Wirus Miner, problem z gc.exe

kuba7 · 21 Luty 2013 19:46

Witam. Od paru dni laptop zaczął się grzać, coś powodowało, że wskakiwał na ‘wysokie obroty’ co wcześniej miało miejsce tylko w przypadku uruchomienia gry. W menadżerze zadań znalazłem dziwny proces ‘gc.exe’. Po jego zamknięciu praca laptopa wraca do normy. Znajduje się on w folderze ‘Miner’, a grzebiąc po sieci dowiedziałem się, że to może być wirus. Usunąłem owy folder, ale po każdym uruchomieniu komputera wraca on na swoje miejsce. Proces ‘gc.exe’ też sam się uruchamia po pewnym czasie od jego zamknięcia.

Logi z OTL.TXT: http://www.wklejto.pl/150275

Logi z EXTRAS.TXT: http://www.wklejto.pl/150276

Atis · 21 Luty 2013 20:02

Odinstaluj BrowserProtect i Delta Chrome Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=1198 … 85de5c57ee IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=1198 … 85de5c57ee IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\SearchScopes{006ee092-9658-4fd6-bd8e-a21a348e59f5}: “URL” = http://feed.snap.do/?publisher=QuickObr … type=ds&q={searchTerms} IE - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=4241c5cd000000000000dc85de5c57ee FF - prefs.js…browser.search.selectedEngine: “Delta Search” FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\{58bd07eb-0ee0-4df0-8121-dc9b693373df}: C:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension [2013-02-20 12:50:53 | 000,000,000 | —D | M] O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3131932432-661650378-3350891587-1002…\Run: [AdobeUpdater-1.1] C:\Users\Kuba\AppData\Roaming\AdobeUpdate.exe () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1095.52{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll () [2013-02-21 17:05:53 | 000,000,000 | —D | C] – C:\Users\Kuba\AppData\Roaming\Miner [2013-02-20 12:50:42 | 000,000,000 | —D | C] – C:\ProgramData\BrowserProtect [2013-02-20 12:50:53 | 000,000,000 | —D | C] – C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.