Удалить троян lsmose.exe и все его части?

30 августа, 2018

Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll','');
 QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll','');
 QuarantineFile('C:\Windows\Temp\conhost.exe','');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32');
 DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32');
 DeleteFile('C:\Windows\Temp\conhost.exe','32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Архив quarantine -

и UVS:

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll
delref PS&AMP;C:\Windows\xmrstak_opencl_backend.dll
delall %SystemRoot%\debug\xmrstak_opencl_backend.dll
zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll
delref PS&AMP;C:\Windows\xmrstak_cuda_backend.dll
delall %SystemRoot%\debug\xmrstak_cuda_backend.dll
zoo %SystemRoot%\debug\lsmose.exe
delref PS&AMP;C:\Windows\debug\lsmose.exe
delall %SystemRoot%\debug\lsmose.exe
zoo %SystemRoot%\Temp\conhost.exe
delref PS&AMP;C:\Windows\Temp\conhost.exe
delall %SystemRoot%\Temp\conhost.exe
apply
regt 28
regt 29
czoo
restart

Архив ZOO -

- после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.

Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB

Сообщение от модератора Mark D. Pearlstone

Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
Не выкладывайте карантин и ссылки на него.

30 августа, 2018

Порядок оформления запроса о помощи

Удалить троян lsmose.exe и все его части?

Рекомендуемые сообщения

YSOFF

Ссылка на комментарий

Поделиться на другие сайты

Mark D. Pearlstone

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum