Problème ad by edeals et proxy automatiqueRésolu/Fermé

Question

Bonjour, 

Cela fait quelques jours que mon pc à été infecté par un ou des malwares je suppose.
J'ai constamment des pubs automatique sur le net qui sont très génantes...

J'ai également vu que ma connection internet se fait via un proxy que je ne peux supprimer, si je décoche le proxy il se réactive instantanement.
L'adresse de ce proxy est la suivante :

127.0.0.1 Port 11737.
Il y a les exceptions suivantes réglé :
;*origin.com;*ea.com;*akamaihd.net

Si j'efface quoi que ce soit cela se remet instantanement. Je précise que ce proxy ce configure automatiquement dans windows et pas dans les navigateurs web ce qui a pour effet entre autre de me bloquer l'accès a la synchronisation de ma dropbox.

Après avoir parcouru un peu le forum j'ai vu que la première action recommandé et très souvent d'utiliser AdwCleaner et de coller le rapport dans un message.

C'est donc ce que j'ai fait mais cela ne change rien à mes deux problèmes.

Voici le rapport :

# AdwCleaner v4.111 - Logfile created 23/02/2015 at 08:28:42
# Updated 18/02/2015 by Xplode
# Database : 2015-02-18.3 [Server]
# Operating system : Windows 7 Professional Service Pack 1 (x64)
# Username : iduescher - ALEXANDRIA
# Running from : C:\Users\iduescher\Desktop\AdwCleaner (1).exe
# Option : Cleaning

 [ Services ] *****

[#] Service Deleted : wauctla Service

 [ Files / Folders ] *****

File Deleted : C:\Users\iduescher\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage
File Deleted : C:\Users\iduescher\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage-journal

 [ Scheduled tasks ] *****
 [ Shortcuts ] *****
 [ Registry ] *****

Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [App Client]
Key Deleted : HKLM\SOFTWARE\Pirrit
Key Deleted : HKLM\SOFTWARE\Upt
Key Deleted : HKLM\SOFTWARE\WinUpd
Key Deleted : HKLM\SOFTWARE\RST
Key Deleted : [x64] HKLM\SOFTWARE\Pirrit
Key Deleted : [x64] HKLM\SOFTWARE\Upt
Key Deleted : [x64] HKLM\SOFTWARE\WinUpd
Key Deleted : [x64] HKLM\SOFTWARE\RST
Data Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>;*origin.com;*ea.com;*akamaihd.net
Data Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyServer] - hxxp=127.0.0.1:11923
Data Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyEnable] - 1

 [ Web browsers ] *****

-\ Internet Explorer v11.0.9600.17631


-\ Google Chrome v38.0.2125.122



AdwCleaner[R0].txt - [6489 bytes] - [25/11/2014 10:26:03]
AdwCleaner[R1].txt - [2628 bytes] - [03/02/2015 10:50:50]
AdwCleaner[R2].txt - [1625 bytes] - [03/02/2015 11:11:19]
AdwCleaner[R3].txt - [2132 bytes] - [23/02/2015 08:27:30]
AdwCleaner[S0].txt - [5812 bytes] - [25/11/2014 10:27:00]
AdwCleaner[S1].txt - [2733 bytes] - [03/02/2015 10:52:10]
AdwCleaner[S2].txt - [1422 bytes] - [03/02/2015 11:13:56]
AdwCleaner[S3].txt - [2077 bytes] - [23/02/2015 08:28:42]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [2136  bytes] ##########



Je vous serais vraiment reconnaissant si quelqu'un peut m'aider a régler ces problèmes!

Un grand merci d'avance, j'ai certaines notions en informatique donc s'il faut passer par des commandes dos, safe mode, ou editer manuellement certains registres ça ne me fait pas peur mais je ne sais juste pas quoi chercher...

Configuration: Windows 7 / Chrome 38.0.2125.122

Malekal_morte- · Answer

Salut,


Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

blakedrake · Answer

Merci pour cette réponse rapide.

Voici les liens des 3 rapports que je viens de générer avec le programme :

http://pjjoint.malekal.com/files.php?id=20150223_k15z9h14l10q6
http://pjjoint.malekal.com/files.php?id=20150223_n5g9h14m13w13
http://pjjoint.malekal.com/files.php?id=20150223_m11y11n5v15j6

Merci d'avance!

Malekal_morte- · Answer

Déjà note la procédure pour supprimer les proxys sur Internet Explorer : https://forum.malekal.com/viewtopic.php?t=47404&start=


 Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

ProxyEnable: [S-1-5-21-2323275108-3932951608-443910817-1176] => Internet Explorer proxy is enabled. 
ProxyServer: [S-1-5-21-2323275108-3932951608-443910817-1176] => http=127.0.0.1:11737 [Attention - Possible Proxy Malicieux]
 BHO-x32: EnterDigital -> {481c016e-566a-411e-b4ac-e10e86bed4ad} -> C:\Program Files (x86)\EnterDigital\EnterDigitalbho.dll No File 
  R2 freewarememoryMonitor.exe; C:\Users\iduescher\AppData\Local\freewarememoryMonitor\freewarememoryMonitor.exe [211968 2015-02-09] () [File not signed] 
 R2 mscoreeschannelUI; C:\Windows\SysWOW64\mscoreeschannelUI\mscoreeschannelUI.exe [83456 2015-01-19] () [File not signed] 
  2015-02-09 07:30 - 2015-02-10 08:03 - 00000000 ____D () C:\Users\iduescher\AppData\Local\freewarememoryMonitor 
 2015-02-02 23:13 - 2015-02-02 23:13 - 00000000 ____D () C:\Windows\SysWOW64\mscoreeschannelUI 
 
