Вирус под видом TiWorker.exe

[Johny 0]

Доброго дня.

Процесс TiWorker.exe грузит процессор на 25-50% и сам себя перезапускает при завершении процесса через Диспетчер задач.

 

Пробовал отключать службу "Установщик модулей Windows" TrustedInstaller. не помогло.

Kaspersky Virus Removal Tool;  работа утилиты не доходит до конца, окно просто закрывается. К тому-же при запуски этой утилиты процесс TiWorker.exe пропадает.

 

лог прикладываю ниже

CollectionLog-2019.06.03-13.12.zip

[Sandor 906]

Здравствуйте!

 

Файл

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.

[Johny 0]

C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs

вам известен? Пока самостоятельно ничего не предпринимайте.

 

нет, возможно исполнительный файл программы, хз

[Sandor 906]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

"Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: AceStream [command] = C:\Users\Ivan\AppData\Roaming\ACEStream\engine\ace_engine.exe (HKCU) (2014/03/11) (file missing)
O4-32 - HKLM\..\RunOnce: [{6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {6993EA50-E2C4-4C98-825F-F27BDD5D9AF0}.cmd
O4-32 - HKLM\..\RunOnce: [{96817F5B-6234-4803-B420-E04CBB1F7D6A}] = C:\windows\system32\cmd.exe /C start /D "C:\Users\Ivan\AppData\Local\Temp" /B {96817F5B-6234-4803-B420-E04CBB1F7D6A}.cmd
O9-32 - Button: HKLM\..\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}: (no name) - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\f50228951023562dd63176faa7535438\Cheat64.dll (file missing)
O22 - Task: {2073DBE1-BFDF-4FF6-8C5C-55D56DEB34E4} - C:\MaxDPS Mutilate Rogue\Mutilate Rogue.exe (file missing)

Следы предыдущей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '');
 DeleteFile('C:\Cadence\SPB_16.6\tools\ConfigUtility\CreateShortcut.vbs', '32');
 DelCLSID('SPB_16.6');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Johny 0]

Файл отправил, как ответ придет сообщу
 

Прикрепил свежие логи

 

Полученный ответ сообщите здесь (с указанием номера KL-).

 

[KLAN-10303628956]

hank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
CreateShortcut.vbs

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

CollectionLog-2019.06.03-16.24.zip

[Sandor 906]

Следы предыдущей установки Avast очистите

Чистили?

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Johny 0]

 

 

Чистили?

Да я запускал, ничего не удаляет эта утилита(там просто нет в списке то, что было у меня). Был какой-то avast CleanUP Premium, я его удалил в ручную

[Sandor 906]

Ясно, продолжайте.

[Johny 0]

UPD: Прикрепил лог сканирования

 

AdwCleanerS00.txt

[Sandor 906]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Johny 0]

Прикрепляю все логи после сканирования

процесс до сих пор периодически висит и жрет

AdwCleanerC01.txt

Addition.txt

FRST.txt

[Sandor 906]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {06722F64-0E83-43A1-B859-DEAA9B547250} - System32\Tasks\Avast TUNEUP Update => C:\Program Files (x86)\AVAST Software\Avast Cleanup\TUNEUpdate.exe
  Task: {5E7B4B46-022C-45D9-B127-45A1D1BF6120} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
  Task: {80B503CD-3407-41A3-99A0-1F9EF05B8B93} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2380088 2019-04-16] (AVAST Software s.r.o. -> AVAST Software)
  HKLM\System\...\Parameters\PersistentRoutes: [23.218.212.69,255.255.255.255,0.0.0.0,1]
  HKLM\System\...\Parameters\PersistentRoutes: [65.55.108.23,255.255.255.255,0.0.0.0,1]
  HKLM\System\...\Parameters\PersistentRoutes: [65.39.117.230,255.255.255.255,0.0.0.0,1]
  HKLM\System\...\Parameters\PersistentRoutes: [134.170.30.202,255.255.255.255,0.0.0.0,1]
  HKLM\System\...\Parameters\PersistentRoutes: [137.116.81.24,255.255.255.255,0.0.0.0,1]
  HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.200,255.255.255.255,0.0.0.0,1]
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=821272
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821272"
  C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahnphcmhmhcjjcjhmnnjjlbmaeljecga
  C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi
  C:\Users\Ivan\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim
  CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kpckgflgdapkpabemgkielbefdildaio] - <no Path/update_url>
  CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  HKU\S-1-5-21-3787178119-1307382421-2462357480-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Johny 0]

Пк не перезапустился автоматически, все делал по инструкции

Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.

 

Fixlog.txt

[Sandor 906]

Странно, что-то все же пошло не так.

Соберите свежие логи FRST.txt и Addition.txt и прикрепите к следующему сообщению.

[Johny 0]

Соберите свежие логи FRST.txt и Addition.txt и прикрепите к следующему сообщению.

Addition.txt

FRST.txt