prośba o sprawdzenie logów - wolny komp

[jkazan]

Witam
Komputer jest strasznie wolny. Strony www się uruchamiaja strasznie wolno.
Prośba o spr. logów:

EXRAS: http://www.wklej.eu/index.php?id=9b99ae1fb7
OTL: http://www.wklej.eu/index.php?id=6cba515514
GMER: http://www.wklej.eu/index.php?id=fe5580a110

Pliki z katalogu prefetch usunalem recznie po przepr. logów.

Pozdrawiam
JK

[mateo8898]

Syfu sporo.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL
MOD - [2011-08-15 08:22:39 | 000,199,168 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\csrss.exe
MOD - [2011-08-13 15:11:56 | 000,198,656 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe
MOD - [2011-08-13 15:10:27 | 000,192,512 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\Microsoft\conhost.exe
MOD - [2011-08-05 22:40:24 | 000,726,016 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe
MOD - [2011-08-05 11:17:09 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe
MOD - [2011-08-05 11:15:22 | 000,348,672 | ---- | M] () -- C:\WINDOWS\update.5.0\6011.exe
MOD - [2011-08-05 11:06:06 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe
MOD - [2011-08-05 11:06:06 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe
MOD - [2011-07-18 11:18:35 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
MOD - [2011-07-18 11:09:14 | 001,170,432 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe
MOD - [2010-01-01 01:38:15 | 000,040,960 | ---- | M] () -- C:\WINDOWS\system32\winszd32.dll
SRV - [2011-08-05 22:40:24 | 000,726,016 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)
SRV - [2011-08-05 11:15:22 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\6011.exe -- (srvbtcclient)
SRV - [2011-08-05 11:06:06 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-07-18 11:09:14 | 001,170,432 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)
IE - HKU\S-1-5-21-1060284298-1677128483-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:59273
O4 - HKLM..\Run: [5022439.exe] C:\WINDOWS\TEMP\5022439.exe ()
O4 - HKLM..\Run: [900891.exe] C:\WINDOWS\TEMP\900891.exe ()
O4 - HKLM..\Run: [9634322.exe] C:\WINDOWS\TEMP\9634322.exe ()
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Użytkownik\Dane aplikacji\Microsoft\conhost.exe ()
O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe ()
O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\update.1\svchost.exe ()
F3 - HKU\S-1-5-21-1060284298-1677128483-725345543-1003 WinNT: Load - (C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\csrss.exe ()
O20 - HKU\S-1-5-21-1060284298-1677128483-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe ()
O20 - Winlogon\Notify\winszd32: DllName - winszd32.dll - C:\WINDOWS\System32\winszd32.dll ()
[2011-07-18 11:18:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-07-18 11:18:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer
[2011-07-18 11:18:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-07-18 11:16:39 | 000,000,000 | ---D | C] -- C:\Microsoft
[2011-07-18 11:23:25 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar
[2011-07-18 11:23:25 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe
[2011-07-18 11:18:49 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar
[2011-07-18 11:18:49 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar
[2011-07-18 11:18:38 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar
[2011-07-18 11:18:35 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe
[2011-07-18 11:16:28 | 000,169,472 | ---- | M] () -- C:\WINDOWS\gbot111.exe
[2011-07-18 11:15:25 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011-07-17 03:24:20 | 004,636,907 | ---- | M] () -- C:\WINDOWS\geoiplist
[2011-07-18 11:14:22 | 000,015,733 | ---- | C] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\3696.6C0

:Files
C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe
C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\csrss.exe
C:\Documents and Settings\Użytkownik\Dane aplikacji\Microsoft\conhost.exe
C:\WINDOWS\update.2
C:\WINDOWS\l1rezerv.exe
C:\WINDOWS\update.5.0
C:\WINDOWS\sysdriver32_.exe
C:\WINDOWS\sysdriver32.exe
C:\WINDOWS\systemup.exe
C:\WINDOWS\update.1
C:\Documents and Settings\Użytkownik\Dane aplikacji\dwmu.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\S-1-5-21-1060284298-1677128483-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LanguageShortcut"=-
"Monitor"=-
"nwiz"=-
"SoundMan"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Użytkownik\Pulpit\Flash-Player.exe"=-
"C:\WINDOWS\update.1\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
"C:\WINDOWS\update.2\4927.exe"=-

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[jkazan]

Dzięki za skrypt ale jest coś źle.

