Перейти к содержанию

[РЕШЕНО] tiworker запускается и закрывает диспетчер задач


Рекомендуемые сообщения

Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.

CollectionLog-2020.09.21-21.34.zip

Ссылка на сообщение
Поделиться на другие сайты
C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
 

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

XPSViewer - как понимаю не используете (не знаком)?

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, regist сказал:

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

Да, пытался починить загрузку языковой панели, но не вышло. При загрузке винды не могу переключать язык пока не завершу процесс CTF-Загрузчик, чтобы он заного запустился...

 

Цитата

XPSViewer - как понимаю не используете (не знаком)?

Не знаком. Когда проверял с AVZ, он мне так подсветил эти подозрительные файлы:

Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcr100.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcr100.dll

но удалить их вручную не получилось, даже зайти в эти папки "нет доступа". Но вчера пока снес `Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineHD - C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe` через HiJackThis, чтобы майнер не запускался, больше ничо не трогал.

 

 

Файл карантина 2020.09.22_quarantine_f44cbe6204373343c127e92019317546.7z

MD5 карантина: 8A9EDBA3703FE255B70D1D2B4E3B3836

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe', '');
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe');
 DeleteFileMask('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*', true);
 DeleteDirectory('C:\WINDOWS\SysWOW64\XPSViewer\TasksG');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

 - Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ отправьте по адресу [b]newvirus@kaspersky.com[/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты

TG_1.3.61.18.exe - в карантин не попал.

7 часов назад, norvele сказал:

AppleVersions.dll

уже детектировался как HEUR:Trojan.Win32.Generic

 

7 часов назад, norvele сказал:

data.dll

В ближайшем обновление баз будет добавлен детект Trojan.Win32.Agentb.kaew

  • Спасибо (+1) 2
Ссылка на сообщение
Поделиться на другие сайты

После отправки на quarantine.zip на почту ответа небыло.

Логи повторно сделал.

TG_1.3.61.18.exe похоже я удалил через HiJackThis

CollectionLog-2020.09.23-09.22.zip

Ссылка на сообщение
Поделиться на другие сайты

Этот файл советую удалите или ручками, или пофиксьте в Хиджак

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe    ->    (PE EXE) (2020/05/21)

Тем более у вас и так дублируется его запуск через реестр. Если проблема с языковой панелью осталась, то лучше создайте тему в соседнем разделе.

 

Папку с распакованным Автологером удалите (а то потом антивирусы могут на карантин ругаться), да и сам Автологер можно удалить. Если вдруг он снова вам понадобится, то всё равно надо будет скачивать свежий.

 

 Выполните рекомендации после лечения.

 

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Andreyzh
      Добрый день! Уже создавал тему в другом разделе: https://forum.kasperskyclub.ru/index.php?showtopic=63563&st=0&p=941394
      Ничего не помогло, что советовали.

      По-прежнему Tiworker грузит процессор. Как только открываю диспетчер задач, этот процесс сразу пропадает. Есть подозрения на майнер
      Файл с логами прикладываю.

       
      CollectionLog-2019.08.29-23.36.zip
    • От Andreyzh
      Добрый день!
      При установке программы автоматически установились расширения для Chrome и прочие сторонние программы (возможно скрытно)
      Я их удалил, проверил утилитами DrWeb + Kaspersky - вирусов не обнаружил.
       
      Сейчас уже неделю что-то грузит процессор. Когда открываю диспетчер, вижу процесс, который грузит - Tiworker, но он тут же пропадает. Потом через 5-10  минут опять начинает.
      Подскажите, пожалуйста, из-за чего такое происходит, раньше такого не было.
       
      Архив с логами прикрепляю.
    • От Lokuc15
      Обнаружил на своем компьютере процес который грузит процесор на 50%. При открытии стандартного деспетчера задач процес не прячется, при открытии Process Hecker 2 вирус исчезает, если не закрывать Process Hecker 2 вирус сам закроет его и начнет работать. 2 дня назад я удалил папку откуда он работал. Спустя 2 дня он начал работать, но находится в другой дериктории. Как его удалить полностью?
    • От Студент2017
      Крик души просто...   Сижу пишу программу на Делфи для института. Меняю код, сохраняю, компилирую, запускаю - и так по кругу несколько дней. И внезапно оно перестало компилироваться, зависло, и вылезает Касперский, мол вредоносная программа. Подумал-подумал, добавил свою программу в исключения Касперского. А через десять минут... "Выполнена отмена действий вредоносной программы" и "Восстановлен файл". И такое на несколько десятков юнитов и форм!! Он откатил всё то что я писал несколько ночей!! Как вот блин вернуть обратно?! Всё перекопал, нету! Почему он не спрашивал откатывать или нет? Да даже не об этом - файлы были открыты и менялись даже не в той программе что была под подозрением! И почему вообще произошёл откат через десять минут после того как я добавил программу в исключения?!
      Программа считает формулу и рисует на окошке графики, какие ещё нафик трояны, какие "HEUR:Trojan.Win32.Generic", а?!  
      Капец, мне кранты теперь...

      Ну почему в карантине нету тех якобы вредоносно изменённых файлов, м..? 

      А, не... Формы он как раз не откатывал, в результате чего проект теперь даже в той очень старой версии не компилируется... :'-(
×
×
  • Создать...