Problem z usunięciem rozszerzenia Discount Dragon

[daamian3]

Witam!

Wczoraj po zainstalowaniu kilku programów zauważyłem, że przeglądarka (Google Chrome) zaczęła sama się włączać i wyświetlać reklamy, zmieniła mi stronę startową oraz wyszukiwarkę. Zauważyłem również, że w rozszerzeniach pojawiło się takie coś:

 

Nie dało się tego usunąć więc zainstalowałem program YAC który ma możliwość usunięcia rozszerzeń. Usunąłem to więc lecz po kilku chwilach znowu się pojawiło. Poczytałem trochę na różnych forach o tym i usunąłem folder Discount Dragon z Program Files (x86) oraz ściągnąłem program adwcleaner i usunąłem wszystkie podejrzane rzeczy. Nic to nie dało ponieważ po kilku minutach w rozszerzeniach znów pojawiło się to samo. Oprócz tych objawów zauważyłem również, że strony internetowe zaczęły wolniej się ładować, a filmiki np. na youtube nie działają. W między czasie uruchamiał mi się program który próbował mi coś zainstalować na komputerze bez mojego pozwolenia. Odinstalowałem więc go ale nie wiem czy pomogło.

 

Proszę o szybką pomoc

[picasso]

Zasady działu co tu się podaje: KLIK. Dostarcz obowiązkowe logi z FRST i OTL.

 

 

Poczytałem trochę na różnych forach o tym i usunąłem folder Discount Dragon z Program Files (x86) oraz ściągnąłem program adwcleaner i usunąłem wszystkie podejrzane rzeczy.

To nie była poprawna metoda usuwania. Discount Dragon należy w pierwszej kolejności deinstalować przez Panel sterowania, co powoduje też usunięcie rozszerzenia Google Chrome. Jak się zaczyna kręcić, potem jest coraz trudniej usuwać. A skoro był używany AdwCleaner, pokaż także co robił, czyli dostarcz raporty z katalogu C:\AdwCleaner.

 

PS. A Ten YAC to program wątpliwej reputacji. Aktualna domena to przekierowanie ze starej skompromitowanej.

 

 

 

.

[daamian3]

W Panelu sterowania/Odinstaluj program nie było Discount Dragon. Pomyślałem więc, że lepiej jest usunąć coś niż pozostawić aby narobiło większych szkód .

Przypomniało mi się również jak nazywał się ten program który instalował te programy - FreeSoftToday.

Poniżej zamieszczam raporty:

 

AdwCleaner:

 

# AdwCleaner v3.018 - Log utworzony 10/02/2014 o 13:44:26

# Aktualizacja 28/01/2014 przez Xplode

# System operacyjny : Windows 7 Home Premium Service Pack 1 (64 bits)

# Uzytkownik : Damian - DAMIAN_LAPTOP

# Sciezka : C:\Users\Damian\Downloads\adwcleaner (1).exe

# Opcja : Szukaj

 

***** [ Uslugi ] *****

 

 

***** [ Pliki / Foldery ] *****

 

 

***** [ Skróty ] *****

 

 

***** [ Rejestr ] *****

 

Klucz Znaleziono : HKCU\Software\FreeSoftToday

Klucz Znaleziono : HKCU\Software\InstallCore

Klucz Znaleziono : HKCU\Software\Softonic

Klucz Znaleziono : HKCU\Software\TutoTag

Klucz Znaleziono : [x64] HKCU\Software\FreeSoftToday

Klucz Znaleziono : [x64] HKCU\Software\InstallCore

Klucz Znaleziono : [x64] HKCU\Software\Softonic

Klucz Znaleziono : [x64] HKCU\Software\TutoTag

Klucz Znaleziono : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}

Klucz Znaleziono : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}

Klucz Znaleziono : HKLM\Software\Tutorials

Klucz Znaleziono : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}

Klucz Znaleziono : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

 

***** [ Przegladarki internetowe ] *****

 

-\\ Internet Explorer v11.0.9600.16428

 

 

-\\ Google Chrome v32.0.1700.107

 

[ Plik : C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

 

*************************

 

AdwCleaner[R0].txt - [1441 octets] - [10/02/2014 13:44:26]

 

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [1501 octets] ##########

 

i drugi plik:

 

# AdwCleaner v3.018 - Log utworzony 10/02/2014 o 14:00:47

# Aktualizacja 28/01/2014 przez Xplode

# System operacyjny : Windows 7 Home Premium Service Pack 1 (64 bits)

# Uzytkownik : Damian - DAMIAN_LAPTOP

# Sciezka : C:\Users\Damian\Downloads\adwcleaner (1).exe

# Opcja : Usun

 

***** [ Uslugi ] *****

 

 

***** [ Pliki / Foldery ] *****

 

 

***** [ Skróty ] *****

 

 

***** [ Rejestr ] *****

 

Klucz Usunieto : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}

Klucz Usunieto : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}

Klucz Usunieto : [x64] HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}

Klucz Usunieto : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

Klucz Usunieto : HKCU\Software\FreeSoftToday

Klucz Usunieto : HKCU\Software\InstallCore

Klucz Usunieto : HKCU\Software\Softonic

Klucz Usunieto : HKCU\Software\TutoTag

Klucz Usunieto : HKLM\Software\Tutorials

 

***** [ Przegladarki internetowe ] *****

 

-\\ Internet Explorer v11.0.9600.16428

 

 

-\\ Google Chrome v32.0.1700.107

 

[ Plik : C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

 

*************************

 

AdwCleaner[R0].txt - [1605 octets] - [10/02/2014 13:44:26]

AdwCleaner[s0].txt - [1294 octets] - [10/02/2014 14:00:47]

 

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [1354 octets] ##########

 

OTL oraz FRST zamieściłem w załączniku ponieważ jest raport jest bardzo długi.

 

Nie wiem co jest ale teks łączy się w całość mimo tego, że zrobiłem wyśrodkowanie lub wyrównanie do lewej przez co jest trochę nieczytelny.

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

[picasso]

OTL oraz FRST zamieściłem w załączniku ponieważ jest raport jest bardzo długi.

Wg zasad działu logi zawsze mają być w załącznikach. AdwCleaner także, mimo że może być stosunkowo krótki.

 

 

Nie wiem co jest ale teks łączy się w całość mimo tego, że zrobiłem wyśrodkowanie lub wyrównanie do lewej przez co jest trochę nieczytelny.

Tekst skorygowałam. Czy tekst kopiowałeś za pomocą Internet Explorer? Takie sklejanie tekstu może zachodzić przy używaniu IE. Przykładowo z Firefox nie ma tego problemu w kombinacji z edytorem forum.

 

 

W Panelu sterowania/Odinstaluj program nie było Discount Dragon. Pomyślałem więc, że lepiej jest usunąć coś niż pozostawić aby narobiło większych szkód

A ja go widzę na liście zainstalowanych:

 

==================== Installed Programs ======================
 

Discount Dragon (x32 Version: 1.0 - Smart Apps) 
 

Czy na pewno tego nie widać? Pokaż zrzut ekranu z Panelu sterowania. Niestety robiąc to spowodowałeś niemożność poprawnej deinstalacji:

 

Poczytałem trochę na różnych forach o tym i usunąłem folder Discount Dragon z Program Files (x86) oraz ściągnąłem program adwcleaner i usunąłem wszystkie podejrzane rzeczy.

Poprawna deinstalacja odbyłaby się, gdyby folder istniał. Nie wygląda na to, że można go odzyskać poprzez Przywracanie systemu, bo są dostępne tylko te punkty, z wczoraj nagranie o 21:
 

==================== Restore Points =========================
 

10-02-2014 21:05:44 Windows Update

11-02-2014 10:43:40 avast! antivirus system restore point
 

... a obiekty Dragon powstawały wcześniej o 10 rano:
 

2014-02-10 10:15 - 2014-02-10 19:03 - 00000346 _____ () C:\windows\Tasks\bench-sys.job

2014-02-10 10:15 - 2014-02-10 18:49 - 00000346 _____ () C:\windows\Tasks\bench-S-1-5-21-304874434-1306992668-2770245847-1002.job

2014-02-10 10:15 - 2014-02-10 10:15 - 00003242 _____ () C:\windows\System32\Tasks\bench-sys

2014-02-10 10:15 - 2014-02-10 10:15 - 00003222 _____ () C:\windows\System32\Tasks\bench-S-1-5-21-304874434-1306992668-2770245847-1002

2014-02-10 10:15 - 2014-02-10 10:15 - 00000266 __RSH () C:\ProgramData\ntuser.pol

2014-02-10 10:15 - 2014-02-10 10:15 - 00000000 ____D () C:\Users\Damian\AppData\Local\Discount Dragon

2014-02-10 10:15 - 2014-02-10 10:15 - 00000000 ____D () C:\Users\Damian\AppData\Local\BenchUpdater

2014-02-10 10:15 - 2014-02-10 10:15 - 00000000 ____D () C:\Program Files (x86)\Bench
 

Kiedy usuwałeś folder Dragon? Czy po owym punkcie Przywracania systemu? I sprawdź jaka data stoi w interfejsie Przywracania systemu, bo log FRST może mieć przesunięcia czasowe.
 

