EDeals virus ne veux pas se supprimer. [Résolu/Fermé]

Signaler
Messages postés
5
Date d'inscription
mercredi 25 mars 2015
Statut
Membre
Dernière intervention
25 mars 2015
-
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
-
Bonjour,

Je rencontre actuellement un problème avec edeals, ce programme c'est installé sur mon pc et malgré les nombreux forums et aide je n'arrive pas à m'en débarrasser.

Y'a t-il un moyen de le supprimer définitivement sans formater mon disque dur ? ^^

7 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 341
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
5
Date d'inscription
mercredi 25 mars 2015
Statut
Membre
Dernière intervention
25 mars 2015

Mon ordinateur a redémarré après le nettoyage, je suppose que c'est normal ?

voici le rapport adwCleaner :

# AdwCleaner v4.113 - Rapport créé le 25/03/2015 à 18:31:39
# Mis à jour le 22/03/2015 par Xplode
# Base de données : 2015-03-23.1 [Serveur]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
# Nom d'utilisateur : Louca - LOUCA-PC
# Exécuté depuis : C:\Users\Louca\Desktop\adwcleaner_4.113.exe
# Option : Nettoyer
          • [ Services ] *****


[#] Service Supprimé : wauctla Service
          • [ Fichiers / Dossiers ] *****


Dossier Supprimé : C:\Users\Louca\AppData\Local\Temp\NetCrawl
Dossier Supprimé : C:\Users\Louca\AppData\Local\Rocket
Dossier Supprimé : C:\Users\Louca\AppData\Local\CheckCode
Dossier Supprimé : C:\Users\Louca\AppData\Local\WinnerDM
Dossier Supprimé : C:\Users\Louca\AppData\Local\HelperApp
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\wp_update
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Dorrible
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocket
Dossier Supprimé : C:\Users\Louca\Documents\Optimizer Pro
Dossier Supprimé : C:\Users\Louca\AppData\Roaming\Mozilla\Firefox\Profiles\ev5sttw4.default-1420631658512\Extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Louca\AppData\Local\Temp\OptimizerPro.exe
Fichier Supprimé : C:\Users\Louca\Desktop\cacaoweb.exe
          • [ Tâches planifiées ] *****


Tâche Supprimée : wp_update
          • [ Raccourcis ] *****


Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\Louca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
          • [ Registre ] *****


Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{D2195854-4C0F-B8C6-0B1B-3AFE55BC1594}]
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Clé Supprimée : HKCU\Software\Mozilla\Extends
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9CB96984-43C3-4D44-90EF-01466EFCF7BB}
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\genesis
Clé Supprimée : HKCU\Software\GlobalUpdate
Clé Supprimée : HKCU\Software\Optimizer Pro
Clé Supprimée : HKCU\Software\Rocket Browser
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\WSE Rocket
Clé Supprimée : HKCU\Software\WINNERDM
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\GlobalUpdate
Clé Supprimée : HKLM\SOFTWARE\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Pirrit
Clé Supprimée : HKLM\SOFTWARE\Upt
Clé Supprimée : HKLM\SOFTWARE\Wpm
Clé Supprimée : HKLM\SOFTWARE\WinUpd
Clé Supprimée : HKLM\SOFTWARE\SI-App
Clé Supprimée : HKLM\SOFTWARE\RST
Clé Supprimée : HKLM\SOFTWARE\Taronja
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DMUninstaller
Clé Supprimée : [x64] HKLM\SOFTWARE\Pirrit
Clé Supprimée : [x64] HKLM\SOFTWARE\Upt
Clé Supprimée : [x64] HKLM\SOFTWARE\WinUpd
Clé Supprimée : [x64] HKLM\SOFTWARE\SI-App
Clé Supprimée : [x64] HKLM\SOFTWARE\RST
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C168639F-5810-4EC8-B1E8-0251AA8A771C}
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>;*origin.com;*ea.com;*akamaihd.net
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:10045
Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1
          • [ Navigateurs ] *****


-\\ Internet Explorer v11.0.9600.17689

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v36.0.4 (x86 fr)


-\\ Google Chrome v41.0.2272.101


AdwCleaner[R0].txt - [5077 octets] - [25/03/2015 18:29:58]
AdwCleaner[S0].txt - [4796 octets] - [25/03/2015 18:31:39]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4856 octets] ##########
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 341
ok passe à FRST =)
Messages postés
5
Date d'inscription
mercredi 25 mars 2015
Statut
Membre
Dernière intervention
25 mars 2015

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 341
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKLM-x32\...\Run: [eDealPop] => C:\Program Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] ()
ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy Malicieux]
ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled.
ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux]
R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed]
R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed]
R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64\rasmbmgrurlmonUI\rasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed]
S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed]
S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X]
S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X]
S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X]
S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X]
S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X]
S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X]
S2 regidlecercredSched.exe; C:\Users\Louca\AppData\Local\regidlecercredSched\regidlecercredSched.exe [X]
2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask
2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop
2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Messages postés
5
Date d'inscription
mercredi 25 mars 2015
Statut
Membre
Dernière intervention
25 mars 2015

Je redémarre.

