mmx400 0 Опубликовано 13 декабря, 2018 Share Опубликовано 13 декабря, 2018 (изменено) Windows 7 64 Процесс TiWorker.exe грузит проц на 48-52% Процесс самостоятельно запускается спустя несколько минут после того как я его убиваю. Связанные с таким процессом службы windows, отключены. При попытке найти сам исполняющий файл, используя в диспетчере задач функцию открыть место хранения файла, ничего не происходит. При запуске стороннего монитора процессов, killProcess например, этот хитрец самостоятельно отключается, а через несколько минут закрывает монитор процессов. Полная проверка Касперским результата тоже не даёт. Помогите, что делать? Сори в названии темы не правильно указал название процесса, правильно TiWorker.exe Изменено 13 декабря, 2018 пользователем mmx400 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 декабря, 2018 Share Опубликовано 13 декабря, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 13 декабря, 2018 Автор Share Опубликовано 13 декабря, 2018 Порядок оформления запроса о помощи Понял, займусь. Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 17 декабря, 2018 Автор Share Опубликовано 17 декабря, 2018 Запускаю Kaspersky Virus Removal Tool 2015; и работа утилиты не доходит до конца, окно просто закрывается, вместе с монитором процессов, то есть видимо этот TiWoreker.exe их закрывает. при запуске dr.web вообще ничего не происходит, никакое окно не открывается. Аутологгер вроде б отработал нормально, лог файл прикрепил. CollectionLog-2018.12.17-14.19.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 декабря, 2018 Share Опубликовано 18 декабря, 2018 (изменено) KillProcess 2.44 [2018/11/25 21:49:36]-->C:\Program Files (x86)\KillProcess\uninst.exe сами ставили? Деинсталируйте его. NoVirusThanks OSArmor v1.4.1 [20181125]-->"C:\Program Files\NoVirusThanks\OSArmorDevSvc\unins000.exe" тоже деинсталируйте. Java 8 Update 25 [20141217]-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218025F0} устаравшая и уязвимая версия Java, деинсталируйте её. WinRAR 5.00 (64-bit) [2018/01/21 21:04:48]-->C:\Program Files\WinRAR\uninstall.exe желательно обновить. "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_11.0.9600.17496&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&itbv=12.21.0.114&doi=2014-12-17&psv=&pt=tb R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?li=ff&sstype=prefix&q={searchTerms} - Ask Search R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [URL] = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=&itbv=12.21.0.114&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie_11.0.9600.17496&doi=2014-12-17&trgb=IE&q={searchTerms}&psv=&pt=tb - Ask Search O4 - MSConfig\startupreg: BondDisc.exe [command] = C:\Program Files (x86)\BondDisc\BondDisc.exe (HKLM) (2018/06/25) (file missing) O4 - MSConfig\startupreg: DisplayFusion [command] = D:\m1\soft\DisplayFusion.Pro.7.3.4\DisplayFusion-7.3.4\DisplayFusion\DisplayFusion.exe (HKCU) (2018/06/25) (file missing) O4 - MSConfig\startupreg: MouseFix [command] = D:\m1\soft\MouseFix\MouseFix.exe (HKLM) (2018/06/25) (file missing) O22 - Task (.job): (Ready) Wise Turbo Checker.job - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing) O22 - Task: (disabled) Process Lasso Core Engine Only - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processgovernor.exe (file missing) O22 - Task: (disabled) Process Lasso Management Console (GUI) - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processlasso.exe (file missing) O22 - Task: Run RoboForm Process - C:\Users\Торгтрест\AppData\Local\Temp\RoboForm\RoboTaskBarIcon.exe (file missing) O22 - Task: Run RoboForm TaskBar Icon - C:\Users\Торгтрест\AppData\Local\Temp\RoboTaskBarIcon.exe (file missing) O22 - Task: Wise Turbo Checker - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing) после этого соберите свежие логи. Изменено 18 декабря, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 18 декабря, 2018 Автор Share Опубликовано 18 декабря, 2018 Всё по списку удалил, даже винрар. Всё по списку пофиксил. Новый отчёт сделал: CollectionLog-2018.12.19-00.51.zip Tiworker присутствует Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 декабря, 2018 Share Опубликовано 19 декабря, 2018 Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 23 