Jeśli chodzi o Discount Dragon, to prócz wejśącia na liście zainstalowanych są w Harmonogramie zadań są powiązane zadania "Bench". I tu jest więcej adware, nie tylko Discount Dragon, także aweshomehp.com. Poproszę o skopiowanie na Pulpit tych dwóch folderów (pierwszy jest ukryty więc w opcjach widoku sprawdź czy masz włączone pokazywanie ukrytych):
 

2014-02-10 10:15 - 2009-07-14 04:20 - 00000000 ___HD () C:\windows\system32\GroupPolicy

2014-02-10 10:15 - 2009-07-14 04:20 - 00000000 ____D () C:\windows\SysWOW64\GroupPolicy
 

Spakuj do ZIP, shostuj gdzieś i na PW prześlij mi link. EDIT: Paczkę ZIP otrzymałam. W pliku Registry.pol są dodatkowe polityki blokujące rozszerzenie:
 

Software\Policies\Google\Chrome\ExtensionInstallForcelist,1,REG_SZ,nikdaiaidiiiogaidkkekcmokcgcdeac;http://nikdaiaidiiiogaidkkekcmokcgcdeac/check/.eJwNiUEKgDAMBP-ScxG
 

Na razie się nie zabieram za usuwanie ręczne, bo jedyna poprawna metoda to deinstalacja i zmierzam do niej. Odpowiedz proszę na dwa pogrubione pytania i dołącz zrzut ekranu z punktów Przywracania systemu.
 
 
 

.

[daamian3]

Po chwili szukania znalazłem Discount Dragon w panelu sterowania

Nie wiem czy jeszcze to potrzebne ale na wszelki wypadek wrzucam:

Avast zrobił punkt przywracania o 11:43. Niestety nie jestem w stanie przypomnieć sobie czy najpierw usunąłem Discount Dragon czy avast zrobił punkt przywracania  Raczej to w niczym nie pomoże ale wiem, że było to zrobione między godziną 10 a 12.

[picasso]

Patrzysz na zły punkt Przywracania systemu z dnia dzisiejszego, chodziło o punkt Windows Update z wczoraj.

 

Zrobiłam w wirtualnej maszynie dopasowaną instalację Discount Dragon. Ta wersja, którą posiadasz, powinna mieć deinstalator w folderze uplasowanym w Local:

 

Windows Registry Editor Version 5.00
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\38900_Discount Dragon]

"DisplayName"="Discount Dragon"

"DisplayVersion"="1.0"

"Publisher"="Smart Apps"

"DisplayIcon"="C:\\Users\\Fixitpc\\AppData\\Local\\Discount Dragon/icon.ico"

"InstallLocation"="C:\\Users\\Fixitpc\\AppData\\Local\\Discount Dragon"

"UninstallString"="C:\\Users\\Fixitpc\\AppData\\Local\\Discount Dragon\\uninstall.exe "

"NoModify"=dword:00000001

"NoRepair"=dword:00000001

 

Pokaż mi co jest w tym folderze. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\Damian\AppData\Local\Discount Dragon

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

Jeśli folder będzie wybrakowany, prześlę Ci moją kopię Discount Dragon do podstawienia, by dało się program odinstalować poprawnie.

 

 

.

[daamian3]

W załączniku przesyłam fixlog.txt.

 

Fixlog.txt

[picasso]

Jest deinstalator i folder wygląda na kompletny. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj adware: Discount Dragon, RightSurf, SupTab, WPM17.8.0.3325.

 

2. Zresetuj system. Zrób nowe logi FRST, zaznacz ponownie pole Addition, by powstały dwa logi.

 

 

.

[daamian3]

Chyba wszystko jest już w porządku. Przynajmniej tak mi się wydaję

W załączniku przesyłam logi.

Addition.txt

FRST.txt

[picasso]

Tu jeszcze nie koniec działań, jesteśmy w połowie. Należy doczyścić adware awesomehp.com i szczątki Discount Dragon. O zgrozo, w miedzyczasie doinstalowałeś (!) ... nowe adware Cling Clang. Oto felerny instalator:

 

C:\Users\Damian\Downloads\CDCoverCreator_downloader-6vM8J6SL.exe

 

To nie był instalator programu CDCoverCreator tylko downloader z jakiegoś lewego portalu. A poprzednie adware miały podobne źródło. Widać na dysku co i jak pobierać. Inni delikwenci na dysku stanowiący zagrożenie to ci "asystenci":

 

C:\Users\Damian\Downloads\Disketch 1.00_isdmgr.exe

C:\Users\Damian\Downloads\VirtualDub(13335).exe

C:\Users\Damian\Downloads\WinRAR(12398).exe

 

Przed przejściem dalej czytaj od deski do deski skąd pobierać a skąd nie i na co uważać: KLIK. Jeśli tego nie opanujesz, historie typu Discount Dragon się prędko powtórzą.

