PC na herstart ontzenttend traag!!!

[Unetwork]

Hier het logfile van Highjack this:

Citaat:

Logfile of HijackThis v1.99.0

Scan saved at 3:29:44 AM, on 2/14/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\nfs\portmap.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\totalcmd\TOTALCMD.EXE

c:\downloads\SP2\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat4all.com/

O1 - Hosts: 62.189.6.78 _sip._tls.sip1.callserve.com

O1 - Hosts: 62.189.6.78 _sip._ssl.sip1.callserve.com

O1 - Hosts: 62.189.6.79 _sip._tls.sip2.callserve.com

O1 - Hosts: 62.189.6.79 _sip._ssl.sip2.callserve.com

O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com

O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com

O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com

O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com

O1 - Hosts: 62.189.6.93 _sip._tls.sip7.phoneserve.com

O1 - Hosts: 62.189.6.93 _sip._ssl.sip7.phoneserve.com

O1 - Hosts: 62.189.6.108 _sip._tls.sip8.phoneserve.com

O1 - Hosts: 62.189.6.108 _sip._ssl.sip8.phoneserve.com

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_12_0.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_12_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1\program\quickstart.exe

O8 - Extra context menu item: &Yahoo! Search - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Yahoo! &Dictionary - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycdict.htm

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab

O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe

O23 - Service: TrueGrid NFS Server - Unknown - C:\nfs\nfs.exe

O23 - Service: TrueGrid Portmapper - Unknown - C:\nfs\portmap.exe

 

Let wel op dit is in safe mode gedaan...

[Gast]

Als ik alle YAHOO shit zie staan dan denk ik toch echt aan trojan en worm achtige dingen.

Zou mooi kloppen in het verhaal dat ie in safe-mode die troep achterwege laat.

 

Is wel errug veel yahoo wat de klok slaat.....!

 

<img src="/ubbthreads/images/graemlins/biggthumpup.gif" alt="" />

[Unetwork]

Ja alle yahoo had ik na het rapport al verwijderd maar dat helpt niets!

Is niet zoveel yahoo hoor, lijkt wel omdat voor elke functie dit appart gaat zoals download, messenger, weather and chat

[Con]

Ik probeer,

 

In Windows taakbeheer kun je zien welke processen er draaien, dat

zal je ongetwijfeld weten.

 

Misschien eens kijken wat de verschillen zijn tussen normale start

en de start in veilige modus en hoeveel geheugen alles pakt. (maak

van beide een screendump om goed te kunnen vergelijken)

 

Hier zou je toch (de) verschillen moeten zien als het om software gaat.

 

Met betrekking tot 4russen zou ik zeggen dat je internet niet hoeft op

te gaan. Voor hetzelfde geld heb een een of andere vieze key-generator

meegenomen naar de nieuwe installatie en dat kunnen viespeuken zijn.

 

HG CC

[Unetwork]

Dat kan ik alleen in de save mod, andere functies zijn te traag om te bekijken in de normale mod..

Eeen klik op de muis en de reactie hiervan duurd zo'n 20 minuten

[Con]

Bedoel jij hiermee dat je in de normale opstartmode je

niet met "ctr-alt-del" in "Windows taakbeheer" kan komen

bij processen? En vervolgens deze processen beeindigen?

 

HG CC.

[Unetwork]

Klopt. voor opstart Ctrl-del heb ik alleen maar minimaal 20 minuten nodig!

Dan nog wisselen naar taakbeheer nog veel langer!

 

Herstel heb ruim 1 uur gewacht, processor is 100 % belast en er zijn 4 maal gost in de taken..

130MB gebruikt van de 1GB geheugen

Waar ik me zorgen om maak waarom de processor 100% belast is?

[Con]

Wellicht kan je in de veilige modus in het register jouw

opstartprogramma's uitschakelen omdat je daar niet fatsoenlijk

bij kan komen in MSconfig. (Run en RunOnce)

 

 

 

En ook in de veilige modus de services op handmatig zetten.

 

HG CC

[Tonskidutch]

heb je meerdere accounts/users op die PC?

probeer eens een andere account..

 

ik had enkele weken geleden precies hetzelfde met dat opstarten en de cpu tot over de aanslag... werkende.

 

nadat ik via een andere user ingelogd was (ook admin) heb ik een nieuwe admin aangemaakt..

de oude administrator uit de users geknikkerd plus alle mappen uit dat profiel

en vervolgens ingelogd als admin.

 

daarmee kun je (in safe mode) nog eens aan de slag.

 

indien je overigens in safe mode ook het virtueel geheugen op 0 zet dan kun je, na de tweede keer opstarten in safe mode, de oude pagefyle.sys wissen indien die er nog in staat.

