Прошу помочь удалить майнер SppExtFileObj

[Анастасия85]

Доброго времени суток.

Появился майнер SppExtFileObj.exe, его обнаруживают Dr.Web CureIt! и Касперский. Удалить получается только пока запущен диспетчер задач. Но после удаления файлы появляются снова, перезагрузка не помогает. Помогите пожалуйста избавиться от этой дряни. Грузит систему на 100%, кулеры выходят из строя, уже два раза поменяла.

Спасибо.CollectionLog-2025.09.28-22.53.zip

CollectionLog-2025.09.28-22.53.zip CollectionLog-2025.09.28-22.53.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteService('McAfee WebAdvisor');
 TerminateProcessByName('c:\users\public\libraries\amd\opencl\sppextfileobj.exe');
 QuarantineFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','32');
 DeleteFile('C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Анастасия85]

CollectionLog-2025.09.29-10.53.zip

2025.09.29_quarantine_5892911de91eedab1926941e99e74c3f.7z

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Анастасия85]

FRST.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb68e9-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" 
HKU\S-1-5-21-3213750562-1533722933-3015439997-1002\...\MountPoints2: {8fdb6909-0710-11ec-92be-9fd40a96c949} - "F:\AutoRun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {5414397A-4008-4AD4-B204-F01C95CEBC9B} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {F7FB475B-53C6-4BF1-AEEF-D664EC0D2688} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
Task: {9DF67B6C-FBFF-4204-A11B-9AFC336E3C97} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {A14A9223-063A-4847-8DFE-ED851657FFFA} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Disable (Нет файла)
Task: {53D3B31F-63FE-474A-850D-07A3251F02EB} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Warning (Нет файла)
Task: {04D42493-4EAC-4B2A-BACA-57BE7FF13896} - System32\Tasks\TMPSYSUPD => C:\Users\Public\AppData_5\Fonts_Upd\SgrmBroker.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {CC845769-D45A-49E6-AE1E-DD3AF96CF0C0} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]
S2 mcafee webadvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{181E893D-73A4-4722-B61D-D604B3D67D47}\InprocServer32 -> C:\Program Files\1cv8\8.3.25.1394\bin\comcntr.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3213750562-1533722933-3015439997-1002_Classes\CLSID\{75399D28-E622-4973-8752-BC0F7DC47AF3}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.122\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Users\Александр\Downloads\Мои файлы в Dropbox.lnk:com.dropbox.ignored [1]
BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\Public"
EndPowerShell:
FirewallRules: [UDP Query User{FF0F0724-5FEE-4471-A853-8A358BC3ED99}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{9F1B82DA-C1F3-4C94-9409-EFA936CB0354}M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe] => (Allow) M:\zona downloads\rockstar games\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{0C4DB986-18E0-4684-9140-E7C0C8EB2930}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{955DF3B3-27B4-4A84-B841-D1445F518FCE}M:\настя\team\anydesk\anydesk.exe] => (Allow) M:\настя\team\anydesk\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{44CB2F3D-C18F-469C-A83D-92B9CED6E86D}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [TCP Query User{D0C04ECC-9832-437E-ADEB-B24D01D14866}C:3\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) C:3\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [TCP Query User{803E4005-95CF-49B6-8AED-A7D0F47878DF}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{A18CEE90-FCD3-47AB-8B51-556F99B69BA1}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [TCP Query User{6F9DBD87-D99E-4DE6-A464-390C0FF7F0F8}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [UDP Query User{1FEB0091-F6C8-4311-9479-D12D9D54415B}M:\драйвера\sdi_rus\sdi_x64_r1800.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r1800.exe => Нет файла
FirewallRules: [{FCCA31DC-3D8F-4201-8B90-788BD5F0363C}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{9B45EC3D-A100-4ECA-8FEB-F50641CAD371}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [TCP Query User{BD46FA37-64D5-45FE-9F1D-4E6112D475D3}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{A1B1A949-7628-4025-8F98-EA3307996371}C:\program files (x86)\zona\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\zona\jre\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{98FFA3A5-225D-46D8-83A0-1EDDB0E2A5C7}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [UDP Query User{4D86D01F-ED1C-47C7-B9F8-302BAFDC23DD}M:\драйвера\sdi_rus\sdi_x64_r2000.exe] => (Allow) M:\драйвера\sdi_rus\sdi_x64_r2000.exe => Нет файла
FirewallRules: [{C3E71CC9-5EEC-40B2-BD9D-CF90DE2EEB57}] => (Allow) D:\Program Files\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{2FC034A9-0BA6-4C20-9D79-273D9968429E}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{B7E5B4EF-D2C1-4849-A1DE-F29F1D89E5F9}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{E14E4818-77C6-40F1-B9FE-341021A6D935}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{C7CA62FE-46C4-4070-982B-5C850F7DD22C}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{CC244BD9-7344-4C2F-A0F7-12CD3ABCC0BD}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4A8DB872-F36E-45FA-A7E8-C3B10F112F39}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{71FBF242-8D65-44A3-8145-DBC17F2BA3F0}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{FD3735D6-5BF1-41A2-A567-470F4F335B7E}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{65B9C081-0D65-419B-AF82-1E35D187027F}] => (Allow) F:\Hogwarts Legacy-1\Hogwarts Legacy\steamapps\common\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4F2328AF-2B9D-4ADC-A3BD-DFB89FF3F476}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{E9CAC33A-5FED-4CF7-8B6E-FF3F1C5E0E8D}] => (Allow) D:\Games\Hogwarts Legacy\steam.exe => Нет файла
FirewallRules: [{2D73A92F-BC4C-4257-A1D6-A53B9B3D5E5E}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2733923E-D7D4-42FA-8A30-11FDA8475D50}] => (Allow) D:\Games\Hogwarts Legacy\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{CAAB2E2D-BDD6-4B43-9BA6-8E30A3178E51}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{6018B3AC-7EF4-4BAE-BFBF-85010C321F3B}C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe] => (Allow) C:\program files (x86)\1cv8\8.3.23.1782\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{88632384-79D4-469A-968A-BEE7EB19E14B}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{627070A2-1735-4550-8E29-4FB865A4BA10}C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{EF171A6D-E0F7-45AC-A939-AF8CDFF81934}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{7E8509D7-C45A-40CB-8396-57823106FCD2}C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.23.1912\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{E76A4333-669F-481A-BD75-F26D28CE14EE}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла
FirewallRules: [UDP Query User{527337B3-039D-47B6-957B-491FB1C769CC}C:\program files\wproxy\winproxy\winproxy.exe] => (Block) C:\program files\wproxy\winproxy\winproxy.exe => Нет файла
FirewallRules: [{46AFB370-DC78-49F0-9A2B-E633EC10EF18}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{CF517680-3AEA-4319-A07E-12EF80B35CE9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{B309F46F-9839-4A14-AA3B-1A76FFE9A904}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.133.3202.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{06B59ABE-3E11-46DB-B9B1-E6B5FA5FCE59}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{9E84647A-5A03-49FB-8131-7AA5718AEBC3}F:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) F:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
c:\users\public\libraries
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Анастасия85]

Я правильно поняла, что мне из буфера обмена надо вставить текст в Farbar Recovery Scan Tool, и только потом нажать кнопку исправить?

 

Fixlog.txt

[thyrex]

Программа сама взяла скрипт из буфера обмена. Проблема решена?

[Анастасия85]

Да, всё работает, огромное человеческое спасибо!!!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Анастасия85]

SecurityCheck.txt