Niewidzialne procesy zjadające RAM

[Celdur]

Witam serdecznie.

Od kilku dni mam problemy na moim komputerze z pamięcią RAM. Otóż, świeżo po uruchomieniu komputera RAM jest zajęty w 45-70%. W menadżerze zadań proces, który zużywa najwięcej RAMu ma +/- 50MB, pamięć zainstalowana w komputerze to 8GB. Jak tylko uruchomię ponownie komputer to zajętość RAM spada do około 30% i da się normalnie pracować. Jednak, jeśli używam komputera dłużej niż 3-4 godziny, zajętość RAM znowu skacze i nie wiadomo od czego. Bardzo proszę o pomoc, chętnie odpowiem na pytania dotyczące mojego problemu. Z góry dziękuję za pomoc.

 

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

System jest zainfekowany infekcją adware Albireo. W przeglądarka Google Chrome i Mozilla FireFox zainstalowane są rozszerzenia adware, w CHR jest mniej modyfikacji, natomiast w FF zainfekowane są wszystkie profile i wygląda również na to, że preferencję, więc w przypadku tej przeglądarki wdrożymy kompleksowe wymiany profili (kasacja wszelkich danych z przeglądarki, więc jeśli potrzebujesz to zrób ich kopie).
 
Dodatkowo w celu rozszerzenia diagnostyki poproszę o raporty z działu Hardware (CrystalDiskInfo). 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku
Task: {02E09A4E-3202-4D4F-A240-2444B4276C45} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {32F5F017-5727-4C2E-9EA8-F12C3C72DB91} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {392D98DD-C171-4049-A5C3-F6CA567BA7C9} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {3C2F4685-317D-4754-A5B0-D5D16E005651} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {411A9972-7599-46BD-B9FF-17A3BE022E86} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {58656D58-9C8D-4948-8425-C83BCAFF9A8A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5A246FB1-C54F-4940-994E-22C12BD8DF4A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8525F03E-667B-4714-BD45-772312D7C62B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85F78EC4-066A-46A6-94A6-268ED8E40EE6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C64BD4B9-F901-47B6-90EF-5920D1626033} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D1704B6A-8C32-4189-B4E0-78EA1FCC5B6C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {FA0AFABF-14D7-4283-ABCD-AE71AB849CC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FBF5DC86-BB08-4694-AD77-5F3E05F47DC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku AppInit_DLLs: C:\ProgramData\Quotenamron\Holdkayin.dll => Brak pliku
C:\ProgramData\Quotenamron
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
U3 idsvc; Brak ImagePath
S3 NTIOLib_OCKit_MB; \??\C:\Program Files (x86)\MSI\MSI OC Kit\Driver_Service\NTIOLib_X64.sys [X]
U3 pwddypoc; \??\C:\Users\Mateusz\AppData\Lo
cal\Temp\pwddypoc.sys [X] 2016-07-10 16:19 - 2016-07-10 16:19 - 006870016 _____ () C:\Users\Mateusz\AppData\Roaming\agent.dat
2016-07-10 16:19 - 2016-07-10 16:19 - 000067968 _____ () C:\Users\Mateusz\AppData\Roaming\Config.xml
2016-07-10 16:19 - 2016-07-10 16:19 - 000014448 _____ () C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml
2016-07-10 16:19 - 2016-07-10 16:19 - 000128512 _____ () C:\Users\Mateusz\AppData\Roaming\Installer.dat
2016-07-10 16:19 - 2016-07-10 16:19 - 000018432 _____ () C:\Users\Mateusz\AppData\Roaming\Main.dat
2016-07-10 16:19 - 2016-07-10 16:19 - 000005568 _____ () C:\Users\Mateusz\AppData\Roaming\md.xml
2016-07-10 16:19 - 2016-07-10 16:19 - 000126464 _____ () C:\Users\Mateusz\AppData\Roaming\noah.dat
2016-07-10 16:19 - 2016-07-10 16:19 - 000032038 _____ () C:\Users\Mateusz\AppData\Roaming\uninstall_temp.ico
2016-07-10 16:19 - 2016-07-10 16:19 - 001760781 _____ () C:\Users\Mateusz\AppData\Roaming\Zoowarm.tst
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VEGAS\VEGAS Pro 14.0\VEGAS Pro 14.0 Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos\Sophos Anti-Rootkit\Release notes.lnk
C:\Users\Mateusz\Desktop\karta pracy.lnk
C:\Users\Mateusz\Desktop\Programy\Fraps.lnk
C:\Users\Mateusz\Desktop\Programy\Killer Network Manager.lnk
C:\Users\Mateusz\Desktop\Programy\MailShare.lnk
C:\Users\Mateusz\Desktop\Programy\MSI® Intel® Extreme Tuning Utility.lnk
C:\Users\Mateusz\Desktop\Programy\Norton Product Installer.lnk
C:\Users\Mateusz\Desktop\Programy\Norton Security Scan.LNK
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware SafeFinder Search oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj.
 
