[РЕШЕНО] подозрительный файл exUpd.exe

[mike 1]

• Загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Андрей_]

SecurityCheck.txt

Подскажите, пожалуйста, что происходило с компьютером и были ли найдены вредоносные процессы и объекты?

[mike 1]

Да, были. Вероятно майнер.

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) - рекомендуется обновление до Windows 10 версии 2009. Если у Вас есть лицензия, то обновление будет бесплатным через помощник по обновлению Windows. Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
 

Автоматическое обновление отключено - включите

 

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
 

Malwarebytes version 4.1.0.56 v.4.1.0.56 Внимание! Скачать обновления
 

Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталляция. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
 

 Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталляция. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Word Viewer 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком.  Рекомендуется деинсталляция. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
 

Skype, версия 8.67 v.8.67 Внимание! Скачать обновления
K-Lite Codec Pack 15.9.0 Full v.15.9.0 Внимание! Скачать обновления
 

Adobe Flash Player 32 ActiveX v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 NPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
 

VdhCoApp 1.2.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция.

 

И уточните, что с проблемой?

[Андрей_]

Опять появилась папка  Google с файлами и компьютер начал "тормозить".

[mike 1]

Обновления ставили? 

 

Сделайте лог полного сканирования MBAM, но только актуальной версией https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-v-4.34405/. 

[Андрей_]

Обновления все установил, кроме офисных, и удалил Adobe Flash Player и VdhCoApp 1.2.4.

7-Zip 20.02 alpha (x64) переустановил, более новую не нашел на сайте.

Выкладываю новые логи MBAM и SecurityCheck.

Вредный процесс exUpd.exe продолжает работать.

SecurityCheck.txt Результат проверки MBAM.txt

[mike 1]

В MBAM удалите только:

 

Значение реестра: 4
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTOFFERTHROUGHWUAU, Проигнорировано пользователем, 6989, 676880, 1.0.38795, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, Проигнорировано пользователем, 6989, 676881, 1.0.38795, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTOFFERTHROUGHWUAU, Проигнорировано пользователем, 6989, 676880, 1.0.38795, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, Проигнорировано пользователем, 6989, 676881, 1.0.38795, , ame, , , 

 

Сделайте еще раз логи frst.txt, addition.txt 

[Андрей_]

4 записи отправил в карантин в MBAM.

SecurityCheck.txt Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CreateRestorePoint:
   CloseProcesses:
   HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
   Task: {9389CA63-1FFB-4328-A51E-D2BA17D14B3E} - System32\Tasks\zChromeExtenst => C:\Users\user1\AppData\Roaming\Microsoft\Google\ChromeExtensions\Ads\HoneyAds\exUpd.exe [83968 2021-03-28] () [Файл не подписан]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1000\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [elhpdacimkjpccooodognopfhbdgnpbk]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [elhpdacimkjpccooodognopfhbdgnpbk]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
   Edge HKU\S-1-5-21-1562740439-1242730839-3635279109-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [elhpdacimkjpccooodognopfhbdgnpbk]
   2021-03-28 00:20 - 2021-03-28 00:20 - 000000004 _____ () C:\Users\user1\AppData\Roaming\Microsoft\Windows_current_date.txt
   C:\Users\user1\AppData\Roaming\Microsoft\Google
   C:\Users\user1\AppData\Local\Google

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Далее скачайте и запустите Process Monitor;
- в окне Process Monitor нажмите на значок фильтра > в окне фильтра нажмите RESET > поставьте фильтры для событий файловой системы, реестр и сеть, нажмите APPLY > OK
- меню Options -> включите флажок - Enable Boot Logging;
- перезагрузите компьютер;
- после появления процесса exUpd.exe запустите Process Monitor;
- остановите захват(Ctrl +E) или нажмите на лупу;
- сохраните лог(Ctrl+S) или меню File -> Save -> PML-формат;
- сохраненный лог запакуйте в архив и выложите на файлообменник.

Изменено 28 марта, 2021 пользователем mike 1

[Андрей_]

Пытаюсь разобраться с программой Process Monitor.

Не совсем понятен процесс установки фильтров для событий файловой системы, реестр и сеть.

Fixlog.txt

[mike 1]

Посмотрите здесь https://safezone.cc/threads/kak-podgotovit-log-process-monitor-procmon.25147 там на картинке показаны классы событий в виде кнопок, то есть нужно выбрать только логирование определённых событий. 

Изменено 28 марта, 2021 пользователем mike 1

[Андрей_]

И еще один вопрос. На какой файлообменник выложить архив лога программы Process Monitor?

[mike 1]

Любой удобный вам, например, можно воспользоваться облачным хранилищем

[Андрей_]

По Вашей ссылке страница не найдена.

[mike 1]

Поправил ссылку