Перейти к содержанию
Правила раздела
Викторина по Kaspersky Internet Security 2021
Задай вопрос Екатерине Логиновой!

[РЕШЕНО] подозрительный файл exUpd.exe

Андрей_
 Share Подписчики 1

Рекомендуемые сообщения

Андрей_

Андрей_ 0

Опубликовано
Опубликовано

Добрый вечер! На днях начал замечать, что компьютер стал периодически "зависать", на несколько секунд. Например, при печатании текста, курсор пропадал секунд на 5 и ввод текста останавливался. Потом курсор появлялся и всё нормализовалось и так в постоянном цикле. Была произведена полная проверка программой KIS и вирусы не обнаружены. Я заметил в мониторинге сети KIS, что Windows 7 x64 отправляет отчет об ошибках. Была вычислена подозрительная папка с файлом exUpd.exe находящаяся по адресу: C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds. Запустив диспетчер задач, был выявлен периодически появляющийся и исчезающий процесс exUpd.exe. Дело в том, что Google Chrome у меня не установлен. Не понятно, откуда взялась эта папка? После обнаружения я удалил папку \Google\ChromeExtensions\Ads\HoneyAds со всем содержимым. Потом почистил реестр по exUpd.exe. После перезагрузки компьютер "ожил" и все подозрительные процессы исчезли, но сегодня опять всё возобновилось. Опять появилась папка \Google\ChromeExtensions\Ads\HoneyAds и компьютер цикле "тормозит". Помогите пожалуйста разобраться с этой проблемой.

CollectionLog-2021.03.26-18.40.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

mike 1

mike 1 987

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
TerminateProcessByName('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','');
DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','32');
 DeleteSchedulerTask('zChromeExtenst');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано (изменено)

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Дополнительное сканирование отмечены "List BCD", "Driver MD5" и "90 дней".
  3. Нажмите кнопку Сканировать.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Run: [] => [X]
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e84-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e8a-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {168c1b43-2299-11e6-b7b9-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171ae9f6-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171aea00-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {18e3763b-1462-11e7-bfe4-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {1a694679-3d0f-11e7-88ef-50e5493e4396} - G:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2d48b41d-0d7a-11e7-bcda-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {417ecfcb-03d0-11e7-8324-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {70abdb2b-54a1-11ea-b4ca-50e5493e4396} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {fec73914-3ecf-11e6-a93c-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {0555c847-1cfe-11ea-bfcf-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {d39e0fe2-8fc2-11ea-88a9-50e5493e4396} - F:\AutoRun.exe
HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\user1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Сергей\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
U3 aswbdisk; отсутствует ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:111F082E [274]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user1\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\user1\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  Нет файла
Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1005 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions
zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Цитата

user (S-1-5-21-1562740439-1242730839-3635279109-1000 - Administrator - Enabled) => C:\Users\user
user1 (S-1-5-21-1562740439-1242730839-3635279109-1004 - Administrator - Enabled) => C:\Users\user1

Эти обе учетные записи используются в работе?

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Андрей_

Андрей_ 0

Опубликовано
  • Автор
Опубликовано

Да, обе учетные записи используются.

Архив с рабочего стола загрузил в карантин для анализа.

Fixlog.txt

опять наблюдаю зловредный процесс в диспетчере задач

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано
10 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено.

 

Далее сделайте такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/

Ссылка на сообщение
Поделиться на другие сайты
Андрей_

Андрей_ 0

Опубликовано
  • Автор
Опубликовано

Прошу прощения, при сохранении текста в блокноте не переключил в Юникод.

Провел процедуру заново в программе FRST с исправлением.

Выкладываю новый лог.

Новый архив, с рабочего стола загружать в карантин для анализа?

 

Fixlog.txt USER-PC_2021-03-27_12-37-34_v4.11.5.7z

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ".
  4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

      

    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
breg

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
deldir %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS
deltmp
restart

     

  5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

  6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).


Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 987

Опубликовано
Опубликовано (изменено)

Деинсталлируйте: Ace Stream Media 3.1.7

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
Task: {76E39FFA-70E6-42BB-A16A-58E595E846E8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1791712 2021-02-23] (Avast Software s.r.o. -> Avast Software)
Task: {9654E9D4-6F47-4060-9F3F-9F2E87123617} - \zChromeExtenst -> Нет файла <==== ВНИМАНИЕ
Task: {976E29DD-E6F3-4116-864D-0AADA441AA9E} - System32\Tasks\Mozilla\Firefox Default Browser Agent E7CF176E110C211B => C:\Program Files (x86)\Mozilla Firefox\default-browser-agent.exe [696816 2021-03-25] (Mozilla Corporation -> Mozilla Foundation)
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
FirewallRules: [{F2DE3B83-2170-41F7-AF1C-C6D26CEDCF0E}] => (Allow) LPort=80
FirewallRules: [{8544EBBD-4E87-4788-85BF-E5068D4C9175}] => (Allow) LPort=443
FirewallRules: [{A794A3DA-1C2B-4660-B642-CF3CC632F37A}] => (Allow) LPort=20010
FirewallRules: [{0AC22281-CF75-4B82-9A29-CBAA976B8F4C}] => (Allow) LPort=3478
FirewallRules: [{C7D71C99-534D-4F91-B4C9-4ED57D390CDC}] => (Allow) LPort=7850
FirewallRules: [{9DC2CE61-0AFF-4C4F-A620-5340D69C13B9}] => (Allow) LPort=7852
FirewallRules: [{472EF72F-AE26-46FC-A95B-DBD4A1399D71}] => (Allow) LPort=7853
FirewallRules: [{923C5B47-18F8-4572-A612-AB23F99291E5}] => (Allow) LPort=27022
FirewallRules: [{B35F01CD-E944-4ED7-BAF2-6CC960BD4D15}] => (Allow) LPort=6881
FirewallRules: [{AFD2C7F8-53FB-41C0-A662-E84F5B2369C8}] => (Allow) LPort=33333
FirewallRules: [{8B2E849E-FA7B-40D3-9743-46F05D99EFC3}] => (Allow) LPort=20443
FirewallRules: [{45C0BD62-9C77-45A5-9B73-C5B8DBEFF8FA}] => (Allow) LPort=8090
EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен и будут очищены сохраненные пароли в браузерах.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • подозрение на вирус
      Подозрение на вирус
      От подозрение на вирус
      подозрение на вирус
      иногда наблюдаю, как файл notepad.exe грузит Цп под все 100%
      так же, есть какой-то exUpd.exe
      иногда, при просмотре видео, комп может просто зависнуть, и очень сильно нагреться, при очень мощной системе охлажения
      ну или просто перезагрузиться
      помогите решить пж
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/81229-podozritelnyj-fajl-exupdexe  
    • Evgeniy_d
      Подозрение на вирус
      От Evgeniy_d
      Проверка KIS  угроз не находит но
      1. ноут долго грузится , часто подвисает, заполняет диск с , сильно грузится оперативная память.
      2. записанные с ноута на флешку видео файлы меняют наименования на длинные нечитаемые
      3 при подключении флеш (включена проверка внешних носителей) запускается проверка ранее подключенного флеш , запустить проверку текущего поучается только из проводника .
      хотелось бы аккуратно исправить ситуацию 
       
      CollectionLog-2018.05.19-10.34.zip
×
×
  • Создать...