[HJT] vysoké využití paměti

[CZechBoY]

Zdravim,
problém s využitím ram mám dost dlouho, ale většinou pomohlo vyčištění nějakým programem a dalo to pokoj třeba na 4dny, teĎ to je v pohodě tak 10minut a už zase 92% využití paměti (víc už asi nejde kvůli rezervě)
mám 4GB a Win7 64b



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:14:29, on 18.9.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
A:\Fraps\fraps.exe
A:\Program Files (x86)\TeamViewer\Version7\TeamViewer.exe
A:\Program Files (x86)\uTorrent\uTorrent.exe
A:\Program Files (x86)\Skype\Phone\Skype.exe
A:\Program Files (x86)\QIP Infium\infium.exe
H:\servery\LFS\LFS.exe
C:\server\SharpPcap - kontrola IP při loginu.exe
A:\WPE\WPE PRO - modified.exe
C:\server\ChmatTools NPC_14.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\server\Chmat Tools objednavky async.exe
a:\program files (x86)\real\realplayer\update\realsched.exe
C:\Windows\SysWOW64\cmd.exe
A:\Program Files (x86)\Java\jre6\bin\java.exe
C:\server\ServerJabko__931.exe
C:\server\Chmat Tools - záloha účtů.exe
A:\Program Files (x86)\Opera\opera.exe
C:\Users\CZechBoY\Desktop\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Web Assistant Helper - {336D0C35-8A85-403a-B9D2-65C292C39087} - B:\Program Files\Web Assistant\Extension32.dll
O2 - BHO: DebugBar BHO - {69FC0024-10EB-480A-BBF2-3BF4E78E17B1} - A:\Program Files (x86)\Core Services\DebugBar\DebugInfoBar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - A:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Pomocná služba pro přihlášení ke službě Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - A:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - A:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - A:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O3 - Toolbar: DebugBar (Toolbar) - {3E1201F4-1707-409F-BB45-A5F192381DA0} - A:\Program Files (x86)\Core Services\DebugBar\DebugToolBar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "A:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [FileZilla Server Interface] "A:\xampp\FileZillaFTP\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "A:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [uTorrent] "A:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [Skype] "A:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Infium] "A:\Program Files (x86)\QIP Infium\infium.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: CH admin.lnk = C:\server\CH admin UDP async_prava.exe
O4 - Startup: CH blesk velikost písmen.lnk = ?
O4 - Startup: LFS server.lnk = H:\servery\LFS\LFS.exe
O8 - Extra context menu item: Inspect Element with DebugBar - res://A:\Program Files (x86)\Core Services\DebugBar\DebugInfoBar.dll/247
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBC6A453-29F3-4119-B24A-1C946E9DAE47}: NameServer = 10.0.0.100,8.8.8.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - A:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Acunetix WVS Scheduler v7 (AcuWVSSchedulerv7) - Acunetix Ltd. - A:\Program Files (x86)\Acunetix\Web Vulnerability Scanner 7\WVSScheduler7.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apache2.2 - Apache Software Foundation - a:\xampp\apache\bin\httpd.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - A:\xampp\FileZillaFTP\FileZilla Server.exe
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google Inc. - A:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Google Update (gupdatem) (gupdatem) - Google Inc. - A:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - A:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Izolace klíče CNG (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Microsoft SharePoint Workspace Audit Service - Unknown owner - B:\Program Files\Microsoft Office\Office14\GROOVE.EXE (file missing)
O23 - Service: mysql - Unknown owner - a:\xampp\mysql\bin\mysqld.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - B:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: Lokátor vzdáleného volání procedur (RPC) (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Správce zabezpečení účtů (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - A:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: Soluto PCGenome Core Service (SolutoService) - Soluto - B:\Program Files\Soluto\SolutoService.exe
O23 - Service: Služba zařazování tisku (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - A:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - A:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe
O23 - Service: Správce pověření (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Virtuální disk (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Web Assistant Updater - Unknown owner - B:\Program Files\Web Assistant\ExtensionUpdaterService.exe
O23 - Service: WMI Performance Adapter (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 8811 bytes

[Reklama]

[Orcus]

Fixni:

Projdi si ty aplikace, určitě nepotřebuješ hned po startu Skype a QIP, to jde vždycky zapnout, až když to je potřeba. To samý TU Utilites a O&O Defrag.

Kód: Vybrat vše

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O4 - HKCU\..\Run: [uTorrent] "A:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [Skype] "A:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Infium] "A:\Program Files (x86)\QIP Infium\infium.exe" /autorun
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google Inc. - A:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Google Update (gupdatem) (gupdatem) - Google Inc. - A:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - B:\Program Files\OO Software\Defrag\oodag.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - A:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - A:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
- Pokud používáš Firefox, klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
- Pokud používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
- Pokud používáš Chrome, nic dalšího nevybírej a dej Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Stáhni si Malwarebytes' Anti-Malware
Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(ZATÍM SÁM NIC NEMAŽ!).
Vlož sem pak obsah toho logu.

[CZechBoY]

hele já skype a icq používám pořád tak nemám důvod ho vypínat na 10minut a těch 60MB ze 4GB je nic...
spíš by mě zajmalo kde jsou ty 2GB(možná i 2,5GB), který se neobrazujou ve správci úloh

MbAM našel nějakej balast :(

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Verze databáze: v2012.09.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CZechBoY :: MNO [administrátor]

18.9.2012 19:59:21
mbam-log-2012-09-18 (20-01-11).txt

Typ: Rychlá kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 222691
Uplynulý čas: 1 minut, 26 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 3
C:\Users\CZechBoY\Desktop\LOIC.exe (PUP.HackTool.LOIC) -> Žádná instrukce nebyla provedena.
C:\Windows\AutoKMS.exe (RiskWare.Tool.CK) -> Žádná instrukce nebyla provedena.
C:\Users\CZechBoY\Local Settings\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Žádná instrukce nebyla provedena.

(konec)

[Orcus]

Hele, ty máš ovládaci program na Low Orbit Ion Cannon nebo si jen podporoval Anonymous Loicem?

Pokud ani jeden zprocesů nepoužíváš, tak spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujisti se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit
Můžeš sem pak vložit nový log z MbAM.

Vypni rezidentní štít antiviru a antispywaru
Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Pokud bude po kontrole problém spustit aplikace nebo bude vyskakovat hláška o pokusu použít neplatnou operaci na klíč registru, který je označen pro odstranění, stačí restartovat počítač.

[zeus]

Vim, ze do HJT maji prispivat pouze osoby k tomu urcene, tak jen lehce napovim.

Kód: Vybrat vše

autoKMS.exe is installed when you crack Office. Its part of the crack. AV and similar AVG software often flag this as a threat. This is a false positive.

A ty dve giga muzou klidne byt pouzity jako cache filesystemu a OS.

[CZechBoY]

Malwarebytes Anti-Malware 1.65.0.1400
http://www.malwarebytes.org

Verze databáze: v2012.09.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CZechBoY :: MNO [administrátor]

18.9.2012 20:30:12
mbam-log-2012-09-18 (20-30-12).txt

Typ: Rychlá kontrola
Nastavení kontroly povoleno: Paměť | Po spuštění | Registr | Systémové soubory | Heuristická analýza Extra | Heuristická analýza Shuriken | PUP | PUM
Nastavení kontroly zakázáno: P2P
Kontrolované objekty: 222688
Uplynulý čas: 1 minut, 14 sekund

Nalezené procesy v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené moduly v paměti: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené klíče v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené hodnoty v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené datové položky v registru: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené složky: 0
(Žádné škodlivé položky nebyly zjištěny)

Nalezené soubory: 3
C:\Users\CZechBoY\Desktop\LOIC.exe (PUP.HackTool.LOIC) -> Žádná instrukce nebyla provedena.
C:\Windows\AutoKMS.exe (RiskWare.Tool.CK) -> Umístnění do karantény a smazání se zdařilo.
C:\Users\CZechBoY\Local Settings\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Umístnění do karantény a smazání se zdařilo.

(konec)


smaže to po restartu..
mno vypnutí antiviru atd. je v pohodě (stalo se hned po nainstalování OS ) nejsem zastáncem ochrany bez ochrany

ComboFix půjde nejspíš v pátek, pač si nedovolim to dělat přes vzdálenou plochu :)



zeus: jojo office ten mi taky nejede, ale na to papat...
jak vypnu tu keš, nejsem si jistej že by ta keš jednou brala 1GB a najednou z ničeho nic 2GB

[Orcus]

Zkusit vypnout tu cache můžeš (trochu googli, sám sem toho moc nenašel), otázka aby to pak necachovalo na disk a nebylo to ještě pomalejší (nevím jak se system cache chová, takže to možná je blábol).

To že nechceš pustit CF přes RDC docela chápu. Až u serveru budeš, hoď sem log.

[CZechBoY]

potom bych si nedokázal vysvětlit proč je jednou ta keš 1GB a potom třeba 2GB
obyčejně mám spotřebu paměti okolo 2,5-2,8GB ale ten giga navíc je fakt max (a určitě by to žralo dál kdyby bylo kam alokovat)

mno zkusim vypnout keš, ale to bude určitě brutálně pomalý

kdyžtak nějaký tipy na vypnutí služeb nemáš? :)

[CZechBoY]

no po restartu (bez CF) mám využití paměti do 2GB tak nechápu (systém byl spuštěn údajně 1 týden)

a za hodinu zase 96% (3,9GB) :((

[jaro3]

Udělej Combofix

+
Stáhni si TDSSKiller
Na svojí plochu.Ujisti se , že máš zavřeny všechny ostatní aplikace a prohlížeče. Rozbal soubor a spusť TDSSKiller.exe. Restartuj PC . Log z TDSSKilleru najdeš zde:
C:\TDSSKiller.2.2.7.1._(datum)_log.txt , vlož sem prosím celý obsah logu.