Перейти к содержанию

[РЕШЕНО] подозрительный файл exUpd.exe


Андрей_

Рекомендуемые сообщения

Добрый вечер! На днях начал замечать, что компьютер стал периодически "зависать", на несколько секунд. Например, при печатании текста, курсор пропадал секунд на 5 и ввод текста останавливался. Потом курсор появлялся и всё нормализовалось и так в постоянном цикле. Была произведена полная проверка программой KIS и вирусы не обнаружены. Я заметил в мониторинге сети KIS, что Windows 7 x64 отправляет отчет об ошибках. Была вычислена подозрительная папка с файлом exUpd.exe находящаяся по адресу: C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds. Запустив диспетчер задач, был выявлен периодически появляющийся и исчезающий процесс exUpd.exe. Дело в том, что Google Chrome у меня не установлен. Не понятно, откуда взялась эта папка? После обнаружения я удалил папку \Google\ChromeExtensions\Ads\HoneyAds со всем содержимым. Потом почистил реестр по exUpd.exe. После перезагрузки компьютер "ожил" и все подозрительные процессы исчезли, но сегодня опять всё возобновилось. Опять появилась папка \Google\ChromeExtensions\Ads\HoneyAds и компьютер цикле "тормозит". Помогите пожалуйста разобраться с этой проблемой.

CollectionLog-2021.03.26-18.40.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 40
  • Created
  • Последний ответ

Top Posters In This Topic

  • mike 1

    21

  • Андрей_

    20

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
TerminateProcessByName('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','');
DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','32');
 DeleteSchedulerTask('zChromeExtenst');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Дополнительное сканирование отмечены "List BCD", "Driver MD5" и "90 дней".
  3. Нажмите кнопку Сканировать.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Run: [] => [X]
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e84-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e8a-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {168c1b43-2299-11e6-b7b9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171ae9f6-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171aea00-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {18e3763b-1462-11e7-bfe4-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {1a694679-3d0f-11e7-88ef-50e5493e4396} - G:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2d48b41d-0d7a-11e7-bcda-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {417ecfcb-03d0-11e7-8324-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {70abdb2b-54a1-11ea-b4ca-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {fec73914-3ecf-11e6-a93c-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [LogonHoursAction] 2
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {0555c847-1cfe-11ea-bfcf-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {d39e0fe2-8fc2-11ea-88a9-50e5493e4396} - F:\AutoRun.exe
    HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\user1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Сергей\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\TEMP:111F082E [274]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
    AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user1\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1005 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Цитата

user (S-1-5-21-1562740439-1242730839-3635279109-1000 - Administrator - Enabled) => C:\Users\user
user1 (S-1-5-21-1562740439-1242730839-3635279109-1004 - Administrator - Enabled) => C:\Users\user1

Эти обе учетные записи используются в работе?

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Да, обе учетные записи используются.

Архив с рабочего стола загрузил в карантин для анализа.

Fixlog.txt

опять наблюдаю зловредный процесс в диспетчере задач

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено.

 

Далее сделайте такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, при сохранении текста в блокноте не переключил в Юникод.

Провел процедуру заново в программе FRST с исправлением.

Выкладываю новый лог.

Новый архив, с рабочего стола загружать в карантин для анализа?

 

Fixlog.txt USER-PC_2021-03-27_12-37-34_v4.11.5.7z

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ".
  4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    breg
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
    delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
    deldir %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS
    deltmp
    restart

     

  5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

  6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).


Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте: Ace Stream Media 3.1.7

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Task: {76E39FFA-70E6-42BB-A16A-58E595E846E8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1791712 2021-02-23] (Avast Software s.r.o. -> Avast Software)
    Task: {9654E9D4-6F47-4060-9F3F-9F2E87123617} - \zChromeExtenst -> Нет файла <==== ВНИМАНИЕ
    Task: {976E29DD-E6F3-4116-864D-0AADA441AA9E} - System32\Tasks\Mozilla\Firefox Default Browser Agent E7CF176E110C211B => C:\Program Files (x86)\Mozilla Firefox\default-browser-agent.exe [696816 2021-03-25] (Mozilla Corporation -> Mozilla Foundation)
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    FirewallRules: [{F2DE3B83-2170-41F7-AF1C-C6D26CEDCF0E}] => (Allow) LPort=80
    FirewallRules: [{8544EBBD-4E87-4788-85BF-E5068D4C9175}] => (Allow) LPort=443
    FirewallRules: [{A794A3DA-1C2B-4660-B642-CF3CC632F37A}] => (Allow) LPort=20010
    FirewallRules: [{0AC22281-CF75-4B82-9A29-CBAA976B8F4C}] => (Allow) LPort=3478
    FirewallRules: [{C7D71C99-534D-4F91-B4C9-4ED57D390CDC}] => (Allow) LPort=7850
    FirewallRules: [{9DC2CE61-0AFF-4C4F-A620-5340D69C13B9}] => (Allow) LPort=7852
    FirewallRules: [{472EF72F-AE26-46FC-A95B-DBD4A1399D71}] => (Allow) LPort=7853
    FirewallRules: [{923C5B47-18F8-4572-A612-AB23F99291E5}] => (Allow) LPort=27022
    FirewallRules: [{B35F01CD-E944-4ED7-BAF2-6CC960BD4D15}] => (Allow) LPort=6881
    FirewallRules: [{AFD2C7F8-53FB-41C0-A662-E84F5B2369C8}] => (Allow) LPort=33333
    FirewallRules: [{8B2E849E-FA7B-40D3-9743-46F05D99EFC3}] => (Allow) LPort=20443
    FirewallRules: [{45C0BD62-9C77-45A5-9B73-C5B8DBEFF8FA}] => (Allow) LPort=8090
    EmptyTemp:

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен и будут очищены сохраненные пароли в браузерах.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt

×
×
  • Создать...