[Adware]Dealplug

Ja, daar hebben meer mensen last van

Ik heb hetzelfde maar dan onder de naam "dealbomb". Lijkt erop dat hij in de install van popcorn time zat.. Lijkt verholpen te zijn door de addon te verwijderen en het programma te deinstalleren.

Ik heb de laatste tijd ook last van Deal* extensies. Het is altijd versie 3.33. Vandaag weer. Had laatst al 3x me pc gescanned met malwarebytes, hitman en eset internet security. Ook extension defender plug-in in chrome heeft niet geholpen.

Ligt dit dus aan popcorn time?

IseT schreef op woensdag 12 november 2014 @ 19:47:
Ik heb de laatste tijd ook last van Deal* extensies. Het is altijd versie 3.33. Vandaag weer. Had laatst al 3x me pc gescanned met malwarebytes, hitman en eset internet security. Ook extension defender plug-in in chrome heeft niet geholpen.

Ligt dit dus aan popcorn time?

check eens je schedule task configuratie. Volgens mij zag ik hem daar laatst staan, doen ik hem moest verwijderen. (tip: Autoruns van sysinternals).

Ik heb hier ook last van gehad en de virus verwijderd met MCaffee, maar vandaag is de virus weer teruggekomen onder een andere naam. Ik zal nu dus malwarebytes enzovoort gaan draaien.

Ik vind het wel apart dat opeens meerdere mensen er last van hebben.


Edit: Zojuist malware bytes laten draaien en die heeft de ongewenste programma's videocnv.dll en zet.dll verwijderd, Mcaffee leek zoals gewoonlijk deze programma's niet te kunnen vinden. Nu kijken of het virus weer misschien later terug komt.

[ Voor 73% gewijzigd door Skynick op 13-11-2014 02:24 ]

Gebruik ook eens ADWCleaner.

En installeer geen dubieuze software en geen dubieuze forks. time4popcorn zou ik dus niet doen, popcorntime.io misschien weer wel.

Verder ook met een malware scan je oude restore points wissen, daar willen vaak ook nog wel kopieen in zitten, net als je temp files. CCleaner er dus ook nog even overheen halen.

Met ADWCleaner heb je als voordeel dat er ook geen tasks overgeslagen worden die malware herinstalleren.

Wat volgens mij het beste is, is Google de-installeren (alles van Google), want volgens mij heeft het de update file van Google besmet.
De-installeer ook alles wat maar met Popcorn te maken heeft (geheel un-installen en in je registry checken)

Daarna open regedit en doe een search op Google en verwijder alles (echt alles en dat is heel wat).
Ook alles wat met Popcorn te maken heeft.

Ook kwam ik een folder tegen Gabest genaamd,...hup weg ermee.

En een folder met K-Lite codecs waarin een paar geniepige files voorkwamen.
Un-installen die hap.

Ook kan je een folder tegenkomen met de naam videolan (ook weg ermee en check je registry).

Ga op zoek in je appdata folder naar Popcorn en Google en delete alles.
Ook in je Program Files en Program Data folders.

Ik ben er nu al een paar uur mee bezig, omdat die zooi steeds terug kwam, voor die plugin in Chrome, en ben er een beetje klaar mee onderhand.

Mocht ik nog meer vinden, zal ik dat hier melden.

[ Voor 1% gewijzigd door MarElo op 16-11-2014 20:00 . Reden: update ]

Na 2 dagen is de malware ook weer bij mij teruggekomen. Het is wel een heel erg hardnekkig virus.

Skynick schreef op zondag 16 november 2014 @ 20:03:
Na 2 dagen is de malware ook weer bij mij teruggekomen. Het is wel een heel erg hardnekkig virus.

Tsja, en als je kijkt wat de plugin voor rechten heeft, daar wordt je niet vrolijk van

Hier komt hij ook steeds terug. Adw en maleware en nod32 vinden niets meer. Ga nu maar eens chrome verwijderen en opnieuw inetalleren.

Hé, deze kwam ik een tijdje geleden ook tegen op de PC van mijn ouders. Mijn vader had Time4popcorn erop staan, dus ik neem aan dat het hiervan afkomstig is.

Ik vond na wat onderzoek dit: https://malwr.com/analysi...kODg5YjViN2YzM2RlMjMxMTY/

Daar kan je goed zien welke registry keys en dergelijke allemaal aangemaakt werden. Ik heb dan ook de plugin en al die keys verwijderd. (de GUID was anders maar de keys kwamen wel overeen).
Een paar dagen later was hij echter alweer terug.

Raar dat dit ding al sinds 19 oktober bekend is, en dat toch geen enkele antivirus het kent. Malwarebytes niet, AdwCleaner ook niet.

