kuba7
(kuba.)
21 Luty 2013 19:46
#1
Witam. Od paru dni laptop zaczął się grzać, coś powodowało, że wskakiwał na ‘wysokie obroty’ co wcześniej miało miejsce tylko w przypadku uruchomienia gry. W menadżerze zadań znalazłem dziwny proces ‘gc.exe’. Po jego zamknięciu praca laptopa wraca do normy. Znajduje się on w folderze ‘Miner’, a grzebiąc po sieci dowiedziałem się, że to może być wirus. Usunąłem owy folder, ale po każdym uruchomieniu komputera wraca on na swoje miejsce. Proces ‘gc.exe’ też sam się uruchamia po pewnym czasie od jego zamknięcia.
Logi z OTL.TXT: http://www.wklejto.pl/150275
Logi z EXTRAS.TXT: http://www.wklejto.pl/150276
Atis
(Atis)
21 Luty 2013 20:02
#2
Odinstaluj BrowserProtect i Delta Chrome Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=1198 … 85de5c57ee IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=1198 … 85de5c57ee IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=4241c5cd000000000000dc85de5c57ee FF - prefs.js…browser.search.selectedEngine: “Delta Search” FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2013-02-20 12:50:53 | 000,000,000 | —D | M] O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\Run: [AdobeUpdater-1.1] C:\Users\Kuba\AppData\Roaming\AdobeUpdate.exe () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () [2013-02-21 17:05:53 | 000,000,000 | —D | C] – C:\Users\Kuba\AppData\Roaming\Miner [2013-02-20 12:50:42 | 000,000,000 | —D | C] – C:\ProgramData\BrowserProtect [2013-02-20 12:50:53 | 000,000,000 | —D | C] – C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
kuba7
(kuba.)
21 Luty 2013 20:22
#3
Atis
(Atis)
21 Luty 2013 20:34
#4
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:[Klik](http://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page p 50#entry50)
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
kuba7
(kuba.)
21 Luty 2013 21:40
#5
‘Skanowanie zakończone pomyślnie. Nie znaleziono zagrożeń’
Dzięki wielkie za pomoc.