Перейти к содержимому


Фотография
- - - - -

Вирус под видом TiWorker.exe

TiWorker.exe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 22

#1 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 13:14

Доброго дня.

Процесс TiWorker.exe грузит процессор на 25-50% и сам себя перезапускает при завершении процесса через Диспетчер задач.

 

Пробовал отключать службу "Установщик модулей Windows" TrustedInstaller. не помогло.

Kaspersky Virus Removal Tool;  работа утилиты не доходит до конца, окно просто закрывается. К тому-же при запуски этой утилиты процесс TiWorker.exe пропадает.

 

лог прикладываю ниже

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 03 Июнь 2019 - 14:14

Здравствуйте!

Файл

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.
  • 0
Изображение

#3 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 15:06

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.

 

нет, возможно исполнительный файл программы, хз


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 03 Июнь 2019 - 15:16

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

"Пофиксите" в HijackThis:
O4 - MSConfig\startupreg: AceStream [command] = C:\Users\Ivan\AppData\Roaming\ACEStream\engine\ace_engine.exe (HKCU) (2014/03/11) (file missing)
O4-32 - HKLM\..\RunOnce: [{6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}.cmd
O4-32 - HKLM\..\RunOnce: [{96817F5B-6234-4803-B420-E04CBB1F7D6A}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {96817F5B-6234-4803-B420-E04CBB1F7D6A}.cmd
O9-32 - Button: HKLM\..\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}: (no name) - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\f50228951023562dd63176faa7535438\Cheat64.dll (file missing)
O22 - Task: {2073DBE1-BFDF-4FF6-8C5C-55D56DEB34E4} - C:\MaxDPS Mutilate Rogue\Mutilate Rogue.exe (file missing)
Следы предыдущей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.


Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '');
 DeleteFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '32');
 DelCLSID('SPB_16.6');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 16:30

Файл отправил, как ответ придет сообщу
 

Прикрепил свежие логи


 

Полученный ответ сообщите здесь (с указанием номера KL-).

 

[KLAN-10303628956]

hank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
CreateShortcut.vbs

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 03 Июнь 2019 - 16:32

Следы предыдущей установки Avast очистите

Чистили?

Далее:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 16:36


Чистили?

Да я запускал, ничего не удаляет эта утилита(там просто нет в списке то, что было у меня). Был какой-то avast CleanUP Premium, я его удалил в ручную


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 03 Июнь 2019 - 16:38

Ясно, продолжайте.
  • 0
  • Согласен x 1
  • Показать
Изображение

#9 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 16:40

UPD: Прикрепил лог сканирования

 

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 03 Июнь 2019 - 16:45

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#11 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 03 Июнь 2019 - 17:35

Прикрепляю все логи после сканирования


процесс до сих пор периодически висит и жрет

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 04 Июнь 2019 - 08:10

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {06722F64-0E83-43A1-B859-DEAA9B547250} - System32\Tasks\Avast TUNEUP Update => C:\Program Files (x86)\AVAST Software\Avast Cleanup\TUNEUpdate.exe
    Task: {5E7B4B46-022C-45D9-B127-45A1D1BF6120} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
    Task: {80B503CD-3407-41A3-99A0-1F9EF05B8B93} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2380088 2019-04-16] (AVAST Software s.r.o. -> AVAST Software)
    HKLM\System\...\Parameters\PersistentRoutes: [23.218.212.69,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [65.55.108.23,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [65.39.117.230,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [134.170.30.202,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [137.116.81.24,255.255.255.255,0.0.0.0,1]
    HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.200,255.255.255.255,0.0.0.0,1]
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=821272
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821272"
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahnphcmhmhcjjcjhmnnjjlbmaeljecga
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi
    C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kpckgflgdapkpabemgkielbefdildaio] - <no Path/update_url>
    CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#13 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 04 Июнь 2019 - 11:45

Пк не перезапустился автоматически, все делал по инструкции

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.

 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,12К   скачиваний 1

  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 04 Июнь 2019 - 11:48

Странно, что-то все же пошло не так.
Соберите свежие логи FRST.txt и Addition.txt и прикрепите к следующему сообщению.
  • 0
Изображение

#15 OFF   Johny

Johny

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 04 Июнь 2019 - 12:03

Соберите свежие логи FRST.txt и Addition.txt и прикрепите к следующему сообщению.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   135,86К   скачиваний 1
  • Прикрепленный файл  FRST.txt   64,23К   скачиваний 1

  • 0





Темы с аналогичными тегами: TiWorker.exe

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных