Author: Nikko Tamana   
 Modified By:: Alvin Bacani
 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Adware

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 507,400 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 20 maja 2013

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %User Temp%\nsbA.tmp\registry.dll
  • %Program Files%\DealPly\DealPly.crx
  • %Program Files%\DealPly\DealPly.xpi
  • %Program Files%\DealPly\DealPlyIE.dll
  • %Program Files%\DealPly\DealPlyUpdate.exe
  • %Program Files%\DealPly\DealPlyUpdateRun.exe
  • %Program Files%\DealPly\icon.ico
  • %Program Files%\DealPly\uninst.exe
  • %Windows%\Tasks\DealPlyUpdate.job
  • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\05681ee4-32d7-4af5-879d-02ee4bc53696
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\cookies.sqlite-journal
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\parent.lock
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.bak
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\urlclassifierkey3.txt
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\user.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\bookmarkbackups\bookmarks-{Date of installation}.json
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome\content\dealply.xul
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome\content\images\dealplyIcon32.png
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome.manifest
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\defaults\preferences\defaults.js
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\install.rdf
  • %Cookies%\{User name}@doubleclick[1].txt
  • %Cookies%\{User name}@landing.dealplyshopping[2].txt
  • %Application Data%\Google\Chrome\User Data\Default\Local Storage\chrome-extension_{random letters}_0.localstorage
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\BC9E36E1d01
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\DA5844ADd01

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las carpetas siguientes:

  • %Program Files%\DealPly
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome\content
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\chrome\content\images
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\defaults
  • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}\defaults\preferences

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CLASSES_ROOT\CLSID\{GUID}

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InProcServer32

HKEY_CURRENT_USER\Software\DealPly

HKEY_CURRENT_USER\Software\Google\
Chrome\Extensions\{random letters}

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{GUID}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{GUID}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random letters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{GUID}

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CLASSES_ROOT\CLSID\{GUID}
{Default} = "DealPly"

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InProcServer32
{Default} = "%Program Files%\DealPly\DealPlyIE.dll"

HKEY_CLASSES_ROOT\CLSID\{GUID}\
InProcServer32
ThreadingModel = "Apartment"

HKEY_CURRENT_USER\Software\DealPly
SampleGroup = "9"

HKEY_CURRENT_USER\Software\DealPly
InstallId = "v23600122408385353761662013052017351819"

HKEY_CURRENT_USER\Software\DealPly
ChromeCrxPath = "%Program Files%\DealPly\DealPly.crx"

HKEY_CURRENT_USER\Software\DealPly
FirefoxXpiPath = "%Program Files%\DealPly\DealPly.xpi"

HKEY_CURRENT_USER\Software\DealPly
VersionFull = "3.6.0.0"

HKEY_CURRENT_USER\Software\DealPly
VersionInt = "3600"

HKEY_CURRENT_USER\Software\DealPly
InstallDir = "%Program Files%\DealPly"

HKEY_CURRENT_USER\Software\DealPly
IeDllPath = "%Program Files%\DealPly\DealPlyIE.dll"

HKEY_CURRENT_USER\Software\DealPly
Partner = "dealplydef"

HKEY_CURRENT_USER\Software\DealPly
Channel = "dealplydef"

HKEY_CURRENT_USER\Software\DealPly
InstallDateHuman = "{Date and time of installation}"

HKEY_CURRENT_USER\Software\DealPly
InstallDateMachine = "{Date and time of installation}"

HKEY_CURRENT_USER\Software\DealPly
OriginalCommand = ""

HKEY_CURRENT_USER\Software\DealPly
OriginalOptimize = "0"

HKEY_CURRENT_USER\Software\DealPly
InstallStatus = "OK"

HKEY_CURRENT_USER\Software\Wow6432Node\
Google\Chrome\Extensions\
{random letters}
path = "%Program Files%\DealPly\DealPly.crx"

HKEY_CURRENT_USER\Software\Wow6432Node\
Google\Chrome\Extensions\
{random letters}
version = "3.0.7.2"

HKEY_CURRENT_USER\Software\Google\
Chrome\Extensions\{random letters}
path = "%Program Files%\DealPly\DealPly.crx"

