Перейти к содержанию

TiWorker.exe стал вирусом


Рекомендуемые сообщения

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemDrive%\USERS\STAS\DESKTOP\1518549.TXT.EXE
    ;---------command-block---------
    delref HTTP://MAIL.RU/CNT/10445?GP=811040
    delref J:\AUTORUN.EXE
    delref I:\AUTORUN.EXE
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B667F2F27-E3B8-47B5-AFCB-08FD75178A52%7D&GP=811041
    delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    zoo %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE
    delall %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE
    zoo %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
    delall %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
    delref I:\SETUP.EXE
    delref I:\STARTME.EXE
    delref K:\RUNCOPY.EXE
    bl F98098AE5392375EFD01FAE541767478 398336
    zoo %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\RICHED32.DLL
    delall %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\RICHED32.DLL
    bl DDC2F14602EB1689CF708EAEC4DD1173 265400
    zoo %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\TIWORKER.EXE
    delall %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\TIWORKER.EXE
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    czoo
    restart 
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

свежий лог прикрепите.

 

+ Автологер перекачайте и соберите заново логи. Там больше не должно быть проблемы со сбором логов.
 

Ссылка на сообщение
Поделиться на другие сайты

Сделано.
Так-же ссылка на virusinfo https://drive.google.com/file/d/1_OsK1nKdmfYTJfuRfOGJY3ubwIc48oF9/view?usp=sharing

CollectionLog-2019.02.18-11.05.zip

Изменено пользователем regist
убрал карантин
Ссылка на сообщение
Поделиться на другие сайты

Вы видно по ошибке вместо свежего лога uVS карантин uVS прикрепили (удалил его из вашего поста).


+ "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Youtube AdBlock - {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)

 

+ вы из Швеции? Эти DNS вам знакомы?

193.12.150.98
212.247.152.98

+

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Моя ошибка, прикрепил свежий лог uVS.
AdwCleaner после сканирования предлагает "Очистить и восстановить", мне проделать эту процедуру?
Эти DNS мне не знакомы. Территориально я нахожусь в Латвии. 

WORK-PC_2019-02-18_22-00-23_v4.1.2.7z

AdwCleanerS00.txt

Ссылка на сообщение
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 212.247.152.98

 

Эти сайты если в доверенные IE сами не вносили, то тоже пофиксить

O15 - Trusted Zone: https://connectify.me
O15 - Trusted Zone: https://fastspring.com

2) Free YouTube Download - советую деинсталировать.

 

3)

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

4) Советую сменить все пароли. Так как ваше соединение шло через троянские DNS и злоумышленника технически была возможность перехватывать весь ваш трафик.

 

5) Свежий лог HijackThis для контроля сделайте.

Ссылка на сообщение
Поделиться на другие сайты

Сканирование было сделано без нужных настроек, поэтому пришлось переделать, поэтому 2 лога. После выставления нужных настроек, не было предложено "Очистить и восстановить", а после первого прогона было, и я отчистил их и перезагрузил систему. 

HiJackThis.log

AdwCleanerC00.txt

AdwCleanerS02.txt

Ссылка на сообщение
Поделиться на другие сайты

Проблема решена?

 

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.


 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Сделал, обнаружил 3 уязвимости, 1 установил, но MS17-010: Обновления безопасности для Windows SMB Server не установилось, (" Обновление не применимо к этому компьютеру") также с такой же ошибкой не встал "Накопительное обновление безопасности для браузера Internet Explorer". Adobe Flash Player установился без проблем.

Ссылка на сообщение
Поделиться на другие сайты

@StaS1992, если телеметрия не критична, то просто поставьте последний роллап через обновление системы. Обновление IE тоже установите оттуда.

Ссылка на сообщение
Поделиться на другие сайты

@StaS1992, вы там два архива скинули. Сам файл setup в обоих был чист, а .msimg32.dll которая рядом лежала в обоих была вариациями вируса (две dll - две разные модификации).

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • alanmas
      От alanmas
      Активируется как раскрутка вентиляторов, если не шевелить мышью минут 10. Отображается во время этого в ProcessExplorer, и исчезает при малейшем шевелении мышью. AVZ и CureIt чистые. Центр обновления Windows ничего не качает. Автологгер поблочил только игры в Стиме. К сообщению также прикладываю результаты UVS. Скрипты к нему писать не умею. 
      CollectionLog-2022.07.17-00.58.zip DESKTOP-04071JO_2022-07-17_00-14-33_v4.12.7z
    • Johny
      От Johny
      Доброго дня.

      Процесс TiWorker.exe грузит процессор на 25-50% и сам себя перезапускает при завершении процесса через Диспетчер задач.

       

      Пробовал отключать службу "Установщик модулей Windows" TrustedInstaller. не помогло.

      Kaspersky Virus Removal Tool;  работа утилиты не доходит до конца, окно просто закрывается. К тому-же при запуски этой утилиты процесс TiWorker.exe пропадает.

       

      лог прикладываю ниже

      CollectionLog-2019.06.03-13.12.zip
×
×
  • Создать...