помогите удалить sppextfileobj.exe появился после того обхода дискорда

[idk]

майнер очень сильно нагружает видеокарту, у sppextfileobj.exe есть 2 части одна видимая другая скрытая , если удалить его видимую часть то она через минуты 3 восстановится, у майнера есть админка и он запретил сбрасывать настройки антивирусы просто не запускаются, из за майнера в основном зависает пк на секунд 15-20. Что делать?

 

Сообщение от модератора thyrex

Перемещено в Уничтожение вирусов

[safety]

Добавьте все логи по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 4 января пользователем safety

[idk]

saw.zipвот вроде

 

[safety]

образ проверю, но нужен так же основной лог с помощью Autologger

[idk]

А как его получить

 

[safety]

В правилам все расписано по шагам

 

Изменено 4 января пользователем safety

[idk]

Вы можете перейти в telegram ? Мы не до конца поняли как это сделать. Мой телеграм: Ybakall_17

Изменено 5 января пользователем idk

[safety]

Тяжелый случай.

В ТГ мы не консультируем по темам заражений и шифрования пользователей форума.

 

Выполните очистку в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\604A8BA2-A31D-41E6-AFF9-B2942DD7B7D6.TMP.NODE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\7653D7ED-F068-4D48-9E58-82CC17E7C72D.TMP.NODE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\7C62BECE-601C-48B1-9B42-3F09327596CA.TMP.NODE
delall %SystemDrive%\PROGRAM FILES (X86)\UFILER\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\B87A55D6-E021-41E6-A0B1-A7CE08B567BD.TMP.NODE
delall %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\360EXTREMEBROWSER.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\360SECUREBROWSER\CHROME\APPLICATION\360SECUREBROWSER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\UFILER\PRO\UFILERPRO.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\UFILER\PRO
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROMEWEBSTORE.GOOGLE.COM/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\20.12.2.105\SERVICE_UPDATE.EXE
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\CLIENT HELPER\CLIENT HELPER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.6.4.582\INSTALLER\YNDXSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\USERS\2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\21.220.1024.0005\FILESYNCSHELL.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %SystemDrive%\USERS\PUBLIC\LIBRARIES\DIRECTX\DXCACHE\DDXDIAG.EXE
delref %Sys32%\TASKS\WINAMDTWEAK
delref %SystemDrive%\PROGRAMDATA\DIRECTX\GRAPHICS\DIRECTXUTIL.EXE
delref %Sys32%\TASKS\DIRECTXUTILTASK
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5060.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.6.974\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\20.12.2.105\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\20.12.2.105\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\20.12.2.105\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\20.12.2.105\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.6.4.582\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1098\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1098\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1098\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1098\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1098\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.79\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\ZOOM\BIN\NPZOOMPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ARDOR GAMING KEYBOARD\ARDOR GAMING KEYBOARD.EXE --AUTOUP
delref %SystemDrive%\USERS\2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\.OPERA\6BB7A28EE911\INSTALLER.EXE
delref %SystemDrive%\USERS\1\DOWNLOADS\TRIAL_VEGASPRO20_DLM_Z72JP2--PHW7DUK4NMCMQ2R57F.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\3731F381-B401-4E53-8591-2C9567C2FF39_AMCAP_EN_V3.0.9.ZIP.F39\AMCAP_EN_ V3.0.9.EXE
delref %SystemDrive%\USERS\1\DOWNLOADS\UNLOCKGO_ANDROID.EXE
delref %SystemDrive%\PROGRAM FILES\NEXTRP LAUNCHER\UNINSTALL NEXTRP LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\TXGAMEASSISTANT\UI\TINST.EXE
delref %SystemDrive%\PROGRAM FILES\TXGAMEASSISTANT\APPMARKET\TINST.EXE
delref %SystemDrive%\PROGRAM FILES\TXGAMEASSISTANT\APPMARKET\GF186\TUNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS X\BLUESTACKSXUNINSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSUNINSTALLER.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\BLUESTACKSSERVICES.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\UNINSTALL BLUESTACKSSERVICES.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\PROGRAMS\WAVE\UNINSTALL WAVE.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\.OPERA\54D530EA292D\INSTALLER.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\INSTALL\AM_DELTA_PATCH_1.421.1180.0.EXE
delref %SystemRoot%\TEMP\{3F4A904C-651F-4F65-A0A3-0B78AD854D44}\{E1A5E34C-0907-4BAA-AC2E-B7386270FAF5}.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\9CB3D7F3-CA40-11EF-97B7-D8BBC1073755\TEST_WPF.EXE
delref %SystemDrive%\USERS\1\ONEDRIVE\DESKTOP\ШКОЛА 2021-22\ШКОЛА 2020-21\HVCAP\HVCAP.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.16731\UTILITY\UNINST.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.16731\OFFICE6\KSOMISC.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\360SECUREBROWSER\CHROME\APPLICATION\1.0.1006.1010\INSTALLER\SETUP.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

+

пробуйте собрать логи с помощью Autologger для контроля.

 

Цитата

2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip. Если у вас возникнут вопросы/проблемы связанные с AutoLogger-ом, то прочитайте FAQ.

При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов. (Второе зеркало временно).

 

Изменено 5 января пользователем safety

[idk]

Новая сжатая ZIP-папка.zipвот сделал как сказали

[safety]

uVS зачем еще раз скачивали?

скачали старую версию.

uVS v4.15 [http://dsrt.dyndns.org:8888]

да еще и с английским интерфейсом

Цитата

Applying changes...
--------------------------------------------------------
Removing refs...
--------------------------------------------------------
Killed processes: 0 of 0
Modified/removed objects 36 of 36
Removed files: 10 of 10

 

Что сейчас с проблемами? решены или по прежнему что то в системе происходит нежелательное?

Изменено 6 января пользователем safety

[idk]

мы все таки  решили сбросить настройки полностью но у нас осталась проблема, у нас нету имени администратора на пользователе. А с вирусом все прежне было

 

 

Изменено 6 января пользователем idk

[safety]

Какие именно вы сбросили настройки? пишите яснее.

[Hariclame]

safety, можете мне тоже помочь? я сделал всё кроме логов и скрипта. если их обязательно то сделаю

2025-01-10_16-10-04_v4.99.5v x64.7z

[Sandor]

@Hariclame не пишите в чужой теме.

Создайте свою, предварительно выполнив Порядок оформления запроса о помощи