• Теги этой статьи

Процесс TiWorker.exe грузит CPU - вирус майнит на вашем компьютере Bitcoin в Windows 7

Принесли мне на "лечение от вирусов" один довольно приличный ноутбук, на процессоре Intel Core i7. Лечение ноутбука действительно было необходимо, так как хозяева ноутбука постоянно пользуются VPN, любят пользоваться такими программами как: Mail.Ru агент, Yandex браузер, Yandex Bar, FreeU браузер, Менеджер Браузеров и так далее. Ну вы поняли, сборная солянка нежелательных программ плюс ещё куча вирусов и другого хлама.

Правильным и быстрым способом очистки таких ноутбуков будет только один способ - снести Windows и установить заново, установить драйвера, установить и настроить софт. По времени этот способ займёт 3-5 часов как минимум, но это будет надёжно, и вы поймёте почему, прочитав до конца статью.

Я же решил сжалиться и не стал убивать Windows 7 x64 в надежде, что удасться вылечит "пациента". А начал я с моего стандартного лечения таких замусоренных компьютеров - прогоняем тремя прогами-антивирусами строго как это описано в статье. Скачиваю и прогоняю Dr.Web CureIt!, Adware Removal Tool и затем AdwCleaner. AdwCleaner прогоняет два раза, с выполнением базового сканирования и восстановления, с перезагрузкой Windows. На это ушло около 3-ёх часов и в результате около 200 вирусов и других нежелательных программ было найдено и уничтожено! К тому же были сброшены настройки браузеров, некоторые "браузеры" типа FreeU были вообще удалены, так как это источник вирусов №1. Только CureIt от Dr.Web нашел и поборол 147 вирусов и разных "гадов".

Сразу уточню, что на ноутбуке уже был установлен антивирус Avast Free и он вполне функционировал, обновлялся, но скорее всего не все вирусы и вредоносные программы он смог вовремя найти и удалить, что их насобиралось на диске ноутбука столько, что мама не горюй!

Всё, подумал я, работа окончена, можно ставить ноутбук на дефрагментацию дисков и после этой процедуры ноутбук точно оживёт и начнёт шевелиться как новенький. Была запущена программа-дефрагментатор PerfectDisk 11.0 и ей поставлена задача дефрагментировать все диски: C:, D: и E:. Процесс начался!

Уже прошло несколько часов с момента запуска дефрагментации, диск C: и D: уже были приведены в красивый дефрагментированный вид, и тут я заметил, что ноутбук уж очень сильно шумит и греется. Вентилятор ноутбука не успевает выгонять потоки горячего воздуха из рёбер радиатора. Что же так грузит процессор? Открыл диспетчер задач. По процессам там ничего подозрительного нет, самый "тяжелый" процесс - это процесс дефрагментатора PerfectDisk, максимум до 10-15% нагрузки, а иногда и совсем около нуля.

А общая нагрузка на процессор около 50-70 %.

Где же теряются 50-60% производительности процессора?

Ставлю галочку Отображать процессы всех пользователей и вижу такой себе процесс TiWorker.exe, который грузит CPU на 35-50%. И это если учесть, что в ноутбуке процессор Intel Core i7 на 4 ядра и 8 потоков.

Пытаюсь открыть Свойства процесса - отказано в доступе.

Пытаюсь Открыть место хранения файла - отказано в доступе.

Хорошо, что хоть путь написало, где расположен файл: C:\Windows\SysWOW64\S-1-5-86

Пытаюсь пройти по этому пути и найти папку S-1-5-86. Её нет в C:\Windows\SysWOW64 или она скрыта.

Меняю настройки отображения папок через меню Параметры папок > Вид. Выставляю Показывать скрытые файлы и папки и убираю галочку Скрывать защищенные и системные файлы.

Действительно, папка есть, она скрыта и только для чтения, к тому же системная. Всё, вижу теперь папку S-1-5-86, но система не пускает в неё войти.

Пытаюсь завершить процесс TiWorker.exe. Он завершается, но где-то через 5-10 минут запускается вновь.

Что же делать? Надо грузиться с Live USB образа операционной системы и смотреть файлы из неё. Использую загрузочную USB флешку от Sergei Strelec и гружусь Windows 8 x32 Live.

Используя Total Commander ищу на всех дисках файл TiWorker.exe и нахожу такое их количество:

Это явно вирус, размер около 350Кб. В разных папках. В каждой папке вместе с этим файлом лежит файл DLL: riched32.dll размером тоже около 350Кб.

Отправляю файлы TiWorker.exe и Riched32.dll с этих папок на проверку в VirusTotal. Что удивительно, но TiWorker.exe чист.

