Procesy losowo zużywają 100% CPU

[donlecho]

Witam, od niedawna zauważyłem drastyczny spadek wydajności PC, jeszcze tydzień temu otwarcie folderu było błyskawiczne, a teraz potrafi pomielić trochę czasu. Zauważyłem w menadżerze że w momencie mulenia  procesy: "Usługi i aplikacja Kontroler", oraz "DDVDataCollector", zużywają odpowiednio 100% CPU, a ta druga 100%SDD. Dzieje się to losowo i najczęściej zaraz po włączeniu Laptopa. Załączam Logi z FRST.

Addition.txt FRST.txt

[Bromidum]

1) Odinstaluj:
- Dell SupportAssist

- Adobe AIR

- Adobe Flash Player

- Bonjour

- Wise Disk Cleaner

- Wise Registry Cleaner

- DAEMON Tools Lite

 

Win 10/11 potrafi sam montować obrazy, dlatego DAEMON jest zbędny. 

Moduł czyszczenie rejestru może zdestabilizować pracę systemu. Do prostego oczyszczania dysku wystarczy BleachBit. 

 

2) Wykonaj profilaktyczne skanowanie:
- RogueKiller Anti Malware

Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).    

- Emsisoft Emergency KIT

Przed rozpoczęciem skanowania wykonaj aktualizację sygnatur, następnie wybierz „malware skan”. Upewnij się, że wykrywanie potencjalnie niechcianych programów (PNP) jest włączone. Raporty z pracy skanera znajdują się w lokacji C:\EEK\Reports.
Przenośny skaner Emsisoftu pozostaw do okresowych skanowań swojego urządzenia. 

3) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [708840 2022-04-26] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3990528 2018-02-02] (Napisy24.pl) [Brak podpisu cyfrowego]
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Run: [MicrosoftEdgeAutoLaunch_71DBB5E574DEF89C72CFDDCA8405C805] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3795360 2022-09-02] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\MountPoints2: {e211bc52-0737-11ed-838c-74e6e24d56c0} - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Brak pliku)
HKU\S-1-5-21-147003924-3198866661-3242134590-1004\...\RunOnce: [Uninstall 22.077.0410.0007] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Gabi\AppData\Local\Microsoft\OneDrive\22.077.0410.0007" (Brak pliku)
Task: {02D66E54-30DB-443D-A238-103E7210064D} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {2EA9484B-4639-4D7C-8667-E4ED6F2CC8EE} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {C55A5B8C-B4F4-457C-A453-3C325FB27A03} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [1626328 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {B17E0B28-EB84-4C1C-8325-E1B8A17FC816} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-147003924-3198866661-3242134590-1004 => C:\Users\Łukasz\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Brak pliku)
Task: {C76F60DF-C374-4FA0-85E0-51DDC7D0D0E6} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-147003924-3198866661-3242134590-1004 => C:\Users\Łukasz\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Brak pliku)
Task: {0D8532E8-73A7-443F-A80B-44890EB88421} - System32\Tasks\Dell SupportAssistAgent AutoUpdate => C:\Program Files\Dell\SupportAssistAgent\bin\FrameworkAgents\SupportAssistInstaller.exe [663392 2022-08-22] (Dell Inc -> Dell Inc.)
Task: {75451C52-61A8-47B0-94DB-06A40388EFFA} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {C9DEA4CE-1541-45C0-8588-F026D4BA6506} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
Task: {F0DD9932-92EA-4E11-AD4E-D078DD31357A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1555696 2022-08-03] (Adobe Inc. -> Adobe Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{104E82CF-29D8-4A56-9EDF-AFAF37101A12}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{49691ca9-5d4e-4e51-8fb8-4a7c0c79dbe1}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{7800b2d5-ea96-4f36-ae8d-5ea263d0b9b7}: [DhcpNameServer] 192.168.1.1
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32.dll [2021-10-21] (Adobe Systems Incorporated -> )
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2022-09-09 22:31 - 2022-09-09 22:31 - 000000000 ____D C:\Users\Łukasz\Downloads\FRST-OlderVersion
CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> Brak ścieżki do pliku
CustomCLSID: HKU\S-1-5-21-147003924-3198866661-3242134590-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> Brak ścieżki do pliku
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell13.msn.com/?pc=DCTE
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCTE
SearchScopes: HKU\S-1-5-21-147003924-3198866661-3242134590-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = 
SearchScopes: HKU\S-1-5-21-147003924-3198866661-3242134590-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = 
Hosts:
CMD: netsh advfirewall reset
EmptyEventLogs:
EmptyTemp: 

 

Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt  i nowe logi FRST do kontroli. 

