Infekcja trojanem LYRMIX


(Pbudzinski94) #1

Witam. Wczoraj wszedłem na kurnika i zostałem powiadomiony o infekcji trojana LYRMIX. I faktycznie jak się zastanowić ostatnio jestem zawalany przez masę reklam. Oto logi:

 

OTL:

http://wklej.org/id/1269498/

 

Extras:

http://wklej.org/id/1269502/

 

 

Proszę o dość szczegółową pomoc na temat dalszych kroków, gdyż jestem w tych sprawach kompletnie zielony. Z góry dziękuję :slight_smile:


(Semtex) #2

Witaj, popraw proszę tytuł tematu tak aby wstępnie informował o problemie, użyj przycisku EDYTUJ , który znajdziesz w prawym dolnym rogu Swojego posta-> następnie skorzystaj z opcji Użyj pełnego edytora. Dziękuję za uwagę.

Tip: Unikaj słów: "problem", "help", "pomocy" i.t.p. Tego typu słowa nie spowodują szybszej reakcji a mogą odnieść odwrotny skutek od oczekiwanego, tytuł tematu ma być skróconym opisem Twojego posta- powodzenia.


(Acorus) #3

Odinstaluj savinshop,YouTaueAdBlocker,FeLeexibLeShoppper,Bundled software uninstaller,Optimizer Pro v3.0,Webexp Enhanced,WPM17.8.0.3325,DefaultTab Chrome.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowy OTL.txt


(Pbudzinski94) #4

Zrobione, oto OTL:

 

http://wklej.org/id/1269820/


(Acorus) #5

Log jest niekompletny(obcięty)


(Pbudzinski94) #6

Ahh wybacz.

 

http://wklej.org/id/1269857/


(Acorus) #7

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
SRV - [2014-01-29 14:17:45 | 000,493,568 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=dsts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=dsts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=dsts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=dsts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hpts=1391001397from=ilduid=SAMSUNGXSP0812C_S01UJ20Y536007
O2:64bit: - BHO: (PPDDFViEweiR) - {FC8061DC-36C9-3162-52CE-3DFBD6FB8D43} - C:\ProgramData\PPDDFViEweiR\alVSa3x0Ud.x64.dll ()
O2 - BHO: (YouTaueAdBlocker) - {A21A3CAD-13E9-76EB-84AD-F38DA4BBC464} - C:\ProgramData\YouTaueAdBlocker\w.dll ()
O2 - BHO: (PPDDFViEweiR) - {FC8061DC-36C9-3162-52CE-3DFBD6FB8D43} - C:\ProgramData\PPDDFViEweiR\alVSa3x0Ud.dll ()
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found
O4 - HKCU..\Run: [Apps Hat] C:\Users\patryk\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe ()
O4 - HKCU..\Run: [NextLive] C:\Users\patryk\AppData\Roaming\newnext.me\nengine.dll (NewNextDotMe)
[2014-02-11 16:31:59 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-31 00:45:28 | 000,000,000 | ---D | C] -- C:\ProgramData\PPDDFViEweiR
[2014-01-31 00:45:27 | 000,000,000 | ---D | C] -- C:\ProgramData\ianhnehiigjaiimofohglmbhlpgblgkg
[2014-01-30 22:06:04 | 000,000,000 | ---D | C] -- C:\ProgramData\YouTaueAdBlocker
[2014-01-30 22:06:03 | 000,000,000 | ---D | C] -- C:\ProgramData\ldlchkhphibimooccpaoonofhkaknpjl
[2014-01-29 14:19:06 | 000,000,000 | ---D | C] -- C:\Users\patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
[2014-01-29 14:17:45 | 000,000,000 | ---D | C] -- C:\ProgramData\WPM

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Pbudzinski94) #8

Poszło:

http://wklej.org/id/1269953/

 

Czy jest sposób, aby sprawdzić czy faktycznie pozbyłem się już lyrmix'a?

 

Mimo wszystko wydaje mi się, że jest ok, wszystko chodzi płynniej i nie ma spamu reklam. Wielkie dzięki za pomoc :slight_smile:

 

Nie wiem też w jaki sposób zwróciło mi się 16 GB miejsca na dysku, nie tracąc przy tym pożądanych plików. :slight_smile: