[РЕШЕНО] tiworker запускается и закрывает диспетчер задач

[norvele]

Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.

CollectionLog-2020.09.21-21.34.zip

[norvele]

Вот эти 2 процесса запускаются, сначала 1, потом 2, и через секунду закрываются диспетчер и avz

[regist]

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
 

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

XPSViewer - как понимаю не используете (не знаком)?

[norvele]

6 часов назад, regist сказал:

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

Да, пытался починить загрузку языковой панели, но не вышло. При загрузке винды не могу переключать язык пока не завершу процесс CTF-Загрузчик, чтобы он заного запустился...

 

Цитата

XPSViewer - как понимаю не используете (не знаком)?

Не знаком. Когда проверял с AVZ, он мне так подсветил эти подозрительные файлы:

Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcr100.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcr100.dll

но удалить их вручную не получилось, даже зайти в эти папки "нет доступа". Но вчера пока снес `Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineHD - C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe` через HiJackThis, чтобы майнер не запускался, больше ничо не трогал.

 

 

Файл карантина 2020.09.22_quarantine_f44cbe6204373343c127e92019317546.7z

MD5 карантина: 8A9EDBA3703FE255B70D1D2B4E3B3836

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe', '');
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe');
 DeleteFileMask('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*', true);
 DeleteDirectory('C:\WINDOWS\SysWOW64\XPSViewer\TasksG');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin

	 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

	end.[/CODE]

 - Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ отправьте по адресу [b]newvirus@kaspersky.com[/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[regist]

TG_1.3.61.18.exe - в карантин не попал.

7 часов назад, norvele сказал:

AppleVersions.dll

уже детектировался как HEUR:Trojan.Win32.Generic

 

7 часов назад, norvele сказал:

data.dll

В ближайшем обновление баз будет добавлен детект Trojan.Win32.Agentb.kaew

[norvele]

После отправки на quarantine.zip на почту ответа небыло.

Логи повторно сделал.

TG_1.3.61.18.exe похоже я удалил через HiJackThis

CollectionLog-2020.09.23-09.22.zip

[regist]

Этот файл советую удалите или ручками, или пофиксьте в Хиджак

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe    ->    (PE EXE) (2020/05/21)

Тем более у вас и так дублируется его запуск через реестр. Если проблема с языковой панелью осталась, то лучше создайте тему в соседнем разделе.

 

Папку с распакованным Автологером удалите (а то потом антивирусы могут на карантин ругаться), да и сам Автологер можно удалить. Если вдруг он снова вам понадобится, то всё равно надо будет скачивать свежий.

 

 Выполните рекомендации после лечения.

 

 

[regist]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".