Jak usunąć niekasowalny wpis InProcServer32 i przyspieszyć komputer?

Witam.
Mam komputer brata. Od pewnego czasu jego komputer uruchamia się ok. 5 minut, strasznie zwolnił działanie i ciągle coś "mieli" na dysku, a wyłącza się również długo. Oczyściłem rejestr kilkoma programami, uruchomiłem ComboFix i pomogło to tylko trochę. Program EasyCleaner nie może usunąć jednego wpisu. Kiedyś ze swoim komputerem miałem taki sam problem, strasznie zamulał i grzechotał bez przerwy na dysku i też nie można było usunąć InprocServer32, tyle że po prostu przywróciłem ghosta systemu sprzed miesiąca i było po kłopocie. Brat niestety nie robi ghosta, a odzyskiwanie systemu niczego nie zmieniło. Załączam log HijackThits, do tego opis sprzętu z Everest i log z ComboFix oraz wynik z EasyCleaner.

Zasilacz - marka i moc?
Sprawdź napięcia zasilacza miernikiem - +5V według Everest poza normą ATX.
Wykonaj test dysku programem HDTune i pokaż nam wszystkie jego zakładki.

Napięcia to 5,05 V i 12,11 V, zasilacz FEEL-300ATX.
Pomiar dysku zrobiłem już wczoraj programem HDDScan, dysk był podłączony do mojego komputera. Wykonałem też test MHDD32, wyniki to:
<3 ms - 846591
<10 ms - 379097
< 50 ms - 124
Jeżeli to nie wystarczy, poszukam HDTune i zrobię test.

Wykonaj skany wedle instrukcji:
https://www.elektroda.pl/rtvforum/topic1044160.html

Skanowanie Dr.Web nic nie wykazało.
Wklejam fragment mbam log o znalezieniu zainfekowanych wpisów:

Zainfekowanych kluczy rejestru:
HKEY_CLASSES_ROOT\CLSID\{1e0de227-5ce4-4ea3-ab0c-8b03e1aa76bc} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-f3embed (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.

Nadal wpis w rejestrze
Software\Classes\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}\InprocServer32
nie da się usunąć.

Cytat:

Software\Classes\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}\InprocServer32
nie da się usunąć.

To nieszkodliwy CLSID, związany z Macromed\Flash
Sposób na jego usunięcie jest podany tu>http://forums.techarena.in/windows-xp-support/936506.htm

Infekcja była, bo w logu ComboFixa widać jej resztki, m.in. fałszywe pliki Microsoftu.
Wklej do Notatnika:

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
.

Dziękuję ordynat1, komputer znacznie się uspokoił, nadal jednak co ok. 5 sekund, coś się dzieje na dysku, chociaż w menedżerze zadań niewiele da się zauważyć, jedynie widać skaczące użycie procesora w momencie dźwięków z dysku. Jutro spróbuję usunąć ten wpis InprocServer32.

Operacja udała się połowicznie, bo okazało się, że te fałszywe pliki Microsoftu mają swoje zapasowe kopie.
Ściągnij -->Avenger.
wklej do niego ten tekst:

Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

Cytat:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Msnmsgr.exe REG_SZ c:\lsass.exe

Sam klucz jest OK, ale jego wartości niezupełnie: u mnie nie ma Msnmsgr.exe, a c:\lsass.exe jest na pewno "złe".
Najchętniej dałbym obie te wartości do usunięcia, ale poprzestaniemy na usunięciu tej najgorszej:

Cytat:

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
>w okienku po prawej zaznacz: Msnmsgr.exe>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy zaznacz: c:\lsass.exe>>prawoklik>>usuń
>zwiń ten klucz, klikając na (-).

Daj nowy log.
.

Zrobione, logi w załączniku.

Dopisuję w nocy:
Coś ciągle się dzieje na dysku. Zauważyłem tworzenie się plików o nazwie MAR(kolejne liczby).tmp oraz MAR(kolejne litery).tmp, które tworzą się w folderze C:\Documents and Settings\NATALIA\Ustawienia lokalne\Temp. To przykładowa treść jednego z plików, MAR16.tmp:

[Version]
;<FileName>=<Version> ; Version of the given merged file name with this one
ThisFile=1 ; Version number of this file

[Options]
DeleteAfterMerge=1 ; Whether this file should be deleted after merging with the base file

[.RedBoxTAPI]
MergeFiles=*.rif ; Search Pattern for Merge files
DebugFlags=0x00000000
InitialDelay=0 ; Number of seconds to delay initialization
PollInterval=5 ; Number of sec between TA polling of PlugIn
InitsPerPoll=-1 ; Number of PlugIns to initialize at each Poll tick (-1 -> all)
DebugFileName= ; Filename for Debug Output
ResetDebugFile=1 ; 1 => delete file at startup

; Normally an upgrade will only add those sections that are not in
; the previous version of this file. However you can force certain
; sections to be replaced by listing them here.
[Upgrade Section Overrides]
;<Index>=<Section Name>