4. Uruchom AdwCleaner z opcji Skanuj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Celdur]

Wszystkie polecenia wykonane.

Przesyłam nowe logi. 

 

PS: Bardzo dziękuję za chęć pomocy

AdwCleanerS0.txt

FRST.txt

Addition.txt

Fixlog.txt

[Miszel03]

Wszytko pomyślnie wykonane. 
 
Dysk wygląda w porządku.

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść).
 
2. Preferencje przeglądarki Google Chrome zostały zmodyfikowane przez adware co mija się z moimi pierwszymi przypuszczeniami. Wymagana jest kompleksowa reinstalacja Google Chrome.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

[Celdur]

Przesyłam skan. Pozostałe rzeczy wykonane pomyślnie.

skan malwarebytes.txt

[Miszel03]

Wszystko do kasacji. 

 

Podsumuj obecny stan systemu.

[Celdur]

Aktualnie nic nie jest wykrywane. Po dzisiejszym uruchomieniu komputera pamięć na poziomie 30-35% czyli okey. Sprawdzę jeszcze przez kilka dni (niestety, nie mogę sam na siłę "wywołać" tego problemu).

[Miszel03]

Jeśli będzie już w porządku to będziemy kończyć.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

[Celdur]

Niestety, problem nadal występuje :/ Ostatnio nawet zużycie pamięci podskoczyło do 99% przez co totalnie nie mogłem pracować. Komputer strasznie zamulał, przez co nawet ponownie uruchomienie było ciężkie :/

[Miszel03]

Dostarcz nowy zestaw raportów FRST.

[Celdur]

Proszę bardzo.

Shortcut.txt

FRST.txt

Addition.txt

[marcin878787]

W manager zadań ( zakładka szczegóły ) pogrupuj procesy od największego wykorzystania pamięci.  Obserwuj jakie procesy wykorzystują jej najwięcej.

[Celdur]

Tak jak pisałem w pierwszym poście, Proces ten jest niewidoczny. Pierwszy proces, który "niby" zużywa najwięcej pamięci zajmuje jej +/- 50MB.

[marcin878787]

Pokaż zdjęcie z managera zadań.

[Celdur]

Proszę bardzo

[marcin878787]

Pokaż zdjęcie kiedy wykorzystanie ramu będzie największe ( zakładka szczegóły - > pogrupuj od największego ) .  Sądziłem, że to jest oczywiste i nie muszę o tym wspominać.

[Celdur]

Czy to o to chodzi?

[marcin878787]

Czy pamiętasz jakie było wykorzystanie pamięci w momencie zrobienia ostatniego zdjęcia?

[Celdur]

To chyba było jakieś +/- 50% czyli 4GB.

Ale dla pewności podsyłam 3 screeny z dzisiaj, bo ponad 80% na dzień dobry to już przesada...

[marcin878787]

W prawdzie żaden proces nie zajmuje znacznej pamięci, jednak ilość procesów ( także nie systemowych ) jest znaczna.

Sprawdź jaka będzie sytuacja w czystym rozruchu LINK

[Celdur]

Przepraszam, że dopiero odpisuję, kilka dni nie było mnie w domu, nie miałem jak tego sprawdzić.

Ogólnie problem z czystym rozruchem jest taki, że... Nie mam jak tego sprawdzić. Dlaczego? Jak pisałem w pierwszym poście: uruchamiam komputer, mam 50%+ zużycia pamięci, restartuje system (zwyczajnie Uruchamiam ponownie), wszystko wraca do normy. Włączenie czystego rozruchu wymaga ponownego uruchomienia komputera, co samo w sobie tymczasowo rozwiązuje problem. Mam nadzieję, że w miarę jasno wytłumaczyłem o co chodzi.

[marcin878787]

W pierwszym poście napisałeś także, że wykorzystanie ramu wzrasta po 3 -4 godzinach. Sprawdź jaka będzie sytuacja po tym czasie w czystym rozruchu.