Перейти к содержанию

Помогите с вирусом (под TiWorker.exe)


Рекомендуемые сообщения

Windows 7 64

 

Процесс TiWorker.exe грузит проц на 48-52%

Процесс самостоятельно запускается спустя несколько минут после того как я его убиваю.

Связанные с таким процессом службы windows, отключены.

При попытке найти сам исполняющий файл, используя в диспетчере задач функцию открыть место хранения файла, 

ничего не происходит.

При запуске стороннего монитора процессов, killProcess например, этот хитрец самостоятельно отключается, а через 

несколько минут закрывает монитор процессов.

Полная проверка Касперским результата тоже не даёт.

 

Помогите, что делать?

 

Сори в названии темы не правильно указал название процесса, правильно TiWorker.exe

Изменено пользователем mmx400
Ссылка на сообщение
Поделиться на другие сайты

Запускаю

  • Kaspersky Virus Removal Tool 2015; и работа утилиты не доходит до конца, окно просто закрывается, вместе с монитором процессов, то есть видимо этот TiWoreker.exe их закрывает.

при запуске dr.web вообще ничего не происходит, никакое окно не открывается.

 

Аутологгер вроде б отработал нормально, лог файл прикрепил.

CollectionLog-2018.12.17-14.19.zip

Ссылка на сообщение
Поделиться на другие сайты

KillProcess 2.44 [2018/11/25 21:49:36]-->C:\Program Files (x86)\KillProcess\uninst.exe

сами ставили? Деинсталируйте его.

NoVirusThanks OSArmor v1.4.1 [20181125]-->"C:\Program Files\NoVirusThanks\OSArmorDevSvc\unins000.exe"

тоже деинсталируйте.

Java 8 Update 25 [20141217]-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218025F0}

устаравшая и уязвимая версия Java, деинсталируйте её.

 

WinRAR 5.00 (64-bit) [2018/01/21 21:04:48]-->C:\Program Files\WinRAR\uninstall.exe

желательно обновить.

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EUA&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EUA&apn_dbr=ie_11.0.9600.17496&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&itbv=12.21.0.114&doi=2014-12-17&psv=&pt=tb
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?li=ff&sstype=prefix&q={searchTerms} - Ask Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{89670646-AA63-43CF-B215-55831E6B52F6}: [URL] = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=&itbv=12.21.0.114&apn_uid=A9BFC897-5AD9-4F09-BFC3-7929135F1D9E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie_11.0.9600.17496&doi=2014-12-17&trgb=IE&q={searchTerms}&psv=&pt=tb - Ask Search
O4 - MSConfig\startupreg: BondDisc.exe [command] = C:\Program Files (x86)\BondDisc\BondDisc.exe (HKLM) (2018/06/25) (file missing)
O4 - MSConfig\startupreg: DisplayFusion [command] = D:\m1\soft\DisplayFusion.Pro.7.3.4\DisplayFusion-7.3.4\DisplayFusion\DisplayFusion.exe (HKCU) (2018/06/25) (file missing)
O4 - MSConfig\startupreg: MouseFix [command] = D:\m1\soft\MouseFix\MouseFix.exe (HKLM) (2018/06/25) (file missing)
O22 - Task (.job): (Ready) Wise Turbo Checker.job - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task: (disabled) Process Lasso Core Engine Only - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processgovernor.exe (file missing)
O22 - Task: (disabled) Process Lasso Management Console (GUI) - D:\m1\soft\Process.Lasso.Pro.9.0.0.426.Portable\App\ProcessLasso64\processlasso.exe (file missing)
O22 - Task: Run RoboForm Process - C:\Users\Торгтрест\AppData\Local\Temp\RoboForm\RoboTaskBarIcon.exe (file missing)
O22 - Task: Run RoboForm TaskBar Icon - C:\Users\Торгтрест\AppData\Local\Temp\RoboTaskBarIcon.exe (file missing)
O22 - Task: Wise Turbo Checker - C:\Program Files (x86)\Wise\Wise Care 365\WiseTurbo.exe (file missing)

после этого соберите свежие логи.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .




 

Ссылка на сообщение
Поделиться на другие сайты

Все сделал, правда avz при работе в своём окне много раз писал об ошибке:

 

Ошибка карантина файла, попытка прямого чтения
 Карантин с использованием прямого чтения - ошибка
Файл успешно помещен в карантин (C:\Program Files\Opera\launcher.exe)
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\pcalua.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (E:\Software\ASUS\Wireless_Console_3\setup.exe)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтен                       
и тд, длинный список.
 
AutorunsVTchecker никаких логов не делает, просто просканировал  и всё?

virusinfo_auto_TORGTREST.zip

TORGTREST_2018-12-23_12-20-46_v4.1.2.7z

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.URL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2SSV.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\SSV.DLL
    delref {740E50B9-8CDB-4A47-A519-E6F99D97CD4C}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH\2.1.31_0\360 INTERNET PROTECTION
    bl DDC2F14602EB1689CF708EAEC4DD1173 265400
    zoo %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE
    delall %SystemRoot%\SYSWOW64\SLMGR\S-1-5-76\TIWORKER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
    delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\KILLPROCESS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\KILLPROCESS\UNINST.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\15.0.874.121\INSTALLER\SETUP.EXE
    delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER.DLL
    delref %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.17\PSUSER_64.DLL
    delref D:\M1\SOFT\AKELPAD-4.9.8-X64-BIN-RUS\AKELPAD.EXE
    delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F
    bl 1E807BA83C727FE81E8083DE15105936 433
    zoo %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS
    delall %SystemDrive%\USERS\ТОРГТРЕСТ\APPDATA\ROAMING\SP_DATA.SYS
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



 

после этого сделайте свежий образ автозапуска.

Ссылка на сообщение
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl 37ABBC3DCAFD7DCAB078947243AB18CC 67896
    zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE
    delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\RB_1.3.24.49.EXE
    delref Z:\TEMP\WINDOWS\CC2C9FF6-BFB0-42D9-A775-D248946AA21F
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

 

сделайте новый образ автозапуска и заодно проверьте, что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

 

 

сделайте новый образ автозапуска и заодно проверьте, что с проблемой?

Да я вот после первого скрипта avz, выполненного вчера, всё жду когда мой TiWorker появится, но его всё нет и нет.

Но я и этот второй скрипт, выполню сегодня тоже,...

Ссылка на сообщение
Поделиться на другие сайты

Да, конечно uVS, ошибся)

 

Имя карантин-а(ов) сообщите в теме:
2018.12.24_ZOO_2018-12-24_11-41-57_564925b6d92ab5b870e67a15e51369ec.7z

 

TORGTREST_2018-12-24_11-46-52_v4.1.2.7z

 

TiWorker больше не появляется. 

Спасибо вам огромное, друзья) Вы серьезные профи) 

 

Можно вопрос? Что это был за процесс, вам удалось понять? Майнер какой-нибудь или троян? У меня просто в этот период один аккаунт взломали, быстро заметил получилось восстановить, это может быть связанно? Стоит ли менять все пароли, или как?

Ссылка на сообщение
Поделиться на другие сайты

 

 


Можно вопрос? Что это был за процесс, вам удалось понять?
сам процесс, точней файл который вы заметили легальный, а вот использовался он как вспомогательный инструмент для чего именно пока сложно сказать. Но скорее всего итоговая цель была майнинг.

 

 

 


Стоит ли менять все пароли, или как?
После того как система была скомпрометирована всегда полезно сменить пароли (да даже если не была, тоже лишним не будет) :).

 

1)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95
    ;---------command-block---------
    bl 64F25E0D7681C0C32A44CC8DB991C6D3 65024
    zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL
    delall %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-35-95\DATA.DLL
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2) Чтобы убедиться, что других хвостов не осталось

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.



 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...