Daj znać jeśli skanery wykryły jakieś zagrożenie (screen).  

[donlecho]

Okej, odinstalowałem tamte aplikacje, przeskanowałem systemy Rogue Killerem, oraz EEK ( logi ze skanowania załączam do posta). Uruchomiłem skrypt w FRST i załączam logi. Zaraz włączę jeszcze skanowanie kontrolne, ale myślę że trzeba coś zrobić z zagrożeniami które wykrył Rogue Killer. Dodam że nie wszystko co wskazały programy będzie zagrożeniem, aplikacja IAC którą wskazuje EEK jest aplikacją branżową i można ją zdobyć tylko od producenta, więc nikłe szanse że jest zagrożeniem. 

EEK scan_220910-135549.txt logi rogue killer.txt Fixlog.txt

[Bromidum]

Jeszcze nowe logi FRST do kontroli. 
Jest widoczna jakaś zmiana?
 

Log z RogueKillera przejrzę w wolnej chwili.  

[donlecho]

Tak, zmiana jest na dobre, procesor się uspokoił  i PC pracuje jak należy. Przesyłam log z FRST do kontroli.

Addition.txt FRST.txt

[Bromidum]

Elementy znalezione przez EEK pomiń. W RogueKillerze tak naprawdę zostały odnalezione tylko dwa podejrzane elementy, które zostaną wysłane do VirusTotal (po wykonaniu skryptu zamieść fixlog.txt). Reszta to tylko reguły w zaporze sieciowej, które zostały już wcześniej usunięte.
 

Do aktualizacji: Mozilla Thunderbird, WinRAR, qBittorent, LibreOffice, Orance VM VirtualBox.

Mniejszy priorytet: Wireshark, UltraISO, TeamViewer, Inkscape, foobar2000, VLC Media Player, GIMP, CPUID HWMonitor.

1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


CloseProcesses:
VirusTotal: C:\Users\Aukasz\Downloads\XLW402setup\XLW402setup.exe
VirusTotal: C:\Program Files (x86)\SL3Reader\Hashreader.exe
S1 epp; \??\C:\EEK\bin64\epp.sys [X]
S3 MpKsl383e1b8f; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{1147D8C0-0C84-4EED-B836-D494D11F59FC}\MpKslDrv.sys [X]
Task: {5284D569-6780-4807-AB2C-3E3C7395B07A} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {6DFCB649-0769-4F83-BB10-F60F235F6D3D} - System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task => {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}
Task: {872D0E53-FD2E-41E3-B431-698AF82882CE} - System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task => {1B1F472E-3221-4826-97DB-2C2324D389AE}
Edge HomePage: Default -> hxxp://dell13.msn.com/?pc=DCTE
HKLM\...\StartupApproved\Run32: => ""
HKU\S-1-5-21-147003924-3198866661-3242134590-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"
2022-09-10 13:13 - 2021-10-30 02:00 - 000000000 ____D C:\WINDOWS\system32\Tasks\WiseCleaner
2022-09-10 13:13 - 2020-02-09 14:46 - 000000000 ____D C:\Program Files (x86)\Wise
2022-09-10 13:14 - 2019-11-10 20:44 - 000000000 ____D C:\Users\Łukasz\AppData\Roaming\DAEMON Tools Lite
2022-09-10 13:14 - 2019-11-10 20:43 - 000000000 ____D C:\ProgramData\DAEMON Tools Lite
2022-08-22 20:38 - 2022-07-25 21:38 - 000000000 ____D C:\Users\Łukasz\AppData\Roaming\IObit
2022-08-16 08:35 - 2022-08-16 08:35 - 000000000 ____D C:\ProgramData\iTop

[donlecho]

Hashreader.exe to stary łamacz simlocków na nokiach z SL3, już nie praktykowane chyba.

XLW402setup.exe to program do kosztorysowania, autor programu po zgłoszeniu nagrał jakiś filmik wyjaśniający, nie oglądałem jeszcze ale może to być fałszywy alarm.

 

Skrypt uruchomiony, teraz biorę się za aktualizację programów. Dzięki za pomoc, problem już nie występuje, więc możemy ten temat chyba zamknąć?

[Bromidum]

Jak najbardziej. W fixlog.txt jest odnośnik do bazy VirusTotal. Możesz zobaczyć jakie skanery oznaczają wskazane pliki jako złośliwe/podejrzane. 

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.