Решена Подозрение на вирусы из-за появления новых процессов

[MatveyDesh]

Появляются процессы cef.exe ( к примеру игра называется minecraft, и там процесс minecraft.cef.exe), появляются 4 штуки процессов RunTime Broker ( и только на одном из них можно посмотреть расположение и свойства файла) при чем на 3 из них цвет иконки процесса чуть чуть изменяется, так же рядом с процессом google chrome в скобках написано 12-15, вообщем есть подозрения что это вирусы

 

[akok]

Пока ничего интересного не видно

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[MatveyDesh]

где скачать avz? на сайте любом?

 

[akok]

Зачем качать, утилита есть в папке с автологером.

 

[MatveyDesh]

вот

 

[MatveyDesh]

у меня не получается прикрепить virusinfo_auto_<имя_ПК>.zip


я прикрепляю и когда отправляю, прикрепленный файл убирается, файл меньше 250мб

 

[MatveyDesh]

все, я закачал файл , но что теперь делать?

 

[MatveyDesh]

я все прикрепил что дальше?

 

[akok]

В логах нет ничего вредоносного, только немного мусора

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {62B06DE6-859D-4BF7-8FAA-CE80C8F575FC} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [2594]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
  AlternateDataStreams: C:\ProgramData\Nougat32_5.9.12.1004.7z.tmp:E500F9885D [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{d6a362df-0858-11ee-b02a-a8a159134ca1}.TM.blf:9BC87B825A [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{d6a362df-0858-11ee-b02a-a8a159134ca1}.TMContainer00000000000000000001.regtrans-ms:BD6D572D52 [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{d6a362df-0858-11ee-b02a-a8a159134ca1}.TMContainer00000000000000000002.regtrans-ms:55A7C8EDDA [2594]
  AlternateDataStreams: C:\ProgramData\ntuser.pol:95CF30931B [2594]
  AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [2594]
  AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyHome Launcher.lnk:BE03AA77C8 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [2594]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Runtime Broker использует слишком много памяти - Служба поддержки Майкрософт

Runtime Broker использует слишком много памяти

support.microsoft.com

к примеру игра называется minecraft, и там процесс minecraft.cef.exe

Игра пиратка? Смотрели к какому файлу относится процесс?

 

[MatveyDesh]

я к примеру сказал майнкрафт, а так это амазинг, скачаный с офф сайта, и эти процессы cef.exe происходят от процесса amazing, так что все норм

 

[akok]

Давайте, для успокоения прогоним проверку Dr.Web CureIt! и будем сворачиваться

 

[MatveyDesh]

2 угрозы найдено
infatica service app exe
utorrent exe

 

[MatveyDesh]

что с этими файлами делать?

 

[akok]

Если не используете, то можно удалить.