En nu heeft je vader hem nog steeds?

Mavamaarten schreef op dinsdag 18 november 2014 @ 18:06:
Hé, deze kwam ik een tijdje geleden ook tegen op de PC van mijn ouders. Mijn vader had Time4popcorn erop staan, dus ik neem aan dat het hiervan afkomstig is.

Ik vond na wat onderzoek dit: https://malwr.com/analysi...kODg5YjViN2YzM2RlMjMxMTY/

Daar kan je goed zien welke registry keys en dergelijke allemaal aangemaakt werden. Ik heb dan ook de plugin en al die keys verwijderd. (de GUID was anders maar de keys kwamen wel overeen).
Een paar dagen later was hij echter alweer terug.

Raar dat dit ding al sinds 19 oktober bekend is, en dat toch geen enkele antivirus het kent. Malwarebytes niet, AdwCleaner ook niet.

Ik heb ook nog hitmanpro gebruikt. Tot nu toe is het virus nog niet terug. Wel heb ik dankzij jou nog een heleboel files verwijderd. Alleen die registry keys snap ik niet helemaal hoe ik die een beetje effectief kan verwijderen? Ik krijg namelijk ook meldingen dat ik geen machtigingen enzovoort heb.

Ook ik was de gelukkige eigenaar van Dealplug
Ik heb het op de volgende manier weten te verwijderen:

1. Malwarebytes
2. ADWCleaner
3. Avast Browser Cleanup

Nu een paar dagen geleden en heb tot nu toe nergens meer last van gehad.

Ik wil even melden dat ik ook eigenaar ben geweest van dit "virus". Ook had ik last van een rundll32 die bleef crashen. Overigens niet in de system32 map maar in de SysWOW64 map.

Met Revo Uninstaller en Malwarebytes ben ik er volgens mij van af gekomen. En ook even de sfc /scannow uitgevoerd (in cmd), maar leverde geen resultaten op.

EDIT:
ADWCleaner heeft ook nog restjes verwijderd.

[ Voor 7% gewijzigd door Chris_NL op 24-11-2014 22:00 ]

Hier ook het zelfde probleem gehad met een rundll32.dll die bleef crashen.
Wist eerst niet dat dit door Time 4 Popcorn kwam, maar heb het eraf gekregen door ADWCleaner te draaien. Deze heeft een bepaalde regkey verwijderd, hierna geen meldingen meer gehad.

Malwarebytes kon overigens niets vinden.

Check ook de browser op vage extensies/pugins

Ik heb/had hier ook last van. Paar keer mijn computer gescand met Malwarebytes Anti-Malware en na het lezen van dit topic ook met ADWCleaner en alle bedreigingen verwijderd.

Verder heb ik Regedit geopend en daar gewoon CTRL+F gedaan en alles wat ie vond met de naam "popcorn" heb ik verwijderd.

Nu maar afwachten...

Spierincx schreef op vrijdag 05 december 2014 @ 20:25:
Ik heb/had hier ook last van. Paar keer mijn computer gescand met Malwarebytes Anti-Malware en na het lezen van dit topic ook met ADWCleaner en alle bedreigingen verwijderd.

Verder heb ik Regedit geopend en daar gewoon CTRL+F gedaan en alles wat ie vond met de naam "popcorn" heb ik verwijderd.

Nu maar afwachten...

Het virus is nog altijd aanwezig. Iemand tips?
Anders ben ik genoodzaakt om komend weekend Windows opnieuw te installeren denk ik.

Het virus is bij mij verdwenen na de volgende acties:

• Verwijderen van de plugins in alle browsers
• Draaien malwarebytes
• Draaien ADWCleaner
• Draaien Hitmanpro
• Opstarten registry en alles met dealplug, boomcheap verwijderen, daarnaast ook zelf nog even door je mappen gaan. Dit heeft mij geholpen:
  https://malwr.com/analysis/MDU5ZWYyMGIwOTg2NDVkODg5YjViN2YzM2RlMjMxMTY/
• Verwijderen Chrome en het herinstalleren daarvan om zeker te zijn.

Daarna kan het nog zijn dat sommige bestanden als file extension boomcheap/dealplug houden. Start dan cmd.exe en voer in:
assoc .
Als dat een rare filename is, voer dan in:
assoc . = txtfile
En als dat niet werkt, weer even in de registry een zoekopdracht naar die filename en daarin handmatig veranderen.

Heeft iemand die nieuwe Chrome opschoon tool al gebruikt hiervoor?

Nee, maar dat gaat waarschijnlijk niet helpen aangezien het virus zich niet alleen in chrome installeerd, maar ook op enkele andere plekken.