Троян мешает работать за ноутбуком.

**Phil1982** · 03.09.2025, 22:26

Периодически заражается компьютер трояном.
То есть троян обнаруживается антивирусом Windows, затем удаляется по команде, затем обнаруживается снова. Лог работы autologger.exe в прикреплении.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.09.2025, 22:28

Уважаемый(ая) Phil1982, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 04.09.2025, 06:35

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKU\S-1-5-18\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-19\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\Run: [GoogleDriveFS] = C:\Program Files\Google\Drive File Stream\69.0.0.0\GoogleDriveFS.exe --startup_mode (file missing) (User 'Network service')

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Phil1982** · 04.09.2025, 17:07

Здравствуйте, требуемые файлы в прикреплении.
С уважением, Гогин Ф.Н.

**Vvvyg** · 04.09.2025, 19:54

Сообщение от Phil1982

То есть троян обнаруживается антивирусом Windows, затем удаляется по команде, затем обнаруживается снова.

Речь про SppExtComObjHook.dll и SppExtComObjPatcher.exe, видимо. Это компоненты KMS активатора, опасности не представляют, можно добавить в исключения Защитника.

Windows Defender:
================
Date: 2025-09-03 20:39:31
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?lin...9&enterprise=0
Имя: HackTool:Win32/AutoKMS!pz
ИД: 2147890609
Серьезность: Высокий
Категория: Программное средство
Путь: file:_C:\Windows\system32\SppExtComObjHook.dll
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: HOME-NOTEBOOK\Philipp
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.435.501.0, AS: 1.435.501.0, NIS: 1.435.501.0
Версия подсистемы: AM: 1.1.25070.4, NIS: 1.1.25070.4

Date: 2025-09-03 20:39:31
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?lin...3&enterprise=0
Имя: Trojan:Win64/CryptInject
ИД: 2147727613
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Windows\system32\SppExtComObjPatcher.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: HOME-NOTEBOOK\Philipp
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.435.501.0, AS: 1.435.501.0, NIS: 1.435.501.0
Версия подсистемы: AM: 1.1.25070.4, NIS: 1.1.25070.4

Дочистим некоторый мусор.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKU\S-1-5-21-1582113947-798919005-3214376360-500\...\Run: [Skype for Desktop] => C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe --autostart (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\StartupFolder: => "startKProxyAgentService.bat"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "ut"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "GoogleDriveFS"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "Skype for Desktop"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "PlanetVPN"
HKU\S-1-5-21-1582113947-798919005-3214376360-1001\...\StartupApproved\Run: => "Discord"
HKU\S-1-5-21-1582113947-798919005-3214376360-500\...\StartupApproved\Run: => "Skype for Desktop"
FirewallRules: [{9321B862-DCCC-413D-A1C8-D4F7FC38738C}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{6DF09651-3F1C-4CB6-B2C7-5131A6A39E96}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{AF81F6B5-B67B-43D4-84AD-9185BF37F42A}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{62FB37A7-9B80-458C-BF0E-ECD713227FB3}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{E88DA563-E75A-47D9-9AC6-F49B87D9E652}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\WINDOWS\MEMORY.DMP >nul
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

**Phil1982** · 04.09.2025, 21:20

Требуемый файл в прикреплении к письму.
С уважением, Гогин ФН

**Vvvyg** · Вчера, 07:26

Всё на этом.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**Phil1982** · Вчера, 14:36

Спасибо за помощь!

- - - - -Добавлено - - - - -

У меня сайт virusinfo.info открывается при включенном VPN. Это у меня одного так или у всех?
Вопрос: почему ваш сайт работает только с VPN?
Спасибо.
С уважением, Гогин Ф.Н.

**Vvvyg** · Вчера, 21:46

Потому что хосится на Cloudflare, видимо, блочить стали. У меня тоже только с VPN с сегодняшнего дня.

Троян мешает работать за ноутбуком. (заявка № 229881)

Опции темы