Перейти к содержанию

Рекомендуемые сообщения

AMSI защита Касперского стала ругаться на exUpd.exe (расположенного по пути \AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds).

Анализом отчетов во вкладке контроль программ имеется:

------------

26.03.2021 0:06:01    Программа помещена в группу с ограничениями    exUpd.exe    exUpd.exe    C:\Users\klick.08\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds    12820   DESKTOP-7MRERNP\klick.08    Активный пользователь    Программа помещена в группу                            Слабые ограничения            Не удалось определить группу доверия
26.03.2021 0:05:12    Программа помещена в группу с ограничениями    cvcupd.exe    cvcupd.exe    C:\Users\klick.08\AppData\Local\Temp    9432    DESKTOP-7MRERNP\klick.08    Активный пользователь   Программа помещена в группу                            Слабые ограничения            Не удалось определить группу доверия
26.03.2021 0:05:05    Программа помещена в группу доверенных программ    c848b0.msi    c848b0.msi    C:\Windows\Installer    6504    DESKTOP-7MRERNP\klick.08    Активный пользователь   Программа помещена в группу                            Доверенные            Подписано цифровой подписью доверенных производителей
26.03.2021 0:04:36    Программа помещена в группу доверенных программ    tor.exe    tor.exe    C:\Users\klick.08\AppData\Roaming\OpenSSL\TorBrowser\Data    1240    DESKTOP-7MRERNP\klick.08    Активный пользователь    Программа помещена в группу                            Доверенные            KSN
-----------

так же обнаружен объект в файловом антивирусе:

Сегодня, 26.03.2021 0:04:02    C:\Windows\Installer\c848b0.msi    c848b0.msi    C:\Windows\Installer    Файл    Не обработано    Объект не обработан    Не обработано                    Windows Explorer    explorer.exe    C:\Windows\explorer.exe    C:\Windows    7660    DESKTOP-7MRERNP\klick.08    Активный пользователь    Размер
 

в планировщике задач имеется задача на запуск exUpd.exe.

 

Все файлы были удалены с планировщика задач задача так же удалена, но спустя 2 дня проблема вновь повторилась.

CollectionLog-2021.03.26-00.30.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, EvgenyZ сказал:

в планировщике задач имеется задача на запуск exUpd.exe.

не вижу по логам ничего подобного

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы.

Ссылка на сообщение
Поделиться на другие сайты
Just now, thyrex said:

не вижу по логам ничего подобного

Задачу удалил.

 

Пару дней назад тоже удалял, но она появилась вновь

Just now, thyrex said:

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы.

Антивирус KIS говорит что все в порядке.

Ссылка на сообщение
Поделиться на другие сайты

Понаблюдайте пока. Будут изменения - без самодеятельности с удалением делаете и присылаете логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты

Поэкспериментировал и выявил что все происходит после запуска "cvcupd.exe" расположенного "C:\Users\klick.08\AppData\Local\Temp".

Файл cvcupd и задачу из планировщика задач прилагаю в архиве с паролем 1.

по логам могу только предположить что все это связанно, только непонятно откуда он появляется в папке temp и что его запускает.

image.thumb.png.9040b0d4f9484ea5d6c86b8bee532021.png

 

Desktop.rar

Изменено пользователем EvgenyZ
Ссылка на сообщение
Поделиться на другие сайты
10 hours ago, thyrex said:

т.е. Вы его сами снова запустили?

Посмотрел последовательность запущенных приложений в отчетах Касперского и обратил внимание на этот процесс. после запустил его в виртуальной машине. Вопрос в том что это именно тот exe что создает задачу в планировщике задач и создает каталог с exUpd.ехе отпал. Непонятно только после каких действий появляется этот файл.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...