Перейти к содержанию
Правила раздела

[РЕШЕНО] tiworker запускается и закрывает диспетчер задач

norvele

Автор norvele
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

norvele

norvele

Опубликовано
Опубликовано

Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.

CollectionLog-2020.09.21-21.34.zip

norvele

norvele

Опубликовано
  • Автор
Опубликовано

2135414469_.thumb.jpg.e7d175d54c2f1e12e2238b7e497b87d4.jpg

Вот эти 2 процесса запускаются, сначала 1, потом 2, и через секунду закрываются диспетчер и avz

regist

regist

Опубликовано
Опубликовано 
C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

 

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
 

Файл quarantine.zip из папки AVZ отправьте с помощьюэтой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

XPSViewer - как понимаю не используете (не знаком)?

norvele

norvele

Опубликовано
  • Автор
Опубликовано
6 часов назад, regist сказал: 

C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe

Сами его туда засунули?

Да, пытался починить загрузку языковой панели, но не вышло. При загрузке винды не могу переключать язык пока не завершу процесс CTF-Загрузчик, чтобы он заного запустился...

 

Цитата

XPSViewer - как понимаю не используете (не знаком)?

Не знаком. Когда проверял с AVZ, он мне так подсветил эти подозрительные файлы: 

Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\System32\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\System32\XPSViewer\TasksG\G-1-82-30\msvcr100.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\Riched32.dll
Прямое чтение C:\Windows\SysWOW64\ar-SA\S-1-5-25\TiWorker.exe
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\AppleVersions.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\data.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcp100.dll
Прямое чтение C:\Windows\SysWOW64\XPSViewer\TasksG\G-1-82-30\msvcr100.dll

но удалить их вручную не получилось, даже зайти в эти папки "нет доступа". Но вчера пока снес `Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineHD - C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe` через HiJackThis, чтобы майнер не запускался, больше ничо не трогал.

 

 

Файл карантина 2020.09.22_quarantine_f44cbe6204373343c127e92019317546.7z

MD5 карантина: 8A9EDBA3703FE255B70D1D2B4E3B3836

 

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe', '');
 QuarantineFileF('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\SysWOW64\XPSViewer\TasksG\G-1-82-30\TG_1.3.61.18.exe');
 DeleteFileMask('C:\WINDOWS\SysWOW64\XPSViewer\TasksG', '*', true);
 DeleteDirectory('C:\WINDOWS\SysWOW64\XPSViewer\TasksG');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin

	 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

	end.[/CODE]

 - Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ отправьте по адресу [b]newvirus@kaspersky.com[/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

regist

regist

Опубликовано
Опубликовано

TG_1.3.61.18.exe - в карантин не попал.

7 часов назад, norvele сказал:

AppleVersions.dll

уже детектировался как HEUR:Trojan.Win32.Generic

 

7 часов назад, norvele сказал:

data.dll

В ближайшем обновление баз будет добавлен детект Trojan.Win32.Agentb.kaew

  • Спасибо (+1) 2
regist

regist

Опубликовано
Опубликовано

Этот файл советую удалите или ручками, или пофиксьте в Хиджак 

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\indie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe    ->    (PE EXE) (2020/05/21)

Тем более у вас и так дублируется его запуск через реестр. Если проблема с языковой панелью осталась, то лучше создайте тему в соседнем разделе.

 

Папку с распакованным Автологером удалите (а то потом антивирусы могут на карантин ругаться), да и сам Автологер можно удалить. Если вдруг он снова вам понадобится, то всё равно надо будет скачивать свежий.

 

 Выполните рекомендации после лечения.

 

 

  • Спасибо (+1) 1
regist

regist

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mapuo__
      HEUR:Trojan.Win32.Generic
      Автор Mapuo__
      Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

      CollectionLog-2025.02.04-09.33.zip
    • Prosnylia
      Не получается удалить HEUR:Trojan.Win32.Generic
      Автор Prosnylia
      Здравствуйте! Сегодня появилась такая проблема. Компьютер начал самостоятельно открывать и закрывать вкладки, папки, настройки, в общем все, что можно. Проверка антивирусами Malwarebytes и  Kasperskу показала что есть вирусы и она обезврежены. Но после этого компьютер периодически снова сам открывает и закрывает все что можно, пишет какие буквы/цифры в настройках компьютера и в поисковых строках браузеров Гугхром и Майкрософт эксплорер. Периодически Касперский выдает уведомление о том, что приостановлена загрузка HEUR:Trojan.Win32.Generic. Но новое сканирование Malwarebytes и  Kasperskу и доктор веб говорит, что вирусов не обнаружено. Так же удалились все ярлыки с рабочего стола.
       
      CollectionLog-2022.10.16-23.32.zip
    • Andreyzh
      [РЕШЕНО] Сильно грузится процессор (Процесс Tiworker)
      Автор Andreyzh
      Добрый день! Уже создавал тему в другом разделе: https://forum.kasperskyclub.ru/index.php?showtopic=63563&st=0&p=941394
      Ничего не помогло, что советовали.

      По-прежнему Tiworker грузит процессор. Как только открываю диспетчер задач, этот процесс сразу пропадает. Есть подозрения на майнер
      Файл с логами прикладываю.

       
      CollectionLog-2019.08.29-23.36.zip
    • Andreyzh
      Сильно грузится процессор (Процесс Tiworker)
      Автор Andreyzh
      Добрый день!
      При установке программы автоматически установились расширения для Chrome и прочие сторонние программы (возможно скрытно)
      Я их удалил, проверил утилитами DrWeb + Kaspersky - вирусов не обнаружил.
       
      Сейчас уже неделю что-то грузит процессор. Когда открываю диспетчер, вижу процесс, который грузит - Tiworker, но он тут же пропадает. Потом через 5-10  минут опять начинает.
      Подскажите, пожалуйста, из-за чего такое происходит, раньше такого не было.
       
      Архив с логами прикрепляю.
    • Lokuc15
      Вирус Майнер TiWorker
      Автор Lokuc15
      Обнаружил на своем компьютере процес который грузит процесор на 50%. При открытии стандартного деспетчера задач процес не прячется, при открытии Process Hecker 2 вирус исчезает, если не закрывать Process Hecker 2 вирус сам закроет его и начнет работать. 2 дня назад я удалил папку откуда он работал. Спустя 2 дня он начал работать, но находится в другой дериктории. Как его удалить полностью?
×
×
  • Создать...