Перейти к содержанию

[РЕШЕНО] подозрительный файл exUpd.exe


Рекомендуемые сообщения

Добрый вечер! На днях начал замечать, что компьютер стал периодически "зависать", на несколько секунд. Например, при печатании текста, курсор пропадал секунд на 5 и ввод текста останавливался. Потом курсор появлялся и всё нормализовалось и так в постоянном цикле. Была произведена полная проверка программой KIS и вирусы не обнаружены. Я заметил в мониторинге сети KIS, что Windows 7 x64 отправляет отчет об ошибках. Была вычислена подозрительная папка с файлом exUpd.exe находящаяся по адресу: C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds. Запустив диспетчер задач, был выявлен периодически появляющийся и исчезающий процесс exUpd.exe. Дело в том, что Google Chrome у меня не установлен. Не понятно, откуда взялась эта папка? После обнаружения я удалил папку \Google\ChromeExtensions\Ads\HoneyAds со всем содержимым. Потом почистил реестр по exUpd.exe. После перезагрузки компьютер "ожил" и все подозрительные процессы исчезли, но сегодня опять всё возобновилось. Опять появилась папка \Google\ChromeExtensions\Ads\HoneyAds и компьютер цикле "тормозит". Помогите пожалуйста разобраться с этой проблемой.

CollectionLog-2021.03.26-18.40.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

  • mike 1

    21

  • Андрей_

    20

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
TerminateProcessByName('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','');
DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','32');
 DeleteSchedulerTask('zChromeExtenst');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Дополнительное сканирование отмечены "List BCD", "Driver MD5" и "90 дней".
  3. Нажмите кнопку Сканировать.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Run: [] => [X]
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e84-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e8a-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {168c1b43-2299-11e6-b7b9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171ae9f6-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171aea00-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {18e3763b-1462-11e7-bfe4-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {1a694679-3d0f-11e7-88ef-50e5493e4396} - G:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2d48b41d-0d7a-11e7-bcda-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {417ecfcb-03d0-11e7-8324-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {70abdb2b-54a1-11ea-b4ca-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {fec73914-3ecf-11e6-a93c-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {0555c847-1cfe-11ea-bfcf-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {d39e0fe2-8fc2-11ea-88a9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Сергей\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\TEMP:111F082E [274]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
    AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1005 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Цитата

user (S-1-5-21-1562740439-1242730839-3635279109-1000 - Administrator - Enabled) => C:\Users\user
user1 (S-1-5-21-1562740439-1242730839-3635279109-1004 - Administrator - Enabled) => C:\Users\user1

Эти обе учетные записи используются в работе?

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Да, обе учетные записи используются.

Архив с рабочего стола загрузил в карантин для анализа.

Fixlog.txt

опять наблюдаю зловредный процесс в диспетчере задач

Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено.

 

Далее сделайте такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения, при сохранении текста в блокноте не переключил в Юникод.

Провел процедуру заново в программе FRST с исправлением.

Выкладываю новый лог.

Новый архив, с рабочего стола загружать в карантин для анализа?

 

Fixlog.txt USER-PC_2021-03-27_12-37-34_v4.11.5.7z

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ".
  4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    breg
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
    delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
    deldir %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS
    deltmp
    restart

     

  5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

  6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).


Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте: Ace Stream Media 3.1.7

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Task: {76E39FFA-70E6-42BB-A16A-58E595E846E8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1791712 2021-02-23] (Avast Software s.r.o. -> Avast Software)
    Task: {9654E9D4-6F47-4060-9F3F-9F2E87123617} - \zChromeExtenst -> Нет файла <==== ВНИМАНИЕ
    Task: {976E29DD-E6F3-4116-864D-0AADA441AA9E} - System32\Tasks\Mozilla\Firefox Default Browser Agent E7CF176E110C211B => C:\Program Files (x86)\Mozilla Firefox\default-browser-agent.exe [696816 2021-03-25] (Mozilla Corporation -> Mozilla Foundation)
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    FirewallRules: [{F2DE3B83-2170-41F7-AF1C-C6D26CEDCF0E}] => (Allow) LPort=80
    FirewallRules: [{8544EBBD-4E87-4788-85BF-E5068D4C9175}] => (Allow) LPort=443
    FirewallRules: [{A794A3DA-1C2B-4660-B642-CF3CC632F37A}] => (Allow) LPort=20010
    FirewallRules: [{0AC22281-CF75-4B82-9A29-CBAA976B8F4C}] => (Allow) LPort=3478
    FirewallRules: [{C7D71C99-534D-4F91-B4C9-4ED57D390CDC}] => (Allow) LPort=7850
    FirewallRules: [{9DC2CE61-0AFF-4C4F-A620-5340D69C13B9}] => (Allow) LPort=7852
    FirewallRules: [{472EF72F-AE26-46FC-A95B-DBD4A1399D71}] => (Allow) LPort=7853
    FirewallRules: [{923C5B47-18F8-4572-A612-AB23F99291E5}] => (Allow) LPort=27022
    FirewallRules: [{B35F01CD-E944-4ED7-BAF2-6CC960BD4D15}] => (Allow) LPort=6881
    FirewallRules: [{AFD2C7F8-53FB-41C0-A662-E84F5B2369C8}] => (Allow) LPort=33333
    FirewallRules: [{8B2E849E-FA7B-40D3-9743-46F05D99EFC3}] => (Allow) LPort=20443
    FirewallRules: [{45C0BD62-9C77-45A5-9B73-C5B8DBEFF8FA}] => (Allow) LPort=8090
    EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен и будут очищены сохраненные пароли в браузерах.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Player..
      От Player..
      Здравствуйте! Стал замечать неожиданное открытие консоли, на протяжении 2-х дней, так-же замедления в системе, мне кажется что вирус.
      Ниже прикрепляю логи!
      CollectionLog-2023.10.27-21.01.zip
    • zilote
      От zilote
      Здравствуйте. Компьютер начал тормозить. Оперативная память, обычная загрузка при включенной игре 7гб, сейчас 10гб. Проверил KIS, проверил AVZ, все чисто. Проверил CureIt, он нашел 3 вируса в программе uttorent, удалил их. Посмотрите пожалуйста. Спасибо. 

      CollectionLog-2023.02.11-21.35.zip
    • Vadya
      От Vadya
      Здравствуйте надо проверить комп на вирус.  хотел скачать рино с торрента, каспер не дал скачать нашел вирус. ну я не стал качать. но теперь начались глюки то бсоды. то клавиатура не работает и как то странно не работает. все буквы не работают а другие клавиши работают. логи прикрепляю!  
      CollectionLog-2023.02.09-00.11.zip
    • xionar
    • Vadya
      От Vadya
      Здравствуйте! нужна помощь! странно себя стал вести комп. 
      1. долго загружается винда. 
      2.долго прогружаются игры. когда например локация прогрузиться тогда  игра перестает лагать причем когда все это грузится жесткий диск хрюкает как ненормальный. 
      3. эджем не пользуюсь но постоянно висят его процессы в диспетчере задач.  после их закрытия через некоторое время снова вылазят. 
      4. а вчера вообще какая то ерунда была... обычно когда на ютубе вводишь SS перед словом ютуб перенаправляет на сайт savefrom а вчера начало перенаправлять куда то на другие сайты. да они тоже как бы про скачку с ютуба и один даже как бы 2 версия savefroma  но моя фобия вирусов разыгралась. 
      5. сегодня захожу на сайт епик геймс ввожу название игры и тут мне приходит сообщение в вк. захожу ответить не работают буквы. захожу обратно на эпик работают. захожу в блокнот не работают. и причем только буквы цифры работают но не правильно нажимаешь 1 потом 2 и двойка печается перед единицей почитал такие симптомы бывают когда кей логгер в системе. 
      6. логи приложить не могу на новую версию аутологера агрится виндовс дефендер не дает распакавать даже сразу удаляет. причем апрельская версия спокойно стоит распакованная и он не агрится. а на новую алерт. 


×
×
  • Создать...