Problem z rundll32.exe pamiec fizyczna 92%

dawidlipka · 17 Styczeń 2010 17:44

Witam wszystkich:)

Mam problem z aplikacja rundll32 mianowicie odpala się 2,3,4 razy i zamula całkowicie pamięć fizyczną na poziome 90-96%.

Załączam loga z hijack.

Z góry dziękuje za rozpatrzenie problemu:)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:27:32, on 2010-01-17

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ASUS\ATK Media\DMedia.exe

C:\Program Files\P4P\P4P.exe

C:\Windows\ASScrPro.exe

C:\Windows\WindowsMobile\wmdSync.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

C:\Program Files\MarBit\ALLPassword Manager\ALLPasswordManager.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Robert\AppData\Roaming\Nowe Gadu-Gadu_userdata\ggbho.1.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll

O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM…\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE

O4 - HKLM…\Run: [PowerForPhone] “C:\Program Files\P4P\P4P.exe”

O4 - HKLM…\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe

O4 - HKLM…\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe

O4 - HKLM…\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe

O4 - HKLM…\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe”

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKLM…\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM…\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM…\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe”

O4 - HKCU…\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU…\Run: [ALLPasswordManager] C:\Program Files\MarBit\ALLPassword Manager\ALLPasswordManager.exe

O4 - HKCU…\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto

O4 - HKUS\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA SIECIOWA’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Menedżer Google Desktop 5.9.906.4286 (GoogleDesktopManager-060409-093314) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Usługa Google Update (gupdate1ca3937792e9ca0) (gupdate1ca3937792e9ca0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

–

End of file - 7548 bytes

deFco247 · 17 Styczeń 2010 17:47

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

Pokaż logi z narzędzi:

OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

System Repair Engineer

dawidlipka · 17 Styczeń 2010 19:02

zrobiłem tak jak poleciłeś zamieszczam linki

http://wklej.to/XsEK

http://wklej.to/yQhS

deFco247 · 17 Styczeń 2010 19:44

Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:

{201f27d4-3704-41d6-89c1-aa35e39143ed} {ecdee021-0d17-467f-a1ff-c7a115230949} {3041d03e-fd4b-44e0-b742-2d9b88305f98} {ecdee021-0d17-467f-a1ff-c7a115230949} {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} {0702A2B6-13AA-4090-9E01-BCDC85DD933F} {08B0E5C0-4FCB-11CF-AAA5-00401C608501} {09FE188B-6E85-479E-9411-51FB2220DF80} {166B1BCA-3F9C-11CF-8075-444553540000} {201F27D4-3704-41D6-89C1-AA35E39143ED} {233C1507-6A77-46A4-9443-F871F945D258} {25CEE8EC-5730-41BC-8B58-22DDC8AB8C20} {3041D03E-FD4B-44E0-B742-2D9B88305F98} {41F21158-4211-4D32-9E02-D57B19661561} {45AD732C-2CE2-4666-B366-B2214AD57A49} {4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC} {4C7FFB7A-EEA6-43A5-8D02-6DBD648FFB05} {57BCA5FA-5DBB-45A2-B558-1755C3F6253B} {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} {6D53EC84-6AAE-4787-AEEE-F4628F01010C} {707DB484-2428-402D-AFB5-D85B387544C7} {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} {92780B25-18CC-41C8-B9BE-3C9C571A8263} {D27CDB6E-AE6D-11CF-96B8-444553540000} {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} {ECDEE021-0D17-467F-A1FF-C7A115230949}

