Problema RAM piena su ASUS N53SV (PRO5MSV)

[luke19905]

Pardon: ora dovrei aver fatto tutto correttamente.

Visualizza allegato log1.txt

Segnalo che all'accensione del PC dopo il riavvio che il programma effettua prima di creare il report mi è apparso il seguente messaggio di errore da parte di Windows:

C:\Windows\system32\GfxUI.exe
Un dispositivo collegato al sistema non è in funzione.

 

[R16]

Non ha funzionato.
Senti ricominciamo da capo: (questo è uno dei motivi, del perchè non mi piace entrare in topic iniziati da altri)

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check and Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

 

[Markiarom]

quasi mi vergogno ad intromettermi ed a fare domande magari così banali ma, non è che ha problemi col il file di paging? mi scuso ancora se ho detto una stupidaggine, vedo che R16 è di un altro pianeta per quanto riguarda i consigli xD

 

[luke19905]

Non ha funzionato.
Senti ricominciamo da capo: (questo è uno dei motivi, del perchè non mi piace entrare in topic iniziati da altri)

Guarda, onestamente non so cosa sia andato storto: ho seguito le istruzioni alla lettera.
Ti posto i due log di OTL nella speranza che possa trovare qualcosa per aiutarmi:

OTL.Txt

Extras.Txt

 

[R16]

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

: Processes

:OTL
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:4769CB2A
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:B755D674
@Alternate Data Stream - 1217 bytes -> C:\Users\mediaw\AppData\Local\Temp:R6J4WWfBCtxwbO69Ko8ad
@Alternate Data Stream - 1206 bytes -> C:\Program Files\Common Files\Microsoft Shared:4k3E92F9JGfp0hhicmh24EFBwGo
@Alternate Data Stream - 1184 bytes -> C:\Users\mediaw\AppData\Local\fkMgQ11uODjYWM:NJJ83NjA2fKLB6ZfruM
@Alternate Data Stream - 1139 bytes -> C:\ProgramData\Microsoft:A1OBiURm9JM7qRgyLVZ6u5W
@Alternate Data Stream - 1011 bytes -> C:\ProgramData\Microsoft:Oa1oLNvaQhJfZK14yTf1bY


:Files
C:\Users\mediaw\AppData\Local\fkMgQ11uODjYWM:NJJ83NjA2fKLB6ZfruM

:commands
[emptytemp]
[purity]
[RESETHOSTS]
[EMPTYFLASH]
[REBOOT]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Ripeti la scansione con OTL.
Posta il log.

 

[luke19905]

Ecco il nuovo log: OTL.Txt

Ho effettuato più volte la scansione ma ora mi da' solo questo file, senza Extras.txt.

 

[R16]

Ho effettuato più volte la scansione ma ora mi da' solo questo file, senza Extras.txt.

E' normale.
Questo virus, è un "duro" da morire.

Apri OTL, e clicca su Cleanup.
Si disistallerà OTL e Combofix.
Riavvia il pc.

Adesso vedi se riesce la scansione con Combofix, seguendo queste istruzioni:

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

 

[luke19905]

Ecco il log risultato dalle operazioni eseguite:

log.txt

Ma qual'è alla fine il problema, per capire e riuscire a tutelarmi anche in futuro?

Grazie mille dell'aiuto che mi stai dando.

 

[R16]

Ciao.
Conosci questo programma?:
c:\programdata\Partner


Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

N.B:
Non copiare la parola codice

KillAll::

File::
C:\Users\mediaw\AppData\Local\Temp:R6J4WWfBCtxwbO69Ko8ad
C:\Users\mediaw\AppData\Local\fkMgQ11uODjYWM:NJJ83NjA2fKLB6ZfruM

DirLook::
c:\users\UpdatusUser

RegLock::
[HKEY_USERS\S-1-5-21-2285343621-1456275647-3520011134-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:e5,cc,76,6a,c8,2a,65,a1,9c,15,1b,38,9c,d5,a9,7b,26,55,3f,de,84,
   cb,38,7e,dd,75,88,0e,16,8b,bf,a1,b3,a4,d3,da,ed,a7,0f,d4,4a,1e,37,e9,8c,22,\
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.

"Enabled"=dword:00000001
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.

@="0"
.

@="ShockwaveFlash.ShockwaveFlash.10"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.

@="1.0"
.

@="ShockwaveFlash.ShockwaveFlash"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.

@="FlashFactory.FlashFactory.1"
.

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.

@="1.0"
.

@="FlashFactory.FlashFactory"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.

@="{00020424-0000-0000-C000-000000000046}"
.

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.

[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:e5,cc,76,6a,c8,2a,65,a1,9c,15,1b,38,9c,d5,a9,7b,26,55,3f,de,84,
   cb,38,7e,dd,75,88,0e,16,8b,bf,a1,b3,a4,d3,da,ed,a7,0f,d4,4a,1e,37,e9,8c,22,\
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.

@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

N.B:
Se viene visualizzato il seguente errore: Operazione non valida tentata su una chiave di registro che è stato contrassegnato per l'eliminazione allora sarà necessario riavviare il computer che di norma risolve questo problema.

 

[luke19905]

Ciao.
Conosci questo programma?:
c:\programdata\Partner

In verità non ho la più pallida idea di cosa sia.

Ecco il log risultato dall'ultima operazione (non è apparso nessun messaggio di errore):

log.txt

 

[R16]

Ciao. Sembra che ci siamo. (quasi)
Apri un file di testo con il Block Note sul Desktop Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::  Driver:: Partner Service  File:: c:\programdata\Partner\Partner.exe c:\programdata\Partner\Partner.dll  Folder:: c:\programdata\Partner  Registry:: [-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]  RegLock:: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

e trascinalo sull'icona di ComboFix. Attendi la fine dei lavori, senza toccare tastiera, mouse o altro. Posta il log aggiornato di combofix
Dimmi se riscontri ancora problemi.

 

[luke19905]

Ecco il nuovo log:log.txtDopo la fine dell'operazione ho provato a spostare un file video da 15 GB su un HDD esterno, ma una volta finito l'utilizzo di RAM, nonostante sia inizialmente tornato normale, ha iniziato inesorabilmente a salire fino alla saturazione.

 

[R16]

Vediamo se l'infezione si è rigenerata.
Fai una nuova scansione con OTL.
Posta il log.

 

[luke19905]

Ecco i due file risultati dalla scansione:
OTL.Txt
Extras.Txt

Ma di che tipo di infezione si tratta?

 

[R16]

Ciao .
Si tratta di un'infezione da ADS. (Alternate Data Streams)
Alternate Data Streams: i file invisibili di Windows | Articoli Sicurezza | Sicurezza.HTML.it
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

killallprocesses
: Processes

:OTL
@Alternate Data Stream - 1217 bytes -> C:\Users\mediaw\AppData\Local\Temp:R6J4WWfBCtxwbO69Ko8ad
@Alternate Data Stream - 1184 bytes -> C:\Users\mediaw\AppData\Local\fkMgQ11uODjYWM:NJJ83NjA2fKLB6ZfruM

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Ripeti la scansione con OTL.
Posta il log.