Ciągła praca dysku

[kornad]

Od pewnego czasu na laptopie Menedżer zadań po starcie systemu rejestruje wysoką aktywność dysku. Nie chodzi o jedną aplikację, ale o kilka (wymiennie). Po parunastu minutach trochę się to uspokaja, ale na początku nie można uruchomić żadnego programu. Proszę o pomoc, logi w załączeniu.

Addition.txt FRST.txt Shortcut.txt

[Krzesimierz]

Widać, że 18-06-2021 usunięty został Winzip, nie ma go na liście programów, natomiast jego zadania dalej próbują uruchamiać się przy starcie systemu.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

 

Spoiler

HKLM\...\StartupApproved\StartupFolder: => "WinZip Preloader.lnk"
HKLM\...\StartupApproved\Run: => "WinZip UN"
HKLM\...\StartupApproved\Run: => "WinZip FAH"
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {F3513500-C5E6-4A18-84DE-E29211E26345} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
CustomCLSID: HKU\S-1-5-21-3913029555-3303909979-4013506829-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Family\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
FirewallRules: [{4D158D23-B355-4BE3-BE9A-86245C3B845C}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD14\Kernel\DMS\CLMSServerPDVD14.exe => Brak pliku
FirewallRules: [{78C53AF2-B5B7-427E-85C9-A36CDD3E4C68}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD14\PowerDVD14Agent.exe => Brak pliku
FirewallRules: [{C9B5B57B-E7FC-427B-BC9E-FB3C13C8840A}] => (Allow) C:\Users\Family\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [{83C38206-19F1-46A9-81CC-83290D9EF6BA}] => (Allow) C:\Users\Family\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [TCP Query User{3514BC64-D006-4AF3-8B64-1695B2F4C0C8}C:\program files\java\jre1.8.0_45\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_45\bin\javaw.exe => Brak pliku
FirewallRules: [UDP Query User{87A1C727-52E6-46DE-A046-6CE5D7B62465}C:\program files\java\jre1.8.0_45\bin\javaw.exe] => (Block) C:\program files\java\jre1.8.0_45\bin\javaw.exe => Brak pliku

 

Zapisz zawartość notatnika (CTRL + S)
W FRST kliknij na Fix (NAPRAW).

 

Dodatkowo jeśli nie używasz javy to usuń ją programem Java Uninstall Tool

Zrestartuj komputer, napisz czy jest poprawa i załącz plik fixlog wygenerowany po naprawie przez FRST

[picasso]

@kornad

 

Rozpocznij od deinstalacji Lenovo App Explorer. To śmieciarski program od dystrybutora niepożądanych programów integrowany niestety na komputerach Lenovo. Jest znany z obniżania wydajności systemu. Cały czas działa w tle przy udziale zaplanowanego zadania.

 

==================== Procesy (filtrowane) =================

(SweetLabs Inc. -> SweetLabs, Inc) C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe

==================== Zaplanowane zadania (filtrowane) ============

Task: {A87D1E77-DF04-4F99-9BB1-F80F06874888} - System32\Tasks\App Explorer => C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7744560 2021-01-20] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA

==================== Zainstalowane programy ======================

Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1000\...\Host App Service) (Version: 0.272.1.560 - SweetLabs for Lenovo) <==== UWAGA
Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1001\...\Host App Service) (Version: 0.273.4.227 - SweetLabs for Lenovo) <==== UWAGA

 

Po deinstalacji zastosuj AdwCleaner który powinien usunąć jego wystąpienie również z niedostępnego konta defaultuser0 oraz ewentualnie inne resztki. Pokaż raport z AdwCleaner oraz nowe raporty z FRST.

 

 

@Krzesimierz

 

13 godzin temu, Krzesimierz napisał:

Widać, że 18-06-2021 usunięty został Winzip, nie ma go na liście programów, natomiast jego zadania dalej próbują uruchamiać się przy starcie systemu.

 

Klucze StartupApproved oznaczają wejścia wyłączone przy udziale Menedżera zadań. Podczas deinstalacji programu nie są usuwane.

 

 

[Krzesimierz]

@picasso: Po kolei :) Jeśli podstawy nie dadzą poprawy to zajmiemy się bloatwarem. Szczególnie, że kornad napisał, że problemy są od pewnego czasu, a Lenovo App Explorer jest zainstalowany na laptopie od zakupu i dotychczas nie sprawiał problemów. Nie ma podstaw podejrzewać go jako pierwszego.

[picasso]

@Krzesimierz

 

Ale ja właśnie mówię, że wejścia załączone w Twoim Fixie do FRST są martwe (nic nie uruchamiają), więc wykonanie tego działania to kosmetyka. Należy szukać raczej obiektów które są aktywne. Dodatkowo, wersja Lenovo App Explorer niekoniecznie jest tą pierwotną, program mógł się uaktualnić.

[Krzesimierz]

@picasso: Lenovo App Explorer przez ostatni miesiąc nie uaktualnił się, co widać w logach. Natomiast avast uaktualnił swoje moduły, a on stosunkowo często powoduje problemy i to jego, w świetle obecnie dostępnych informacji, należy sprawdzić jako kolejnego.

Dodatkowo:

 

W dniu 1.07.2021 o 15:27, kornad napisał:

Menedżer zadań po starcie systemu rejestruje wysoką aktywność dysku. Nie chodzi o jedną aplikację, ale o kilka (wymiennie). Po parunastu minutach trochę się to uspokaja, ale na początku nie można uruchomić żadnego programu.

 

Przypomina to działanie antywirusa na zasadzie skanowanie sprawdzanego programu, sandboxowanie, wysłanie do chmury, przy tym od razu chwilowe blokowanie. Całe działanie obarczone błędem, ponieważ tak długo nie powinien wykonywać tych operacji.

[picasso]

Ja tu wcale nie wykluczam Avasta, ale i tak sugeruję rozpocząć od pozbycia się programu który nie tylko jest bezużyteczny i zawiera moduł produkujący reklamy, ale konsumuje zasoby robiąc Bóg wie co w tle. Dużo tematów w tym kontekście, przykładowa dyskusja z Reddit:

 

 

 

[Krzesimierz]

@picasso: Nawet w podanym przez Ciebie linku ludzie mają inne objawy niż w tym temacie. Tam przeszkadza im głośny wentylator, nawet nie zauważyli spowolnienia laptopa, tam jeden proces jest obciążony, tam proces nie ustaje.

 

Dla kontrastu zgłoszenie z tego roku z bleepingcomputer, gdzie występuje ta sama wersja programu SweetLabs co tu. Instruktor nie tylko nie rekomendował usuwania, ale nawet nawet nie wspomniał o tym programie jako szkodliwy.

https://www.bleepingcomputer.com/forums/t/753419/spyware-or-cryptominer-help/

[picasso]

@Krzesimierz

 

Oj bronisz tego śmiecia. Nie chcę się wykłócać. Trzymam się reguły, by w pierwszej kolejności pozbyć się szkodników i dopiero na czystym polu oceniać sytuację. To że instruktor na BC ominął program nie jest wyznacznikiem. Powinno Cię przekonać raczej, że program jest usuwany przez Malwarebytes i AdwCleaner.

 

Oczywiście, że objawy w linku są inne, ale podałam ten przykład, by unaocznić, że nie mówimy tu o cichutkum programiku tylko o procesie który stale coś robi w tle. Nie jest też wykluczone, że przez to że zabiera zasoby stwarza utrudnienia dla innych procesów.

 

 

[kornad]

Przepraszam, że po tak długim czasie odpisuję. Czynności które wykonałem to te podane w pierwszej odpowiedzi (dotyczące WinZip) oraz te z drugiej odpowiedzi (dotyczące odinstalowania Lenovo App Explorer i użycia AdwCleaner).

 

W załączeniu wszystkie logi.

Javy nie mogę odinstalować bo laptop jest wykorzystywany do grania w Minecrafta.

 

Niestety problem nadal występuje choć krócej niż przedtem. Najczęściej Menedżer zadań pokazuje Avasta i jego pochodne oraz System i SmartAudio.

Bardzo proszę o kolejne sugestie.

Addition.txt Fixlog.txt FRST.txt Shortcut.txt AdwCleaner[C00].txt AdwCleaner[S00].txt

[Krzesimierz]

Odinstaluj Avast używając avastclrear

 

https://www.avast.com/pl-pl/uninstall-utility

https://support.avast.com/pl-pl/article/Uninstall-Antivirus/#idt_010

 

Zrestartuj komputer, potestuj i napisz czy jest poprawa.

 

Lenovo App Explorer zostawił po sobie pozostałości, które trzeba będzie wyczyścić. Jeśli picasso się nie pojawi to napiszę co i jak.