Перейти к содержанию

Вирус под видом TiWorker.exe


Рекомендуемые сообщения

Доброго дня.


Процесс TiWorker.exe грузит процессор на 25-50% и сам себя перезапускает при завершении процесса через Диспетчер задач.


 


Пробовал отключать службу "Установщик модулей Windows" TrustedInstaller. не помогло.


Kaspersky Virus Removal Tool;  работа утилиты не доходит до конца, окно просто закрывается. К тому-же при запуски этой утилиты процесс TiWorker.exe пропадает.


 


лог прикладываю ниже


CollectionLog-2019.06.03-13.12.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файл

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.
Ссылка на сообщение
Поделиться на другие сайты

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.

 

нет, возможно исполнительный файл программы, хз

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: AceStream [command] = C:\Users\Ivan\AppData\Roaming\ACEStream\engine\ace_engine.exe (HKCU) (2014/03/11) (file missing)
O4-32 - HKLM\..\RunOnce: [{6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}.cmd
O4-32 - HKLM\..\RunOnce: [{96817F5B-6234-4803-B420-E04CBB1F7D6A}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {96817F5B-6234-4803-B420-E04CBB1F7D6A}.cmd
O9-32 - Button: HKLM\..\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}: (no name) - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\f50228951023562dd63176faa7535438\Cheat64.dll (file missing)
O22 - Task: {2073DBE1-BFDF-4FF6-8C5C-55D56DEB34E4} - C:\MaxDPS Mutilate Rogue\Mutilate Rogue.exe (file missing)
Следы предыдущей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '');
 DeleteFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '32');
 DelCLSID('SPB_16.6');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Файл отправил, как ответ придет сообщу
 

Прикрепил свежие логи


 

Полученный ответ сообщите здесь (с указанием номера KL-).

 

[KLAN-10303628956]

hank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
CreateShortcut.vbs

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

CollectionLog-2019.06.03-16.24.zip

Ссылка на сообщение
Поделиться на другие сайты

Следы предыдущей установки Avast очистите

Чистили?

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

 

 


Чистили?

Да я запускал, ничего не удаляет эта утилита(там просто нет в списке то, что было у меня). Был какой-то avast CleanUP Premium, я его удалил в ручную

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {06722F64-0E83-43A1-B859-DEAA9B547250} - System32\Tasks\Avast TUNEUP Update => C:\Program Files (x86)\AVAST Software\Avast Cleanup\TUNEUpdate.exe
    Task: {5E7B4B46-022C-45D9-B127-45A1D1BF6120} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
    Task: {80B503CD-3407-41A3-99A0-1F9EF05B8B93} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2380088 2019-04-16] (AVAST Software s.r.o. -> AVAST Software)
    HKLM\System\...\Parameters\PersistentRoutes: [23.218.212.69,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [65.55.108.23,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [65.39.117.230,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [134.170.30.202,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [137.116.81.24,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.200,255.255.255.255,0.0.0.0,1]
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=821272
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821272"
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahnphcmhmhcjjcjhmnnjjlbmaeljecga
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kpckgflgdapkpabemgkielbefdildaio] - <no Path/update_url>
    CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Пк не перезапустился автоматически, все делал по инструкции

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Странно, что-то все же пошло не так.

Соберите свежие логи FRST.txt и Addition.txt и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • alanmas
      От alanmas
      Активируется как раскрутка вентиляторов, если не шевелить мышью минут 10. Отображается во время этого в ProcessExplorer, и исчезает при малейшем шевелении мышью. AVZ и CureIt чистые. Центр обновления Windows ничего не качает. Автологгер поблочил только игры в Стиме. К сообщению также прикладываю результаты UVS. Скрипты к нему писать не умею. 
      CollectionLog-2022.07.17-00.58.zip DESKTOP-04071JO_2022-07-17_00-14-33_v4.12.7z
    • StaS1992
      От StaS1992
      Доброго дня.
      Процесс TiWorker.exe грузит процессор на 25-50% и сам себя перезапускает при отключении через Диспетчер задач.
      Пробовал отключать службу "Установщик модулей Windows" TrustedInstaller. не помогло. Kaspersky Virus Removal Tool 2015;  работа утилиты не доходит до конца, окно просто закрывается. К тому-же при запуски этой утилиты процесс TiWorker.exe пропадал (как будто прятался).  Прикрепил файл Setup_2149.zip на 90% уверен что это источник проблемы (был неосмотрительно запущен) 
      https://drive.google.com/file/d/1_OsK1nKdmfYTJfuRfOGJY3ubwIc48oF9/view?usp=sharingссылка на AVZ virusinfo_auto AutorunsVTchecker тоже запускал, но логов не появилось AutoLogger поработал, прикрепил  логи CollectionLog-2019.02.16-20.34.zip Прогнал uVS, прикрепил файл  WORK-PC_2019-02-16_22-16-55_v4.1.2.7z CollectionLog-2019.02.16-20.34.zip
      WORK-PC_2019-02-16_22-16-55_v4.1.2.7z
×
×
  • Создать...