Jak usunąć? - najpewniej lyrmix - system XP


(Igorleszczynski) #1

Witam,

 

Proszę o pomoc, najprawdopodobniej złapałem wirusa Lyrmix i nie wiem jak się go pozbyć, ogólnie procesor od jakiegoś czasu co raz to bardziej zaczyna zamulać - pierwsze objawy zaczęły się pojawiać około 2 miesięcy temu stąd filtr w OTL na pliki młodsze niż 90 dni.

 

OTL:

http://wklej.org/hash/cdb0fbd3b32/

 

Ekstras:

http://wklej.org/hash/45088c88722/

 

Z góry dziękuję za wszelką pomoc.


(Acorus) #2

Odinstaluj Bundled software uninstaller,Bonanza Deals (remove only),Delta toolbar,Delta Chrome Toolbar,Foxtab,YAC,LinkSwift 3.0.0,Search.us.com,Update_for_BonanzaDeals.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń)

Pokaż nowy OTL.txt


(Igorleszczynski) #3

Dziękuję za zajęcie się moim problemem.

 

Zrobiłem wszystko wg instrukcji, przy czym proszę o informację, dlaczego zostało wskazane do odinstalowania oprogramowanie "YAC" - to jest narzędzie "czyszczące" system ze śmieci, szukające również adwearów itp.. - są jakieś informacje aby było one zaliczane do oprogramowania "groźnego"? (to nie jest żadne negowanie, bo wiem Acorus że jesteś tutaj ekspertem, nie mniej chciałbym wiedzieć, czy nie mogę tego Yac przywrócić).

 

Raporty po wykonaniu ww.

 

Adwcleaner

http://wklej.org/hash/8fae1c7a283/

 

OTL:

http://wklej.org/hash/511f1e83b35/

 

Ekstras:

http://wklej.org/hash/c6266a43e19/

 

Proszę o dalsze instrukcje.


(Acorus) #4

Po co Ci Yac jak mamy Malwarebytes.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\Program Files\iSafe\iSafeNetFilter.sys -- (iSafeNetFilter)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://http://www.golsearch.com//?babsrc=HP_ss_Btisdt6mntrId=6C500014A459C02BaffID=123627tsp=5007
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [NextLive] C:\Documents and Settings\Igor\Dane aplikacji\newnext.me\nengine.dll (NewNextDotMe)
[2014-02-04 20:31:09 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-01-30 20:03:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Dane aplikacji\eCyber
[2014-01-30 20:02:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Dane aplikacji\iSafe
[2013-12-29 15:17:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Dane aplikacji\Bonanza
[2013-12-26 16:31:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\.android
[2013-12-26 16:30:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Dane aplikacji\newnext.me
[2013-12-26 16:30:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Ustawienia lokalne\Dane aplikacji\genienext
[2013-12-26 16:30:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Ustawienia lokalne\Dane aplikacji\Mobogenie
[2013-12-26 16:30:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Igor\Moje dokumenty\Mobogenie
[2014-02-04 20:22:00 | 000,000,420 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2014-02-04 20:17:00 | 000,000,422 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2014-01-17 18:49:06 | 000,000,296 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/


(Igorleszczynski) #5

 

Ok, przyjmuję :slight_smile:

 

Zrobiłem skan, znalazło mi 9 rekordów, 8 z automatu usunąłem, jednego nie jestem pewien (wykryte pliki) bo to jest plik z dobreprogramy.pl :shock: > mam go też usunąć?

 

Raport z MLAB

http://wklej.org/hash/ec256ad9733/

 

Rozumiem że poza ww. to już wszystko? Jeżeli tak proszę o potwierdzenie i dziękuję za pomoc, natomiast jeżeli jeszcze coś pozostało do zrobienia to proszę o wskazówki.


(Acorus) #6

Też usuń.To wszystko.


(Igorleszczynski) #7

Niestety trochę się pospieszyłem z informacją, że problem mam już za sobą..

 

Na kurniku cały czas mam komunikat, że prawdopodobnie Lyrmix ciągle na mojej stacji roboczej istnieje (chyba że się mylą? :-x ).

 

MLAB oraz adwcleaner nic nie wykryły, mimo to wrzucam logi z OTL (zrobione dosłownie przed sekundą) - proszę o weryfikację.

 

OTL:

http://wklej.org/hash/6d94286c855/

 

Ektras:

http://wklej.org/id/1264695/

 

Dodatkowo przy każdym otworzeniu strony w trakcie jej ładowania mam dziwną sytuację > strona się ładuje (obraz jest normalny) po czym pod koniec ładowania każdorazowo na górze pojawia mi się tak jakby akapit z białym tłem i napisem "ads not by this site" - co to jest? Do niczego mi to niepotrzebne, a powoduje tylko rozjazdy strony :confused: - dla lepszego zobrazowania wklejam screen (nie zakładałem osobnego tematu do tego, bo chyba się mija z celem, ale jeżeli Admin uważa inaczej proszę o info).


(Acorus) #8

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
[2014-01-27 23:18:55 | 000,000,000 | ---D | M] ("PutLockerDownloader V6.0") -- C:\Documents and Settings\Igor\Dane aplikacji\Mozilla\Firefox\Profiles\6l3czik0.default-1382144933156\extensions\2142c4b4-74c0-4c8d-9be5-fdb4bf61b17b@fa0a20eb-0225-46ef-ba03-84e45a86b7d9.com
[2014-02-06 22:42:49 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2014-02-06 22:45:57 | 000,002,194 | ---- | M] () -- C:\WINDOWS\tasks\PutLockerDownloader V6.0-firefoxinstaller.job
[2014-02-06 22:45:57 | 000,001,360 | ---- | M] () -- C:\WINDOWS\tasks\PutLockerDownloader V6.0-updater.job
[2014-01-30 20:06:52 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.


(Igorleszczynski) #9

 

Ww. po restarcie firefoxa już nie występuje.

 

Temat już teraz zakończony - na kurniku komunikatu o Lyrmixie nie pokazuje, żadne reklamy itd.. się nie pojawiają - dziękuję za pomoc.