HKEY_CURRENT_USER\Software\Google\
Chrome\Extensions\{random letters}
version = "3.0.7.2"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
SampleGroup = "9"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
InstallId = "v23600122408385353761662013052017351819"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
ChromeCrxPath = "%Program Files%\DealPly\DealPly.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
FirefoxXpiPath = "%Program Files%\DealPly\DealPly.xpi"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
VersionFull = "3.6.0.0"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
VersionInt = "3600"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
InstallDir = "%Program Files%\DealPly"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
IeDllPath = "%Program Files%\DealPly\DealPlyIE.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
Partner = "dealplydef"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
Channel = "dealplydef"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
InstallDateHuman = "{Date and time of installation}"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
InstallDateMachine = "{Date and time of installation}"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
OriginalCommand = ""

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
OriginalOptimize = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
InstallStatus = "OK"

HKEY_LOCAL_MACHINE\SOFTWARE\DealPly
UninstallerPath = "%Program Files%\DealPly\uninst.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Google\Chrome\Extensions\
{random letters}
path = "%Program Files%\DealPly\DealPly.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Google\Chrome\Extensions\
{random letters}
version = "3.0.7.2"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{GUID}
{Default} = "DealPly"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{GUID}\InProcServer32
{Default} = "%Program Files%\DealPly\DealPlyIE.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{GUID}\InProcServer32
ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random letters}
path = "%Program Files%\DealPly\DealPly.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random letters}
version = "3.0.7.2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{GUID}
NoExplorer = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
DisplayName = "DealPly"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
UninstallString = "%Program Files%\DealPly\uninst.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
DisplayIcon = "%Program Files%\DealPly\uninst.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
DisplayVersion = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
DisplayVersion = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
URLInfoAbout = "http://www.dealply.com/"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
Publisher = "DealPly"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
DealPly
NSIS:Language = "1033"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
PendingFileRenameOperations = "\??\%User Temp%\nsbA.tmp\registry.dll"

HKEY_CLASSES_ROOT\CLSID\{fe063412-bea4-4d76-8ed3-183be6220d17}
{Default} = "BonanzaDeals"

HKEY_CLASSES_ROOT\CLSID\{fe063412-bea4-4d76-8ed3-183be6220d17}\
InProcServer32
{Default} = "{Malware Path}\BonanzaDealsIE.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{fe063412-bea4-4d76-8ed3-183be6220d17}
{Default} = "BonanzaDeals"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{fe063412-bea4-4d76-8ed3-183be6220d17}\InProcServer32
{Default} = "{Malware Path}\BonanzaDealsIE.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{fe063412-bea4-4d76-8ed3-183be6220d17}
NoExplorer = "1"

HKEY_CLASSES_ROOT\CLSID\{F3CF4912-CF0A-451B-AF3B-C4F216C715E4}
{Default} = "PSFactoryBuffer"

HKEY_CLASSES_ROOT\CLSID\{F3CF4912-CF0A-451B-AF3B-C4F216C715E4}\
InProcServer32
{Default} = "{Malware Path}\psmachine.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{F3CF4912-CF0A-451B-AF3B-C4F216C715E4}
{Default} = "PSFactoryBuffer"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{F3CF4912-CF0A-451B-AF3B-C4F216C715E4}\InProcServer32
{Default} = "{Malware Path}\psmachine.dll"

HKEY_CLASSES_ROOT\BonanzaDealsLive.OneClickCtrl.9\CLSID
{Default} = "{29494049-211F-4F5C-8545-7DA8BF7A6CF8}"

HKEY_CLASSES_ROOT\BonanzaDealsLive.Update3WebControl.3
{Default} = "BonanzaDealsLive Update Plugin"

HKEY_CLASSES_ROOT\BonanzaDealsLive.Update3WebControl.3\CLSID
{Default} = "{C4BEF720-313C-420A-ACF6-77DD95D8F553}"

HKEY_CLASSES_ROOT\CLSID\{29494049-211F-4F5C-8545-7DA8BF7A6CF8}
{Default} = "BonanzaDealsLive Update Plugin"

HKEY_CLASSES_ROOT\CLSID\{29494049-211F-4F5C-8545-7DA8BF7A6CF8}\
InprocServer32
{Default} = "{Malware Path}\npGoogleUpdate3.dll"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=3
Path = "{Malware Path}\npGoogleUpdate3.dll"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=3
Description = "BonanzaDealsLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=3
ProductName = "BonanzaDealsLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=3
Vendor = "BonanzaDeals"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=3
Version = "3"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=9
Path = "{Malware Path}\npGoogleUpdate3.dll"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=9
Description = "BonanzaDealsLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=9
ProductName = "BonanzaDealsLive Update"

HKEY_CURRENT_USER\Software\MozillaPlugins\
@tools.bdupdater.com/BonanzaDealsLive Update;version=9
Version = "9"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{29494049-211F-4F5C-8545-7DA8BF7A6CF8}
AppName = "BonanzaDealsLive.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{29494049-211F-4F5C-8545-7DA8BF7A6CF8}
AppPath = "%Application Data%\BonanzaDealsLive\Update"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{C4BEF720-313C-420A-ACF6-77DD95D8F553}
AppName = "BonanzaDealsLiveOnDemand.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Low Rights\ElevationPolicy\
{C4BEF720-313C-420A-ACF6-77DD95D8F553}
AppPath = "%Application Data%\BonanzaDealsLive\Update\1.3.23.0"

  SOLUTION

Minimum scan engine: 9.300
SSAPI Pattern-Datei: 1.401.00
SSAPI Pattern ver?ffentlicht am: 20 May 2013

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Cierre todas las ventanas abiertas del explorador.

Step 4

Quitar ADW_DEALPLY por medio de su propia opci¨®n de desinstalaci¨®n

[ learnMore ]
Para desinstalar el proceso de grayware

Step 5

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
    • {random letters}
  • In HKEY_CURRENT_USER\Software\Google\Chrome\Extensions
    • {random letters}
  • In HKEY_CLASSES_ROOT\CLSID
    • {fe063412-bea4-4d76-8ed3-183be6220d17}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {fe063412-bea4-4d76-8ed3-183be6220d17}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • {fe063412-bea4-4d76-8ed3-183be6220d17}
  • In HKEY_CLASSES_ROOT\CLSID
    • {F3CF4912-CF0A-451B-AF3B-C4F216C715E4}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {F3CF4912-CF0A-451B-AF3B-C4F216C715E4}
  • In HKEY_CLASSES_ROOT
    • BonanzaDealsLive.OneClickCtrl.9
  • In HKEY_CLASSES_ROOT
    • BonanzaDealsLive.Update3WebControl.3
  • In HKEY_CLASSES_ROOT\CLSID
    • {29494049-211F-4F5C-8545-7DA8BF7A6CF8}
  • In HKEY_CURRENT_USER\Software\MozillaPlugins
    • @tools.bdupdater.com/BonanzaDealsLive Update;version = 3
  • In HKEY_CURRENT_USER\Software\MozillaPlugins
    • @tools.bdupdater.com/BonanzaDealsLive Update;version = 9
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
    • {29494049-211F-4F5C-8545-7DA8BF7A6CF8}
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
    • {C4BEF720-313C-420A-ACF6-77DD95D8F553}

Step 6

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    • PendingFileRenameOperations = "\??\%User Temp%\nsbA.tmp\registry.dll"
DATA_TEXTBOX
  • Cierre el Editor del Registro.

    • Step 7

    Buscar y eliminar estas carpetas

    [ learnMore ]
    Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
    • %Program Files%\DealPly
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions\{GUID}

    Step 8

    Buscar y eliminar estos archivos

    [ learnMore ]
    Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
    • %User Temp%\nsbA.tmp\registry.dll
    • %User Temp%\~nsu.tmp\Au_.exe
    • %Program Files%\DealPly\DealPlyIE.dll
    • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\05681ee4-32d7-4af5-879d-02ee4bc53696
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\cookies.sqlite-journal
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.bak
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.js
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\urlclassifierkey3.txt
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\user.js
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\bookmarkbackups\bookmarks-{Date of installation}.json
    • %Cookies%\{User name}@doubleclick[1].txt
    • %Cookies%\{User name}@landing.dealplyshopping[2].txt
    • %Application Data%\Google\Chrome\User Data\Default\Local Storage\chrome-extension_{random letters}_0.localstorage
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\BC9E36E1d01
    • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\DA5844ADd01
    DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      • %User Temp%\nsbA.tmp\registry.dll
      • %User Temp%\~nsu.tmp\Au_.exe
      • %Program Files%\DealPly\DealPlyIE.dll
      • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\05681ee4-32d7-4af5-879d-02ee4bc53696
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\cookies.sqlite-journal
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.bak
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\sessionstore.js
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\urlclassifierkey3.txt
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\user.js
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\bookmarkbackups\bookmarks-{Date of installation}.json
      • %Cookies%\{User name}@doubleclick[1].txt
      • %Cookies%\{User name}@landing.dealplyshopping[2].txt
      • %Application Data%\Google\Chrome\User Data\Default\Local Storage\chrome-extension_{random letters}_0.localstorage
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\BC9E36E1d01
      • %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\Cache\DA5844ADd01

    • Step 9

    Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como ADW_DEALPLY En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


    Did this description help? Tell us how we did.