Skocz do zawartości

Laptop - GreatDiscover i searchbary.


Rekomendowane odpowiedzi

Witam, zabrałem się za ogarnięcie laptopa młodszego brata.

Zauważyłem duże obciążenie procesora programem Great Discover, który służy prawdopodobnie do miningu w stanie spoczynku. Wyłączenie procesu z poziomu Menedżera Zadań nic nie daje, program uruchamia się ponownie.

Do tego w przeglądarkach zauważyłem syf w postaci bing, który zmienia się w stronę startową.

Menedżer zadań pokazuje aktywne, podejrzane procesy: EpicWebHelper.exe (To chyba od EpicGames), GoogleCrashHandler, Great Discover, Great Discover App, IServ (w tym SAntivirusIC - SpyHunter pokazał jako złośliwe oprogramowanie), LightKeeperService - nie wiem co to jest, McAfee WebAdvisor, S A Service, SEG_Client i możliwe, że coś jeszcze.

Braciak instaluje różne programy nie zwracając uwagi przy instalacji, że dodatkowy syf się przy tym instaluje, będę go musiał uświadomić.

Nie wiem czy coś jeszcze z logów nie wyskoczy ciekawego. Rdzenie grzeją się dosyć wysoko, dochodzi do 95 stopni (za sprawą Great Discover). Po wyczyszczeniu z syfu będę robić undervolting, jeżeli poprawa nie będzie zauważalna. Podstawka chłodząca jest używana.

Z góry dzięki za pomoc, pozdrawiam.

 

Addition.txt FRST.txt Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tak, w systemie jest miner Great Discover, który obciąża procesor. Są też programy reklamowe SSOption i SAntivirus

 

Ściągnij AdwCleaner
Uruchom system w trybie awaryjnym

 

Odintaluj Great Discover, SSOption, SAntivirus Realtime Protection Lite, WebAdvisor firmy McAfee, SpyHunter
W systemie jest Avast, jeden antywirus wystarczy, jak jest więcej mogą stwarzać problemy. Po wszystkich operacjach dobrze będzie też przeinstalować Avasta, ponieważ miner mógł go dezaktywować.


Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

(Devine Software Oy -> Devine Software Oy) C:\Program Files\Devine Software Oy\Great Discover\Great Discover App.exe
(Devine Software Oy -> Devine Software Oy) C:\Program Files\Devine Software Oy\Great Discover\Great Discover.exe <2>
(Digital Communications Inc -> Сorp ÐCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusClient.exe
(Digital Communications Inc -> Сorp ÐCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusIC.exe
(Digital Communications Inc -> Сorp DCom) C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusService.exe

R2 Great Discover; C:\Program Files\Devine Software Oy\Great Discover\Great Discover.exe [2809792 2021-04-01] (Devine Software Oy -> Devine Software Oy)
S2 rsClientSvc; "C:\Program Files\RAVAntivirus\rsClientSvc.exe" [X]
S2 rsEngineSvc; "C:\Program Files\RAVAntivirus\rsEngineSvc.exe" [X]
S2 FaboStrilanceLi; C:\Program Files (x86)\FaboStrilanceLi\FaboStrilanceLi.exe -system -token 957a6c [X]
R2 SAntivirusIC; C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusIC.exe [6940688 2021-04-20] (Digital Communications Inc -> Сorp ÐCom) <==== UWAGA
R2 SAntivirusSvc; C:\Program Files (x86)\Digital Communications\SAntivirus\SAntivirusService.exe [690192 2021-04-20] (Digital Communications Inc -> Сorp DCom) <==== UWAGA

R1 TASANTIVIRUSKD; C:\Program Files (x86)\Digital Communications\SAntivirus\TASAntivirusKD.sys [86024 2021-04-20] (Digital Communications Inc -> Corp DCom) <==== UWAGA

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {02f8364c-4386-4fe6-a93e-0be9f9a48f84} - Brak ścieżki do pliku
Task: {e85426a6-d961-4ada-829a-a30957f2f6db} - Brak ścieżki do pliku

Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

 

Użyj AdwCleaner

 

Zresetuj chrome do ustawień domyślnych
Menu > Settings > Advanced > Reset and clean up > Restore settings to their original defaults
Uwaga: zostaną skasowane zapisane w chrome hasła oraz zakładki. Wcześniej można zrobić kopię jeśli potrzeba.

 

Uruchom ponownie system
Wklej nowe logi oraz plik fixlog. Napisz jaka jest sytuacja.

Odnośnik do komentarza

Witam Krzesimierzu w nowy dzień i dziękuję za odpowiedź. :)

 

Operacje wykonane. W trakcie robienia poleceń Avast wykrył jeszcze jedno zagrożenie, wygląda na to, że to software od MSI do zmiany głosu, dałem do kwarantanny. (IDP.Generic - VoiceControlEngine.exe)

W procesach nie widzę już tych programów, także raczej sukces.

Niepokoją mnie jeszcze dwa programy, które widzę w menu Ukryte ikony, są to: Nahimic Companion (aczkolwiek widzę, że to również soft audio od MSI) i Taskbar system (wygląda na syf do kastomizacji paska Windows).

Przywróciłem Chrome do ustawień domyślnych, ale przeglądarka zostawiła zapisane hasła i zakładki. To samo zrobiłem z Edge.

AdwCleaner wykrył parę pozycji, dałem do kwarantanny i usunąłem.

 

Pozdrawiam.

 

Addition.txt Shortcut.txt AdwCleaner[C00].txt Fixlog.txt FRST.txt

Odnośnik do komentarza

Tak oczywiście, Taskbar system też trzeba usunąć. Brawo za czujność.

 

Co do VoiceControlEngine i Nahimic to nieszkodliwe programy do kontroli dźwięku. Są zbędne dlatego można je usunąć. Ogólnie wszystkie programy, których się nie używa powinno się usuwać. Np. wszystkie programy producenta z ścieżki C:\Program Files (x86)\MSI\One Dragon Center\ to zbędny bloatware

 

Poprzednie wpisy usunęły się poprawnie. Teraz można już bez wchodzenia do trybu awaryjnego. Usuwamy Taskbar system i czyścimy ze starych wpisów.

Odinstaluj Taskbar system

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-2372893658-1318577149-1371967551-1001\...\Run: [Taskbar system] => C:\Users\Filip\AppData\Local\Programs\Taskbar system\TaskbarSystem.exe [918040 2021-01-13] (Globalhop Ltd TOO -> )
2021-04-20 20:03 - 2021-01-13 09:57 - 014318734 _____ () [Brak podpisu cyfrowego] C:\Users\Filip\AppData\Local\Programs\Taskbar system\sdk.dll
(Globalhop Ltd TOO -> ) C:\Users\Filip\AppData\Local\Programs\Taskbar system\TaskbarSystem.exe

HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

CustomCLSID: HKU\S-1-5-21-2372893658-1318577149-1371967551-1001_Classes\CLSID\{2F81B25E-7507-4844-BFF2-77D2CC24CED4}\localserver32 -> "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" -ToastActivated => Brak pliku
CustomCLSID: HKU\S-1-5-21-2372893658-1318577149-1371967551-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Filip\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\Users\Filip\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku

FirewallRules: [{B3ACDA3D-68C7-4DB7-8F67-E184CB67A764}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\Zoom.exe => Brak pliku
FirewallRules: [{A42B4B2C-38D8-43AA-AF14-CFEDBE25C40A}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{9DCF7E1E-92B3-4B5F-9A3F-058FD946DDC6}] => (Allow) C:\Users\Filip\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{DAD3EA2A-FEB6-43E0-8E05-DF91E7B0A1FC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRChat\VRChat.exe => Brak pliku
FirewallRules: [{A08BB026-0A1A-4C0A-942A-8DB70686E6D0}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRChat\VRChat.exe => Brak pliku
FirewallRules: [TCP Query User{695AD252-37D3-4EA4-AB28-2CBA9BE497D0}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [UDP Query User{EE9263F2-938D-4EF7-A205-9FD5A347532A}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [TCP Query User{4DF6AFB5-0085-42F6-A7F4-79B4B0F8CE4E}C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [UDP Query User{DDC9CBE1-851C-4722-B395-5EB2951A4213}C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_910.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [{9EEE651F-6085-4365-AD10-322A0BDF6FAB}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{42128B38-15EA-4153-A84B-4D5121345A47}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{1CD96F5B-7B0E-46CB-98A2-08BD766D8C1D}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{46A2F15A-8E06-404E-BBE5-642C7EBD71FC}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{832E873A-4BE4-46E4-986B-251490DBAED2}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{355CAFF4-C78D-45C5-A7DB-73A8BDE3F1F7}] => (Allow) C:\Program Files\txgameassistant\appmarket\DL\syzs_dl_svr.exe => Brak pliku
FirewallRules: [{16BE1A34-28E9-44CC-B096-78A685C01C4A}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Brak pliku
FirewallRules: [TCP Query User{1347D303-0D55-4C03-B1FD-7EE32F17EB67}C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [UDP Query User{5ECCF315-0260-4562-994E-163147F8F0EC}C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_950.7.118.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

 

Użyj AdwCleaner

 

Uruchom ponownie system
Wklej plik fixlog. Napisz jaka jest sytuacja. Procesor już się uspokoił, prawda?

Odnośnik do komentarza
9 minut temu, Krzesimierz napisał:

Co do VoiceControlEngine i Nahimic to nieszkodliwe programy do kontroli dźwięku. Są zbędne dlatego można je usunąć. Ogólnie wszystkie programy, których się nie używa powinno się usuwać. Np. wszystkie programy producenta z ścieżki C:\Program Files (x86)\MSI\One Dragon Center\ to zbędny bloatware

 

 

Tak też zrobiłem. 

 

Tak, procesor się uspokoił, zapomniałem wspomnieć w poprzednim wpisie. Już jajek na nim nie ugotuje. \?/

 

AdwCleaner niczego nie wykrył, miodzio.

Fixlog.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...