Komputer wolniej chodzi. Opera po 2-3 zamyka się

[pawel_gas]

Witam
Od jakiegoś czasu komputer jakby wolniej chodzi. A teraz jeszcze Opera po 2-3 sekundach się ciągle zamyka.
Prosze o pomoc i jakieś sugestie. podaję logi:
OTL.Txt
http://www.wklej.eu/index.php?id=5945419e9d
Extras.Txt
http://www.wklej.eu/index.php?id=cc3128a610

Z góry dziękuję za pomoc
Pozdrawiam
pawel_gas

[kominekl]

Był tu chyba używany Combofix. Podaj z Niego raport. Odinstaluj HijackThis.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

DRV - File not found [Kernel | On_Demand | Running] --  -- (catchme)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\[email protected]/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab (MainControl Class)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
@Alternate Data Stream - 166 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7E95B6FD
@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:2BE9FEFC

:Files
C:\WINDOWS\ERUNT
C:\SDFix
C:\Program Files\Trend Micro
C:\Documents and Settings\User01\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation
C:\Documents and Settings\User01\Dane aplikacji\Symantec
C:\WINDOWS\System32\drivers\vproeventmonitor.sys
C:\WINDOWS\System32\drivers\v2imount.sys
C:\Documents and Settings\User01\Pulpit\SDFix1.240.exe
C:\WINDOWS\System32\4234089482.sys

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ControlCenter2.0"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj Skrypt. Dajesz log z usuwania + nowe logi z OTL.

[pawel_gas]

Witam
Dziekuję za szybką odp.
Zrobione
HijackThis odinstalowany, skrypt wykonany http://www.wklej.eu/index.php?id=8ac34830f7

To nie był combofix tylko SDfix raport http://www.wklej.eu/index.php?id=71d0df2c49
jeszcze profilaktycznie używam ccleaner

nowe logi z OTL:
http://www.wklej.eu/index.php?id=5af27b562f
http://www.wklej.eu/index.php?id=4cb4ea04c2

[mateo8898]

Jak już to skrypt powinien wyglądać tak, bo tamten usuwa prawidłowe pliki:

:OTL
IE - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-1417289158-2933258430-3330087080-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

:Files
C:\Documents and Settings\User01\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation
C:\Documents and Settings\User01\Dane aplikacji\Symantec
C:\WINDOWS\System32\drivers\vproeventmonitor.sys
C:\WINDOWS\System32\drivers\v2imount.sys

:Commands
[clearallrestorepoints]
[emptytemp]

[pawel_gas]

czy to duży problem?

[pawel_gas]

mam wprowadzić prawidłowy skrypt?

[mateo8898]

No teraz już nie. Wyciągnij plik 4234089482.sys z kwarantanny OTL (czyli z folderu C:\_OTL ) i wrzuć do folderu C:\WINDOWS\System32

Podaj także brakujący log z Gmer viewtopic.php?f=22&t=13967#p88736

[pawel_gas]

nie mam takiego folderu C:\_OTL ani nie znajduje pliku 4234089482.sys
podaję loga z Gmer:
http://www.wklej.eu/index.php?id=dee5c86e32

[kominekl]

No teraz już nie. Wyciągnij plik 4234089482.sys z kwarantanny OTL (czyli z folderu C:\_OTL ) i wrzuć do folderu C:\WINDOWS\System32

A cóż to za plik? Ja Go nie kojarzę. Ponadto ta losowa nazwa... . Do autora: wstrzymaj się z wszelkimi instrukcjami do czasu wyjaśnienia sytuacji z tym plikiem.

[mateo8898]

Jak widać w logu, występuje w parze z plikiem KGyGaAvL.sys http://www.bleepingcomputer.com/filedb/ ... -8527.html

[kominekl]

Aha, a więc to plik od DivX`a. Zwracam honor . Spójrz jeszcze raz do kwarantanny OTL _OTL i poszukaj ponownie tego pliku. Najlepiej włącz przeszukiwania całego folderu w poszukiwaniu pliku o nazwie 4234089482 i wrzuć go do C:\WINDOWS\System32, a następnie podaj nowe logi z OTL.