Перейти к содержанию
Правила раздела

[РЕШЕНО] tiworker запускается и закрывает диспетчер задач

norvele

Автор norvele
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

norvele Новичок

norvele

Опубликовано
Опубликовано

Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.

CollectionLog-2020.09.21-21.34.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано 
C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
 

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

XPSViewer - как понимаю не используете (не знаком)?

Ссылка на комментарий
Поделиться на другие сайты
norvele Новичок

norvele

Опубликовано
  • Автор
Опубликовано
6 часов назад, regist сказал: 

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

Да, пытался починить загрузку языковой панели, но не вышло. При загрузке винды не могу переключать язык пока не завершу процесс CTF-Загрузчик, чтобы он заного запустился...

 

Цитата

XPSViewer - как понимаю не используете (не знаком)?

Не знаком. Когда проверял с AVZ, он мне так подсветил эти подозрительные файлы: 

Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcr100.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcr100.dll

но удалить их вручную не получилось, даже зайти в эти папки "нет доступа". Но вчера пока снес `Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineHD - C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe` через HiJackThis, чтобы майнер не запускался, больше ничо не трогал.

 

 

Файл карантина 2020.09.22_quarantine_f44cbe6204373343c127e92019317546.7z

MD5 карантина: 8A9EDBA3703FE255B70D1D2B4E3B3836

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe', '');
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe');
 DeleteFileMask('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*', true);
 DeleteDirectory('C:\WINDOWS\SysWOW64\XPSViewer\TasksG');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin

	 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

	end.[/CODE]

 - Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ отправьте по адресу [b]newvirus@kaspersky.com[/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

TG_1.3.61.18.exe - в карантин не попал.

7 часов назад, norvele сказал:

AppleVersions.dll

уже детектировался как HEUR:Trojan.Win32.Generic

 

7 часов назад, norvele сказал:

data.dll

В ближайшем обновление баз будет добавлен детект Trojan.Win32.Agentb.kaew

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты
norvele Новичок

norvele

Опубликовано
  • Автор
Опубликовано

После отправки на quarantine.zip на почту ответа небыло.

Логи повторно сделал.

TG_1.3.61.18.exe похоже я удалил через HiJackThis

CollectionLog-2020.09.23-09.22.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Этот файл советую удалите или ручками, или пофиксьте в Хиджак 

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe    ->    (PE EXE) (2020/05/21)

Тем более у вас и так дублируется его запуск через реестр. Если проблема с языковой панелью осталась, то лучше создайте тему в соседнем разделе.

 

Папку с распакованным Автологером удалите (а то потом антивирусы могут на карантин ругаться), да и сам Автологер можно удалить. Если вдруг он снова вам понадобится, то всё равно надо будет скачивать свежий.

 

 Выполните рекомендации после лечения.

 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...