EvgenyZ Опубликовано 25 марта, 2021 Share Опубликовано 25 марта, 2021 AMSI защита Касперского стала ругаться на exUpd.exe (расположенного по пути \AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds). Анализом отчетов во вкладке контроль программ имеется: ------------ 26.03.2021 0:06:01 Программа помещена в группу с ограничениями exUpd.exe exUpd.exe C:\Users\klick.08\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds 12820 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Слабые ограничения Не удалось определить группу доверия 26.03.2021 0:05:12 Программа помещена в группу с ограничениями cvcupd.exe cvcupd.exe C:\Users\klick.08\AppData\Local\Temp 9432 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Слабые ограничения Не удалось определить группу доверия 26.03.2021 0:05:05 Программа помещена в группу доверенных программ c848b0.msi c848b0.msi C:\Windows\Installer 6504 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Доверенные Подписано цифровой подписью доверенных производителей 26.03.2021 0:04:36 Программа помещена в группу доверенных программ tor.exe tor.exe C:\Users\klick.08\AppData\Roaming\OpenSSL\TorBrowser\Data 1240 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Доверенные KSN ----------- так же обнаружен объект в файловом антивирусе: Сегодня, 26.03.2021 0:04:02 C:\Windows\Installer\c848b0.msi c848b0.msi C:\Windows\Installer Файл Не обработано Объект не обработан Не обработано Windows Explorer explorer.exe C:\Windows\explorer.exe C:\Windows 7660 DESKTOP-7MRERNP\klick.08 Активный пользователь Размер в планировщике задач имеется задача на запуск exUpd.exe. Все файлы были удалены с планировщика задач задача так же удалена, но спустя 2 дня проблема вновь повторилась. CollectionLog-2021.03.26-00.30.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 25 марта, 2021 Share Опубликовано 25 марта, 2021 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
EvgenyZ Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 (изменено) Выставил настройки и просканировал. scoped_dir4040_1360888843.rar Изменено 26 марта, 2021 пользователем EvgenyZ Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 марта, 2021 Share Опубликовано 26 марта, 2021 8 часов назад, EvgenyZ сказал: в планировщике задач имеется задача на запуск exUpd.exe. не вижу по логам ничего подобного Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
EvgenyZ Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 Just now, thyrex said: не вижу по логам ничего подобного Задачу удалил. Пару дней назад тоже удалял, но она появилась вновь Just now, thyrex said: Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы. Антивирус KIS говорит что все в порядке. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 марта, 2021 Share Опубликовано 26 марта, 2021 Понаблюдайте пока. Будут изменения - без самодеятельности с удалением делаете и присылаете логи по правилам. Ссылка на комментарий Поделиться на другие сайты More sharing options...
EvgenyZ Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 (изменено) Поэкспериментировал и выявил что все происходит после запуска "cvcupd.exe" расположенного "C:\Users\klick.08\AppData\Local\Temp". Файл cvcupd и задачу из планировщика задач прилагаю в архиве с паролем 1. по логам могу только предположить что все это связанно, только непонятно откуда он появляется в папке temp и что его запускает. Desktop.rar Изменено 26 марта, 2021 пользователем EvgenyZ Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 28 марта, 2021 Share Опубликовано 28 марта, 2021 т.е. Вы его сами снова запустили? Ссылка на комментарий Поделиться на другие сайты More sharing options...
EvgenyZ Опубликовано 28 марта, 2021 Автор Share Опубликовано 28 марта, 2021 10 hours ago, thyrex said: т.е. Вы его сами снова запустили? Посмотрел последовательность запущенных приложений в отчетах Касперского и обратил внимание на этот процесс. после запустил его в виртуальной машине. Вопрос в том что это именно тот exe что создает задачу в планировщике задач и создает каталог с exUpd.ехе отпал. Непонятно только после каких действий появляется этот файл. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти