Удалить троян lsmose.exe и все его части?

30 августа, 2018

Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll','');
 QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll','');
 QuarantineFile('C:\Windows\Temp\conhost.exe','');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32');
 DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32');
 DeleteFile('C:\Windows\Temp\conhost.exe','32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Архив quarantine -

и UVS:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll
delref PS&AMP;C:\Windows\xmrstak_opencl_backend.dll
delall %SystemRoot%\debug\xmrstak_opencl_backend.dll
zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll
delref PS&AMP;C:\Windows\xmrstak_cuda_backend.dll
delall %SystemRoot%\debug\xmrstak_cuda_backend.dll
zoo %SystemRoot%\debug\lsmose.exe
delref PS&AMP;C:\Windows\debug\lsmose.exe
delall %SystemRoot%\debug\lsmose.exe
zoo %SystemRoot%\Temp\conhost.exe
delref PS&AMP;C:\Windows\Temp\conhost.exe
delall %SystemRoot%\Temp\conhost.exe
apply
regt 28
regt 29
czoo
restart

Архив ZOO -

- после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.

Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB

Сообщение от модератора Mark D. Pearlstone

Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
Не выкладывайте карантин и ссылки на него.

30 августа, 2018

Порядок оформления запроса о помощи

Удалить троян lsmose.exe и все его части?

Рекомендуемые сообщения

YSOFF

Mark D. Pearlstone

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum