EvgenyZ 0 Опубликовано 25 марта, 2021 Share Опубликовано 25 марта, 2021 AMSI защита Касперского стала ругаться на exUpd.exe (расположенного по пути \AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds). Анализом отчетов во вкладке контроль программ имеется: ------------ 26.03.2021 0:06:01 Программа помещена в группу с ограничениями exUpd.exe exUpd.exe C:\Users\klick.08\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds 12820 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Слабые ограничения Не удалось определить группу доверия 26.03.2021 0:05:12 Программа помещена в группу с ограничениями cvcupd.exe cvcupd.exe C:\Users\klick.08\AppData\Local\Temp 9432 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Слабые ограничения Не удалось определить группу доверия 26.03.2021 0:05:05 Программа помещена в группу доверенных программ c848b0.msi c848b0.msi C:\Windows\Installer 6504 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Доверенные Подписано цифровой подписью доверенных производителей 26.03.2021 0:04:36 Программа помещена в группу доверенных программ tor.exe tor.exe C:\Users\klick.08\AppData\Roaming\OpenSSL\TorBrowser\Data 1240 DESKTOP-7MRERNP\klick.08 Активный пользователь Программа помещена в группу Доверенные KSN ----------- так же обнаружен объект в файловом антивирусе: Сегодня, 26.03.2021 0:04:02 C:\Windows\Installer\c848b0.msi c848b0.msi C:\Windows\Installer Файл Не обработано Объект не обработан Не обработано Windows Explorer explorer.exe C:\Windows\explorer.exe C:\Windows 7660 DESKTOP-7MRERNP\klick.08 Активный пользователь Размер в планировщике задач имеется задача на запуск exUpd.exe. Все файлы были удалены с планировщика задач задача так же удалена, но спустя 2 дня проблема вновь повторилась. CollectionLog-2021.03.26-00.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2021 Share Опубликовано 25 марта, 2021 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
EvgenyZ 0 Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 (изменено) Выставил настройки и просканировал. scoped_dir4040_1360888843.rar Изменено 26 марта, 2021 пользователем EvgenyZ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2021 Share Опубликовано 26 марта, 2021 8 часов назад, EvgenyZ сказал: в планировщике задач имеется задача на запуск exUpd.exe. не вижу по логам ничего подобного Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы. Цитата Ссылка на сообщение Поделиться на другие сайты
EvgenyZ 0 Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 Just now, thyrex said: не вижу по логам ничего подобного Задачу удалил. Пару дней назад тоже удалял, но она появилась вновь Just now, thyrex said: Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера антивирусом и проверьте наличие проблемы. Антивирус KIS говорит что все в порядке. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2021 Share Опубликовано 26 марта, 2021 Понаблюдайте пока. Будут изменения - без самодеятельности с удалением делаете и присылаете логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
EvgenyZ 0 Опубликовано 26 марта, 2021 Автор Share Опубликовано 26 марта, 2021 (изменено) Поэкспериментировал и выявил что все происходит после запуска "cvcupd.exe" расположенного "C:\Users\klick.08\AppData\Local\Temp". Файл cvcupd и задачу из планировщика задач прилагаю в архиве с паролем 1. по логам могу только предположить что все это связанно, только непонятно откуда он появляется в папке temp и что его запускает. Desktop.rar Изменено 26 марта, 2021 пользователем EvgenyZ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 марта, 2021 Share Опубликовано 28 марта, 2021 т.е. Вы его сами снова запустили? Цитата Ссылка на сообщение Поделиться на другие сайты
EvgenyZ 0 Опубликовано 28 марта, 2021 Автор Share Опубликовано 28 марта, 2021 10 hours ago, thyrex said: т.е. Вы его сами снова запустили? Посмотрел последовательность запущенных приложений в отчетах Касперского и обратил внимание на этот процесс. после запустил его в виртуальной машине. Вопрос в том что это именно тот exe что создает задачу в планировщике задач и создает каталог с exUpd.ехе отпал. Непонятно только после каких действий появляется этот файл. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.