Перейти к содержанию

Процесс TiWorker нагружает систему


Рекомендуемые сообщения

Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.

CollectionLog-2021.11.22-20.33.zip

Ссылка на сообщение
Поделиться на другие сайты

Перед созданием логов антивирус отключали?

 

Зайдите в папку AV внутри Автологера, запустите AV_Z выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

Прикрепите его.

Ссылка на сообщение
Поделиться на другие сайты

Антивирус отключил и несколько раз убедился в том, что он не работает

virusinfo_syscheck.zip

Изменено пользователем Кеша
Ссылка на сообщение
Поделиться на другие сайты

Извините за поздний ответ.

Удалите Автологер и созданную им папку вместе с содержимым. Скачайте заново, запустите и прикрепите новый CollectionLog.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Кроме того, что у вас есть подозрения на те процессы, как-либо ещё проблема наблюдается?

 

В логах не видно ничего подозрительного. Разве что в Chrome следы адвари и в диспетчере устройств есть неисправности:

Цитата

 

==================== Неисправное Устройство в Менеджере Устройств ============

Name: DAEMON Tools Lite Virtual USB Bus
Description: DAEMON Tools Lite Virtual USB Bus
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Manufacturer: Disc Soft Ltd
Service: dtliteusbbus
Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)
Resolution: A registry problem was detected.

 

Name: DAEMON Tools Lite Virtual SCSI Bus
Description: DAEMON Tools Lite Virtual SCSI Bus
Class Guid: {4d36e97b-e325-11ce-bfc1-08002be10318}
Manufacturer: Disc Soft Ltd
Service: dtlitescsibus
Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)
Resolution: A registry problem was detected.
 

Name: vJoy Device
Description: vJoy Device
Class Guid: {745a17a0-74d3-11d0-b6fe-00a0c90f57da}
Manufacturer: Shaul Eizikovich
Service: vjoy
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Особых проблем нет, по крайней мере быстродействие системы осталось примерно на том же уровне, как и до появления новых процессов. Программу DAEMON Tools Lite давно удалил, а vJoy Device вижу впервые

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
    CHR HKU\S-1-5-21-1715460767-317104556-1903252653-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    FirewallRules: [{E00814E1-AD16-4BE6-955A-DA266ED14FAF}] => (Allow) C:\Users\Адрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{43F7BAB8-17CF-491C-8863-288313C3905D}] => (Allow) C:\Users\Адрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{C1E48D7B-2831-4143-A95B-6F32F2FB9ADA}] => (Allow) LPort=1688
    FirewallRules: [{74D84173-D7E0-4403-82A5-7326DD7488B8}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ahroh
      От Ahroh
      CollectionLog-2021.12.05-19.43.zip
      У меня на компьютере троян из-за того, что я скачал Adobe Acrobat с вирусного сайта. Он мне особо жить не мешал, до того момента как Windows Defender не заметил активность Trojan Miner. Я в основном пользуюсь браузером Opera GX, и как только я запускаю диспетчер задач мне пишет, что мой процессор нагружен на +- 60%, а потом через 1 секунд все пропадает и возвращается в норму. Помогите, пожалуйста.


    • krasniyyy
      От krasniyyy
      Приветствую, недавно наткнулся на наличие майнеров на ПК, которые находятся в локальной сети. Один из клиентов пришёл, запустил бат файл, который расплодил вирус на все ПК внутри сети.
      1.txt
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
×
×
  • Создать...