А вот его соседний файл Riched32.dll является телом самого вируса, вируса известного как: Worm.Win32.Palevo.kYQi, W64.HfsAutoA, Unsafe, A Variant Of Win64/Packed.VMProtect.GI, Generic.mg.0fa94cbc86583eb0, TR/AD.CoinLoader.stlny, Win/malicious_confidence_100% (D), Malicious (high Confidence), Trojan.TR/AD.CoinLoader.stlny, DFI - Suspicious PE.

В итоге решаю во всех найденных папках удалить и TiWorker.exe и Riched32.dll. Удалил все эти файлы и папки.

На сайте VirusTotal было мною замечено, что этот вирус известен антивирусу ESET-NOD32, решаю зайти на сайт антивируса и запустить их онлайн сканнер ESET Online Scanner для проверки и поиска вирусов.

Запустил. Прогнал все диски. Нашло и удалило 18 объектов.

После проверки перегрузил Windows и загрузился уже не с USB Live образа, а в обычном режиме.

Через 10-15 минут работы, процесс TiWorker.exe появился вновь :( Чтоб его!

И это при том, что уже вычещены ветки реестра что касается автозапуска (секции Run), почищены все браузеры от надстроек и сброшены настройки по дефолту, почищены задания в планировщике заданий Windows и т.д. Откуда он лезет - загадка.

Мои наблюдения

Опишу ещё интересные наблюдения. Есть такие специальные утилиты, которые позволяют отслеживать активность процессов и создавать логи того, что происходит с процессами в Windows, кто куда чего пишет, что читает, кто кого запускает и т.д. Такие утилиты есть в комплекте SysInternals Suite. Однако отследить деятельность процесса TiWorker.exe мне так и не удалось. Процесс TiWorker.exe умеет скрывать себя как только запускаешь утилиты от SysInternals. Сразу после запуска procexp64.exe или Procmon.exe он "прячется" и исчезает из списка процессов.

Когда TiWorker.exe запускается, то он может закрывать и procexp64.exe и Procmon.exe из SysInternals Suite так что узнать подробности о процессе TiWorker.exe не удаётся.

Я даже сохранил это "существо" в защищенном виде, в архиве с паролем "1" (Virus_TiWorker.rar), буду искать как от него исбавиться. Внимание! Не запускайте из архива TiWorker.exe - это может быть опасно для вашего компьютера!

Продолжаю разбираться. Жду ваших советов, может что-то подскажите, куда копать, что делать? Процесс TiWorker.exe всё так же загружается самостоятельно и грузит CPU, майнит.

Продолжаю разбираться. Использую AVZ4.

Вспомнил про хорошую антивирусную утилиту AVZ. Скачиваю версию 4.45, запускаю её из-под ОС USB Live Windows 8, обновляю базы выбрав пункт «Обновить базы» в меню программы, ставлю проверять все диски. Результат:

Просканировано файлов: 407230, извлечено из архивов: 334343, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.05.2019 10:57:09
Сканирование длилось 00:25:40

Хотя что-то красным программа выделила, на это стоит обратить внимание. Однако что с этим делать не ясно.

Продолжаю разбираться. Использую Malwarebytes Anti-Malware.

Хотя я уже использовал Malwarebytes AdwCleaner и он не дал положительного результата в поиске и лечении проблемы с TiWorker.exe, но по совету коллег с FaceBook группы «Системный администратор» я решил попробовать установить и прогнать другой программой от Malwarebytes. Скачал и установил пробную версию Malwarebytes Anti-Malware на 14 дней. Установил рядом с уже установленным антивирусом Avast Free. Если не поможет в поиске "заразы" - удалю.

Запустил поиск и очистку. Что самое интересное, через какое-то время запустился и наш "клиент" TiWorker.exe, но он никак не подействовал на Malwarebytes Anti-Malware. Malwarebytes Anti-Malware продолжал сканирование.

В результате найдено 109 угроз.

Жмём Переместить выбранные объекты в карантин и перезагружаемся.

Смотрим отчёты проверки.

