Powolny laptop, zawiesza sie, grzeje

Dla specjalistów Bezpieczeństwo
#1

Witam.
Od jakiegoś czasu spowolnił laptop brata, autostart trwa bardzo długo i jakby cały czas działa na obciążeniu.
Przesyłam logi:

FRST
https://megawrzuta.pl/schowek/3h9jW

Addition
https://megawrzuta.pl/schowek/PKy6L

Shortcut
https://megawrzuta.pl/schowek/fyuDx

Malwarebytes
https://megawrzuta.pl/schowek/td2po

Proszę o pomoc co usunąć, co jest zbędne i jak go przyspieszyć

#2

Skan Malwarebytes należy powtórzyć, gdyż nie zaznaczono wykrywania rootkitów.
Opcję te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.

Elementy odnalezione w Malwarebytes należy usunąć.
Odnalezione koparki mogą jak najbardziej obciążać urządzenie.

Wykonaj jeszcze dwa skany:

  • RogueKiller Anti Malware
    Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

  • AdwCleaner
    Po skończonym skanowaniu pomiń linie oznaczone jako preinstalowane. Resztę odnalezionych elementów przenieś do kwarantanny.

Odinstaluj:

  • µTorrent (zamień na otwartoźródłowy zamiennik qBittorent)
  • Adobe Flash Player (niewspierany, możliwy wektor ataku)
  • Lenovo Experience Improvement (zbędny komponent)

Zaktualizuj: 7-Zip → Download

W logach widoczne są pozostałości po McAfee, skorzystaj z MCPR.exe (link do artykułu).

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw”

