Перейти к содержанию
Правила раздела

label.exe - утилита метки диска грузит видеокарту

per4ik

Автор per4ik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

per4ik

per4ik

Опубликовано
Опубликовано

заметил повышение температуры на процессоре, и нагрузку на видеокарте, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
скорее всего майнер, антивирус не видит, подскажите как можно решить проблему.

Прикрепляю логи

CollectionLog-2025.09.20-20.29.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\praak\AppData\Local\Programs\dc4a6d8c\eed57ff179.msi','');
 QuarantineFile('c:\windows\System32\adsiedit.dll','');
 DeleteFile('c:\windows\System32\adsiedit.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ADSISvc_45df18\Parameters','ServiceDll','x64');
 DeleteFile('C:\Users\praak\AppData\Local\Programs\dc4a6d8c\eed57ff179.msi','64');
 DeleteSchedulerTask('stipop-for-S-1-5-21-4229120428-2459526773-833733841-1001');
 DeleteSchedulerTask('suspicion-trouser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-4229120428-2459526773-833733841-1001] => hxxp://127.0.0.1:12334
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
2025-09-17 22:09 - 2025-09-20 20:51 - 000000000 __SHD C:\ProgramData\CloudSafeguard-a132940a-b15d-44c6-b85f-3c0e03ee4e6f
2025-09-17 22:08 - 2025-09-17 22:08 - 001241346 _____ C:\Windows\SysWOW64\text488.dat
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\ProgramData\WindowsTask
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\ProgramData\Setup
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 _RSHD C:\Program Files (x86)\360
assignment disorient 2.2.13.720 (HKLM-x32\...\{aa2af174-4840-42f7-8773-e6247f05ca9e}) (Version: 2.2.13.720 - Moretti Group Group) Hidden
bear feature 3.6.1.371 (HKLM-x32\...\{b9dff3b5-4740-42a9-b00c-bdb3105f6e4d}) (Version: 3.6.1.371 - Barone s.r.l. s.r.l.) Hidden
2025-09-14 09:02 - 2025-09-14 09:02 - 000000000 ____D C:\Program Files (x86)\bear feature
FirewallRules: [TCP Query User{A03AA63F-F2A7-49F0-9BA5-204B69AD3776}G:\utorriainstaller\utorria.exe] => (Allow) G:\utorriainstaller\utorria.exe => Нет файла
FirewallRules: [UDP Query User{145649FD-9A07-4665-A328-F3FF7BF891D7}G:\utorriainstaller\utorria.exe] => (Allow) G:\utorriainstaller\utorria.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

assignment disorient 2.2.13.720

bear feature 3.6.1.371
Кнопки сервисов Яндекса на панели задач

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Yandex v.25.8.2.904 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...