Problem z bezpodstawnym wzrostem użycia pamięci, niewidoczne procesy itp.

[SOD]

Witam .

 

Już od pewnego czasu chciałem dać komuś logi do sprawdzenia ponieważ komputer chodził bardzo dziwnie .Użycie pamięci zadeklarowanej oraz procesora dosłownie szalało , bez powodu wzrastało i malało, a na dodatek w menedżerze zadań widniało wiele dziwnych procesów (jednego z nich się pozbyłem był to proces "stij.exe"który zabierał mi 1/2 mocy pc) .Niestety w ostatnich 2 dniach wszystko się pogorszyło.Po mocnym obciążeniu komputera(wymagającym programem lub grą) użycie pamięci tak jakby się zawieszało bowiem nic nie daje pozamykanie wszelkich programów .Gdy normalnie pc po włączeniu używa 600M/3938M pamięci zadeklarowanej a w tym stanie "po obciążeniu"(i wyłączeniu zbędnych programów) 2000M/3938M .

 

*dodam że nie jestem pewny czy dobrze rozumiem dane z menadżera zadań

 

Co do "niewidocznych procesów" to chodzi mi o to że komputer podczas np rozgrywki w "Total war:Rome 2" na najniższych detalach i małej rozdzielczości wykazuje użycie 3600M/3938M ( gdzie normalnie użycie wynosiło 2600M/3938M) a patrząc na tabele nie widać żadnego procesu który używał by choć 100 000K (a ich suma nie przekracza nawet 1000M ) . A teraz dodam najdziwniejszą rzecz która dzieje się po mocnym obciążeniu z procesami, taki np. proces Roma 2 który normalnie zabierał/używał 1 000 000K w tej fazie używa tylko 60 000K (a całe użycie pamięci nadal wynosi 3600M/3938M ).Moim zdaniem to jakiś wirus czy coś ukrywa się pod działaniem wymagającego programu aby nie budzić podejrzeń .

 

Proszę o pomoc bo nie mogę sobie nawet w głupie gierki pograć .

addition.txt

FRST.txt

GMER raport.txt

Shortcut.txt

[picasso]

Na przyszłość: proszę nie manipuluj raportami, logi FRST to nie oryginały tylko zasejwowane ponownie pliki i to w złym kodowaniu (ANSI zamiast UTF-8 jak oryginał).

 

Temat przenoszę do działu XP. W raportach nie widać żadnych oznak czynnej infekcji, a opisywany objaw w ogóle jej nie poświadcza - sam twierdzisz, że to występuje po mocnym obciążeniu zasobów.

 

==================== Memory info ===========================
 

Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+

Percentage of memory in use: 58%

Total physical RAM: 2046.42 MB

Available physical RAM: 849.22 MB

Total Pagefile: 3938.52 MB

Available Pagefile: 2743.51 MB

Total Virtual: 2047.88 MB

Available Virtual: 1909.11 MB

 

Moim zdaniem tu nie ma się co za bardzo dziwić. Jest tu "podstawowa" jak na dzisiejsze warunki i zadania z "graniem" ilość RAM (2GB), dużo uruchomionych procesów (bez uruchomienia nawet gry), inwazyjne aplikacje (Avast, firewall nVidia filtrujący ruch sieciowy). Wszystko stare: archaiczny system XP, więc i stare sterowniki producentów trzecich datowane na wiele lat wstecz (to może być problem), stare programy (w tym owe inwazyjne produkty, nVidia tak stara że szok).

Ten proces "stij.exe" pochodził od adware SweetIM / SweetPacks, które rezydowało w systemie kupę czasu (to stare adware, daty na dysku wskazują, że instalacja była w 2012). Są tu jeszcze do czyszczenia odpadki adware, wszystkie przeglądarki zaśmiecone. Cała przeglądarka Google Chrome do reinstalacji: nie tylko jest w niej adware "paricechhop", ale na dodatek została przez adware przekonwertowana z wersji stabilnej do developerskiej, no i stara wersja.

 

 

Działania do przeprowadzenia:

 

1. Był tu uruchamiany GMER. Na wszelki wypadek sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.10) - Polish, Adobe Shockwave Player 11.5, avast! Free Antivirus, Google Chrome, Japanese Fonts Support For Adobe Reader 8, Java™ 6 Update 24, MyFreeCodec (zbędnik Samsunga), NVIDIA ForceWare Network Access Manager. Proponuję też pozbyć się innych starych programów (DivX, Real, ....). Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji wybierz opcję Usuń także dane przeglądarki, resztę obiektów Google doczyści punkt poniżej.

 