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by Louca at 2015-03-25 19:08:52 Run:1
Running from C:\Users\Louca\Desktop
Loaded Profiles: Louca (Available profiles: Louca)
Boot Mode: Normal
==============================================

Content of fixlist:


*

HKLM-x32\...\Run: [eDealPop] => C:\PROGRAM Files (x86)\eDealPop\eDealPop.exe [6144 2014-12-03] ()
ProxyServer: [.DEFAULT] => http=127.0.0.1:50920;https=127.0.0.1:50920 [Attention - Possible Proxy MALICIEUX]
ProxyEnable: [S-1-5-21-1730143719-771802800-1202547471-1000] => Internet Explorer proxy is enabled.
ProxyServer: [S-1-5-21-1730143719-771802800-1202547471-1000] => http=127.0.0.1:11260 [Attention - Possible Proxy Malicieux]
R2 gnuqeditTask.exe; C:\Users\Louca\AppData\Local\gnuqeditTask\gnuqeditTask.exe [229888 2015-03-25] () [File not signed]
R2 KeyboardRuntimeSyntax; C:\Windows\SysWOW64\KeyboardRuntimeSyntax\KeyboardRuntimeSyntax.exe [69120 2014-11-04] () [File not signed]
R2 rasmbmgrurlmonUI; C:\Windows\SysWOW64\rasmbmgrurlmonUI\rasmbmgrurlmonUI.exe [83456 2015-01-16] () [File not signed]
S2 wauctla Service; C:\Windows\wauctla.exe [1044480 2015-02-26] () [File not signed]
S2 ArchiveMBRSnapshot.exe; C:\Users\Louca\AppData\Local\ArchiveMBRSnapshot\ArchiveMBRSnapshot.exe [X]
S2 CGIClipboardFunction.exe; C:\Users\Louca\AppData\Local\CGIClipboardFunction\CGIClipboardFunction.exe [X]
S2 clipboardgnu_64.exe; C:\Users\Louca\AppData\Local\clipboardgnu_64\clipboardgnu_64.exe [X]
S2 DirectXFolderScript.exe; C:\Users\Louca\AppData\Local\DirectXFolderScript\DirectXFolderScript.exe [X]
S2 FirmwareGammaShareware.exe; C:\Users\Louca\AppData\Local\FirmwareGammaShareware\FirmwareGammaShareware.exe [X]
S2 gnuwpcumiTask.exe; C:\Users\Louca\AppData\Local\gnuwpcumiTask\gnuwpcumiTask.exe [X]
S2 regidlecercredSched.exe; C:\Users\Louca\AppData\Local\regidlecercredSched\regidlecercredSched.exe [X]
2015-03-25 18:32 - 2015-03-25 18:36 - 00000000 ____D () C:\Users\Louca\AppData\Local\gnuqeditTask
2015-03-25 18:32 - 2015-03-25 18:32 - 00000272 _____ () C:\Windows\InstallUtil.InstallLog
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Users\Louca\AppData\Local\HelperApp
2015-03-25 18:32 - 2015-03-25 18:32 - 00000000 ____D () C:\Program Files (x86)\eDealPop
2015-02-26 05:27 - 2015-02-06 16:51 - 01044480 _____ () C:\Windows\wauctla.exe


*


HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\eDealPop => value deleted successfully.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value deleted successfully.
HKU\S-1-5-21-1730143719-771802800-1202547471-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully.
gnuqeditTask.exe => Unable to stop service
gnuqeditTask.exe => Service deleted successfully.
KeyboardRuntimeSyntax => Unable to stop service
KeyboardRuntimeSyntax => Service deleted successfully.
rasmbmgrurlmonUI => Unable to stop service
rasmbmgrurlmonUI => Service deleted successfully.
wauctla Service => Service deleted successfully.
ArchiveMBRSnapshot.exe => Service deleted successfully.
CGIClipboardFunction.exe => Service deleted successfully.
clipboardgnu_64.exe => Service deleted successfully.
DirectXFolderScript.exe => Service deleted successfully.
FirmwareGammaShareware.exe => Service deleted successfully.
gnuwpcumiTask.exe => Service deleted successfully.
regidlecercredSched.exe => Service deleted successfully.

"C:\Users\Louca\AppData\Local\gnuqeditTask" directory move:

Could not move "C:\Users\Louca\AppData\Local\gnuqeditTask" directory. => Scheduled to move on reboot.

C:\Windows\InstallUtil.InstallLog => Moved successfully.
C:\Users\Louca\AppData\Local\HelperApp => Moved successfully.
C:\Program Files (x86)\eDealPop => Moved successfully.
C:\Windows\wauctla.exe => Moved successfully.

> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-03-25 19:11:33)<

C:\Users\Louca\AppData\Local\gnuqeditTask => Is moved successfully.

End of Fixlog 19:11:33

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 341
Vois ce que cela donne.
Messages postés
5
Date d'inscription
mercredi 25 mars 2015
Statut
Membre
Dernière intervention
25 mars 2015

Plus aucune pub !

Merci mille fois ! Heureusement qu'il existe des gens comme vous sur internet.

Bonne continuation !
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 341
=)


Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :



Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html