donlecho utworzono 9 września 2022 utworzono 9 września 2022 Witam, od niedawna zauważyłem drastyczny spadek wydajności PC, jeszcze tydzień temu otwarcie folderu było błyskawiczne, a teraz potrafi pomielić trochę czasu. Zauważyłem w menadżerze że w momencie mulenia procesy: "Usługi i aplikacja Kontroler", oraz "DDVDataCollector", zużywają odpowiednio 100% CPU, a ta druga 100%SDD. Dzieje się to losowo i najczęściej zaraz po włączeniu Laptopa. Załączam Logi z FRST. Addition.txt FRST.txt
Rekomendowana odpowiedź Ten post jest popularny. Bromidum komentarz 10 września 2022 Rekomendowana odpowiedź Ten post jest popularny. komentarz 10 września 2022 (edytowane) 1) Odinstaluj: - Dell SupportAssist - Adobe AIR - Adobe Flash Player - Bonjour - Wise Disk Cleaner - Wise Registry Cleaner - DAEMON Tools Lite Win 10/11 potrafi sam montować obrazy, dlatego DAEMON jest zbędny. Moduł czyszczenie rejestru może zdestabilizować pracę systemu. Do prostego oczyszczania dysku wystarczy BleachBit. 2) Wykonaj profilaktyczne skanowanie: - RogueKiller Anti Malware Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania). - Emsisoft Emergency KIT Przed rozpoczęciem skanowania wykonaj aktualizację sygnatur, następnie wybierz „malware skan”. Upewnij się, że wykrywanie potencjalnie niechcianych programów (PNP) jest włączone. Raporty z pracy skanera znajdują się w lokacji C:\EEK\Reports. Przenośny skaner Emsisoftu pozostaw do okresowych skanowań swojego urządzenia. 3) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → SystemRestore: On CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [708840 2022-04-26] (Oracle America, Inc. -> Oracle Corporation) HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3990528 2018-02-02] (Napisy24.pl) [Brak podpisu cyfrowego] HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Run: [MicrosoftEdgeAutoLaunch_71DBB5E574DEF89C72CFDDCA8405C805] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3795360 2022-09-02] (Microsoft Corporation -> Microsoft Corporation) HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Policies\Explorer: [] HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\MountPoints2: {e211bc52-0737-11ed-838c-74e6e24d56c0} - "F:\AUTORUN.EXE" HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku) HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku) HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Brak pliku) HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Uninstall 22.077.0410.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\22.077.0410.0007" (Brak pliku) Task: {02D66E54-30DB-443D-A238-103E7210064D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation) Task: {2EA9484B-4639-4D7C-8667-E4ED6F2CC8EE} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation) Task: {C55A5B8C-B4F4-457C-A453-3C325FB27A03} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [1626328 2014-01-23] (Microsoft Corporation -> Microsoft Corporation) Task: {B17E0B28-EB84-4C1C-8325-E1B8A17FC816} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-147003924-3198866661-3242134590-1004 => C:\Users\Łukasz\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Brak pliku) Task: {C76F60DF-C374-4FA0-85E0-51DDC7D0D0E6} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-147003924-3198866661-3242134590-1004 => C:\Users\Łukasz\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Brak pliku) Task: {0D8532E8-73A7-443F-A80B-44890EB88421} - System32\Tasks\Dell SupportAssistAgent AutoUpdate => C:\Program Files\Dell\SupportAssistAgent\bin\FrameworkAgents\SupportAssistInstaller.exe [663392 2022-08-22] (Dell Inc -> Dell Inc.) Task: {75451C52-61A8-47B0-94DB-06A40388EFFA} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate Task: {C9DEA4CE-1541-45C0-8588-F026D4BA6506} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB" Task: {F0DD9932-92EA-4E11-AD4E-D078DD31357A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1555696 2022-08-03] (Adobe Inc. -> Adobe Inc.) Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{104E82CF-29D8-4A56-9EDF-AFAF37101A12}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{49691ca9-5d4e-4e51-8fb8-4a7c0c79dbe1}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{7800b2d5-ea96-4f36-ae8d-5ea263d0b9b7}: [DhcpNameServer] 192.168.1.1 Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32.dll [2021-10-21] (Adobe Systems Incorporated -> ) S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] 2022-09-09 22:31 - 2022-09-09 22:31 - 000000000 ____D C:\Users\Łukasz\Downloads\FRST-OlderVersion CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> Brak ścieżki do pliku HKU\S-1-5-21-147003924-3198866661-3242134590-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell13.msn.com/?pc=DCTE HKU\S-1-5-21-147003924-3198866661-3242134590-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCTE SearchScopes: HKU\S-1-5-21-147003924-3198866661-3242134590-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = SearchScopes: HKU\S-1-5-21-147003924-3198866661-3242134590-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = Hosts: CMD: netsh advfirewall reset EmptyEventLogs: EmptyTemp: Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt i nowe logi FRST do kontroli. Daj znać jeśli skanery wykryły jakieś zagrożenie (screen). 1 1
donlecho komentarz 10 września 2022 Autor komentarz 10 września 2022 Okej, odinstalowałem tamte aplikacje, przeskanowałem systemy Rogue Killerem, oraz EEK ( logi ze skanowania załączam do posta). Uruchomiłem skrypt w FRST i załączam logi. Zaraz włączę jeszcze skanowanie kontrolne, ale myślę że trzeba coś zrobić z zagrożeniami które wykrył Rogue Killer. Dodam że nie wszystko co wskazały programy będzie zagrożeniem, aplikacja IAC którą wskazuje EEK jest aplikacją branżową i można ją zdobyć tylko od producenta, więc nikłe szanse że jest zagrożeniem. EEK scan_220910-135549.txt logi rogue killer.txt Fixlog.txt
Bromidum komentarz 10 września 2022 komentarz 10 września 2022 (edytowane) Jeszcze nowe logi FRST do kontroli. Jest widoczna jakaś zmiana? Log z RogueKillera przejrzę w wolnej chwili.
