome v41.0.2272.101

    AdwCleaner[R0].txt - [5077 octets] - [25/03/2015 18:29:58]
    AdwCleaner[S0].txt - [4796 octets] - [25/03/2015 18:31:39]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4856 octets] ##########
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok passe à FRST =)
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKLM-x32\...\Run: [eDealPop] => C:\Program Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] ()
    ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy Malicieux]
    ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled.
    ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux]
    R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed]
    R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed]
    R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64\rasmbmgrurlmonUI\rasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed]
    S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed]
    S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X]
    S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X]
    S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X]
    S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X]
    S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X]
    S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X]
    S2 regidlecercredSched.exe; C:\Users\Louca\AppData\Local\regidlecercredSched\regidlecercredSched.exe [X]
    2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop
    2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. louskywalker Messages postés 5 Statut Membre
     
    Je redémarre.

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
    Ran by Louca at 2015-03-25 19:08:52 Run:1
    Running from C:\Users\Louca\Desktop
    Loaded Profiles: Louca (Available profiles: Louca)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:

    *

    HKLM-x32\...\Run: [eDealPop] => C:\PROGRAM Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] ()
    ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy MALICIEUX]
    ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled.
    ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux]
    R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed]
    R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed]
    R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64\rasmbmgrurlmonUI\rasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed]
    S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed]
    S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X]
    S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X]
    S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X]
    S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X]
    S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X]
    S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X]
    S2 regidlecercredSched.exe; C:\Users\Louca\AppData\Local\regidlecercredSched\regidlecercredSched.exe [X]
    2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp
    2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop
    2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe

    *


    HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\eDealPop => value deleted successfully.
    HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
    HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value deleted successfully.
    HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
    gnuqeditTask.exe => Unable to stop service
    gnuqeditTask.exe => Service deleted successfully.
    KeyboardRuntimeSyntax => Unable to stop service
    KeyboardRuntimeSyntax => Service deleted successfully.
    rasmbmgrurlmonUI => Unable to stop service
    rasmbmgrurlmonUI => Service deleted successfully.
    wauctla Service => Service deleted successfully.
    ArchiveMBRSnapshot.exe => Service deleted successfully.
    CGIClipboardFunction.exe => Service deleted successfully.
    clipboardgnu_64.exe => Service deleted successfully.
    DirectXFolderScript.exe => Service deleted successfully.
    FirmwareGammaShareware.exe => Service deleted successfully.
    gnuwpcumiTask.exe => Service deleted successfully.
    regidlecercredSched.exe => Service deleted successfully.

    "C:\Users\Louca\AppData\Local\gnuqeditTask" directory move:

    Could not move "C:\Users\Louca\AppData\Local\gnuqeditTask" directory. => Scheduled to move on reboot.

    C:\Windows\InstallUtil.InstallLog => Moved successfully.
    C:\Users\Louca\AppData\Local\HelperApp => Moved successfully.
    C:\Program Files (x86)\eDealPop => Moved successfully.
    C:\Windows\wauctla.exe => Moved successfully.

    > Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-03-25 19:11:33)<

    C:\Users\Louca\AppData\Local\gnuqeditTask => Is moved successfully.

    End of Fixlog 19:11:33

    0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Vois ce que cela donne.
    0
    1. louskywalker Messages postés 5 Statut Membre
       
      Plus aucune pub !

      Merci mille fois ! Heureusement qu'il existe des gens comme vous sur internet.

      Bonne continuation !
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    =)

    Voila, c'est terminé, tu peux supprimer les programmes utilisés.

    Quelques conseils :

    Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0