Просмотр полной версии : Троян мешает работать за ноутбуком.
Phil1982
03.09.2025, 22:26
Периодически заражается компьютер трояном.
То есть троян обнаруживается антивирусом Windows, затем удаляется по команде, затем обнаруживается снова. Лог работы autologger.exe в прикреплении.
Info_bot
03.09.2025, 22:28
Уважаемый(ая) Phil1982, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O4 - HKU\S-1-5-18\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-19\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Network service')
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Phil1982
04.09.2025, 17:07
Здравствуйте, требуемые файлы в прикреплении.
С уважением, Гогин Ф.Н.
То есть троян обнаруживается антивирусом Windows, затем удаляется по команде, затем обнаруживается снова.
Речь про SppExtComObjHook.dll и SppExtComObjPatcher.exe, видимо. Это компоненты KMS активатора, опасности не представляют, можно добавить в исключения Защитника.
Windows Defender:
================
Date: 2025-09-03 20:39:31
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS!pz&threatid=2147890609&enterprise=0
Имя: HackTool:Win32/AutoKMS!pz
ИД: 2147890609
Серьезность: Высокий
Категория: Программное средство
Путь: file:_C:\Windows\system32\SppExtComObjHook.dll
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: HOME-NOTEBOOK\Philipp
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.435.501.0, AS: 1.435.501.0, NIS: 1.435.501.0
Версия подсистемы: AM: 1.1.25070.4, NIS: 1.1.25070.4
Date: 2025-09-03 20:39:31
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/CryptInject&threatid=2147727613&enterprise=0
Имя: Trojan:Win64/CryptInject
ИД: 2147727613
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Windows\system32\SppExtComObjPatcher.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: HOME-NOTEBOOK\Philipp
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.435.501.0, AS: 1.435.501.0, NIS: 1.435.501.0
Версия подсистемы: AM: 1.1.25070.4, NIS: 1.1.25070.4
Дочистим некоторый мусор.
Выделите и скопируйте в буфер обмена следующий код:
Start::
HKU\S-1-5-21-1582113947-798919005-3214376360-500\...\Run: [Skype for Desktop] => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe --autostart (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Нет файла
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\StartupFolder: => "startKProxyAgentService.bat"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "ut"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "GoogleDriveFS"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "Skype for Desktop"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "PlanetVPN"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "Discord"
HKU\S-1-5-21-1582113947-798919005-3214376360-500\...\StartupApproved\Run: => "Skype for Desktop"
FirewallRules: [{9321B862-DCCC-413D-A1C8-D4F7FC38738C}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent .exe => Нет файла
FirewallRules: [{6DF09651-3F1C-4CB6-B2C7-5131A6A39E96}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent .exe => Нет файла
FirewallRules: [{AF81F6B5-B67B-43D4-84AD-9185BF37F42A}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{62FB37A7-9B80-458C-BF0E-ECD713227FB3}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{E88DA563-E75A-47D9-9AC6-F49B87D9E652}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\WINDOWS\MEMORY.DMP >nul
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Phil1982
04.09.2025, 21:20
Требуемый файл в прикреплении к письму.
С уважением, Гогин ФН
Всё на этом.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Phil1982
05.09.2025, 14:36
Спасибо за помощь!
- - - - -Добавлено - - - - -
У меня сайт virusinfo.info открывается при включенном VPN. Это у меня одного так или у всех?
Вопрос: почему ваш сайт работает только с VPN?
Спасибо.
С уважением, Гогин Ф.Н.
Потому что хосится на Cloudflare, видимо, блочить стали. У меня тоже только с VPN с сегодняшнего дня.
Phil1982
07.09.2025, 15:43
Ок, понятно!
Спасибо
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot