Windows 7, podejrzane zachowanie procesu TiWorker.exe

[lonialomax]

Witam. Problem polega na dziwnym zachowaniu tematycznego procesu, który włącza się po jakimś czasie i działa cały czas używając od 17-50% CPU. Według informacji z internetu proces ten jest skojarzony z Windows 8 i 10. Dziwne jest też to, że przy uruchomionym Menedżerze zadań (tu proces działa i słychać po pracy wentylatorów), a po uruchomieniu Process Explorera automatycznie wyłącza się i znika z Menedżera zadań, a wentylatory CPU zwalniają. Lokalizacja procesu to C:\Windows\SysWOW64\sv-SE .Z góry dziękuję za pomoc

FRST.txt Addition.txt Shortcut.txt

[jessica]

W logu FRST.TXT wcale nie ma 'TiWorker", więc tą sprawą się nie zajmuję.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

VirusTotal: C:\Windows\SysWOW64\sv-SE\S-1-5-97\TiWorker.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-511884342-1919680419-1784099538-1000\...\Policies\Explorer: [NoSecurityTab] 1
GroupPolicy: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {0C29BD00-443A-4774-868E-AA4C6560FC67} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineSW => C:\Windows\SysWOW64\Microsoft\Protect\S-1-94-58\RB_1.3.18.30.exe <==== UWAGA
S3 MBfilt; system32\drivers\MBfilt64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
VirusTotal: C:\Windows\SysWOW64\sv-SE\S-1-5-97\TiWorker.exe
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Pokaż z tego raport.

 

jessi

 

 

 

 

 

[lonialomax]

Dziękuję za szybką interwencję. Po wykonaniu naprawy TiWorker.exe znowu się pojawił. Nie wiem czy wykonanie skanu FRST przy włączonym procesie pokaże jego aktywność? Fixlog w załączniku. Jednak Po włączeniu FRST proces się wyłącza także jest wyjątkowo przebiegły. akaś naprawa poszła w trybie awaryjnym wstawiam nowy fixlog.Fixlog.txt

 

[jessica]

Cytat

TiWorker.exe" => nie znaleziono

VirusTotal w ogóle nie znalazł tego pliku.

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

TiWorker.exe

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

Ogólnie to proces "TiWorker" (Windows Installer Worker) jest najgorszym pomysłem Microsoftu w systemie WIN 10, i raczej nic na to nie poradzisz.

Zastanawia mnie tylko ścieżka tego pliku u Ciebie.

 

jessi

[lonialomax]

12 minut temu, jessica napisał:

najgorszym pomysłem Microsoftu w systemie WIN 10

No właśnie, nie tylko ścieżka jest zastanawiająca, ale i to że dzieje się to w Windows 7. W ogóle jak przejrzałem foldery językowe w SysWOW64, to w żadnym z nich nie ma podfolderów jak w sv-SE. Szukaj FRST nic nie znalazł, ale może z powodu, że do podfolderu S-1-5-97 przy próbie otwarcia jest Odmowa dostępu. Jak na razie jest pozytywna okoliczność system po tej podwójnej naprawie pracuje około 30 min. i TiWorker nie pojawił się? Oby tak zostało. Jeszcze raz dziękuję.

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

RemoveDirectory: C:\Windows\SysWOW64\sv-SE\S-1-5-97
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[lonialomax]

Folder S-1-5-97 usunięty, ale też z trybu awaryjnego. Na żywo log z fixlog jest bez zapisu jakichkolwiek działań. Możliwe, że moje konto, które widnieje jako administrator ma jakieś ograniczenie?

Fixlog.txt

[jessica]

Cytat

Na żywo log z fixlog jest bez zapisu jakichkolwiek działań.

Nie wiem, o co Ci chodzi - przecież w "fixlog" widać, że folder został usunięty.

 

jessi

[lonialomax]

Tak fixlog zapisuje się i następuje usuwanie w trybie awaryjnym. Przy uruchomieniu naprawy FRST z poziomu systemu w normalnym trybie fixlog zapisuje się, ale niema w nim żadnych informacji o wykonanej naprawie i usuwaniu.  Nie pojawia się też okno z monitem o ponowne uruchomienie systemu. Czy jest możliwość, że AVAST blokuje poczynania FRST?

[jessica]

1) co wykonywałeś jako pierwsze:

usuwanie w Trybie Awaryjnym

usuwanie w Trybie Normalnym?

 

2) u mnie Avast nie przeszkadza w pracy FRST - ale to o niczym nie świadczy, bo być może Avast chroni pewne obiekty przed usunięciem.

 

jessi

[lonialomax]

Pierwsze w trybie normalnym. Log zapisuje się bez bez informacji o usuwaniu i nie ma monitu o ponowne uruchomienie systemu. Dopiero w trybie awaryjnym proces usuwanie kończy się informacją o zapisie logu i ponownym uruchomieniu.

[jessica]

no to jest to trochę dziwne.

 

Ale mam nadzieję, że ten folder C:\Windows\SysWOW64\sv-SE\S-1-5-97 znikł.

 

jessi

[lonialomax]

Tak, usunięty. Jeszcze raz dziękuję.