Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Удалить троян lsmose.exe и все его части?

YSOFF

Автор YSOFF
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

YSOFF

YSOFF

Опубликовано
Опубликовано

Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll','');
 QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll','');
 QuarantineFile('C:\Windows\Temp\conhost.exe','');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32');
 DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32');
 DeleteFile('C:\Windows\Temp\conhost.exe','32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Архив quarantine - 

и UVS:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll
delref PS&C:\Windows\xmrstak_opencl_backend.dll
delall %SystemRoot%\debug\xmrstak_opencl_backend.dll
zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll
delref PS&C:\Windows\xmrstak_cuda_backend.dll
delall %SystemRoot%\debug\xmrstak_cuda_backend.dll
zoo %SystemRoot%\debug\lsmose.exe
delref PS&C:\Windows\debug\lsmose.exe
delall %SystemRoot%\debug\lsmose.exe
zoo %SystemRoot%\Temp\conhost.exe
delref PS&C:\Windows\Temp\conhost.exe
delall %SystemRoot%\Temp\conhost.exe
apply
regt 28
regt 29
czoo
restart

Архив ZOO - 

 

- после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.

Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB

 

Сообщение от модератора Mark D. Pearlstone
Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
Не выкладывайте карантин и ссылки на него.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Malorym_Inqyy
      Троян в бесплатном впн
      Автор Malorym_Inqyy
      Здравствуйте, вчера скачал бесплатный впн, заметил, что в диспетчере появился процесс который грузит мой процессор, из-за чего компьютер стал сильно гудеть. Прошу помочь!
      CollectionLog-2025.12.05-14.31.zip
    • Kkaj
      Trojan/Win32.Tiggre
      Автор Kkaj
      хочу установить приложение, закинул на вирус тотал https://www.virustotal.com/gui/file/e85efe251c012827fa88e7dfa266b46e0df8c234acb8b6a21ed3ea209748df80?nocache=1, касперский ничего не показал, ему хоть и доверяю больше но Antiy-AVL показывает троян(остальные китайские нн)
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов"
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • salad
      помогите удалить NET:MINERS.URL
      Автор salad
      Dr Web CureIt! обнаружил NET:MINERS.URL и не может его вылечить
      https://dropmefiles.com/kM9Ct - логи cureit
×
×
  • Создать...