[РЕШЕНО] Прошу помочь удалить майнер SppExtFileObj

[Анастасия85]

Доброго времени суток.

Появился майнер SppExtFileObj.exe, его обнаруживают Dr.Web CureIt! и Касперский. Удалить получается только пока запущен диспетчер задач. Но после удаления файлы появляются снова, перезагрузка не помогает. Помогите пожалуйста избавиться от этой дряни. Грузит систему на 100%, кулеры выходят из строя, уже два раза поменяла.

Спасибо.CollectionLog-2025.09.28-22.53.zip

CollectionLog-2025.09.28-22.53.zip CollectionLog-2025.09.28-22.53.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteService('McAfee WebAdvisor');
 TerminateProcessByName('c:\users\public\libraries\amd\opencl\sppextfileobj.exe');
 QuarantineFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','32');
 DeleteFile('C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Анастасия85]

CollectionLog-2025.09.29-10.53.zip

2025.09.29_quarantine_5892911de91eedab1926941e99e74c3f.7z

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Анастасия85]

FRST.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb68e9-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" 
HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb6909-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {5414397A-4008-4AD4-B204-F01C95CEBC9B} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {F7FB475B-53C6-4BF1-AEEF-D664EC0D2688} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
Task: {9DF67B6C-FBFF-4204-A11B-9AFC336E3C97} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {A14A9223-063A-4847-8DFE-ED851657FFFA} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Disable (Нет файла)
Task: {53D3B31F-63FE-474A-850D-07A3251F02EB} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Warning (Нет файла)
Task: {04D42493-4EAC-4B2A-BACA-57BE7FF13896} - System32\Tasks\TMPSYSUPD => C:\Users\Public\AppData_5\Fonts_Upd\SgrmBroker.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {CC845769-D45A-49E6-AE1E-DD3AF96CF0C0} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]
S2 mcafee webadvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{181E893D-73A4-4722-B61D-D604B3D67D47}\InprocServer32 -> C:\Program Files\1cv8\8.3.25.1394\bin\comcntr.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Users\Александр\Downloads\Мои файлы в Dropbox.lnk:com.dropbox.ignored [1]
BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\Public"
EndPowerShell:
FirewallRules: [UDP Query User{FF0F0724-5FEE-4471-A853-8A358BC3ED99}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{9F1B82DA-C1F3-4C94-9409-EFA936CB0354}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{0C4DB986-18E0-4684-9140-E7C0C8EB2930}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{955DF3B3-27B4-4A84-B841-D1445F518FCE}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{44CB2F3D-C18F-469C-A83D-92B9CED6E86D}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [TCP Query User{D0C04ECC-9832-437E-ADEB-B24D01D14866}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [TCP Query User{803E4005-95CF-49B6-8AED-A7D0F47878DF}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{A18CEE90-FCD3-47AB-8B51-556F99B69BA1}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [TCP Query User{6F9DBD87-D99E-4DE6-A464-390C0FF7F0F8}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [UDP Query User{1FEB0091-F6C8-4311-9479-D12D9D54415B}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [{FCCA31DC-3D8F-4201-8B90-788BD5F0363C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{9B45EC3D-A100-4ECA-8FEB-F50641CAD371}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [TCP Query User{BD46FA37-64D5-45FE-9F1D-4E6112D475D3}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{A1B1A949-7628-4025-8F98-EA3307996371}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{98FFA3A5-225D-46D8-83A0-1EDDB0E2A5C7}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{4D86D01F-ED1C-47C7-B9F8-302BAFDC23DD}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [{C3E71CC9-5EEC-40B2-BD9D-CF90DE2EEB57}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{2FC034A9-0BA6-4C20-9D79-273D9968429E}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{B7E5B4EF-D2C1-4849-A1DE-F29F1D89E5F9}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{E14E4818-77C6-40F1-B9FE-341021A6D935}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{C7CA62FE-46C4-4070-982B-5C850F7DD22C}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{CC244BD9-7344-4C2F-A0F7-12CD3ABCC0BD}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4A8DB872-F36E-45FA-A7E8-C3B10F112F39}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{71FBF242-8D65-44A3-8145-DBC17F2BA3F0}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{FD3735D6-5BF1-41A2-A567-470F4F335B7E}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{65B9C081-0D65-419B-AF82-1E35D187027F}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4F2328AF-2B9D-4ADC-A3BD-DFB89FF3F476}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{E9CAC33A-5FED-4CF7-8B6E-FF3F1C5E0E8D}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{2D73A92F-BC4C-4257-A1D6-A53B9B3D5E5E}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2733923E-D7D4-42FA-8A30-11FDA8475D50}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{CAAB2E2D-BDD6-4B43-9BA6-8E30A3178E51}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{6018B3AC-7EF4-4BAE-BFBF-85010C321F3B}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{88632384-79D4-469A-968A-BEE7EB19E14B}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{627070A2-1735-4550-8E29-4FB865A4BA10}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{EF171A6D-E0F7-45AC-A939-AF8CDFF81934}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{7E8509D7-C45A-40CB-8396-57823106FCD2}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{E76A4333-669F-481A-BD75-F26D28CE14EE}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла
FirewallRules: [UDP Query User{527337B3-039D-47B6-957B-491FB1C769CC}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла
FirewallRules: [{46AFB370-DC78-49F0-9A2B-E633EC10EF18}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{CF517680-3AEA-4319-A07E-12EF80B35CE9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{B309F46F-9839-4A14-AA3B-1A76FFE9A904}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.133.3202.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{06B59ABE-3E11-46DB-B9B1-E6B5FA5FCE59}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{9E84647A-5A03-49FB-8131-7AA5718AEBC3}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
c:\users\public\libraries
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Анастасия85]

Я правильно поняла, что мне из буфера обмена надо вставить текст в Farbar Recovery Scan Tool, и только потом нажать кнопку исправить?

 

Fixlog.txt

[thyrex]

Программа сама взяла скрипт из буфера обмена. Проблема решена?

[Анастасия85]

Да, всё работает, огромное человеческое спасибо!!!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Анастасия85]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Microsoft SQL Server 2012 (64-разрядная версия) Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Native Client  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Setup (English) v.11.1.3128.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 RsFx Driver v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
NVIDIA App 11.0.4.148 v.11.0.4.148 Внимание! Скачать обновления
Microsoft SQL Server 2012 Transact-SQL ScriptDom  v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 6.1.50 v.6.1.50 Внимание! Скачать обновления
AIDA64 Extreme v6.25 v.6.25 Внимание! Скачать обновления
AnyDesk v.ad 9.0.7 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.94 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Google Drive v.114.0.1.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.164.0824.0003 Внимание! Скачать обновления
Яндекс.Диск v.3.2.45.5100 Внимание! Скачать обновления
WinRAR 6.02 (32-bit) v.6.02.0 Внимание! Скачать обновления
GIMP 2.10.38 v.2.10.38 Внимание! Скачать обновления
Gimp, версия 2.2.17 v.2.2.17 Внимание! Скачать обновления
Discord v.1.0.9154 Внимание! Скачать обновления
Zoom Workplace v.6.5.9 (11873) Внимание! Скачать обновления
K-Lite Codec Pack 17.4.5 Full v.17.4.5 Внимание! Скачать обновления
Asian Language And Spelling Dictionaries Support For Adobe Acrobat Reader v.23.008.20421 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Chromium-Gost v.111.0.5563.64 Внимание! Скачать обновления
Google Chrome v.140.0.7339.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".