donlecho komentarz 12 września 2022 Autor komentarz 12 września 2022 Tak, zmiana jest na dobre, procesor się uspokoił i PC pracuje jak należy. Przesyłam log z FRST do kontroli. Addition.txt FRST.txt
Bromidum komentarz 12 września 2022 komentarz 12 września 2022 (edytowane) Elementy znalezione przez EEK pomiń. W RogueKillerze tak naprawdę zostały odnalezione tylko dwa podejrzane elementy, które zostaną wysłane do VirusTotal (po wykonaniu skryptu zamieść fixlog.txt). Reszta to tylko reguły w zaporze sieciowej, które zostały już wcześniej usunięte. Do aktualizacji: Mozilla Thunderbird, WinRAR, qBittorent, LibreOffice, Orance VM VirtualBox. Mniejszy priorytet: Wireshark, UltraISO, TeamViewer, Inkscape, foobar2000, VLC Media Player, GIMP, CPUID HWMonitor. 1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → CloseProcesses: VirusTotal: C:\Users\Aukasz\Downloads\XLW402setup\XLW402setup.exe VirusTotal: C:\Program Files (x86)\SL3Reader\Hashreader.exe S1 epp; \??\C:\EEK\bin64\epp.sys [X] S3 MpKsl383e1b8f; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{1147D8C0-0C84-4EED-B836-D494D11F59FC}\MpKslDrv.sys [X] Task: {5284D569-6780-4807-AB2C-3E3C7395B07A} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate Task: {6DFCB649-0769-4F83-BB10-F60F235F6D3D} - System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task => {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} Task: {872D0E53-FD2E-41E3-B431-698AF82882CE} - System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task => {1B1F472E-3221-4826-97DB-2C2324D389AE} Edge HomePage: Default -> hxxp://dell13.msn.com/?pc=DCTE HKLM\...\StartupApproved\Run32: => "" HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" 2022-09-10 13:13 - 2021-10-30 02:00 - 000000000 ____D C:\WINDOWS\system32\Tasks\WiseCleaner 2022-09-10 13:13 - 2020-02-09 14:46 - 000000000 ____D C:\Program Files (x86)\Wise 2022-09-10 13:14 - 2019-11-10 20:44 - 000000000 ____D C:\Users\Łukasz\AppData\Roaming\DAEMON Tools Lite 2022-09-10 13:14 - 2019-11-10 20:43 - 000000000 ____D C:\ProgramData\DAEMON Tools Lite 2022-08-22 20:38 - 2022-07-25 21:38 - 000000000 ____D C:\Users\Łukasz\AppData\Roaming\IObit 2022-08-16 08:35 - 2022-08-16 08:35 - 000000000 ____D C:\ProgramData\iTop
donlecho komentarz 12 września 2022 Autor komentarz 12 września 2022 Hashreader.exe to stary łamacz simlocków na nokiach z SL3, już nie praktykowane chyba. XLW402setup.exe to program do kosztorysowania, autor programu po zgłoszeniu nagrał jakiś filmik wyjaśniający, nie oglądałem jeszcze ale może to być fałszywy alarm. Skrypt uruchomiony, teraz biorę się za aktualizację programów. Dzięki za pomoc, problem już nie występuje, więc możemy ten temat chyba zamknąć?
Bromidum komentarz 12 września 2022 komentarz 12 września 2022 Jak najbardziej. W fixlog.txt jest odnośnik do bazy VirusTotal. Możesz zobaczyć jakie skanery oznaczają wskazane pliki jako złośliwe/podejrzane. By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.