Crossbrowser, Speed PC и прочий хлам, который устанавливается в фоне [not-a-virus:AdWare.Win32.ConvertAd.azh, not-a-virus:AdWare.Win32.PriceGong.a ]

[b00lean]

Добрый вечер! После того, как была скачана игра 10 Days To Run, и после её установки в систему, начались установки какого-то левого софта. Вроде как удалось предотвратить установку всего этого хлама, но хочу быть уверенным в том, что система не загрязнена зловредами. Прикрепляю логи

[Info_bot]

Уважаемый(ая) b00lean, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\11\appdata\local\smartweb\__u.exe','');
 QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
 QuarantineFile('C:\Users\11\AppData\Roaming\Ywuhop\osvi.exe','');
 DeleteService('bonanzadealslivem');
 DeleteService('bonanzadealslive');
 QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
 SetServiceStart('lehicewu', 4);
 DeleteService('lehicewu');
 SetServiceStart('ledyvove', 4);
 DeleteService('ledyvove');
 SetServiceStart('gyvixodu', 4);
 DeleteService('gyvixodu');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 SetServiceStart('upyatgproduco', 4);
 DeleteService('upyatgproduco');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 TerminateProcessByName('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\vnsk9f51.tmp');
 QuarantineFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\vnsk9f51.tmp','');
 TerminateProcessByName('c:\users\11\appdata\local\temp\nsmc928.tmp');
 QuarantineFile('c:\users\11\appdata\local\temp\nsmc928.tmp','');
 TerminateProcessByName('c:\users\11\appdata\local\temp\nsl2747.tmp');
 QuarantineFile('c:\users\11\appdata\local\temp\nsl2747.tmp','');
 TerminateProcessByName('c:\users\11\appdata\local\temp\nsf2c24.tmp');
 QuarantineFile('c:\users\11\appdata\local\temp\nsf2c24.tmp','');
 TerminateProcessByName('c:\users\11\appdata\local\temp\nscb64d.tmp');
 QuarantineFile('c:\users\11\appdata\local\temp\nscb64d.tmp','');
 QuarantineFile('C:\Program Files\Concom\Concom.exe','');
 QuarantineFile('C:\Users\11\AppData\Local\Konk-hex.exe','');
 TerminateProcessByName('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\knska8ab.tmpfs');
 QuarantineFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\knska8ab.tmpfs','');
 TerminateProcessByName('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\jnsac121.tmp');
 QuarantineFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\jnsac121.tmp','');
 TerminateProcessByName('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\hnsfd6e4.tmp');
 QuarantineFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\hnsfd6e4.tmp','');
 DeleteFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\hnsfd6e4.tmp','32');
 DeleteFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\jnsac121.tmp','32');
 DeleteFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\knska8ab.tmpfs','32');
 DeleteFile('c:\users\11\appdata\local\temp\nscb64d.tmp','32');
 DeleteFile('c:\users\11\appdata\local\temp\nsf2c24.tmp','32');
 DeleteFile('c:\users\11\appdata\local\temp\nsl2747.tmp','32');
 DeleteFile('c:\users\11\appdata\local\temp\nsmc928.tmp','32');
 DeleteFile('c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\vnsk9f51.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Users\11\AppData\Local\Konk-hex.exe','32');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\Users\11\AppData\Roaming\Ywuhop\osvi.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{4288941E-4D49-5CE4-B52B-C4B1CA2AFA1A}');
 DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Users\11\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Users\11\appdata\local\smartweb\__u.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[b00lean]

Прикрепляю запрошенные логи, карантин отправлен по красной ссылке, как и просили

Update: GamesDesktop, WorldWizard и SmartWeb по-прежнему начали устанавливаться

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог полного сканирования МВАМ

[b00lean]

Прикрепляю соответствующие логи

Update: пока по-прежнему всяческие обновления периодически вылезают

[b00lean]

Стоит ли ожидать дальнейших инструкций?

[thyrex]

Удалите в МВАМ все, кроме

Код:

PUP.RiskWare.Patcher, C:\Всё для торрента\Раздачи\ABBYY FineReader 11.0.113.164 Professional & Corporate Edition\Corporate Edition\11.0.113.164.CE.exe, , [3e6835000c7f79bde6d32686cd34e818], 
PUP.RiskWare.Patcher, C:\Всё для торрента\Раздачи\ABBYY FineReader 11.0.113.164 Professional & Corporate Edition\Professional Edition\11.0.113.164.PE.exe, , [d8ce161f6b20ac8a8336624a9968748c], 
PUP.RiskWare.Tool.CK, C:\Всё для торрента\Раздачи\Adobe Audition CS6 5.0 build 708\Activation\amtlib.dll, , [d8ced4613556280ed0fd8520e919f907], 
RiskWare.Tool.CK, C:\Всё для торрента\Раздачи\RuTracker\Adobe Audition 3.0 + Plugins\Кряк\Crack.exe, , [7234969fb7d44cea5964cba24cb4db25], 
RiskWare.Tool.CK, C:\Заявки\01.10.2012\1\Keygen\keygen-CORE\keygen.exe, , [8a1cc5700b8075c14e3c1523de23fa06], 
PUP.RiskWare.Tool.CK, C:\Заявки\01.10.2012\1\Keygen\keygen-X-FORCE\xf-mccs6.exe, , [f8aef83d0487c07626cbeaddbb469a66], 
RiskWare.Tool.CK, C:\Заявки\01.11.2012\KeyGen.exe, , [7333da5b54376ec88d2977a8877b659b], 
PUP.HackTool.Patcher, C:\Заявки\18.09.2012\KOMPAS-3D_V12_antiHASP_v1.0.rar, , [7b2bd362dfac0333208f7d8baa561be5], 
PUP.Optional.Linkury, C:\Program Files\Common Files\adsl0mqz\ab670gjrqoipq.exe, , [e4c2b580c6c5f343d6dc04b14cb55ba5], 
Trojan.Agent, C:\Program Files\Concom\packages\710a5ba7-d85f-41df-b18f-d89d7c66138a\file.exe, , [7e28c96cd5b6340266f6fe6050b57b85], 
Trojan.Downloader, C:\Program Files\Concom\packages\710a5ba7-d85f-41df-b18f-d89d7c66138a\start.exe, , [4e58e45108831b1b4aa0624e7a870cf4], 
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\7Zip_Update.9.38.exe, , [485edb5a97f448eea33facf63cc99c64], 
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\Skype_Update.7.8.102.exe, , [d8ced95cd5b657df42a0b5ed1ce96a96], 
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\uTorrent_Update.3.4.3.40633.exe, , [6e3868cd95f68aac33afdbc7bf46817f], 
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\Winrar_Update.5.21.0.exe, , [2f773ff63556bd79be241c86a2638b75], 
RiskWare.Tool.CK, C:\Soft\Adobe Audition 3.0\Crack.exe, , [b1f52b0acebd2e08b50869045fa1a25e], 
PUP.OperaPasswordTool, C:\Soft\Opera Unofficial\Misc\OperaPassView\OperaPassView.exe, , [d5d1f441107b48ee218c54390cf911ef], 
PUP.RiskWare.Tool.CK, C:\Soft\PS\App\PhotoshopCS6_x64\amtlib.dll, , [a0066bca1477c27482740c9935cd2dd3], 
PUP.HackTool.Patcher, C:\Soft\Hard Drive Inspector\Patch_HDI.exe, , [376f2015256632049c13f117847c7987], 
PUP.RiskWare.Patcher, G:\Раздачи NNM-Club\Adobe Photoshop CS6 Extended 13.1.2 Portable by PortableAppZ\Patch-XP\ps13.1.2xp-patch.painter.exe, , [5155d06535560c2a27922a82dd244ab6], 
Trojan.Dropper, G:\Раздачи NNM-Club\FloorPlan 3D Design Suite 11.2.60\FloorPlan_3D_Design_Suite_11.2.60\AutoPlay\Soft\Посетите ПОРТАЛЫ.exe, , [188eb481e4a7ea4ce157bf7115f00df3], 
CrackTool.Agent, G:\Раздачи NNM-Club\Google Earth Pro 7.1.2.2041 DC 05.02.2014\google.earth.free2pro.v6.2.2.6613.patch-MPT.exe, , [9b0b9b9a206bab8b0f13c52c6d9351af], 
RiskWare.Tool.CK, F:\Раздачи Peers.FM\MediaMonkey.Gold.v4.0.7.1511.Incl.Keygen-Lz0\linezer0.part1.rar, , [a2040b2ad6b5b581d6502f0b748eca36], 
RiskWare.Tool.CK, F:\Раздачи What.CD\What.CD Toolbox 5 for Windows\Content Analysis\Adobe Audition CS5.5\keygen.exe, , [c7dff045f3984beb503a1c1c69988e72], 
PUP.Optional.OpenCandy, F:\Раздачи What.CD\What.CD Toolbox 5 for Windows\File Management\FreeFileSync_v5.2_setup.exe, , [376f2c0908839a9c2cb6356da65fc739], 
RiskWare.Tool.CK, F:\Раздачи What.CD\What.CD Toolbox 5 for Windows\Metadata\Tag.And.Rename.v3.5.7.WinALL.Cracked-BRD\Patch.exe, , [f3b349ecbbd0c2747c68ab01c43d7987], 
PUP.Optional.OpenCandy, F:\Раздачи What.CD\What.CD Toolbox 6 for Windows\Burning\SetupImgBurn_2.5.8.0.exe, , [0a9c7db8414ab08635ad31710cf9d62a], 
PUP.RiskWare.Tool.CK, F:\Раздачи What.CD\What.CD Toolbox 6 for Windows\Content Analysis\Adobe Audition CC v6.0.732\adobe.photoshop.cc-patch-painter.exe, , [4a5c55e0404ba690de12e7e025dc09f7], 
PUP.Optional.OpenCandy, F:\Раздачи What.CD\What.CD Toolbox 6 for Windows\File Management\FreeFileSync_5.20_Windows_Setup.exe, , [456146effb901c1a04de752dab5a847c], 
RiskWare.Tool.HCK, F:\Временная папка [ Чистить ]\1\18.12.2012\keygen.exe, , [8a1c112492f9de58d606433437ca39c7], 
RiskWare.Tool.HCK, F:\Временная папка [ Чистить ]\1\07.04.2013\keygen.exe, , [ebbb2114bdce8ea866763d3ac63bee12], 
PUP.Optional.OpenCandy, F:\Временная папка [ Чистить ]\1\17.04.2013\mirc717.exe, , [2e78de57bdce56e05f83d6cc0afb32ce], 
RiskWare.Tool.HCK, F:\Временная папка [ Чистить ]\1\17.04.2013\Rus\Keygen.exe, , [5c4a00357912ea4c38c01a276d95f709], 
HackTool.Agent, F:\Данные с диска С\С рабочего стола\e81_windows_loader_2_0_9.zip, , [acfa2f063259fa3c3142b8f4fe0303fd], 
HackTool.Agent, F:\Данные с диска С\С рабочего стола\Программы\Windows Loader\Windows Loader.exe, , [dec8290c90fb8aac5a199e0e50b18080], 
RiskWare.Tool.CK, F:\Данные с диска С\С рабочего стола\Программы\Дистрибутивы\341288_patch.zip, , [6244a4910982d75fe2190236af53dc24], 
RiskWare.Tool.CK, F:\Данные с диска С\С рабочего стола\Программы\Дистрибутивы\341288_rup-2.zip, , [86200f262f5c2e089566f6424db5db25], 
PUP.RiskWare.Tool.CK, J:\Раздачи NNM-Club\WinRAR 4.20\Keygen.exe, , [a0062510206bfd393bba693cfd05a65a], 
PUP.OperaPasswordTool, L:\Раздачи NNM-Club\Opera_Unofficial_12.00.1467.x86_F.exe, , [f9ad0035fd8eaa8ca409810cc1449b65],

[b00lean]

Удалил. Перезагружаться нужно? Что далее нужно делать?

PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\7Zip_Update.9.38.exe, , [485edb5a97f448eea33facf63cc99c64],
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\Skype_Update.7.8.102.exe, , [d8ced95cd5b657df42a0b5ed1ce96a96],
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\uTorrent_Update.3.4.3.40633.exe , , [6e3868cd95f68aac33afdbc7bf46817f],
PUP.Optional.OpenCandy, C:\Program Files\Concom\packages\a8e79ee2-7b69-47de-a83c-ae3fd8b3fe8b\setup\Winrar_Update.5.21.0.exe, , [2f773ff63556bd79be241c86a2638b75],

Кстати, эти обновления периодически вылезают. Даже при закрытых программах, да и в самих программах уведомления об обновлениях отключены

Update: ничего не изменилось, раз в сутки (22:40) весь этот хлам по-прежнему устанавливается...

P.S. Удаляю всю эту мразоту через удаление программ. В автозапуске SmartWeb висит, который штатными средствами из программ не сносится, но ставится вместе со всем прочим хламом. Жду дальнейших указаний к действию

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[b00lean]

Готово, жду дальнейших указаний

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010101] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010102] => [X]
2015-09-30 22:47 - 2015-09-30 22:52 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-09-30 22:40 - 2015-09-30 22:40 - 00004016 _____ C:\Windows\System32\Tasks\SmartWeb Upgrade Trigger Task
2015-09-30 22:40 - 2015-09-30 22:40 - 00000000 ____D C:\Users\11\AppData\Local\SmartWeb
2015-09-29 07:48 - 2015-09-30 20:50 - 00000000 ____D C:\Users\Все пользователи\ExtTag
2015-09-29 07:48 - 2015-09-30 20:50 - 00000000 ____D C:\ProgramData\ExtTag
2015-09-28 17:30 - 2015-09-28 17:30 - 00000000 ____D C:\Users\Все пользователи\Babylon
2015-09-28 17:30 - 2015-09-28 17:30 - 00000000 ____D C:\Users\11\AppData\Roaming\Babylon
2015-09-28 17:30 - 2015-09-28 17:30 - 00000000 ____D C:\Users\11\AppData\Local\Babylon
2015-09-28 17:30 - 2015-09-28 17:30 - 00000000 ____D C:\ProgramData\Babylon
2015-09-28 16:47 - 2015-09-30 20:51 - 00000000 ____D C:\Users\Все пользователи\Saophase
2015-09-28 16:47 - 2015-09-30 20:51 - 00000000 ____D C:\ProgramData\Saophase
2015-09-28 15:29 - 2015-09-28 15:29 - 00000000 ____D C:\Users\11\AppData\Local\globalUpdate
2015-09-28 15:28 - 2015-09-30 22:41 - 00000876 _____ C:\task.vbs
2015-09-28 15:18 - 2014-08-25 23:37 - 00000851 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-09-29 19:30 - 2015-09-28 22:43 - 0613255 _____ (CMI Limited) C:\Users\11\AppData\Local\nsx29C2.tmp
C:\Users\11\AppData\Local\Temp\beeddejcab.exe
C:\Users\11\AppData\Local\Temp\beedgdgaij.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[b00lean]

Готово, жду дальнейших указаний

[thyrex]

Проблема решенА?

[b00lean]

Больше ничего не устанавливается, благодарю!

[thyrex]

Удалите МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\hnsfd6e4.tmp - not-a-virus:AdWare.Win32.ConvertAd.azh
  2. c:\program files (x86)\e9031500-1443439065-815c-23e3-e840f2b4fd58\jnsac121.tmp - not-a-virus:AdWare.Win32.ConvertAd.azi ( AVAST4: Win32:Adware-gen [Adw] )
  3. c:\program files\concom\concom.exe - not-a-virus:AdWare.Win32.Amonetize.bmec ( AVAST4: Win32:Rootkit-gen [Rtk] )
  4. c:\programdata\browsers\browser6.bat - Trojan.BAT.StartPage.nw
  5. c:\users\11\appdata\local\konk-hex.exe - Trojan-Downloader.MSIL.Crypted.hg ( AVAST4: Win32:Malware-gen )
  6. c:\users\11\appdata\local\smartweb\__u.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: archive:, AVAST4: Win32:Malware-gen )
  7. c:\users\11\appdata\local\temp\nscb64d.tmp - not-a-virus:AdWare.NSIS.Agent.gp ( DrWEB: Trojan.DownLoader12.51329 )
  8. c:\users\11\appdata\local\temp\nsf2c24.tmp - not-a-virus:AdWare.NSIS.Agent.gp ( DrWEB: Trojan.DownLoader12.51329 )
  9. c:\users\11\appdata\local\temp\nsl2747.tmp - Trojan-Downloader.Win32.Genome.tqca
  10. c:\users\11\appdata\local\temp\nsmc928.tmp - not-a-virus:AdWare.NSIS.Agent.gp ( DrWEB: Trojan.DownLoader12.51329 )
  11. c:\users\11\appdata\roaming\ywuhop\osvi.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Symmi.19271, AVAST4: Win32:Torbot [Trj] )