Перейти к содержанию

[РЕШЕНО] tiworker запускается и закрывает диспетчер задач


norvele

Рекомендуемые сообщения

Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.

CollectionLog-2020.09.21-21.34.zip

Ссылка на комментарий
Поделиться на другие сайты

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
 

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

XPSViewer - как понимаю не используете (не знаком)?

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, regist сказал:

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

Да, пытался починить загрузку языковой панели, но не вышло. При загрузке винды не могу переключать язык пока не завершу процесс CTF-Загрузчик, чтобы он заного запустился...

 

Цитата

XPSViewer - как понимаю не используете (не знаком)?

Не знаком. Когда проверял с AVZ, он мне так подсветил эти подозрительные файлы:

Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcr100.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcr100.dll

но удалить их вручную не получилось, даже зайти в эти папки "нет доступа". Но вчера пока снес `Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineHD - C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe` через HiJackThis, чтобы майнер не запускался, больше ничо не трогал.

 

 

Файл карантина 2020.09.22_quarantine_f44cbe6204373343c127e92019317546.7z

MD5 карантина: 8A9EDBA3703FE255B70D1D2B4E3B3836

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe', '');
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe');
 DeleteFileMask('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*', true);
 DeleteDirectory('C:\WINDOWS\SysWOW64\XPSViewer\TasksG');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

 - Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ отправьте по адресу [b]newvirus@kaspersky.com[/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

TG_1.3.61.18.exe - в карантин не попал.

7 часов назад, norvele сказал:

AppleVersions.dll

уже детектировался как HEUR:Trojan.Win32.Generic

 

7 часов назад, norvele сказал:

data.dll

В ближайшем обновление баз будет добавлен детект Trojan.Win32.Agentb.kaew

  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

После отправки на quarantine.zip на почту ответа небыло.

Логи повторно сделал.

TG_1.3.61.18.exe похоже я удалил через HiJackThis

CollectionLog-2020.09.23-09.22.zip

Ссылка на комментарий
Поделиться на другие сайты

Этот файл советую удалите или ручками, или пофиксьте в Хиджак

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe    ->    (PE EXE) (2020/05/21)

Тем более у вас и так дублируется его запуск через реестр. Если проблема с языковой панелью осталась, то лучше создайте тему в соседнем разделе.

 

Папку с распакованным Автологером удалите (а то потом антивирусы могут на карантин ругаться), да и сам Автологер можно удалить. Если вдруг он снова вам понадобится, то всё равно надо будет скачивать свежий.

 

 Выполните рекомендации после лечения.

 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Cococanuth
      От Cococanuth
      Обнаружилось вчера вечером. Вирус закрывает диспетчер задач (иногда все таки пропускает и он открывается). При поиске в браузерах сайтов с решением проблемы автоматически закрывает их. Закрывает exe-установщики, анитивирусники, автологгеры и подобные программы. Подозреваю о наличии скрытыго пользователя - администратора (некоторые папки с закрытым доступом, некоторые функции недоступны к выполнению). Решение похожей проблемы здесь от 8 мая 2022 не помогло, так как не удаётся установить ни одно приложение (при изменении имени файлов, они не запускаются) 
    • apachexd
      От apachexd
      нужна помощь в удалении вируса, пробовал разные способы запуска редактора реестра, сразу закрывается после запуска
      CollectionLog-2024.11.16-15.53.zip
    • ГГеоргий
      От ГГеоргий
      Добрый день
      Речь и дет о связке KSC + KICS for Win
      уже не первый раз фиксируем следующую проблему -
      некоторые функции не настраиваются с KSC, однако настраиваются в локальной консоли управления KICS
      Впервые столкнулись с этой проблемой когда настраивали защиту usb устройств - при настройке с KSC, задача компонента не отрабатывает как нужно. Она запускается, и затем сразу завершается со статусом "успешно". Предположительно она должна находится в статусе "запущено" для контроля usb.
      Затем мы настраиваем всё то же самое с консоли локальной КИКСа - и получаем уже нужный нам результат. Задача переходит в состояние "выполняется" и блочит\пропускает флешки.
      Настройки абсолютно идентичные. KSC видит то, что мы на локальной делаем. Локальная тоже видит настройки которые мы на KSC делаем. То есть они буквально идентичны.
      Теперь столкнулись с такой же проблемой при задаче "контроль целостности на основе эталона"
      задача с KSC каждый раз запускается по новой (заново снимая перечень файлов)
      Вто время как задача с локальной консоли уже отрабатыывает хорошо - первый запуск снимает эталон, а второй уже мониторит изменения
      Как это должно работать?
      события эти были в разные дни и на разных уСкрины.zipстройствах, но проблема общая
      KSC всегда стоял на линукс а KICS на вин 10
    • Milkuf
      От Milkuf
      При установке Kaspersky free на этапе установки защиты от вымогателей(≈70%) программа сама закрывается.
    • --GoSSaMeR--
×
×
  • Создать...