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE :OTL SRV - [2008-12-09 18:40:16 | 00,464,264 | ---- | M] () [Auto | Running] – C:\Program Files\AskBarDis\bar\bin\AskService.exe – (ASKService) SRV - [2008-12-09 18:40:16 | 00,234,888 | ---- | M] () [Auto | Running] – C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe – (ASKUpgrade) IE - HKLM…\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) IE - HKCU…\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultthis.engineName: “free-downloads.net Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q=” FF - prefs.js…browser.search.selectedEngine: “free-downloads.net Customized Web Search” FF - prefs.js…browser.startup.homepage: “http://search.conduit.com/?ctid=CT1392740&SearchSource=13” FF - prefs.js…extensions.enabledItems: {ecdee021-0d17-467f-a1ff-c7a115230949}:2.4.0.4 FF - prefs.js…extensions.enabledItems: {4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac}:2.4.0.4 [2009-11-23 18:58:25 | 00,000,000 | —D | M] (MyPlayCity Toolbar) – C:\Users\Robert\AppData\Roaming\mozilla\Firefox\Profiles\214ajp12.default\extensions{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} [2009-12-31 17:54:13 | 00,000,000 | —D | M] (Mario Forever Toolbar) – C:\Users\Robert\AppData\Roaming\mozilla\Firefox\Profiles\214ajp12.default\extensions{707db484-2428-402d-afb5-d85b387544c7} [2009-11-23 18:58:26 | 00,000,000 | —D | M] (free-downloads.net Toolbar) – C:\Users\Robert\AppData\Roaming\mozilla\Firefox\Profiles\214ajp12.default\extensions{ecdee021-0d17-467f-a1ff-c7a115230949} [2009-01-15 08:42:56 | 00,000,898 | ---- | M] () – C:\Users\Robert\AppData\Roaming\Mozilla\FireFox\Profiles\214ajp12.default\searchplugins\conduit.xml O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKLM…\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKCU…\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.) :Files C:\Program Files\AskBarDis C:\Program Files\free-downloads.net :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

dawidlipka · 17 Styczeń 2010 20:04

w srEng zaznaczam podane clsid1 klikam delete selected i wyskakuje: do you want to delete(xxxxxxx)? warning! you can not undo this operation.

dlaczego nie mogę ich usunąć?

deFco247 · 17 Styczeń 2010 20:10

To jest tylko komunikat informujący o nieodwracalności wykonywanej operacji.

Potwierdź go klikając Tak.

dawidlipka · 17 Styczeń 2010 20:31

dwa nastepne logi o ktorych pisales

http://wklej.to/E3ij

http://wklej.to/XYiz

deFco247 · 17 Styczeń 2010 20:35

Log wygląda na czysty.

W OTL kliknij CleanUp.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

dawidlipka · 17 Styczeń 2010 21:16

skany jestem zmuszony wykonac w dniu jutrzejszym gdyz o 5 wstaje do pracy:)

jesli beda jakies wirusy podesle je około 19.

dziękuje uprzejmie i życzy spokojnej nocy

– Dodane 18.01.2010 (Pn) 19:08 –

witam po skanie dzis z rana wszystko ok brak wirusow po powrocie z pracy po ok10 min sytuacja sie powtarza czyli komp starsznie muli.

wchodze w menadzera zadan i znow pojawiły się dwa procesy rundll32.exe po wyłączeniu jedego pamięć fizyczna spadła do 33%.

– Dodane 18.01.2010 (Pn) 19:09 –

proszę o ponowną pomoc

– Dodane 18.01.2010 (Pn) 19:16 –

po chwili znów dwa rundll32 i pamięć 93%

deFco247 · 18 Styczeń 2010 19:11

Nie wiem co może być przyczyną takiej sytuacji…

Jak nie odpowiadam na jakiś temat, to znaczy że nie mam czasu albo pomysłów.

No i usuń ten temat z prośbą w moją osobę.

Pobierz Process Explorer i uruchom.

Kliknij dyskietkę w lewym górnym logu i pokaż zawartość zapisanego raportu.

Pokaż również log z RegLooks.

dawidlipka · 18 Styczeń 2010 19:24

http://wklej.to/larY

http://wklej.to/4wsk

załączam logi

deFco247 · 18 Styczeń 2010 19:31

W logu RegLooks nie wypatrzyłem niczego, co by mogło wywoływać taką sytuację poza sidebarem Visty.

Log z Process Explorer wykonaj wg tej instrukcji: http://helpc.eu/tworzenie-loga-aktywnyc … t5565.html

dawidlipka · 18 Styczeń 2010 19:38

http://wklej.to/juIk

deFco247 · 18 Styczeń 2010 19:39

Raport zapisz jak są uruchomione te natrętne rundll32.exe, wtedy się zobaczy co je uruchamia.

dawidlipka · 18 Styczeń 2010 19:55

no to jest problem bo akurat dwa restarty laptopa i narazie sie nie odpalaja.Więc może poczekam aż wkońcu beda dwa i wtedy zrobie raport. No i jeszcze jedno pytanie dziś dopisałem trzy posty ale temat nie przeskoczył do góry,wiec pokusiłem się o post do twojej osoby za co przepraszam.

Jak mam się skontaktować jesli zrobie loga jutro lub pojutrze.Pytanie może głupie ale jestem laikiem w tych sprawach:)

– Dodane 18.01.2010 (Pn) 22:03 –

http://wklej.to/6Ewd