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [711288 2023-01-09] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-929241179-32002084-1731227500-1001\...\Run: [MicrosoftEdgeAutoLaunch_5882F6839F6659C345806F2F072F4DDB] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4243408 2023-03-02] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-929241179-32002084-1731227500-1001\...\MountPoints2: {6b52361c-2cdd-11ed-9c42-48e244be1156} - "F:\HiSuiteDownLoader.exe" 
HKLM\...\Print\Monitors\Canon BJ Language Monitor MG5700 series: CNMLMCS.DLL (Brak pliku)
ShortcutTarget: My DDT2000 Quick Menu.lnk -> C:\Program Files (x86)\DDT2000\DDT2000_menu.exe (Brak pliku)
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\up.lnk [2021-01-28]
ShortcutTarget: up.lnk -> C:\Users\Default\AppData\Roaming\h.js () [Brak podpisu cyfrowego]
Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\upd.lnk [2021-01-28]
ShortcutTarget: upd.lnk -> C:\Users\Default\AppData\Local\b.js () [Brak podpisu cyfrowego]
Task: {0615E9E4-BC22-485A-B093-59FF8B22D3BE} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\root\Office16\msoia.exe [3285192 2017-01-28] (Microsoft Corporation -> Microsoft Corporation)
Task: {0DEFC272-CFB8-4C64-B1F2-2C1B0AC772C2} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [3888328 2017-01-21] (Microsoft Corporation -> Microsoft Corporation)
Task: {28C47E06-F650-4465-ABB4-73459CB70BA2} - System32\Tasks\Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask => %windir%\System32\reg.exe add hklm\SOFTWARE\Lenovo\SystemUpdatePlugin\scheduler /v start /t reg_dword /d 1 /f /reg:32
Task: {2B60B6B4-6174-4D47-9567-8C4ED7777439} - System32\Tasks\Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance => "%windir%\system32\sc.exe" START ImControllerService
Task: {616D5657-C373-4DD6-A512-59C0030529D4} - System32\Tasks\Lenovo\Experience Improvement => C:\Program Files\Lenovo\ExperienceImprovement\LenovoExperienceImprovement.exe [287688 2016-08-05] (LENOVO -> Lenovo)
Task: {63531086-6F57-4F84-B2B2-7A72070573B3} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\root\Office16\msoia.exe [3285192 2017-01-28] (Microsoft Corporation -> Microsoft Corporation)
Task: {ACC53B82-DEA9-4879-891A-C87C32AC6DFD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [16832 2015-07-08] (LENOVO -> Lenovo)
Task: {CEA8DCFC-AB54-4ADB-81B8-E5D77DD0B321} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1560056 2023-02-01] (Adobe Inc. -> Adobe Inc.)
Task: {CF1FEE77-953C-4437-940B-71859659B39A} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {E8AACF29-C143-4C12-820D-4ED86A225F5E} - System32\Tasks\{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cis.exe --cistrayUI (Brak pliku)
Task: {EBA04807-C1BD-417E-B687-221AD3ED720F} - System32\Tasks\Microsoft\Windows\PLA\LSC Memory => C:\Windows\system32\rundll32.exe C:\Windows\system32\pla.dll,PlaHost "LSC Memory" "$(Arg0)"
Task: {EC657766-C2A3-44B7-8EFE-6B508CB1A015} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => C:\Program Files\CUAssistant\culauncher.exe (Brak pliku)
AutoConfigURL: [S-1-5-21-929241179-32002084-1731227500-1001] => 2019 <==== UWAGA
Tcpip\Parameters: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{1cc1418c-916b-4ffd-bda2-a878d1627c72}: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{ba6c13c9-b26e-4f27-8f7d-26dc13fb9ca7}: [DhcpNameServer] 192.168.42.129
ManualProxies: 02019 <==== UWAGA
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
FF Notifications: Mozilla\Firefox\Profiles\m9gdce25.default-1585758072461 -> hxxps://rootblog.pl; hxxps://decider.com
FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF64_26_0_0_151.dll [2017-09-07] (Adobe Systems Incorporated -> )
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_26_0_0_151.dll [2017-09-07] (Adobe Systems Incorporated -> )
S3 mfevtp; C:\Windows\system32\mfevtps.exe [277744 2016-04-26] (McAfee, Inc. -> McAfee, Inc.)
S3 cfwids; C:\WINDOWS\System32\drivers\cfwids.sys [78632 2016-04-27] (McAfee, Inc. -> McAfee, Inc.)
R3 mfeavfk; C:\WINDOWS\System32\drivers\mfeavfk.sys [349480 2016-04-27] (McAfee, Inc. -> McAfee, Inc.)
R3 mfefirek; C:\WINDOWS\System32\drivers\mfefirek.sys [493352 2016-04-27] (McAfee, Inc. -> McAfee, Inc.)
R0 mfehidk; C:\WINDOWS\System32\drivers\mfehidk.sys [843048 2016-04-27] (McAfee, Inc. -> McAfee, Inc.)
R0 mfewfpk; C:\WINDOWS\System32\drivers\mfewfpk.sys [243488 2016-04-27] (McAfee, Inc. -> McAfee, Inc.)
C:\Users\Paweł\Desktop\[P.C GAME] GTA San Andreas Extreme Edition 2011-Extremely Compressed [ Team MJY ]\[PC GAME] GTA San Andreas Extreme Edition 2011-Extremely Compressed [ Team MJY ] — skrót.lnk
C:\Users\Paweł\Desktop\Dokumenty\Memciu\DDT2000.lnk
C:\Users\Paweł\Desktop\Dokumenty\Memciu\GTA Garage Mod Manager.lnk
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\My DDT2000 Quick Menu.lnk
C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e4ed22b324357c2e\Microsoft Edge.lnk
2018-07-20 13:25 - 2016-04-16 18:59 - 000000054 _____ () C:\Users\Paweł\AppData\Roaming\12.bat
2018-07-20 13:25 - 2016-10-02 09:26 - 000000110 _____ () C:\Users\Paweł\AppData\Roaming\h.js
2018-07-20 13:25 - 2015-08-09 15:00 - 000209920 _____ () C:\Users\Paweł\AppData\Roaming\winserver.exe
2018-07-20 13:25 - 2016-04-17 21:52 - 000000117 _____ () C:\Users\Paweł\AppData\Local\b.js
2016-08-05 19:37 - 2023-03-05 17:49 - 003207244 _____ () C:\Users\Paweł\AppData\Local\BTServer.log