; This is how individual fields in any section can be overridden
; Currently the only field that this should be done to is the Version
; field under the root (i.e., [.MarsTAPI]) so that the 'official' file
; always has the latest version marked
[Upgrade Field Overrides]
;<Index>=<Section>,<Keyword>,<Data>
1=Version,ThisFile,1 ; MUST TRACK [Version]:ThisFile=

Ściągnij >OTL >http://oldtimer.geekstogo.com/OTL.exe
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Cytat:

:OTL


:Files
C:\Documents and Settings\NATALIA\Ustawienia lokalne\Temp

:Commands
[emptytemp]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".
Pokaż nowy log OTL.txt oraz raport z usuwania.
.

Zrobiłem, załączam pliki. Nadal komputer bardzo długo włącza i wyłącza się.

W folderze C:\WINDOWS\System32\dllcache masz dużo plików, które na pewno nie są plikami Systemowymi. Wyglądają na niegroźne, więc je zostawiam w spokoju.
Usuniemy tylko to:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Cytat:

:OTL


:Files
C:\WINDOWS\clofghls.dll

:Commands
[emptytemp]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij "Run Scan".
Pokaż nowy log OTL.txt oraz raport z usuwania.

Jak widać w raporcie z usuwania, w folderze C:\Documents and Settings\NATALIA\Ustawienia lokalne\temp nie było ani jednego obiektu, o których pisałeś.

.

Przesyłam kolejne logi. Niestety, wczoraj i dzisiaj, po działaniu OTL, komputer wcale się nie wyłączył, po 15 minutach musiałem go resetowac (właśnie dodatkowo okazuje się, że nie mogę pisac litery "ci", bo wyskakuje Panel Catalyst Control Center - a tego dotąd nie było).

Co do plików w folderze C:\Documents and Settings\NATALIA\Ustawienia lokalne\temp, które mają nazwy np. MAR5.tmp, to dzisiaj, po włączeniu komputera, one były, 5 sztuk. Na moich oczach stworzyły się dwa następne, bodaj MAR9 i MARA. Po działaniu OTL, zostały dwa pliki MAR5 i MAR6, a w czasie pisania tego postu, powstały następne MAR3 i MAR4.

Dodaję:
- Znalazłem uruchomiony skrót klawiszowy, "ć" już mogę pisać
- Pliki MAR dają się normalnie kasować

Ja nie widzę w logu nic podejrzanego.
W necie znalazłem 813 stron z tym "MAR5.tmp". Zawsze to było usuwane, ale nigdzie nie znalazłem odpowiedzi, co powoduje ich powstawanie.
Sprawdź któryś z tych plików na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN

Na jednym z tych plików zrób >prawoklik>>Otwórz za pomocą,>wybierz:Notatnik>podaj tu treść.
.

Też szukałem przyczyny powstawania tych plików i nie znalazłem. One ciągle powstają, jakiś proces je tworzy, bo słychać łagodne grzechotanie dysku. Mimo skasowania plików tmp, już mam je znowu, są MAR3 do 6 i cały czas dysk od czasu do czasu pomrukuje. Nadal system długo się uruchamia, ok. 7 minut, ostatnie wyłączenie (z napisem o wyłączaniu komputera) trwało18 minut.

Dodam, że foldery i programy otwierają się bardzo wolno, mniej-więcej jak na moim starszym komputerze z procesorem 1,2 GHz, a tutaj jest 3,06 GHz.

No to przynajmniej wiemy, że pliki nie są szkodliwe.
Natomiast z treści pliku można wywnioskować, że tworzy je ... drukarka.
A ściślej: drukarka laserowa HP.
Będzie bardzo dziwnie, jeśli okaże się, że nie masz takiej drukarki.
.Ale jeśli masz, to zapomnij o tych plikach, tym bardziej, że nie są szkodliwe.
.

Rano rozmawiałem z bratem (to jego komputer, a ściślej, główną użytkowniczką jest córka Natalia, co widać w logach) i mówił, że zaczął instalować tę drukarkę, ale czegoś nie wiedział i nie dokończył instalacji. Drukarki oczywiście nie mam, jest to Deskjet D1500 atramentowa. Poza tym przyznał, że nie wiedzieli z córką, iż należy wyinstalować programy i po prostu kasowali foldery z programami.

Same pliki to pół biedy, gorzej że powstają wskutek nieznanego procesu, który zmusza dysk do ciągłego działania. Najbardziej mnie martwi znaczne spowolnienie komputera.

18.06.2010 r.:
Sprawdziłem dysk dwoma programami, zrobiłem testy pamięci i procesora, nie ma błędów. Zainstalowałem najnowsze sterowniki. Wyinstalowałem drukarkę, czyściłem rejestry paroma programami, ale komputer muli coraz bardziej. Dziękuję kolegom za pomoc, niestety nie udało się.