3. Doczyszczenie pustych wpisów i skrótów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,,"C:\Program Files\Przyspiesz Komputer\PCSpeedUpNotifier.exe"
HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {60e15b73-77c5-11df-a235-001fc66da533} - J:\LaunchU3.exe -a
HKU\S-1-5-21-796845957-1592454029-682003330-1004\...\MountPoints2: {d103bb72-94b0-11de-ba15-806d6172696f} - I:\Setup.exe
AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424293725&from=cor&uid=SAMSUNGXHD322IJ_S1UZJ90Q902339&q={searchTerms}
HKU\S-1-5-21-796845957-1592454029-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://search.bearshare.com//web?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
Toolbar: HKLM - No Name - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File
Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No File
Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKU\S-1-5-21-796845957-1592454029-682003330-1004 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File
FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox
FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF HKLM\...\Firefox\Extensions: [{8E9E3331-D360-4f87-8803-52DE43566502}] - C:\Program Files\Web Assistant\Firefox
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\2vyijf3g.default\extensions\searchengine@gmail.com
FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension
Task: C:\WINDOWS\Tasks\1-Click Maintenance.job => C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Piotr\DANEAP~1\BABSOL~1\Shared\BabMaint.exe 
Task: C:\WINDOWS\Tasks\RMSchedule.job => C:\Program Files\Registry Mechanic\RegMech.exe
S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
S4 IntelIde; No ImagePath
S3 XDva369; \??\C:\WINDOWS\system32\XDva369.sys [X]
S3 XDva375; \??\C:\WINDOWS\system32\XDva375.sys [X]
S3 XDva380; \??\C:\WINDOWS\system32\XDva380.sys [X]
S3 XDva383; \??\C:\WINDOWS\system32\XDva383.sys [X]
S3 XDva385; \??\C:\WINDOWS\system32\XDva385.sys [X]
S3 XDva386; \??\C:\WINDOWS\system32\XDva386.sys [X]
S3 XDva389; \??\C:\WINDOWS\system32\XDva389.sys [X]
S3 XDva390; \??\C:\WINDOWS\system32\XDva390.sys [X]
S3 XDva391; \??\C:\WINDOWS\system32\XDva391.sys [X]
S3 XDva392; \??\C:\WINDOWS\system32\XDva392.sys [X]
S3 XDva393; \??\C:\WINDOWS\system32\XDva393.sys [X]
S3 XDva394; \??\C:\WINDOWS\system32\XDva394.sys [X]
S3 XDva396; \??\C:\WINDOWS\system32\XDva396.sys [X]
S3 XDva397; \??\C:\WINDOWS\system32\XDva397.sys [X]
S3 XDva398; \??\C:\WINDOWS\system32\XDva398.sys [X]
S3 XDva399; \??\C:\WINDOWS\system32\XDva399.sys [X]
S3 XDva401; \??\C:\WINDOWS\system32\XDva401.sys [X]
S3 XDva404; \??\C:\WINDOWS\system32\XDva404.sys [X]
S3 XDva405; \??\C:\WINDOWS\system32\XDva405.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{FBB02955-6A01-4157-86A8-39867631C050}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA052880-EE58-46AC-A768-582D69211223}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D703C64F-5FAA-4076-8BAE-A2680594266F}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CAC1E8A1-8F81-412A-AFEA-5F2CCAF0ACEA}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C030DFFE-156B-4851-9FB7-6B467340ADC4}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{BD11A5D7-22EB-44F1-996B-D9515B3BA20D}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AA5A91B4-FAF6-4033-A0F3-E31F93E1BD19}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8B3FF5C0-1B3D-4A7B-B0D3-1410B91DD450}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{87FC6690-84B6-4770-A3A6-3973F29C96BA}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7D5714F3-34B5-46D4-B786-A40DE01920E8}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6A376A30-D89C-4049-AC20-53F0AB0C021A}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6409B05C-250A-436C-A2BD-3AF56BCD5AC5}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5539EA54-B8FE-4DD4-9475-CE8CA4158A60}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{48D5EEAA-B4C9-41F1-BACD-9184C47E81B3}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{428D31F5-B2E9-4718-B097-4A17BB311139}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3C4E1F34-F217-452C-B8D5-CB9E4A8A03EB}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3B99B450-21FD-43F9-8378-D3CF15B43CB7}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{366F6910-AA20-4FBB-A15A-929E216508A6}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{361125A4-A92A-482B-9BFA-7BE47DB0880A}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{276F5C90-9CDF-4460-9C5A-A87D427D9A9B}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{27234817-71F4-4C87-B62D-2A2E8DE4169A}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{25A1E6A4-2DBD-4AC0-8650-8EA9A45B183D}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{210B1A74-0C6A-4200-8A96-9B74E9531FEF}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0333EE7F-6BA4-4387-901E-2DA2248670C0}
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Menu Start\Program Updates.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Goat Simulator
C:\Documents and Settings\All Users\Menu Start\Programy\Cheat Engine 6.1
C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Register Photoshop 5.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Adobe\Photoshop 5.0
C:\Documents and Settings\Piotr\*.exe
C:\Documents and Settings\Piotr\Menu Start\Programy\Counter Strike 1.6
C:\Documents and Settings\Piotr\Menu Start\Programy\Counter-Strike 1.6 [PL] SznaJK3r
C:\Documents and Settings\Piotr\Menu Start\Programy\KraiSoft Entertainment
C:\Documents and Settings\Piotr\Menu Start\Programy\San Andreas Multiplayer
C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Adobe Reader 9.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nero StartSmart Essentials.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\Nieużywane skróty pulpitu\Nokia Ovi Suite.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Adobe Reader 7.0.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Counter-Strike 1.6 PL [NS].lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\DivX Converter.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\EA Download Manager.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\GTA III.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Nero Home Essentials SE.lnk
C:\Documents and Settings\Piotr\Pulpit\ALL\abc\Uaktualnienie online pakietu Nero.lnk
C:\Documents and Settings\Piotr\Pulpit\GRY SZYMON\*.lnk
C:\Documents and Settings\Piotr\Pulpit\Michał\Launch LEGO® Indiana Jones™ 2.lnk
C:\Documents and Settings\Piotr\Pulpit\Michał\LEGO Star Wars.lnk
C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\Google\Chrome
C:\Program Files\Perion
C:\Program Files\pricechhop
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D}
DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96}
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{32148148}
CMD: netsh firewall reset
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji Avast i zapory Nvidia jest poprawa.