Процесс Systems.exe нагружает процессор на 100%. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur
]
Здравствуйте.
Столкнулся сегодня с одной странностью. Дело в том, что на моем рабочем столе находится виджет индикатора ЦП и Оперативной памяти (стандартный от Win 7). И сегодня я заметил, что ЦП по непонятным причинам был нагружен полностью, до 100%.
Зашел в диспетчер задач, отсортировав процессы по "нагруженности", увидел, что 95-99% процессора использует файл "systems.exe" (именно systems, а не system), появившийся не понятно откуда. Открыл место хранения файла (C:\Users\Саша\AppData\Local\svchost\miner) и вижу, что файлик появился совсем недавно (на тот момент как я это заметил, с момента создания прошло 8-10 минут). Полез в гугл и нашел подобные проблемы (bitcoin-miner), но именно такой как у меня не увидел. У людей, насколько я понял процесс называется по разному. Или "explorer.exe", или "svchost.exe" и т.д. Насторожило то, что у кого то начали шифроваться файлы. После этого я этот процесс убил.
Зашел на вирустотал и, как и ожидалось, файл оказался вирусом (34 из 57 антивирусов увидели в нем вирус). А мой от Microsoft (Essentials) ничего криминального не увидел.
Подскажите, как быть. Компьютер не перезагружал и файлики эти пока еще не удалил.
Последний раз редактировалось raz0812; 31.03.2015 в 19:11.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) raz0812, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Саша\AppData\Local\svchost\services.exe','');
DeleteFile('C:\Users\Саша\AppData\Local\svchost\services.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Сделал. Процесс не появился после перезагрузки. И на карантине файла services.exe нету. Ошибка какая-то проскочила при выполнении скрипта. Высылаю логи.
upd: Как я понял на карантине и не появится этот файл, потому что его и нет совсем. Есть только такие:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: