March 13, 2021

Процесс TiWorker.exe грузит CPU - вирус майнит на вашем компьютере Bitcoin в Windows 7

Принесли мне на "лечение от вирусов" один довольно приличный ноутбук, на процессоре Intel Core i7. Лечение ноутбука действительно было необходимо, так как хозяева ноутбука постоянно используют VPN, любят пользоваться такими программами как: Mail.Ru агент, Yandex браузер, Yandex Bar, FreeU браузер, Менеджер Браузеров и так далее. Ну вы поняли, сборная солянка нежелательных программ плюс ещё куча вирусов и другого хлама.

Правильным и быстрым способом очистки таких ноутбуков будет только один способ - снести Windows и установить заново, установить драйвера, установить и настроить софт. По времени этот способ займёт 3-5 часов как минимум, но это будет надёжно, и вы поймёте почему, прочитав до конца статью.

Я же решил сжалиться и не стал убивать Windows 7 x64 в надежде, что удастся вылечит "пациента". А начал я с моего стандартного лечения таких замусоренных компьютеров - прогоняем тремя антивирусами. Скачиваю и прогоняю Dr.Web CureIt!, Adware Removal Tool и затем AdwCleaner.

AdwCleaner прогоняет два раза с выполнением базового сканирования и восстановления с перезагрузкой Windows. На это ушло около 3-ёх часов и в результате около 200 вирусов и других нежелательных программ было найдено и уничтожено. К тому же были сброшены настройки браузеров, некоторые "браузеры" типа FreeU были вообще удалены, так как это источник вирусов №1. Только CureIt от Dr.Web нашел и поборол 147 вирусов и разных "гадов".

Сразу уточню, что на ноутбуке уже был установлен антивирус Avast Free и он вполне функционировал, обновлялся, но скорее всего не все вирусы и вредоносные программы он смог вовремя найти и удалить, что их насобиралось на диске ноутбука столько, что мама не горюй!

Всё, подумал я, работа окончена, можно ставить ноутбук на дефрагментацию дисков и после этой процедуры ноутбук точно оживёт и начнёт шевелиться как новенький. Была запущена программа-дефрагментатор PerfectDisk 11.0 и ей поставлена задача дефрагментировать все диски: C:, D: и E:. Процесс начался!

Уже прошло несколько часов с момента запуска дефрагментации, диск C: и D: уже были приведены в красивый дефрагментированный вид, и тут я заметил, что ноутбук уж очень сильно шумит и греется. Вентилятор ноутбука не успевает выгонять потоки горячего воздуха из рёбер радиатора. Что же так грузит процессор? Открыл Диспетчер задач. По процессам там ничего подозрительного нет, самый "тяжелый" процесс - это процесс дефрагментатора PerfectDisk, максимум до 10-15% нагрузки, а иногда и совсем около нуля.

А общая нагрузка на процессор около 50-70 %.

Где же теряются 50-60% производительности процессора?

Ставлю галочку Отображать процессы всех пользователей и вижу такой себе процесс TiWorker.exe, который грузит CPU на 35-50%. И это если учесть, что в ноутбуке процессор Intel Core i7 на 4 ядра и 8 потоков.

Пытаюсь открыть Свойства процесса - отказано в доступе.

Пытаюсь Открыть место хранения файла - отказано в доступе.

Хорошо, что хоть путь написало, где расположен файл: C:\Windows\SysWOW64\S-1-5-86

Пытаюсь пройти по этому пути и найти папку S-1-5-86. Её нет в C:\Windows\SysWOW64 или она скрыта.

Меняю настройки отображения папок через меню Параметры папок - Вид. Выставляю Показывать скрытые файлы и папки и убираю галочку Скрывать защищенные и системные файлы.

Действительно, папка есть, она скрыта и только для чтения, к тому же системная. Всё, вижу теперь папку S-1-5-86, но система не пускает в неё войти.

Пытаюсь завершить процесс TiWorker.exe. Он завершается, но где-то через 5-10 минут запускается вновь.

Что же делать? Надо грузиться с Live USB образа операционной системы и смотреть файлы из неё. Использую загрузочную USB флешку от Sergei Strelec и гружусь Windows 8 x32 Live.

Используя Total Commander ищу на всех дисках файл TiWorker.exe и нахожу такое их количество:

Это явно вирус, размер около 350Кб. В разных папках. В каждой папке вместе с этим файлом лежит файл DLL: riched32.dll размером тоже около 350Кб.

Отправляю файлы TiWorker.exe и Riched32.dll с этих папок на проверку в VirusTotal. Что удивительно, но TiWorker.exe чист.

А вот его соседний файл Riched32.dll является телом самого вируса, вируса известного как: Worm.Win32.Palevo.kYQi, W64.HfsAutoA, Unsafe, A Variant Of Win64/Packed.VMProtect.GI, Generic.mg.0fa94cbc86583eb0, TR/AD.CoinLoader.stlny, Win/malicious_confidence_100% (D), Malicious (high Confidence), Trojan.TR/AD.CoinLoader.stlny, DFI - Suspicious PE.

В итоге решаю во всех найденных папках удалить и TiWorker.exe и Riched32.dll. Удалил все эти файлы и папки.

На сайте VirusTotal было мною замечено, что этот вирус известен антивирусу ESET-NOD32, решаю зайти на сайт антивируса и запустить их онлайн-сканнер ESET Online Scanner для проверки и поиска вирусов.

Запустил. Прогнал все диски. Нашло и удалило 18 объектов.

После проверки перегрузил Windows и загрузился уже не с USB Live образа, а в обычном режиме.

Через 10-15 минут работы процесс TiWorker.exe появился вновь. Чтоб его!

И это при том, что уже вычещены ветки реестра, что касается автозапуска (ветка Run), почищены все браузеры от надстроек и сброшены настройки по дефолту, почищены задания в планировщике заданий Windows и т.д. Откуда он лезет - загадка.

Мои наблюдения

Опишу ещё интересные наблюдения. Есть такие специальные утилиты, которые позволяют отслеживать активность процессов и создавать логи того, что происходит с процессами в Windows, кто куда чего пишет, что читает, кто кого запускает и т.д. Такие утилиты есть в комплекте SysInternals Suite. Однако отследить деятельность процесса TiWorker.exe мне так и не удалось. Процесс TiWorker.exe умеет скрывать себя как только запускаешь утилиты от SysInternals. Сразу после запуска procexp64.exe или Procmon.exe он "прячется" и исчезает из списка процессов.

Когда TiWorker.exe запускается, то он может закрывать и procexp64.exe и Procmon.exe из SysInternals Suite так, что узнать подробности о процессе TiWorker.exe не удаётся.

Продолжаю разбираться. Использую AVZ4

Вспомнил про хорошую антивирусную утилиту AVZ. Скачиваю версию 4.45, запускаю её из-под ОС USB Live Windows 8, обновляю базы выбрав пункт Обновить базы в меню программы, ставлю проверять все диски. Результат:

Хотя что-то красным программа выделила, на это стоит обратить внимание. Однако что с этим делать не ясно.

Продолжаю разбираться. Использую Malwarebytes Anti-Malware

Хотя я уже использовал Malwarebytes AdwCleaner и он не дал положительного результата в поиске и лечении проблемы с TiWorker.exe, но по совету коллег я решил попробовать установить и прогнать другой программой от Malwarebytes. Скачал и установил пробную версию Malwarebytes Anti-Malware на 14 дней. Установил рядом с уже установленным антивирусом Avast Free. Если не поможет в поиске "заразы" - удалю.

Запустил поиск и очистку. Что самое интересное, через какое-то время запустился и наш "клиент" TiWorker.exe, но он никак не подействовал на Malwarebytes Anti-Malware, он продолжал сканирование.

В результате найдено 109 угроз.

Жмём Переместить выбранные объекты в карантин и перезагружаемся.

Смотрим отчёты проверки.

Результат проверки УСПЕШНЫЙ! По-моему вирус удалён! Уже более 15 минут прошло, а TiWorker.exe не появляется в процессах. Malwarebytes Anti-Malware помогло, спасибо!

Привожу результаты отчёта его работы, в которых видны строки с явными указаниями на вирус-майнер криптовалют (Trojan.BitCoinMiner.BatBitRst):

Надеюсь эта статья поможет в поиске и удалении вируса-майнера криптовалют TiWorker.exe, известного как Trojan.BitCoinMiner.BatBitRst.

Источник: https://sector.biz.ua/docs/tiworker_exe_bitcoin_miner_riched32_dll/tiworker_exe_bitcoin_miner_riched32_dll.phtml#.YEyG_Z0zaUk