Показано с 1 по 13 из 13.

Подозрительные процессы conhost.exe и wermgr.exe (заявка № 182007)

  1. #1
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50

    Thumbs up Подозрительные процессы conhost.exe и wermgr.exe

    Здравствуйте!
    Проблема такова: в диспетчере задач постоянно появляются и исчезает с интервалом 1-2 секунды странные дублированные процессы, такие как conhost.exe и wermgr.exe. На работу компьютера это пока никак не влияет, разве что немного захламляется оперативная память, и курсор мыши постоянно мигает, меняясь со стандартной стрелки на стрелку с песочными часами справа от неё с интервалом менее секунды, мерцает таким образом.
    Проверка с помощью утилит Dr.Web CureIt, ESET Smart Security и MBAM последних версий и антивирусных баз данных проблему не решила.
    Логи с результатами диагностики прилагаю.
    Файл virusinfo_syscure.zip во вложениях отсутствует, так как владею Windows 7 Ultimate x64, и согласно п. 1 правил создания данной темы из подраздела "Диагностика", операции, в результате которых данный файл создается, я пропустил.
    Заранее спасибо за рекомендации!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sc110, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    AceStream удалите через Панель управления - Программы и Компоненты

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Windows\System32\wermgr.exe','');
     QuarantineFile('C:\Users\Романъ\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','');
     QuarantineFile('C:\Users\Романъ\AppData\Local\Microsoft\Redist\VCRedist.exe','');
     TerminateProcessByName('c:\users\Романъ\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
     DeleteFile('c:\users\Романъ\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
     DeleteFile('C:\Users\Романъ\AppData\Local\Microsoft\Redist\VCRedist.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','VCRedist');
     DeleteFile('C:\Users\Романъ\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceWebExtensionUpdater','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50
    Карантин выслал.
    Новые логи прикрепил.
    На данном этапе проблема еще не решилась.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50
    Сделал полное сканирование через MBAM.
    Лог прикрепил.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ только
    Код:
    PUP.Optional.ASK.A, C:\Users\?*?????°??N?\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences, Хорошо: (), Плохой: (                  "homepage": "http://www.search.ask.com/?gct=hp",), ,[eabf1e4f612992a4e6ba211f49bdd62a]
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50
    Пожалуйста.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\2047~1\AppData\Local\Temp\mcse64_00.dll No File
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\2047~1\AppData\Local\Temp\mcse64_00.dll No File
    ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\2047~1\AppData\Local\Temp\mcse64_00.dll No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\2047~1\AppData\Local\Temp\mcse32_00.dll No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\2047~1\AppData\Local\Temp\mcse32_00.dll No File
    ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\2047~1\AppData\Local\Temp\mcse32_00.dll No File
    FF Extension: AS Magic Player - C:\Users\Романъ\AppData\Roaming\Mozilla\Firefox\Profiles\4ptyusse.default\Extensions\[email protected] [2015-04-15]
    OPR Extension: (AS Magic Player) - C:\Users\Романъ\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-04-15]
    Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50
    Выполнил.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    20.08.2010
    Сообщений
    41
    Вес репутации
    50
    Источник проблемы был в другом, судя по всему, все проделанные операции оказались напрасными, как минимум, для устранения именно проблемы с дублированными процессами.
    Помимо появления/исчезновения данных процессов, 2-3 раза в сутки открывалось окно с ошибкой приложения nvstreamsvc.exe формата "память не может быть "read".
    Это навело на мысль, что 2 этих проблемы взаимосвязаны, и я банально решил удалить NVIDIA GeForce Experience и перезагрузить компьютер.
    В диспетчере задач процесс conhost.exe стал единственным, а wermgr.exe вообще исчез.
    Поставив NVIDIA GeForce Experience снова, проблемы вернулись, в итоге пришлось полностью отказаться от использования данной утилиты.
    Так что, проблема как бы и устранена, но с определенными жертвами, вызывающими ее причину.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) sc110, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Размножаются conhost.exe, NvStreamNetworkService.exe, nvstreamsvc.exe, werFault.exe, wermgr.exe
      От Александр Ларцов в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.04.2015, 13:32
    2. подозрительные процессы
      От M@xWell в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 30.09.2014, 22:32
    3. Подозрительные процессы
      От Афродита в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.07.2011, 17:16
    4. подозрительные процессы upd.exe
      От Anton_Petrenko в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 04.08.2010, 10:11
    5. подозрительные процессы...
      От AleXPander в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.09.2009, 14:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01310 seconds with 19 queries