 

 

---

1. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files (x86)\Cling Clang\updateClingClang.exe
() C:\Program Files (x86)\Cling Clang\bin\utilClingClang.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392023715&from=tt4u&uid=TOSHIBAXMQ01ABD050_93P5S0FHSXX93P5S0FHS&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392023715&from=tt4u&uid=TOSHIBAXMQ01ABD050_93P5S0FHSXX93P5S0FHS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392023715&from=tt4u&uid=TOSHIBAXMQ01ABD050_93P5S0FHSXX93P5S0FHS&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392023715&from=tt4u&uid=TOSHIBAXMQ01ABD050_93P5S0FHSXX93P5S0FHS&q={searchTerms}
BHO: No Name - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - No File
BHO-x32: Cling Clang - {aa9aa36b-5b7b-4996-b083-83ef84d53b19} - C:\Program Files (x86)\Cling Clang\ClingClangbho.dll (Cling Clang)
BHO-x32: No Name - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Task: {A387D444-B956-452A-9DD8-B88755ADC265} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe [2013-12-18] () 
Task: C:\windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe 
HKLM-x32\...\Run: [fst_pl_49] - [X]
R2 Update Cling Clang; C:\Program Files (x86)\Cling Clang\updateClingClang.exe [80160 2014-02-11] ()
R2 Util Cling Clang; C:\Program Files (x86)\Cling Clang\bin\utilClingClang.exe [80160 2014-02-11] ()
S2 Update RightSurf; "C:\Program Files (x86)\RightSurf\updateRightSurf.exe" [X]
S2 Util RightSurf; "C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe" [X]
C:\Program Files (x86)\Bench
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\predm
C:\ProgramData\WPM
C:\ProgramData\IePluginService
C:\Users\Damian\AppData\Local\Temp\*.exe
C:\Users\Damian\AppData\Local\Temp\*.dll
C:\Users\Damian\AppData\Roaming\eCyber
C:\Users\Damian\AppData\Roaming\iSafe
C:\Users\Damian\Downloads\CDCoverCreator_downloader-6vM8J6SL.exe
C:\Users\Damian\Downloads\Disketch 1.00_isdmgr.exe
C:\Users\Damian\Downloads\VirtualDub(13335).exe
C:\Users\Damian\Downloads\WinRAR(12398).exe
C:\Users\Damian\Downloads\yet_another_cleaner.exe
C:\windows\system32\log
C:\windows\System32\Tasks\{FAD799B3-33CF-4A40-BC43-0CE2F09350A4}

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Cling Clang. Ponadto, masz za dużo antywirusów, obecnie czynne równocześnie Avast + Norton Internet Security. Jeden z nich do deinstalacji.

 

3. Uruchom Shortcut Cleaner. Na Pulpicie powstanie log sc-cleaner.txt.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz też pliki fixlog.txt i sc-cleaner.txt.

 

 

 

.

[daamian3]

Mam mały problem, ponieważ gdy uruchomiłem Shortcut Cleaner otworzył mi się log sc-cleaner.txt, zamknąłem go, a na pulpicie go nie było. Nie mam pojęcia gdzie on jest. fixlog.txt i FRST.txt zamieszczam w załączniku.

Fixlog.txt

FRST.txt

[picasso]

Log Shortcut Cleaner jest tu: C:\sc-cleaner.txt.

[daamian3]

Dobra znalazłem.

sc-cleaner.txt

[picasso]

Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\Cling Clang
C:\Program Files (x86)\Norton Internet Security
C:\ProgramData\Norton
R4 IDSVia64; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20140127.001\IDSvia64.sys [X]
R4 SRTSPX; \SystemRoot\system32\drivers\NISx64\1206000.01D\SRTSPX64.SYS [X]
R4 SymDS; system32\drivers\NISx64\1206000.01D\SYMDS64.SYS [X]
R4 SymEFA; system32\drivers\NISx64\1206000.01D\SYMEFA64.SYS [X]
R4 SymEvent; \??\C:\windows\system32\Drivers\SYMEVENT64x86.SYS [X]
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A387D444-B956-452A-9DD8-B88755ADC265}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A387D444-B956-452A-9DD8-B88755ADC265}
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bench-sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A387D444-B956-452A-9DD8-B88755ADC265}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A387D444-B956-452A-9DD8-B88755ADC265}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\bench-sys" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[daamian3]

Fixlog.txt w załączniku.

Fixlog.txt

[picasso]

Skrypt wykonany pomyślnie. Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku Shortcut Cleaner i jego logi, FRST i jego folder C:\FRST. W AdwCleaner uruchom Odinstaluj. W OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj produkty Adobe i Office: KLIK. Wersje widziane obecnie w systemie:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (x32 Version: 10.1.53.64 - Adobe Systems Incorporated) -----> wtyczka dla IE

Adobe Reader 9.1 - Polish (x32 Version: 9.1.0 - Adobe Systems Incorporated)

Microsoft Office 2010 (x32 Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2

 

 

 

.

[daamian3]

Ok, zrobione. Dzięki bardzo za pomoc