TiWorker.exe стал вирусом

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemDrive%\USERS\STAS\DESKTOP\1518549.TXT.EXE
   ;---------command-block---------
   delref HTTP://MAIL.RU/CNT/10445?GP=811040
   delref J:\AUTORUN.EXE
   delref I:\AUTORUN.EXE
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B667F2F27-E3B8-47B5-AFCB-08FD75178A52%7D&GP=811041
   delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
   delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\STAS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   zoo %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE
   delall %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SYSLOG\SYSLOG.EXE
   zoo %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
   delall %SystemDrive%\USERS\STAS\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
   delref I:\SETUP.EXE
   delref I:\STARTME.EXE
   delref K:\RUNCOPY.EXE
   bl F98098AE5392375EFD01FAE541767478 398336
   zoo %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\RICHED32.DLL
   delall %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\RICHED32.DLL
   bl DDC2F14602EB1689CF708EAEC4DD1173 265400
   zoo %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\TIWORKER.EXE
   delall %SystemRoot%\SYSWOW64\NB-NO\S-1-5-57\TIWORKER.EXE
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
   apply
   
   czoo
   restart 

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

свежий лог прикрепите.

 

+ Автологер перекачайте и соберите заново логи. Там больше не должно быть проблемы со сбором логов.
 

[StaS1992]

Сделано.
Так-же ссылка на virusinfo https://drive.google.com/file/d/1_OsK1nKdmfYTJfuRfOGJY3ubwIc48oF9/view?usp=sharing

CollectionLog-2019.02.18-11.05.zip

Изменено 18 февраля, 2019 пользователем regist
убрал карантин

[regist]

Вы видно по ошибке вместо свежего лога uVS карантин uVS прикрепили (удалил его из вашего поста).

+ "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Youtube AdBlock - {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} - (no file)
O3-32 - HKLM\..\Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)

 

+ вы из Швеции? Эти DNS вам знакомы?

193.12.150.98
212.247.152.98

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[StaS1992]

Моя ошибка, прикрепил свежий лог uVS.
AdwCleaner после сканирования предлагает "Очистить и восстановить", мне проделать эту процедуру?
Эти DNS мне не знакомы. Территориально я нахожусь в Латвии. 

WORK-PC_2019-02-18_22-00-23_v4.1.2.7z

AdwCleanerS00.txt

[regist]

1) "Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 212.247.152.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 193.12.150.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1746DF9A-ECE2-4BC8-98E4-A609D05C5B1B}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2377FB57-674B-4BEA-8E04-84255524184A}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A865801A-5CFB-4283-8533-7F59B2555CE2}: [NameServer] = 212.247.152.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 193.12.150.98
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E10A72D8-3AB6-45D9-8B95-E8295B450BC9}: [NameServer] = 212.247.152.98

 

Эти сайты если в доверенные IE сами не вносили, то тоже пофиксить

O15 - Trusted Zone: https://connectify.me
O15 - Trusted Zone: https://fastspring.com

2) Free YouTube Download - советую деинсталировать.

 

3)

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

4) Советую сменить все пароли. Так как ваше соединение шло через троянские DNS и злоумышленника технически была возможность перехватывать весь ваш трафик.

 

5) Свежий лог HijackThis для контроля сделайте.

[StaS1992]

Сканирование было сделано без нужных настроек, поэтому пришлось переделать, поэтому 2 лога. После выставления нужных настроек, не было предложено "Очистить и восстановить", а после первого прогона было, и я отчистил их и перезагрузил систему. 

HiJackThis.log

AdwCleanerC00.txt

AdwCleanerS02.txt

[regist]

Проблема решена?

 

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.
  

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[StaS1992]

Сделал, обнаружил 3 уязвимости, 1 установил, но MS17-010: Обновления безопасности для Windows SMB Server не установилось, (" Обновление не применимо к этому компьютеру") также с такой же ошибкой не встал "Накопительное обновление безопасности для браузера Internet Explorer". Adobe Flash Player установился без проблем.

[regist]

@StaS1992, если телеметрия не критична, то просто поставьте последний роллап через обновление системы. Обновление IE тоже установите оттуда.

[StaS1992]

Благодарю за помощь regist! 
Вопрос, тот архив что я скинул был источником данного вируса? 

[regist]

@StaS1992, вы там два архива скинули. Сам файл setup в обоих был чист, а .msimg32.dll которая рядом лежала в обоих была вариациями вируса (две dll - две разные модификации).