декабря, 2018 Автор Share Опубликовано 23 декабря, 2018 Все сделал, правда avz при работе в своём окне много раз писал об ошибке: Ошибка карантина файла, попытка прямого чтения Карантин с использованием прямого чтения - ошибка Файл успешно помещен в карантин (C:\Program Files\Opera\launcher.exe) Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\pcalua.exe) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (E:\Software\ASUS\Wireless_Console_3\setup.exe) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтен и тд, длинный список. AutorunsVTchecker никаких логов не делает, просто просканировал и всё? virusinfo_auto_TORGTREST.zip TORGTREST_2018-12-23_12-20-46_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 декабря, 2018 Share Опубликовано 23 декабря, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.URL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2SSV.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\SSV.DLL delref {740E50B9-8CDB-4A47-A519-E6F99D97CD4C}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH\2.1.31_0\360 INTERNET PROTECTION bl DDC2F14602EB1689CF708EAEC4DD1173 265400 zoo %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE delall %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\UNINST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\15.0.874.121\INSTALLER\SETUP.EXE delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL delref D:\M1\SOFT\AKELPAD-4.9.8-X64-BIN-RUS\AKELPAD.EXE delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F bl 1E807BA83C727FE81E8083DE15105936 433 zoo %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS delall %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. после этого сделайте свежий образ автозапуска. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 23 декабря, 2018 Автор Share Опубликовано 23 декабря, 2018 Сделал. Имя карантин-а(ов) сообщите в теме:2018.12.23_ZOO_2018-12-23_17-59-59_d8e94306203f61a3c7b6b3d7bf5493f8.7z TORGTREST_2018-12-23_18-06-01_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 декабря, 2018 Share Опубликовано 23 декабря, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 37ABBC3DCAFD7DCAB078947243AB18CC 67896 zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. сделайте новый образ автозапуска и заодно проверьте, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 24 декабря, 2018 Автор Share Опубликовано 24 декабря, 2018 сделайте новый образ автозапуска и заодно проверьте, что с проблемой? Да я вот после первого скрипта avz, выполненного вчера, всё жду когда мой TiWorker появится, но его всё нет и нет. Но я и этот второй скрипт, выполню сегодня тоже,... Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 декабря, 2018 Share Опубликовано 24 декабря, 2018 после первого скрипта avz AVZ или uVS ? Но я и этот второй скрипт, выполню сегодня тоже,... ждём Цитата Ссылка на сообщение Поделиться на другие сайты
mmx400 0 Опубликовано 24 декабря, 2018 Автор Share Опубликовано 24 декабря, 2018 Да, конечно uVS, ошибся) Имя карантин-а(ов) сообщите в теме:2018.12.24_ZOO_2018-12-24_11-41-57_564925b6d92ab5b870e67a15e51369ec.7z TORGTREST_2018-12-24_11-46-52_v4.1.2.7z TiWorker больше не появляется. Спасибо вам огромное, друзья) Вы серьезные профи) Можно вопрос? Что это был за процесс, вам удалось понять? Майнер какой-нибудь или троян? У меня просто в этот период один аккаунт взломали, быстро заметил получилось восстановить, это может быть связанно? Стоит ли менять все пароли, или как? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 декабря, 2018 Share Опубликовано 24 декабря, 2018 Можно вопрос? Что это был за процесс, вам удалось понять? сам процесс, точней файл который вы заметили легальный, а вот использовался он как вспомогательный инструмент для чего именно пока сложно сказать. Но скорее всего итоговая цель была майнинг. Стоит ли менять все пароли, или как? После того как система была скомпрометирована всегда полезно сменить пароли (да даже если не была, тоже лишним не будет) . 1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95 ;---------command-block--------- bl 64F25E0D7681C0C32A44CC8DB991C6D3 65024 zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 2) Чтобы убедиться, что других хвостов не осталось Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.