Помогите с вирусом (под TiWorker.exe)

[mmx400]

Windows 7 64

 

Процесс TiWorker.exe грузит проц на 48-52%

Процесс самостоятельно запускается спустя несколько минут после того как я его убиваю.

Связанные с таким процессом службы windows, отключены.

При попытке найти сам исполняющий файл, используя в диспетчере задач функцию открыть место хранения файла, 

ничего не происходит.

При запуске стороннего монитора процессов, killProcess например, этот хитрец самостоятельно отключается, а через 

несколько минут закрывает монитор процессов.

Полная проверка Касперским результата тоже не даёт.

 

Помогите, что делать?

 

Сори в названии темы не правильно указал название процесса, правильно TiWorker.exe

Изменено 13 декабря, 2018 пользователем mmx400

[regist]

Порядок оформления запроса о помощи
 

[mmx400]

Порядок оформления запроса о помощи

 

Понял, займусь.

[mmx400]

Запускаю

• Kaspersky Virus Removal Tool 2015; и работа утилиты не доходит до конца, окно просто закрывается, вместе с монитором процессов, то есть видимо этот TiWoreker.exe их закрывает.

при запуске dr.web вообще ничего не происходит, никакое окно не открывается.

 

Аутологгер вроде б отработал нормально, лог файл прикрепил.

CollectionLog-2018.12.17-14.19.zip

[regist]

KillProcess 2.44 [2018/11/25 21:49:36]-->C:\Program Files (x86)\KillProcess\uninst.exe

сами ставили? Деинсталируйте его.

NoVirusThanks OSArmor v1.4.1 [20181125]-->"C:\Program Files\NoVirusThanks\OSArmorDevSvc\unins000.exe"

тоже деинсталируйте.

Java 8 Update 25 [20141217]-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218025F0}

устаравшая и уязвимая версия Java, деинсталируйте её.

 

WinRAR 5.00 (64-bit) [2018/01/21 21:04:48]-->C:\Program Files\WinRAR\uninstall.exe

желательно обновить.

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_11.0.9600.17496&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&itbv=12.21.0.114&doi=2014-12-17&psv=&pt=tb
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?li=ff&sstype=prefix&q={searchTerms} - Ask Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [URL] = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=&itbv=12.21.0.114&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie_11.0.9600.17496&doi=2014-12-17&trgb=IE&q={searchTerms}&psv=&pt=tb - Ask Search
O4 - MSConfig\startupreg: BondDisc.exe [command] = C:\Program Files (x86)\BondDisc\BondDisc.exe (HKLM) (2018/06/25) (file missing)
O4 - MSConfig\startupreg: DisplayFusion [command] = D:\m1\soft\DisplayFusion.Pro.7.3.4\DisplayFusion-7.3.4\DisplayFusion\DisplayFusion.exe (HKCU) (2018/06/25) (file missing)
O4 - MSConfig\startupreg: MouseFix [command] = D:\m1\soft\MouseFix\MouseFix.exe (HKLM) (2018/06/25) (file missing)
O22 - Task (.job): (Ready) Wise Turbo Checker.job - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task: (disabled) Process Lasso Core Engine Only - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processgovernor.exe (file missing)
O22 - Task: (disabled) Process Lasso Management Console (GUI) - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processlasso.exe (file missing)
O22 - Task: Run RoboForm Process - C:\Users\Торгтрест\AppData\Local\Temp\RoboForm\RoboTaskBarIcon.exe (file missing)
O22 - Task: Run RoboForm TaskBar Icon - C:\Users\Торгтрест\AppData\Local\Temp\RoboTaskBarIcon.exe (file missing)
O22 - Task: Wise Turbo Checker - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing)

после этого соберите свежие логи.

Изменено 18 декабря, 2018 пользователем regist

[mmx400]

Всё по списку удалил, даже винрар.

Всё по списку пофиксил.

Новый отчёт сделал:  CollectionLog-2018.12.19-00.51.zip

Tiworker присутствует

[regist]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[mmx400]

Все сделал, правда avz при работе в своём окне много раз писал об ошибке:

 

Ошибка карантина файла, попытка прямого чтения

 Карантин с использованием прямого чтения - ошибка

Файл успешно помещен в карантин (C:\Program Files\Opera\launcher.exe)

Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\pcalua.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (E:\Software\ASUS\Wireless_Console_3\setup.exe)

 Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтен                       

и тд, длинный список.

 

AutorunsVTchecker никаких логов не делает, просто просканировал  и всё?

virusinfo_auto_TORGTREST.zip

TORGTREST_2018-12-23_12-20-46_v4.1.2.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.URL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2SSV.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\SSV.DLL
   delref {740E50B9-8CDB-4A47-A519-E6F99D97CD4C}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH\2.1.31_0\360 INTERNET PROTECTION
   bl DDC2F14602EB1689CF708EAEC4DD1173 265400
   zoo %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE
   delall %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\UNINST.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\15.0.874.121\INSTALLER\SETUP.EXE
   delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL
   delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL
   delref D:\M1\SOFT\AKELPAD-4.9.8-X64-BIN-RUS\AKELPAD.EXE
   delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F
   bl 1E807BA83C727FE81E8083DE15105936 433
   zoo %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS
   delall %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

после этого сделайте свежий образ автозапуска.

[mmx400]

Сделал.

 

Имя карантин-а(ов) сообщите в теме:
2018.12.23_ZOO_2018-12-23_17-59-59_d8e94306203f61a3c7b6b3d7bf5493f8.7z

TORGTREST_2018-12-23_18-06-01_v4.1.2.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   bl 37ABBC3DCAFD7DCAB078947243AB18CC 67896
   zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE
   delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE
   delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

сделайте новый образ автозапуска и заодно проверьте, что с проблемой?

[mmx400]

 

 

сделайте новый образ автозапуска и заодно проверьте, что с проблемой?

Да я вот после первого скрипта avz, выполненного вчера, всё жду когда мой TiWorker появится, но его всё нет и нет.

Но я и этот второй скрипт, выполню сегодня тоже,...

[regist]

 

 

после первого скрипта avz

AVZ или uVS ?

 

 

Но я и этот второй скрипт, выполню сегодня тоже,...

ждём

[mmx400]

Да, конечно uVS, ошибся)

 

Имя карантин-а(ов) сообщите в теме:
2018.12.24_ZOO_2018-12-24_11-41-57_564925b6d92ab5b870e67a15e51369ec.7z

 

TORGTREST_2018-12-24_11-46-52_v4.1.2.7z

 

TiWorker больше не появляется. 

Спасибо вам огромное, друзья) Вы серьезные профи) 

 

Можно вопрос? Что это был за процесс, вам удалось понять? Майнер какой-нибудь или троян? У меня просто в этот период один аккаунт взломали, быстро заметил получилось восстановить, это может быть связанно? Стоит ли менять все пароли, или как?

[regist]

 

 

Можно вопрос? Что это был за процесс, вам удалось понять?

сам процесс, точней файл который вы заметили легальный, а вот использовался он как вспомогательный инструмент для чего именно пока сложно сказать. Но скорее всего итоговая цель была майнинг.

 

 

 

Стоит ли менять все пароли, или как?

После того как система была скомпрометирована всегда полезно сменить пароли (да даже если не была, тоже лишним не будет) .

 

1)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95
   ;---------command-block---------
   bl 64F25E0D7681C0C32A44CC8DB991C6D3 65024
   zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL
   delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2) Чтобы убедиться, что других хвостов не осталось

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.