[РЕШЕНО] подозрительный файл exUpd.exe

[Андрей_]

Добрый вечер! На днях начал замечать, что компьютер стал периодически "зависать", на несколько секунд. Например, при печатании текста, курсор пропадал секунд на 5 и ввод текста останавливался. Потом курсор появлялся и всё нормализовалось и так в постоянном цикле. Была произведена полная проверка программой KIS и вирусы не обнаружены. Я заметил в мониторинге сети KIS, что Windows 7 x64 отправляет отчет об ошибках. Была вычислена подозрительная папка с файлом exUpd.exe находящаяся по адресу: C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds. Запустив диспетчер задач, был выявлен периодически появляющийся и исчезающий процесс exUpd.exe. Дело в том, что Google Chrome у меня не установлен. Не понятно, откуда взялась эта папка? После обнаружения я удалил папку \Google\ChromeExtensions\Ads\HoneyAds со всем содержимым. Потом почистил реестр по exUpd.exe. После перезагрузки компьютер "ожил" и все подозрительные процессы исчезли, но сегодня опять всё возобновилось. Опять появилась папка \Google\ChromeExtensions\Ads\HoneyAds и компьютер цикле "тормозит". Помогите пожалуйста разобраться с этой проблемой.

CollectionLog-2021.03.26-18.40.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
TerminateProcessByName('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe');
QuarantineFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','');
DeleteFile('C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe','32');
 DeleteSchedulerTask('zChromeExtenst');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

Изменено 26 марта, 2021 пользователем mike 1

[Андрей_]

отправил архив на почту mike1@avp.su

выкладываю новые логи

CollectionLog-2021.03.26-23.13.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Дополнительное сканирование отмечены "List BCD", "Driver MD5" и "90 дней".
3. Нажмите кнопку Сканировать.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Изменено 26 марта, 2021 пользователем mike 1

[Андрей_]

FRST.txt Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Run: [] => [X]
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [LogonHoursAction] 2
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e84-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {15956e8a-5ad1-11ea-b540-50e5493e4396} - F:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {168c1b43-2299-11e6-b7b9-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171ae9f6-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {171aea00-7fe4-11e7-bb45-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {18e3763b-1462-11e7-bfe4-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {1a694679-3d0f-11e7-88ef-50e5493e4396} - G:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2d48b41d-0d7a-11e7-bcda-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {417ecfcb-03d0-11e7-8324-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {70abdb2b-54a1-11ea-b4ca-50e5493e4396} - F:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\...\MountPoints2: {fec73914-3ecf-11e6-a93c-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [LogonHoursAction] 2
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {0555c847-1cfe-11ea-bfcf-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\...\MountPoints2: {d39e0fe2-8fc2-11ea-88a9-50e5493e4396} - F:\AutoRun.exe
   HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\...\MountPoints2: {2e4d0b8f-e08e-11ea-be78-50e5493e4396} - F:\HiSuiteDownLoader.exe
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Policies: C:\Users\user1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   Policies: C:\Users\Сергей\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   U3 aswbdisk; отсутствует ImagePath
   ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
   AlternateDataStreams: C:\ProgramData\TEMP:111F082E [274]
   AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
   AlternateDataStreams: C:\Users\user\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
   AlternateDataStreams: C:\Users\user\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
   AlternateDataStreams: C:\Users\user1\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
   AlternateDataStreams: C:\Users\user1\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
   Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  Нет файла
   Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
   Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
   Toolbar: HKU\S-1-5-21-1562740439-1242730839-3635279109-1005 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
   C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions
   zip:C:\FRST\Quarantine

    

3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Цитата

user (S-1-5-21-1562740439-1242730839-3635279109-1000 - Administrator - Enabled) => C:\Users\user
user1 (S-1-5-21-1562740439-1242730839-3635279109-1004 - Administrator - Enabled) => C:\Users\user1

Эти обе учетные записи используются в работе?

Изменено 26 марта, 2021 пользователем mike 1

[Андрей_]

Да, обе учетные записи используются.

Архив с рабочего стола загрузил в карантин для анализа.

Fixlog.txt

опять наблюдаю зловредный процесс в диспетчере задач

[mike 1]

10 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено.

 

Далее сделайте такой лог https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/

[Андрей_]

Прошу прощения, при сохранении текста в блокноте не переключил в Юникод.

Провел процедуру заново в программе FRST с исправлением.

Выкладываю новый лог.

Новый архив, с рабочего стола загружать в карантин для анализа?

 

Fixlog.txt USER-PC_2021-03-27_12-37-34_v4.11.5.7z

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ".
4. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    

   ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv6.1
   v400c
   breg
   
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
   delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
   deldir %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS
   deltmp
   restart

    

5. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."

6. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

 

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 

[Андрей_]

TDSSKiller.3.1.0.28_27.03.2021_17.00.13_log.txt

[mike 1]

Сделайте новые логи frst.txt, addition.txt 

[Андрей_]

FRST.txt Addition.txt

[mike 1]

Деинсталлируйте: Ace Stream Media 3.1.7

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   Task: {76E39FFA-70E6-42BB-A16A-58E595E846E8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1791712 2021-02-23] (Avast Software s.r.o. -> Avast Software)
   Task: {9654E9D4-6F47-4060-9F3F-9F2E87123617} - \zChromeExtenst -> Нет файла <==== ВНИМАНИЕ
   Task: {976E29DD-E6F3-4116-864D-0AADA441AA9E} - System32\Tasks\Mozilla\Firefox Default Browser Agent E7CF176E110C211B => C:\Program Files (x86)\Mozilla Firefox\default-browser-agent.exe [696816 2021-03-25] (Mozilla Corporation -> Mozilla Foundation)
   S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
   FirewallRules: [{F2DE3B83-2170-41F7-AF1C-C6D26CEDCF0E}] => (Allow) LPort=80
   FirewallRules: [{8544EBBD-4E87-4788-85BF-E5068D4C9175}] => (Allow) LPort=443
   FirewallRules: [{A794A3DA-1C2B-4660-B642-CF3CC632F37A}] => (Allow) LPort=20010
   FirewallRules: [{0AC22281-CF75-4B82-9A29-CBAA976B8F4C}] => (Allow) LPort=3478
   FirewallRules: [{C7D71C99-534D-4F91-B4C9-4ED57D390CDC}] => (Allow) LPort=7850
   FirewallRules: [{9DC2CE61-0AFF-4C4F-A620-5340D69C13B9}] => (Allow) LPort=7852
   FirewallRules: [{472EF72F-AE26-46FC-A95B-DBD4A1399D71}] => (Allow) LPort=7853
   FirewallRules: [{923C5B47-18F8-4572-A612-AB23F99291E5}] => (Allow) LPort=27022
   FirewallRules: [{B35F01CD-E944-4ED7-BAF2-6CC960BD4D15}] => (Allow) LPort=6881
   FirewallRules: [{AFD2C7F8-53FB-41C0-A662-E84F5B2369C8}] => (Allow) LPort=33333
   FirewallRules: [{8B2E849E-FA7B-40D3-9743-46F05D99EFC3}] => (Allow) LPort=20443
   FirewallRules: [{45C0BD62-9C77-45A5-9B73-C5B8DBEFF8FA}] => (Allow) LPort=8090
   EmptyTemp:

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен и будут очищены сохраненные пароли в браузерах.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 27 марта, 2021 пользователем mike 1

[Андрей_]

Архив, на рабочем столе, не был создан.

Fixlog.txt