Процесс TiWorker нагружает систему

[Кеша]

Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.

CollectionLog-2021.11.22-20.33.zip

[regist]

Перед созданием логов антивирус отключали?

 

Зайдите в папку AV внутри Автологера, запустите AV_Z выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

Прикрепите его.

[Кеша]

Антивирус отключил и несколько раз убедился в том, что он не работает

virusinfo_syscheck.zip

Изменено 23 ноября, 2021 пользователем Кеша

[Sandor]

Извините за поздний ответ.

Удалите Автологер и созданную им папку вместе с содержимым. Скачайте заново, запустите и прикрепите новый CollectionLog.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Кеша]

CollectionLog-2021.11.25-19.06.zip FRST.txt Addition.txt

[Sandor]

Кроме того, что у вас есть подозрения на те процессы, как-либо ещё проблема наблюдается?

 

В логах не видно ничего подозрительного. Разве что в Chrome следы адвари и в диспетчере устройств есть неисправности:

Цитата

 

==================== Неисправное Устройство в Менеджере Устройств ============

Name: DAEMON Tools Lite Virtual USB Bus
Description: DAEMON Tools Lite Virtual USB Bus
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Manufacturer: Disc Soft Ltd
Service: dtliteusbbus
Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)
Resolution: A registry problem was detected.

 

Name: DAEMON Tools Lite Virtual SCSI Bus
Description: DAEMON Tools Lite Virtual SCSI Bus
Class Guid: {4d36e97b-e325-11ce-bfc1-08002be10318}
Manufacturer: Disc Soft Ltd
Service: dtlitescsibus
Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)
Resolution: A registry problem was detected.
 

Name: vJoy Device
Description: vJoy Device
Class Guid: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
Manufacturer: Shaul Eizikovich
Service: vjoy
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

 

 

[Кеша]

Особых проблем нет, по крайней мере быстродействие системы осталось примерно на том же уровне, как и до появления новых процессов. Программу DAEMON Tools Lite давно удалил, а vJoy Device вижу впервые

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Кеша]

AdwCleaner[S00].txt

 

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Кеша]

Addition.txt FRST.txt AdwCleaner[C01].txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
  CHR HKU\S-1-5-21-1715460767-317104556-1903252653-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  FirewallRules: [{E00814E1-AD16-4BE6-955A-DA266ED14FAF}] => (Allow) C:\Users\Адрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{43F7BAB8-17CF-491C-8863-288313C3905D}] => (Allow) C:\Users\Адрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{C1E48D7B-2831-4143-A95B-6F32F2FB9ADA}] => (Allow) LPort=1688
  FirewallRules: [{74D84173-D7E0-4403-82A5-7326DD7488B8}] => (Allow) LPort=1688
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Кеша]

Fixlog.txt

[Sandor]

Те два процесса по-прежнему видны в Диспетчере?

[Кеша]

нет, теперь там вроде только системные процессы