 

dan kan die pagefile in ieder geval niet gebruikt worden voor verstoppertje spelen door de bug die je hebt.

het kan overigens geen kwaad om de pagefyle / virtuele geheugen op 0 te zetten tijdelijk.

 

 

cheers

[Ome Merde]

als ie in de veilige modus wel als een speer draait en als ie het in de normale modus niet goed doet moet het een proces zijn (aansturing hardware) wat niet meer lekker loopt.

 

m.a.w, alle drivers deïnstalleren (ook voor je on-board kolder) en alle PCI kaarten eruit en dan stuk voor stuk terug plaatsen -> testen (reboot) -> driver installeren -> testen (reboot) -> etc.

 

je kan ook eens een andere CD-ROM proberen van Windows XP (je kreeg immers ook al een foutmelding tijdens de installatie). misschien veroorzaakt dit alle ellende wel, weet jij veel, kom dagelijks leipe dingen tegen met PC's <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />

 

 

 

merDe

[Unetwork]

Ik heb 2 orginel winxp sp2 pro CD's bijde zijn nu gestreamed naar de SP2 omdat de SP1 niet lukt als setup, oudere versie.

Ik ga de andere tips nogmaals proberen heb al hier een nieuwe HD 200GB liggen dus probeer ik eens een nieuwe verse install op die schijf..

[Gast]

Citaat:

Hier het logfile van Highjack this:

Citaat:

Logfile of HijackThis v1.99.0
Scan saved at 3:29:44 AM, on 2/14/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\nfs\portmap.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\totalcmd\TOTALCMD.EXE
c:\downloads\SP2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sat4all.com/
O1 - Hosts: 62.189.6.78 _sip._tls.sip1.callserve.com
O1 - Hosts: 62.189.6.78 _sip._ssl.sip1.callserve.com
O1 - Hosts: 62.189.6.79 _sip._tls.sip2.callserve.com
O1 - Hosts: 62.189.6.79 _sip._ssl.sip2.callserve.com
O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com
O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._tls.sip7.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._ssl.sip7.phoneserve.com
O1 - Hosts: 62.189.6.108 _sip._tls.sip8.phoneserve.com
O1 - Hosts: 62.189.6.108 _sip._ssl.sip8.phoneserve.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_12_0.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_3_12_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dxdllreg.exe
O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1\program\quickstart.exe
O8 - Extra context menu item: &Yahoo! Search - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycdict.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: TrueGrid NFS Server - Unknown - C:\nfs\nfs.exe
O23 - Service: TrueGrid Portmapper - Unknown - C:\nfs\portmap.exe

Let wel op dit is in safe mode gedaan...

Je neemt alvorens het onderste uit te voeren eerst een backup van al je waardevolle gegevens!

Alles wat begint met 01...als jij deze niet zelf hebt toegevoegt dan laat u dit repareren.

O1 - Hosts: 62.189.6.78 _sip._tls.sip1.callserve.com
O1 - Hosts: 62.189.6.78 _sip._ssl.sip1.callserve.com
O1 - Hosts: 62.189.6.79 _sip._tls.sip2.callserve.com
O1 - Hosts: 62.189.6.79 _sip._ssl.sip2.callserve.com
O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com
O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._tls.sip7.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._ssl.sip7.phoneserve.com
O1 - Hosts: 62.189.6.108 _sip._tls.sip8.phoneserve.com
O1 - Hosts: 62.189.6.108 _sip._ssl.sip8.phoneserve.com

Dan vind ik nog twee andere sleutels die ik niet onmiddellijk kan thuisbrengen.Daarom stip ik ze aan als verdacht.Tenzij jij iets herkend in deze cryptische omschrijving van zijnde tools/software die jij bijkomstig hebt geinstalleerd.

O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

[Unetwork]

Big John bedankt voor de tip, maar ook dit werkte niet.

Heb de backup image op een nieuwe 200Gig driver gezet en het systeem loopt weer als vanouds.

Ga strakt de oude schijf formateren want vrees toch dat de 13de visus erop is gekomen..

[Con]

En? welke gedrocht heeft jou dwarsgezeten?

 

 

HG CC

 

PS zeer nieuwsgierig!

[DeDream]

Unetwork,

Ik zag dat je TOTALCMD.EXE hebt lopen. Ik ken dat progr niet dus ik ben uit nieuwsgierigheid even gaan googelen. Het blijkt dat daar een paar problemen mee zijn, m.n. wordt gesproken over viruscanners e display drivers.

Misschien is het niets maar ik ben bang dat je het in dit soort problemen moet zoeken. Je taskmanager geeft dat ook aan volgens mij:

http://www.ghisler.com/efaqprob.htm#startslow

 

DeDream