Результат проверки УСПЕШНЫЙ! По-моему вирус удалён! Уже более 15 минут прошло, а TiWorker.exe не появляется в процессах. Malwarebytes Anti-Malware помогло, спасибо! Привожу результаты отчёта его работы, в которых видны строки с явными указаниями на вирус-майнер криптовалют (Trojan.BitCoinMiner.BatBitRst - я указал их красным цветом в логе):

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 21.05.2019
Время проверки: 11:43
Файл журнала: 78d58576-7ba4-11e9-93a3-d850e60c0453.json

-Информация о ПО-
Версия: 3.7.1.2839
Версия компонентов: 1.0.586
Версия пакета обновления: 1.0.10690
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: User-\u00d0\u009f\u00d0\u009a\User

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 278276
Обнаружено угроз: 109
Помещено в карантин: 109
Затраченное время: 9 мин, 31 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Обнаружение
PUM: Обнаружение

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 32
Adware.RussAd, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\ddadgcdmddljmpkpinkalnepdepplpkj, Помещено в карантин, [227], [475327],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\CLSID\{2665A19D-89C6-4E55-994B-ABDDA56F7F81}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).BackgroundHostObject.1, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{2665A19D-89C6-4E55-994B-ABDDA56F7F81}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\TYPELIB\{4398032D-0040-451D-9AB9-5CE5597EB103}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{4398032D-0040-451D-9AB9-5CE5597EB103}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{4398032D-0040-451D-9AB9-5CE5597EB103}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{2665A19D-89C6-4E55-994B-ABDDA56F7F81}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).BackgroundHostObject, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\CLSID\{5C71ACCF-F361-40F4-9E19-23D831490AAB}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).Navbar.1, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{5C71ACCF-F361-40F4-9E19-23D831490AAB}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\TYPELIB\{DF776000-0872-4D61-B445-CAD0C227C731}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{DF776000-0872-4D61-B445-CAD0C227C731}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{DF776000-0872-4D61-B445-CAD0C227C731}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{5C71ACCF-F361-40F4-9E19-23D831490AAB}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).Navbar, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).ScriptHostObject.1, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).ScriptHostObject, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\CLSID\{703F72F9-5E77-450B-91D4-B594CF167EC7}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).Tool.1, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{703F72F9-5E77-450B-91D4-B594CF167EC7}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\TYPELIB\{813FB3C5-A4D9-4CD8-BDD0-750F40E68908}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{813FB3C5-A4D9-4CD8-BDD0-750F40E68908}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{813FB3C5-A4D9-4CD8-BDD0-750F40E68908}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{703F72F9-5E77-450B-91D4-B594CF167EC7}, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.FreeGames, HKLM\SOFTWARE\CLASSES\Free Games (4357).Tool, Помещено в карантин, [1116], [238497],1.0.10690
PUP.Optional.IDSCProduct, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\maxdriverupdater, Помещено в карантин, [3148], [260572],1.0.10690
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\gndaciceccgapjhpniecknjlmmlanaem, Помещено в карантин, [319], [572709],1.0.10690
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\jdfonankhfnhihdcpaagpabbaoclnjfp, Помещено в карантин, [319], [396478],1.0.10690
Trojan.BitCoinMiner.BatBitRst, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{476F31F7-7FE8-4294-823C-42D092640FC8}, Помещено в карантин, [5964],
[580173],1.0.10690
PUP.Optional.Search, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\oflajgcnpjplgoiffpcakpabenecnhgk, Помещено в карантин, [1740], [544200],1.0.10690
Значение реестра: 7
Adware.RussAd, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|DDADGCDMDDLJMPKPINKALNEPDEPPLPKJ, Помещено в карантин, [227], [475327],1.0.10690
PUP.Optional.RussAd, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|JDFONANKHFNHIHDCPAAGPABBAOCLNJFP, Помещено в карантин, [319], [396478],1.0.10690
Trojan.BitCoinMiner.BatBitRst, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{476F31F7-7FE8-4294-823C-42D092640FC8}|PATH, Помещено в карантин, [5964], [580173],1.0.10690
PUP.Optional.InternetQuickAccess, HKLM\SOFTWARE\WOW6432NODE\POLICIES\CHROMIUM\EXTENSIONINSTALLSOURCES|1, Помещено в карантин, [4542], [252825],1.0.10690
PUP.Optional.Search, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|oflajgcnpjplgoiffpcakpabenecnhgk, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.InternetQuickAccess, HKLM\SOFTWARE\POLICIES\CHROMIUM\EXTENSIONINSTALLSOURCES|1, Помещено в карантин, [4542], [252825],1.0.10690
PUP.Optional.RussAd, HKU\S-1-5-21-3303078538-2799749174-444940442-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER|{91397D20-1446-11D4-8AF4-0040CA1127B6}, Помещено в карантин, [319], [435197],1.0.10690