Gdy próbuje wykonać skrypt, resetuje mi sie komputer.
Po resecie nic sie nie dzieje.

Poniżej ponownie zamieszczam logi po próbie wykonania skryptu:

OTL: http://wklej.eu/index.php?id=ce8b296fc4

EXTRAS: http://wklej.eu/index.php?id=9687747828

[mateo8898]

Powtórz usuwanie w trybie awaryjnym i podaj nowe logi.

[jkazan]

Ok.

Udało mi sie uruchomić skrypt w trybie awaryjnym.

Raport z wykonania skryptu: http://www.wklej.eu/index.php?id=1369e902f1

na tym komputerze jest chyba blaster; w trybie awaryjnym mam okienko z odliczaniem od 1 min w dol i po tym czasie nastepuje restart. W trybie normalnym nie ma tego

[mateo8898]

To nie Blaster, on już praktycznie "wyginął".

Podaj jeszcze nowe logi robione opcją Skanuj.

[jkazan]

Ok. Podaje nowe logi z OTL + GMER:

EXTRAS: http://www.wklej.eu/index.php?id=3e27efe5e1

OTL: http://www.wklej.eu/index.php?id=0e7bf22460

GMER: http://www.wklej.eu/index.php?id=dd51befa6c

Co jest jeszcze nie tak?

W dzialaniu kompa jest zasadnicza poprawa.Komp zamyka sie juz normalnie
Jednak zainstalowalem NOD32 i pokazuje dalej wirusy - co pare chwil wyskakuje okienko o zablokowanej witrynie: zonedg.com......cos tam dalej

[mateo8898]

Jeszcze nie wszystko poszło. W OTL wklej:

:OTL
MOD - [2011-08-16 22:56:53 | 000,209,920 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\csrss.exe
MOD - [2011-08-16 22:56:16 | 000,197,632 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe
MOD - [2011-08-16 22:52:21 | 000,195,584 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\Microsoft\conhost.exe
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Użytkownik\Dane aplikacji\Microsoft\conhost.exe ()
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
F3 - HKU\S-1-5-21-1060284298-1677128483-725345543-1003 WinNT: Load - (C:\DOCUME~1\UYTKOW~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Użytkownik\Ustawienia lokalne\Temp\csrss.exe ()
O20 - HKU\S-1-5-21-1060284298-1677128483-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe) - C:\Documents and Settings\Użytkownik\Dane aplikacji\dwm.exe ()
O20 - Winlogon\Notify\winszd32: DllName - winszd32.dll - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-08-16 23:49:41 | 000,024,209 | ---- | M] () -- C:\Documents and Settings\Użytkownik\Dane aplikacji\3696.6C0
[2011-07-18 11:14:55 | 000,000,202 | ---- | C] () -- C:\WINDOWS\info1

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_USERS\S-1-5-21-1060284298-1677128483-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

:Commands
[reboot]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[jkazan]

Raport z wykonania skryptu po resecie mi sie nie pokazal.
Nowe logi z OTL:


OTL: http://www.wklej.eu/index.php?id=a1b0f4d1b8

EXTRAS: http://www.wklej.eu/index.php?id=8999715aa5


Powykonaniu skryptu zmienily misie ustawienia firefoxa dotyczace proxy.
nie moglem odpalic internetu bo serwer proxy mi sie zrobil: 127.0.0.1

[mateo8898]

Wyłącz całkowicie proxy w ustawieniach Firefoksa.

Poza tym więcej nic nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html

Odinstaluj starą wersję Firefoksa:

Mozilla Firefox (3.0.19)

i zainstaluj najnowszą https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

[jkazan]

Sprzatanie wykonane.

Dysk i rejestr przeczyszczony CCleanerem.
(po restarcie, mimo, ze nie uzywam IE jego pamiec podreczna wg ccleaner wynosi ok 2mb;
pamiec FF tez jest duza)

FF i Malwarebytes' Anti-Malware zainstalowane.
Malwarebytes' Anti-Malware wykryl sporo wirusow. Raport z usuwania ponizej

http://www.wklej.eu/index.php?id=8718cdacba

SP3 sciagnei zainstaluje dzis w nocy.

Dzieki za pomoc.

[kominekl]

Zaktualizuj SP3. Malwarabytes znalazł tylko resztki w punktach przywracania nic takiego. Opróżnij kwarantannę Malwarebytes. Nie zaznaczyłeś Crack`ów, czyli są z pewnego źródła?