eDeals virus ne veux pas se supprimer. Résolu/Fermé

Question

Bonjour,

Je rencontre actuellement un problème avec edeals, ce programme c'est installé sur mon pc et malgré les nombreux forums et aide je n'arrive pas à m'en débarrasser.

Y'a t-il un moyen de le supprimer définitivement sans formater mon disque dur ? ^^

Malekal_morte- · Answer

Salut, 

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à suivre pour les supprimer : 

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode ) 
Télécharge le sur ton bureau ou dossier de téléchargement.  
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

louskywalker · Answer

Mon ordinateur a redémarré après le nettoyage, je suppose que c'est normal ?

voici le rapport adwCleaner :

# AdwCleaner v4.113 - Rapport créé le 25/03/2015 à 18:31:39
# Mis à jour le 22/03/2015 par Xplode
# Base de données : 2015-03-23.1 [Serveur]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
# Nom d'utilisateur : Louca - LOUCA-PC
# Exécuté depuis : C:\Users\Louca\Desktop\adwcleaner_4.113.exe
# Option : Nettoyer

 [ Services ] *****

[#] Service Supprimé : wauctla Service

 [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Louca\AppData\Local\Temp\NetCrawl
Dossier Supprimé : C:\Users\Louca\AppData\Local\Rocket
Dossier Supprimé : C:\Users\Louca\AppData\Local\CheckCode
Dossier Supprimé : C:\Users\Louca\AppData\Local\WinnerDM
Dossier Supprimé : C:\Users\Louca\AppData\Local\HelperApp
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\wp_update
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Dorrible
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocket
Dossier Supprimé : C:\Users\Louca\Documents\Optimizer Pro
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Mozilla\Firefox\Profiles\ev5sttw4.default-1420631658512\Extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Louca\AppData\Local\Temp\OptimizerPro.exe
Fichier Supprimé : C:\Users\Louca\Desktop\cacaoweb.exe

 [ Tâches planifiées ] *****

Tâche Supprimée : wp_update

 [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

 [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{D2195854-4C0F-B8C6-0B1B-3AFE55BC1594}]
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Clé Supprimée : HKCU\Software\Mozilla\Extends
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\genesis
Clé Supprimée : HKCU\Software\GlobalUpdate
Clé Supprimée : HKCU\Software\Optimizer Pro
Clé Supprimée : HKCU\Software\Rocket Browser
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\WSE Rocket
Clé Supprimée : HKCU\Software\WINNERDM
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\GlobalUpdate
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Pirrit
Clé Supprimée : HKLM\SOFTWARE\Upt
Clé Supprimée : HKLM\SOFTWARE\Wpm
Clé Supprimée : HKLM\SOFTWARE\WinUpd
Clé Supprimée : HKLM\SOFTWARE\SI-App
Clé Supprimée : HKLM\SOFTWARE\RST
Clé Supprimée : HKLM\SOFTWARE\Taronja
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller
Clé Supprimée : [x64] HKLM\SOFTWARE\Pirrit
Clé Supprimée : [x64] HKLM\SOFTWARE\Upt
Clé Supprimée : [x64] HKLM\SOFTWARE\WinUpd
Clé Supprimée : [x64] HKLM\SOFTWARE\SI-App
Clé Supprimée : [x64] HKLM\SOFTWARE\RST
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C168639F-5810-4EC8-B1E8-0251AA8A771C}
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>;*origin.com;*ea.com;*akamaihd.net
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:10045
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1

 [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17689

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

-\ Mozilla Firefox v36.0.4 (x86 fr)


-\ Google Chrome v41.0.2272.101



AdwCleaner[R0].txt - [5077 octets] - [25/03/2015 18:29:58]
AdwCleaner[S0].txt - [4796 octets] - [25/03/2015 18:31:39]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4856  octets] ##########

louskywalker · Answer

Voici les liens des rapports :

https://pjjoint.malekal.com/files.php?id=20150325_x6q9w7p14o5

https://pjjoint.malekal.com/files.php?id=20150325_c11e9v13p5f6

https://pjjoint.malekal.com/files.php?id=20150325_d9r12t7j8q13

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 HKLM-x32\...\Run: [eDealPop] => C:\Program Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] () 
ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy Malicieux]
ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled. 
ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux]
 R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed] 
R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed] 
R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64\rasmbmgrurlmonUI\rasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed] 
S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed]  
S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X] 
 S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X] 
 S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X] 
 S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X] 
 S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X] 
 S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X] 
 S2 regidlecercredSched.exe; C:\Users\Louca\AppData\Local\regidlecercredSched\regidlecercredSched.exe [X] 
 2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask 
 2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog 
 2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp  
 2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop  
2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe  


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

louskywalker · Answer

Je redémarre.

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by Louca at 2015-03-25 19:08:52 Run:1
Running from C:\Users\Louca\Desktop
Loaded Profiles: Louca (Available profiles: Louca)
Boot Mode: Normal
==============================================

Content of fixlist:


*

















HKLM-x32\...\Run: [eDealPop] => C:\PROGRAM Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] () 
ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy MALICIEUX] 
ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled. 
ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux] 
R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed] 
R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed] 
R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64asmbmgrurlmonUIasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed] 
S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed] 
S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X] 
S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X] 
S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X] 
S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X] 
S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X] 
S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X] 
S2 regidlecercredSched.exe; C:\Users\Louca\AppData\LocalegidlecercredSchedegidlecercredSched.exe [X] 
2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask 
2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog 
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp 
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop 
2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe 


*


















HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\eDealPop => value deleted successfully.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer => value deleted successfully.
HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable => value deleted successfully.
HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer => value deleted successfully.
gnuqeditTask.exe => Unable to stop service
gnuqeditTask.exe => Service deleted successfully.
KeyboardRuntimeSyntax => Unable to stop service
KeyboardRuntimeSyntax => Service deleted successfully.
rasmbmgrurlmonUI => Unable to stop service
rasmbmgrurlmonUI => Service deleted successfully.
wauctla Service => Service deleted successfully.
ArchiveMBRSnapshot.exe => Service deleted successfully.
CGIClipboardFunction.exe => Service deleted successfully.
clipboardgnu_64.exe => Service deleted successfully.
DirectXFolderScript.exe => Service deleted successfully.
FirmwareGammaShareware.exe => Service deleted successfully.
gnuwpcumiTask.exe => Service deleted successfully.
regidlecercredSched.exe => Service deleted successfully.

"C:\Users\Louca\AppData\Local\gnuqeditTask" directory move:

Could not move "C:\Users\Louca\AppData\Local\gnuqeditTask" directory. => Scheduled to move on reboot.

C:\Windows\InstallUtil.InstallLog => Moved successfully.
C:\Users\Louca\AppData\Local\HelperApp => Moved successfully.
C:\Program Files (x86)\eDealPop => Moved successfully.
C:\Windows\wauctla.exe => Moved successfully.
> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-03-25 19:11:33)<
C:\Users\Louca\AppData\Local\gnuqeditTask => Is moved successfully.
 End of Fixlog 19:11:33

Malekal_morte- · Answer

Vois ce que cela donne.

Malekal_morte- · Answer

=)


Voila, c'est terminé, tu peux supprimer les programmes utilisés. 

Quelques conseils : 



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start= 


Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

EDeals virus ne veux pas se supprimer.

7 réponses

> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-03-25 19:11:33)<

End of Fixlog 19:11:33

Discussions similaires