label.exe - утилита метки диска расходует ресурсы

[btwnice]

подцепил какой то майнер,грузил процессор под 80%,возможно удалился через процессы ибо его больше не видно но какие то его приметы остались: иногда просто падает отзывчивость системы и в этом роде, по этому прикрепляю лог собранный автологером,так же в браузере вместо обычной новой вкладки появляеться find-it.pro

вот лог

CollectionLog-2024.07.20-18.10.zip

[thyrex]

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\dhshs\AppData\Local\Programs\8c4f3b70\cdb4a520c5.msi','');
 QuarantineFile('C:\Program Files (x86)\tPDpQnjMuEhGC\dsnNdWc.dll','');
 QuarantineFile('C:\Program Files (x86)\iLLtGyRPU\ymggTv.dll','');
 QuarantineFile('C:\Program Files (x86)\OGvqLuLxfoTU2\VyhmpgggjTHvK.dll','');
 QuarantineFile('C:\ProgramData\ncptKlvwrpOWTQVB\WbDVylu.wsf^','');
 QuarantineFile('c:\windows\System32\mobsync.dll','');
 DeleteFile('c:\windows\System32\mobsync.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_b984ce\Parameters','ServiceDll','x64');
 DeleteFile('C:\ProgramData\ncptKlvwrpOWTQVB\WbDVylu.wsf^','64');
 DeleteSchedulerTask('BAuCnRsHDxHTv2');
 DeleteFile('C:\Program Files (x86)\OGvqLuLxfoTU2\VyhmpgggjTHvK.dll','64');
 DeleteFile('C:\Program Files (x86)\iLLtGyRPU\ymggTv.dll','64');
 DeleteFile('C:\Program Files (x86)\tPDpQnjMuEhGC\dsnNdWc.dll','64');
 DeleteSchedulerTask('JguAUYTGXGYaxQAXfHO2');
 DeleteSchedulerTask('dGeDdXeytfTIAgt2');
 DeleteSchedulerTask('CNAUFsegUUhgaN');
 DeleteFile('C:\Users\dhshs\AppData\Local\Programs\8c4f3b70\cdb4a520c5.msi','64');
 DeleteSchedulerTask('printfriendly-print-S-1-5-21-2602022699-3744773101-3671476662-1001');
 DeleteSchedulerTask('switch-mortal');
 DeleteFile('C:\ProgramData\tough-wrap\bin.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[btwnice]

вот новый лог,так же имя карантина: 
2024.07.20_quarantine_d1001c6d2a4ef822444ff683bc473e5a.7z

CollectionLog-2024.07.20-22.20.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[btwnice]

вот 

логи.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {BDC197A2-733D-4E75-9D8B-850BA421D615} - System32\Tasks\qBKRmjEdrKPZdVlnV2 => C:\WINDOWS\system32\rundll32.exe [89600 2024-07-12] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\SCPAALVRHDxZjMHrgiR\STQjeTb.dll",#1 <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
C:\Users\dhshs\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\dhshs\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
S2 ProxyVan2; C:\Program Files (x86)\ProxyVan\Service\ProxyVan.exe [X]
2024-07-19 18:10 - 2024-07-19 18:10 - 001092121 _____ C:\WINDOWS\SysWOW64\bison832.dat
2024-07-19 18:10 - 2024-07-19 18:10 - 000000000 __SHD C:\ProgramData\SwiftRestore-408eab06-3540-459c-b930-feb2ac5f5b6e
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\Setup
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\Program Files (x86)\360
2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 ____D C:\Program Files (x86)\policy provide
2024-07-12 14:32 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\tPDpQnjMuEhGC
2024-07-12 14:32 - 2024-07-12 14:32 - 000003034 _____ C:\WINDOWS\system32\Tasks\qBKRmjEdrKPZdVlnV2
2024-07-12 14:32 - 2024-07-12 14:32 - 000000000 ____D C:\Program Files (x86)\TyhFIdGAorUn
2024-07-12 14:32 - 2024-07-12 14:32 - 000000000 ____D C:\Program Files (x86)\SCPAALVRHDxZjMHrgiR
2024-07-12 14:29 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\OGvqLuLxfoTU2
2024-07-12 14:29 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\iLLtGyRPU
2024-07-12 14:29 - 2024-07-12 14:32 - 000000000 ____D C:\ProgramData\ncptKlvwrpOWTQVB
2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\VPljTpDnRfVVtjHHL
2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\RjlpvTLTBpjLXrp
2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\pdbtpJFtBjhNPXhTVx
C:\Users\dhshs\AppData\Local\Programs\8c4f3b70
C:\ProgramData\tough-wrap
iguana zip 2.10.9.921 (HKLM-x32\...\{a483b620-c2be-4cf4-9fa3-b1d3eb6da439}) (Version: 2.10.9.921 - Cattaneo-Russo e figli e figli) Hidden
policy provide 1.2.2.547 (HKLM-x32\...\{f6f66909-11a6-4775-9469-5ff3207a3788}) (Version: 1.2.2.547 - Mertz-Zemlak Group) Hidden
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
FirewallRules: [{9A3342E5-E132-4867-B9AD-34E275B7C225}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯桜倴坯攮數 => Нет файла
FirewallRules: [{A700AB20-6A38-4EEA-85EC-EE88A83F3DD0}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{AAA9B6E5-502C-498E-8E5E-8E6D5BC19881}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{6825CD31-65E5-46C3-8AFE-7ED29DE2E600}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯扜瑯⹕硥e => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

iguana zip 2.10.9.921

policy provide 1.2.2.547
toc
VideoAdsBlocker

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

ProxyVan сами устанавливали? Если нет, тогда тоже удалите.

[btwnice]

при попытке заупуска фикса пишет: не найден fixlist.txt 

файл fixlist.txt должен находится в той же папке, что и сам инструмент, и программа закрывается

 

[btwnice]

6 минут назад, btwnice сказал:

при попытке заупуска фикса пишет: не найден fixlist.txt 

файл fixlist.txt должен находится в той же папке, что и сам инструмент, и программа закрывается

 

починил,вот лог

Fixlog.txt

[thyrex]

Читать нужно было внимательно. Вы пропустили первый пункт (перед скриптом), потому и возникала ошибка.

 

Проблема решена?

[btwnice]

да,остался только find-it.pro в браузере при открытии новой вкладки,это можно как то пофиксить?

 

 

все решил,спасибо вам огромное!<3

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.