Данные реестра: 0
(Вредоносные программы не обнаружены)
Поток данных: 0
(Вредоносные программы не обнаружены)
Папка: 12
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\mz, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\skin, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\freegames4357@BestOffers, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.SpeedTest, C:\USERS\USER\APPDATA\ROAMING\speedtest4354, Помещено в карантин, [170], [179786],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\integration\distribution, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\integration, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\_metadata, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\img, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\EXTENSIONS\oflajgcnpjplgoiffpcakpabenecnhgk, Помещено в карантин, [1740], [544200],1.0.10690
Файл: 58
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\mz\background.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\mz\content.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\background.html, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\bg.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\button.xml, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\config.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\content.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\framework.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\framework.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\framework.xul, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon128.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon128.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon16.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon16.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon18.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon18.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon24.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon24.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon32.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon32.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon48.ico, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\icon48.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\jquery-1.9.1.min.js, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\options.xul, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\content\settings.json, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome\skin\framework.css, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\chrome.manifest, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\icon.png, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.BestOffers, C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers\install.rdf, Помещено в карантин, [1252], [175600],1.0.10690
PUP.Optional.SpeedTest, C:\Users\User\AppData\Roaming\speedtest4354\speedtest4354.crx, Помещено в карантин, [170], [179786],1.0.10690
PUP.Optional.SpeedTest, C:\Users\User\AppData\Roaming\speedtest4354\speedtest4354.xpi, Помещено в карантин, [170], [179786],1.0.10690
PUP.Optional.SpeedTest, C:\Users\User\AppData\Roaming\speedtest4354\speedtest4354DeskTopIcon.ico, Помещено в карантин, [170], [179786],1.0.10690
Adware.RussAd, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, [227], [475327],1.0.10690
PUP.Optional.RussAd, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, [319], [396478],1.0.10690
Trojan.BitCoinMiner.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\PROGRAMDATA\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\PROGRAMDATA\APPLICATION DATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\PROGRAMDATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR0.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Помещено в карантин, [5964], [-1],0.0.0
Trojan.BitCoinMiner.BatBitRst, C:\PROGRAMDATA\MICROSOFT\NETWORK\DOWNLOADER\QMGR1.DAT, Помещено в карантин, [5964], [-1],0.0.0
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\img\128.png, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\img\16.png, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\img\48.png, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\integration\distribution\background.js, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\integration\distribution\distribution-module.js, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\_metadata\verified_contents.json, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\manifest.json, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oflajgcnpjplgoiffpcakpabenecnhgk\12.0.29_0\metrics.js, Помещено в карантин, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, [1740], [544200],1.0.10690
PUP.Optional.Search, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Перезаписано, [1740], [544200],1.0.10690
PUP.Optional.Amigo, E:\DOWNLOADS\AMIGO_SETUP.EXE, Помещено в карантин, [3490], [463342],1.0.10690
Adware.FileTour, E:\DOWNLOADS\THE_SIMS_4_DELUXE_EDITION_L_1409756334_FE7522_874.ZIP, Помещено в карантин, [454], [543926],1.0.10690
PUP.Optional.Amigo, E:\DOWNLOADS\AMIGO_SETUP (1).EXE, Помещено в карантин, [3490], [463342],1.0.10690
PUP.Optional.StartPageMedia, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, [219], [648622],1.0.10690
PUP.Optional.StartPageMedia, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, [219], [648622],1.0.10690
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Перезаписано, [247], [454830],1.0.10690

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)

(end)

Надеюсь эта статья поможет в поиске и удалении вируса-майнера криптовалют TiWorker.exe, известного как Trojan.BitCoinMiner.BatBitRst.

Теги этой статьи

17/10/2019 09:04 472

Victoria 5.00 HDD/SSD - стабильная версия c новым интерфейсом и руссификатором выложена в сеть

Белорусским программистом Сергеем Казанским 17 октября выложена в сеть первая стабильная версия Victoria 5.00 HDD/SSD на новом интерфейсе с русификатором, в ней исправлено множество ошибок предыдущих трёх...

17/10/2019 09:26 38

Уже завтра в Китае выйдет Redmi K20 Pro Premium 12/512 Гбайт за $420

Redmi выпустила постер, который показывает, что Redmi K20 Pro Premium Edition будет официально выпущен в Китае в 10 часов утра 18 октября. Эта версия будет поставляться с внушительными 12 Гбайт оперативной...

17/10/2019 09:00 32

Google закрывает собственную VR-платформу Daydream

Компания Google официально объявила о прекращении поддержки собственной платформы виртуальной реальности Daydream. Вчера состоялась официальная презентация новых смартфонов Pixel 4 и Pixel 4 XL, которые...

Компьютерный мир

Вся информация на страницах сайта предназначена только для личного не коммерческого использования, учёбы, повышения квалификации и не включает призывы к каким либо действиям.

Частичное или полное использование материалов сайта разрешается только при условии добавления ссылки на непосредственный адрес материала на нашем сайте.