2018-07-20 13:25 - 2016-04-17 21:49 - 000000107 _____ () C:\Users\Paweł\AppData\Local\upd.bat
2018-07-20 13:25 - 2016-04-17 21:43 - 000251392 _____ () C:\Users\Paweł\AppData\Local\winhost.exe
CustomCLSID: HKU\S-1-5-21-929241179-32002084-1731227500-1001_Classes\CLSID\{cece6816-6107-4dc7-bdbc-20cd5ae1ffed}\localserver32 -> C:\ProgramData\Lenovo\ImController\Plugins\LenovoAppPromotionPlugin\x64\DesktopToastsHelper.exe => Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
HKU\S-1-5-21-929241179-32002084-1731227500-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://lenovo15.msn.com/?pc=LCTE
HKU\S-1-5-21-929241179-32002084-1731227500-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo15.msn.com/?pc=LCTE
HKU\S-1-5-21-929241179-32002084-1731227500-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mystart.lenovo.com
SearchScopes: HKU\S-1-5-21-929241179-32002084-1731227500-1001 -> DefaultScope {F45DCA7E-0A6A-4BBD-AF86-54CB878FC265} URL = 
SearchScopes: HKU\S-1-5-21-929241179-32002084-1731227500-1001 -> {F45DCA7E-0A6A-4BBD-AF86-54CB878FC265} URL = 
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x64.exe] => (Allow) C:\Users\Paweł\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [UDP Query User{EFB7E5A6-6DC9-4DDD-9DE9-55C359633320}C:\users\konstantin\appdata\local\installshield\instsh_x86.exe] => (Allow) C:\Users\Paweł\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\Paweł\AppData\Local\InstallShield\instsh_x86.exe] => (Allow) C:\Users\Paweł\AppData\Local\InstallShield\instsh_x86.exe => Brak pliku
FirewallRules: [TCP Query User{24C8A0FD-A217-4EA3-8B19-783488F3497F}C:\Users\Paweł\AppData\Local\InstallShield\instsh.exe] => (Allow) C:\Users\Paweł\AppData\Local\InstallShield\instsh_x64.exe => Brak pliku
FirewallRules: [{39BAA9CB-3543-40D7-9DF1-0E9C10C5386F}] => (Allow) C:\Users\Paweł\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [{C6158F29-800D-42C0-A565-3B6514F10C5C}] => (Allow) C:\Users\Paweł\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [UDP Query User{FC02DB5F-4080-4271-808C-A3B53BBA8BDE}C:\program files\windowsapps\wimpmusic.27241e05630ea_2.23.0.0_x86__kn85bz84x7te4\app\tidal.exe] => (Block) C:\program files\windowsapps\wimpmusic.27241e05630ea_2.23.0.0_x86__kn85bz84x7te4\app\tidal.exe => Brak pliku
FirewallRules: [TCP Query User{F13AFD49-89C7-458C-8973-EBA58EEDC559}C:\program files\windowsapps\wimpmusic.27241e05630ea_2.23.0.0_x86__kn85bz84x7te4\app\tidal.exe] => (Block) C:\program files\windowsapps\wimpmusic.27241e05630ea_2.23.0.0_x86__kn85bz84x7te4\app\tidal.exe => Brak pliku
FirewallRules: [{002E62C9-2648-4428-93BC-C6167A2D079A}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Brak pliku
FirewallRules: [UDP Query User{01C530F7-B829-4AB4-A2F1-A3D92A24F1C5}C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe] => (Block) C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe => Brak pliku
FirewallRules: [TCP Query User{2C32B9C4-EF83-46BB-B2A2-8719F71B21A2}C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe] => (Block) C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe => Brak pliku
FirewallRules: [UDP Query User{F285D809-2894-406F-8BA9-C70FCB3FEB94}C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe] => (Block) C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe => Brak pliku
FirewallRules: [TCP Query User{90467B5C-BD3E-481C-8660-8ADD377CAF9E}C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe] => (Block) C:\program files\windowsapps\xbmcfoundation.kodi_17.9.601.0_x86__4n2hpmxwrvr6p\kodi.exe => Brak pliku
FirewallRules: [UDP Query User{E58D18B1-D360-40C2-A4A7-54C157BFA314}C:\users\paweł\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\paweł\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [TCP Query User{07CA3EC6-159B-47B7-B290-459A2879D6DF}C:\users\paweł\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\paweł\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [UDP Query User{0C9EE332-A4C5-4A1D-B455-1C77864C5DA1}C:\users\paweł\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\paweł\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [TCP Query User{C8B83CED-B35F-4AF6-8CB3-1E552E3C9D04}C:\users\paweł\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\paweł\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [TCP Query User{0C67A431-7F20-4808-9F7A-EE7CE605F6DB}C:\program files\windowsapps\wimpmusic.27241e05630ea_2.29.7.0_x86__kn85bz84x7te4\app\tidal.exe] => (Block) C:\program files\windowsapps\wimpmusic.27241e05630ea_2.29.7.0_x86__kn85bz84x7te4\app\tidal.exe => Brak pliku
FirewallRules: [UDP Query User{CD2714B7-C24D-479D-91AD-95F999CA20C9}C:\program files\windowsapps\wimpmusic.27241e05630ea_2.29.7.0_x86__kn85bz84x7te4\app\tidal.exe] => (Block) C:\program files\windowsapps\wimpmusic.27241e05630ea_2.29.7.0_x86__kn85bz84x7te4\app\tidal.exe => Brak pliku
RemoveProxy:
EmptyEventLogs: 
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Uruchom wiersz poleceń (cmd.exe) z uprawnieniami administratora. Wklej pierwsze polecenie i zatwierdź je enterem. Gdy proces dobiegnie końca, wykonaj drugie polecenie. Nie zamykaj wiersza poleceń dopóki proces nie dobiegnie końca!

DISM.exe /Online /Cleanup-image /Restorehealth
sfc /scannow

Załącz nowe logi FRST do wglądu. Jeśli nie chcesz używać do tego forum, to spróbuj na pastebin.

#3

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.