 
 Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur



Si la connexion ne fonctionne pas, suis la procédure donnée au départ.

blakedrake · Answer

Voici le contenu du nouveau fichier (désolé du temps de réponse j'étais parti manger)

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-02-2015
Ran by iduescher at 2015-02-23 14:34:27 Run:1
Running from C:\Users\iduescher\Desktop
Loaded Profiles: iduescher (Available profiles: iduescher & Administrator & radmin)
Boot Mode: Normal
==============================================

Content of fixlist:


ProxyEnable: [S-1-5-21-2323275108-3932951608-443910817-1176] => Internet Explorer proxy is enabled. 
ProxyServer: [S-1-5-21-2323275108-3932951608-443910817-1176] => http=127.0.0.1:11737 [Attention - Possible Proxy Malicieux] 
BHO-x32: EnterDigital -> {481c016e-566a-411e-b4ac-e10e86bed4ad} -> C:\Program Files (x86)\EnterDigital\EnterDigitalbho.dll No File 
R2 freewarememoryMonitor.exe; C:\Users\iduescher\AppData\Local\freewarememoryMonitor\freewarememoryMonitor.exe [211968 2015-02-09] () [File not signed] 
R2 mscoreeschannelUI; C:\Windows\SysWOW64\mscoreeschannelUI\mscoreeschannelUI.exe [83456 2015-01-19] () [File not signed] 
2015-02-09 07:30 - 2015-02-10 08:03 - 00000000 ____D () C:\Users\iduescher\AppData\Local\freewarememoryMonitor 
2015-02-02 23:13 - 2015-02-02 23:13 - 00000000 ____D () C:\Windows\SysWOW64\mscoreeschannelUI 



HKU\S-1-5-21-2323275108-3932951608-443910817-1176\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable => value deleted successfully.
HKU\S-1-5-21-2323275108-3932951608-443910817-1176\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer => value deleted successfully.
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{481c016e-566a-411e-b4ac-e10e86bed4ad}" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{481c016e-566a-411e-b4ac-e10e86bed4ad}" => Key deleted successfully.
freewarememoryMonitor.exe => Unable to stop service
freewarememoryMonitor.exe => Service deleted successfully.
mscoreeschannelUI => Unable to stop service
mscoreeschannelUI => Service deleted successfully.

"C:\Users\iduescher\AppData\Local\freewarememoryMonitor" directory move:

C:\Users\iduescher\AppData\Local\freewarememoryMonitor\freewarememoryMonitor.exe => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\msvcp100.dll => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\msvcr100.dll => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\qjson0.dll => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\QtCore4.dll => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\QtNetwork4.dll => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\SrDt.exe => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\windowsautowake_86.exe => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\service\freewarememoryMonitor.exe-(PID-2736)-3868949\AdwCleaner (1).exe-(PID-7368).dmp => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\service\freewarememoryMonitor.exe-(PID-2736)-3868949\freewarememoryMonitor.exe-(PID-2736).dmp => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\desktop\windowsautowake_86.exe-(PID-6376)-25147080	askkill.exe-(PID-6788).dmp_PROCESS_SUBMITTED => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\desktop\windowsautowake_86.exe-(PID-6376)-25147080\windowsautowake_86.exe-(PID-6376).dmp => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\desktop\windowsautowake_86.exe-(PID-2548)-3868075\AdwCleaner (1).exe-(PID-7368).dmp => Moved successfully.
C:\Users\iduescher\AppData\Local\freewarememoryMonitor\desktop\windowsautowake_86.exe-(PID-2548)-3868075\windowsautowake_86.exe-(PID-2548).dmp => Moved successfully.
Could not move "C:\Users\iduescher\AppData\Local\freewarememoryMonitor" directory. => Scheduled to move on reboot.

C:\Windows\SysWOW64\mscoreeschannelUI => Moved successfully.
> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-02-23 14:36:02)<
C:\Users\iduescher\AppData\Local\freewarememoryMonitor => Is moved successfully.
 End of Fixlog 14:36:02

Malekal_morte- · Answer

Plus de pubs edeals ?

blakedrake · Answer

Apparemment plus de pubs edeals et le proxy ne s'active plus!

Ma dropbox se synchronise de nouveau correctement!!

Vraiment merci beaucoup pour ton aide! Tu m'enlèves une sacrée épine du pied! Milles mercis!!

Malekal_morte- · Answer

=)



Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

blakedrake · Answer

Merci beaucoup pour ton aide! J'irai lire les différents post que tu propose ce soir dès que j'ai le temps!

Merci!

Problème ad by edeals et proxy automatique

8 réponses

> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-02-23 14:36:02)<

End of Fixlog 14:36:02

Discussions similaires

Newsletters