От
YSOFF
Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\Windows\debug\lsmose.exe');
QuarantineFile('C:\Windows\debug\lsmose.exe','');
QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll','');
QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll','');
QuarantineFile('C:\Windows\Temp\conhost.exe','');
DeleteFile('C:\Windows\debug\lsmose.exe','32');
DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32');
DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32');
DeleteFile('C:\Windows\Temp\conhost.exe','32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Архив quarantine -
и UVS:
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll
delref PS&C:\Windows\xmrstak_opencl_backend.dll
delall %SystemRoot%\debug\xmrstak_opencl_backend.dll
zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll
delref PS&C:\Windows\xmrstak_cuda_backend.dll
delall %SystemRoot%\debug\xmrstak_cuda_backend.dll
zoo %SystemRoot%\debug\lsmose.exe
delref PS&C:\Windows\debug\lsmose.exe
delall %SystemRoot%\debug\lsmose.exe
zoo %SystemRoot%\Temp\conhost.exe
delref PS&C:\Windows\Temp\conhost.exe
delall %SystemRoot%\Temp\conhost.exe
apply
regt 28
regt 29
czoo
restart
Архив ZOO -
- после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.
Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB
Сообщение от модератора Mark D. Pearlstone
Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
Не выкладывайте карантин и ссылки на него.
От Роман Паятелев
От YSOFF
От Ildar Zakirov
От Panchersp
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.