Feilmelding: Memory runtime - Explorer.exe avsluttes

[Bardis]

Får en feilmelding som jeg ikke helt husker eksakt nå, men den sier noe om memory er tomt/0 og at explorer.exe må avsluttes..

 

Da forsvinner hele start/oppgavelinja, og den kommer ikke tilbake før jeg slår av pcen og starter på nytt.. PCen trenger ikke ha stått på i mange timer før jeg kan få feilmeldingen, kun et par timer..

 

Noen tips på hva det kan være? Ram ødelagt ?

[fenderebest]

Undersøk med Process Explorer om du har noen minnelekasjer. Generell guide for Process Explorer finner du her

Endret 14. april 2008 av fenderebest

[Bardis]

Undersøk med Process Explorer om du har noen minnelekasjer. Generell guide for Process Explorer finner du her

Da skal jeg prøve det når jeg kommer hjem

 

Leste kjapt over, men fant ikke ut hvor jeg skulle få åpnet/startet den Process Explorer hen...hvor er det?

[fenderebest]

Huhei glemte faktisk å skrive hvor du finner det.

 

Process Explorer er et gratis verktøy fra Window Sysinternals som kan lastes ned her

[Bardis]

Sånn da har jeg kjørt process manager her og tatt en printscreen.. Den er vedlagt her, fint om noen kunne ta seg tid og se på den

 

Testen ble kjørt nå etter at pcen hadde vært avslått i hele natt, vet ikke om det har noe å si jeg.. Men fikk den runtime meldingen 10 min etter jeg starta pcen, så måtte starte på nytt igjen.. Meldingen tok jeg også en printscreen av, og er også vedlagt.

 

Jeg har 2x512 Kingston DDR2 ram, sånn om det testen skulle si at jeg har for lite (selv om jeg har kjørt med dette i 3 år nå)

 

Dette problemet er noe som har oppstått i det siste..

 

Kan noen hjelpe meg?

[Bardis]

Kan i tillegg si at jeg merker at pcen er mye treigere nå etter dette begynte å skje, enn før...ting tar med tid å åpne av programmer, søke på nett osv...

[snippsat]

Hei!

Må se en logg,denne meldingen kan komme av infesert dll fil.

 

Last ned HijackThis legg i egen mappe på skrivebordet.

Start programmet og velg "Trykk scan og save log" .

Loggfilen kopierer du og limer inn i posten din.

Helst med skjult tekst [1skjul] logg her [1/skjul] fjern 1 for skjult tekst.

Endret 15. april 2008 av SNIPPSAT

[Bardis]

Da får jeg prøve dette når jeg kommer hjem igjen..

 

Du klarer ikke se noe utifra resultatene du fenderebest?

[fenderebest]

Du kan forsåvidt sjekke for DLL filer i Process Explorer ved å merke explorer.exe og trykke CTRL+D.

Normalt sett skal du da bare ha signerte komponenter fra kjente utgivere.

 

Problemet behøver ikke skyldes et Virus men kan også være pga dårlig tredjepartsprogramvare.

 

Forøvrig betyr ikke en Buffer Overflow at programmet går tomt for minne det betyr bare at det har allokert mer minne enn minne-bufferen kan holde.

Endret 15. april 2008 av fenderebest

[Bardis]

Forøvrig betyr ikke en Buffer Overflow at programmet går tomt for minne det betyr bare at det har allokert mer minne enn minne-bufferen kan holde.

 

Og det igjen betyr? hehe

[Bardis]

Hvordan kan det allokeres mer minne enn hva som fysisk finnes? begrenser ikke det seg selv da ?

[fenderebest]

En buffer er et område av minnet som er allokert med en bestemt størrelse. (Brukes feks som mellomlager når man overfører data)

Om et program da prøver å skrive mere data til bufferen enn det den kan holde overskriver du bufferen-altså en Buffer Overflow.

 

En populær metode for Virus er å overskrive bufferen til Stakken slik at EIP og EBP blir overskrevet og kan peke på kode i viruset istedet.

 

Dog er egentlig ikke dette relevant for din feilsøking...men sjekk som sagt om explorer.exe har noen .dll filer som ikke kommer fra Microsoft.

Endret 15. april 2008 av fenderebest

[Bardis]

En buffer er et område av minnet som er allokert med en bestemt størrelse. (Brukes feks som mellomlager når man overfører data)

Om et program da prøver å skrive mere data til bufferen enn det den kan holde overskriver du bufferen-altså en Buffer Overflow.

 

En populær metode for Virus er å overskrive bufferen til Stakken slik at EIP og EBP blir overskrevet og kan peke på kode i viruset istedet.

 

Dog er egentlig ikke dette relevant for din feilsøking...men sjekk som sagt om explorer.exe har noen .dll filer som ikke kommer fra Microsoft.

 

Ser det er to dll-filer som er merket med rosa etter at jeg trykket ctrl+D

 

gebya.dll

jbxiqdpa.dll

 

Sier dette noen noe?

 

Merker at pcen blir tregere og tregere.. når jeg kom hjem nå, slå på pcen fem min før jeg satt meg ned..så prøver jeg å gå inn på ting, men det går så tregt at jeg kom meg bare inn på hw.no, ikke inn på forumet... så plutselig fikk jeg den overflow beskjeden og den restarta explorer.. Da fungerte alt bra med en gang igjen... så virker som det er noe som treger ned pcen før den sier at det ble overflow..

[Bardis]

Her er loggen fra Hijack som ble foreslått

 

Klikk for å se/fjerne innholdet nedenfor

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:27, on 15.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Eirik\My Documents\procexp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sol.no/

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [942ff480] rundll32.exe "C:\WINDOWS\system32\jbxiqdpa.dll",b

O4 - HKLM\..\Run: [bM971cc71c] Rundll32.exe "C:\WINDOWS\system32\ilwbuvgm.dll",s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OneNote 2007 Screen Clipper og Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.eurofoto.no/uploader/ImageUploader4.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 5088 bytes

Endret 15. april 2008 av Bardis

[fenderebest]

Gjorde et søk på gebya.dll og det er et virus!

jbxiqdpa.dll fikk jeg ingen treff på mao kan du være rimelig sikker på at det også er et Virus---det er en typisk oppførsel at virus vil generere tilfeldige navn for å prøve å lure antivirusen din!

 

Jeg kunne selvsagt foreslå at du fjernet disse manuellt. Men da blir sikkert herr.SNIPPSAT irriert ...han kommer sikkert innom og får gått gjennom Hijack loggen din og renset opp i ulumskhetene.

[Bardis]

Gjorde et søk på gebya.dll og det er et virus!

jbxiqdpa.dll fikk jeg ingen treff på mao kan du være rimelig sikker på at det også er et Virus---det er en typisk oppførsel at virus vil generere tilfeldige navn for å prøve å lure antivirusen din!

 

Jeg kunne selvsagt foreslå at du fjernet disse manuellt. Men da blir sikkert herr.SNIPPSAT irriert ...han kommer sikkert innom og får gått gjennom Hijack loggen din og renset opp i ulumskhetene.

Tusen takk for raskt svar fenderebest!

 

Da vet vi i alle fall hva vi har med å gjøre her. Får se hva han Snippen sier også få se å fjerna disse filene. I verste fall ta en full formatering.

 

Takk igjen

[snippsat]

SNIPPSAT irriert

He he neida,nå er det nok mere en bare et par filer.

 

Du får lage en combofix logg,så lager jeg en fix.

 

Last Combofix ned ,legg på skrivebordet.

Ikke klikk på vindu mens programet kjører.

post logg C:\combofix.txt

Endret 15. april 2008 av SNIPPSAT

[Bardis]

Problemet har blitt borte av seg selv etter at jeg søkte med Process Explorer, Hijack og Combofix. Takker for all hjelp

[kjbu]

Prøvde du å scanne PC-en med Adaware/Spyboot først?

 

Hadde vært interessant å vite om disse ikke takler den typen virus/malware du hadde.

 

- kjbu

[Bardis]

Prøvde du å scanne PC-en med Adaware/Spyboot først?

 

Hadde vært interessant å vite om disse ikke takler den typen virus/malware du hadde.

 

- kjbu

 

Skannet pcen med nyeste versjon av Spyware Terminator 2.2 som ble omtalt i en artikkel her på hw.no Men denne fant ingenting på pcen min..

 

Høres sikkert rart ut at det bare er i orden, men er fakta sånn virker det som

Stille før stormen tenker sikkert alle...hehe