usporen komp-mis koci

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Zdravo. Trazim vec 3 dana slicnu temu ali nisam uspeo. Izvinjavam se ako mi je promakla.Problem je poceo tako sto je windows prijavljivao neku "generic host..." gresku, na zalost, nisam uspeo da je snimim, tako da je pravila problem sa zvucnom kartom(?/!) Mislio sam da je sistem malo pobrljavio pa sam izvrsio repair sa diska i tu izgleda pogresio. Posle toga je komp totalno usporio, ponekad cak nece ni da digne sistem. Ima li neko ideju? Ili format? Skenirao sam KAV-om u safe modu-nista. Ewido-nista. Spy bot - nista.Evo log-a.

Logfile of HijackThis v1.99.1
Scan saved at 4:23:00 PM, on 6/1/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Danko\Desktop\New Folder\TR3.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovo što si postavio ti je čisto. Nema vidljivog malware-a. Jedno što mogu da vidim kao eventualni problem su ti ovi dodaci koji dolaze uz SweetIM.

Koliko dalje čitam tvoj post, problem je tek kulminirao kada si pokušao da repairaš win.. Moguće je i da tu nešto nije "leglo" kako treba. Što se "Generic Host Process error"-a tiče to si trebao da prepišeš i potražiš na Google-u. Na sajtu Majkrosofta postoje zakrpe koje rešavaju takve probleme.

Pošto ovde nećeš dobiti savet za format (sem ako to nije jedino moguće rešenje problema) i scan gmerom ne pokaže neki rootkit na računaru, prebaciću ti temu u windows deo foruma, možda neko tamo može da ti ponudi konkretnije rešenje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ok, hvala.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pošto vidim da si online sada.. daj da proverimo još nešto za svaki slučaj..

Uradi sledeće:
Preuzmi fajl gmer.zip sa ovog linka i sačuvaj na Desktop-u.
Raspakuj ga u neki folder.

Dupli klik na gmer.exe za početak: Izaberi Rootkit Tab na vrhu.
Klikni na Scan.
Kada je skeniranje završeno, klik na Copy dugme ispod - ovo će sačuvati to u Clipboard.
U polju za pisanje poruke na forumu klikni desno dugme misa i odaberi opciju Paste.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Vazi. sad cu to uraditi i saljem izvestaj.

Dopuna: 02 Jun 2007 21:37

Ovako. Nemoguce je ovo odraditi. U toku skeniranja puca sistem(poplavi ekran) i trazi da reinstaliram neki hardware ili software(poslednji,ako dobro razumem), proveru bios-a i sl. Na kraju pise "begining dump of physical memory".

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@dankisa

Upascu u temu sa sledecim uputstvom, a sutra ce kolega da nastavi.

Pogledaj sledecu temu:
http://www.mycity.rs/AV-Objavljeni-radovi/Uklanjan.....Sword.html

Napisi nam ovde koje linije su ti obelezene crvenom bojom.
Linije koje pokazuju na sledece drajvere su legitimne, njih ne moras da pises:
klif.sys <-- Kaspersky Antivirus

Ili, ukoliko ti je lakse, postavi nam ovde screenshotove na kojima se vide crvene linije, naravno, ukoliko ih uopste ima.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nema crvenih linija.

Dopuna: 03 Jun 2007 9:17

Pardon, pogresio sam.Pozurio sam, nisam pratio uputstva pazljivo. Izvinjavam se. Sad cu prepisati crvene linije.

Dopuna: 03 Jun 2007 9:39

process-nema.
win 32-nema.
SSDT:
1. 0x74 0xBA579F70 KL1.sys 0x805715E7 Ntopenfile

2. 0x7A 0xB90F18AC \??\c\programfiles\grisoft\avganti-spyware7.5\guard.sys
0x8057459E Ntopenprocess

3. 0xF1 0xF758E450 VAX347b.sys 0x8066608F ntsetsystempowerstate

4. 0x101 0xB90F1812 \??\c\programfiles\grisoft\avganti-spyware7.5\guard.sys 0x8058AE1E
ntterminateprocess

To je sve. klif.sys nisam pisao.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

KL1.sys pripada Kasperskom.
guard.sys pripada AVGu
VAX347b pripada programu Alcohol 120%.

Probaj da deinstaliras Alcohol 120%, posto je poznato da on cesto moze da bude uzrok raznih problema, pa i ovakvih kakve ti imas sa svojim sistemom.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Alkohol sam deinstalirao davno ali vidim da je ostao u programima...Ima opciju uninstall ali tada izbacuje "This actions is only valid for products that are currently installed".

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Predji u Safe Mode i tu pokusaj da pronadjes i obrises sledeci fajl:
VAX347b.sys

Uputstvo za ulazak u Safe Mode imas ovde:
http://www.mycity.rs/Uputstva-sa-ex-SuperSajta/Kako-uci-u-SAFE-MODE.html