Медленно работает комп [HEUR:Trojan.Win32.Generic, Trojan.Win32.ShadowBrokers.t]

Printable View

04.01.2021, 21:13
Jusea

Вложений: 1

Медленно работает комп [HEUR:Trojan.Win32.Generic, Trojan.Win32.ShadowBrokers.t]

Добрый день!
Замедлилась работа компьютера, в том числе удаленно работаяч через AnyDesk
Файл приложен
04.01.2021, 21:14
Info_bot

Уважаемый(ая) [B]Jusea[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
04.01.2021, 22:10
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
fname := NormalDir(path + AFL[i]);
if DirectoryExists(fname) then
begin
FSResetSecurity(fname);
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
DeleteDirectory(fname);
end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например из папки AutoLogger-а.');
AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
end;

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
TerminateProcessByName('C:\ProgramData\WindowsTask\MicrosoftHost.exe');
TerminateProcessByName('c:\programdata\windows\rfusclient.exe');
TerminateProcessByName('c:\programdata\rundll\rundll.exe');
TerminateProcessByName('c:\programdata\windows\rutserv.exe');
TerminateProcessByName('C:\Program Files\Microsoft Office\Services\Software Maintenance Service\svchоst.exe');
TerminateProcessByName('c:\programdata\rundll\system.exe');
TerminateProcessByName('C:\ProgramData\RealtekHD\taskhostw.exe');
StopService('Office Software Maintenance Service');
StopService('RManService');
QuarantineFile('C:\Program Files\Microsoft Office\Services\Software Maintenance Service\svchоst.exe', '');
QuarantineFile('C:\Windows\svchost.exe', '');
QuarantineFile('C:\Windows\java.exe', '');
DeleteFile('c:\programdata\windowstask\audiodg.exe', '');
DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '');
DeleteFile('c:\programdata\windows\rfusclient.exe', '');
DeleteFile('c:\programdata\rundll\rundll.exe', '');
DeleteFile('c:\programdata\windows\rutserv.exe', '');
DeleteFile('C:\Program Files\Microsoft Office\Services\Software Maintenance Service\svchоst.exe', '');
DeleteFile('c:\programdata\rundll\system.exe', '');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
DeleteFile('C:\Program Files\Microsoft Office\Services\Software Maintenance Service\svchоst.exe', '64');
DeleteFile('C:\ProgramData\Windows\rutserv.exe', '64');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '32');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '64');
DeleteFile('c:\programdata\rundll\system.exe', '64');
DeleteFile('C:\Windows\svchost.exe', '');
DeleteFile('C:\Windows\java.exe', '');
AV_block_remove;
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Punto Switcher.lnk','x64');
ExecuteWizard('SCU', 3, 3, true);
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

Файл [B]AV_block_remove.log[/B] из папки с AVZ прикрепите к своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
05.01.2021, 12:36
Jusea

Вложений: 2

Файл AV_block_remove.log

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

отчеты FRST.txt, Addition.txt
05.01.2021, 13:42
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== ATTENTION
HKU\S-1-5-21-2757004306-3499921150-4191207411-1174\...\Policies\Explorer: []
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
U3 aswbdisk; no ImagePath
U3 aswbdisk; no ImagePath
2021-01-04 19:57 - 2021-01-04 19:58 - 000000000 ____D C:\Program Files\trend micro
Folder: C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2020-12-25 03:45 - 2020-12-25 03:45 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
Unlock: C:\Windows\McMwt
Folder: C:\Windows\McMwt
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 __SHD C:\Windows\McMwt
Unlock: C:\ProgramData\Driver Foundation Visions VHG
Folder: C:\ProgramData\Driver Foundation Visions VHG
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 __SHD C:\Program Files (x86)\Zaxar
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Windows\svchost.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Windows\java.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Windows\boy.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Users\Все пользователи\script.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Users\Все пользователи\olly.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Users\Все пользователи\lsass2.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Users\Все пользователи\lsass.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\Users\Все пользователи\kz.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\ProgramData\script.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\ProgramData\olly.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\ProgramData\lsass2.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\ProgramData\lsass.exe
2020-12-25 03:25 - 2020-12-25 03:25 - 000000000 ___SH C:\ProgramData\kz.exe
2020-12-25 03:24 - 2021-01-05 10:47 - 000000000 ____D C:\Program Files\RDP Wrapper
2020-12-25 03:24 - 2020-12-25 03:25 - 000000000 __SHD C:\rdp
2020-12-25 03:24 - 2020-12-25 03:24 - 000000000 ___SH C:\Windows\SysWOW64\Drivers\conhost.exe
2020-12-25 03:24 - 2019-11-21 12:27 - 000000000 ____D C:\Windows\system32\Tasks\Avast Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
FirewallRules: [{62C8153D-BF15-47F1-837A-201B1E5C73C4}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe => No File
FirewallRules: [{0CE29F75-B104-460D-9F0C-6A262F0D1DA4}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe => No File
FirewallRules: [{9EBC72EE-7AF5-4275-8C50-9D65B9B92A63}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe => No File
FirewallRules: [{722F194E-46D1-4191-B00E-C3401A27F9DF}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe => No File
FirewallRules: [{59E5C412-506E-423D-9C24-F8ABD5550D06}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe => No File
FirewallRules: [{7760BE92-C14E-4829-B40C-6F8C87FCE066}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe => No File
FirewallRules: [{11850287-89FC-459E-9178-3C836CF8FD5B}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe => No File
FirewallRules: [{21A9E6B2-E43F-4099-A707-305B485F50C6}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Переустановите ESET NOD32 Antivirus. Текущая версия не работает, не обновляется, и давно устарела.
05.01.2021, 14:05
Jusea

Вложений: 1

лог-файл (Fixlog.txt)
05.01.2021, 14:27
Vvvyg

Проблема решена?

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
05.01.2021, 14:37
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]144[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\program files\microsoft office\services\software maintenanc=
e service\svch=EEst.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: =
Win32:Malware-gen )[*] c:\program files\rdp wrapper\rdpwrap.dll - [B]not-a-virus:Remot=
eAdmin.Win32.RDPWrap.h[/B][*] c:\programdata\install\sys.exe - [B]Trojan-PSW.Win32.Delf.aidq[=
/B] ( AVAST4: Win32:PWSX-gen [Trj] )[*] c:\programdata\rundll\adfw.dll - [B]Trojan.Win32.ShadowBrokers.=
p[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\adfw-2.dll - [B]Trojan.Win32.ShadowBroker=
s.t[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\cnli-0.dll - [B]Trojan.Win32.EquationDrug=
=2Eacj[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\cnli-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ao[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\coli-0.dll - [B]Trojan.Win32.EquationDrug=
=2Eacf[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\crli-0.dll - [B]Trojan.Win32.EquationDrug=
=2Each[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\dmgd-1.dll - [B]Trojan.Win32.ShadowBroker=
s.aw[/B][*] c:\programdata\rundll\dmgd-4.dll - [B]Trojan.Win32.EquationDrug=
=2Eace[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\doublepulsar-1.3.1.exe - [B]Backdoor.Win3=
2.ShadowBrokers.f[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\esco-0.dll - [B]Trojan.Win32.ShadowBroker=
s.v[/B][*] c:\programdata\rundll\etchcore-0.x64.dll - [B]Exploit.Win64.Sha=
dowBrokers.c[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etchcore-0.x86.dll - [B]Exploit.Win32.Sha=
dowBrokers.aa[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etch-0.dll - [B]Exploit.Win32.ShadowBroke=
rs.z[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etebcore-2.x64.dll - [B]Exploit.Win64.Sha=
dowBrokers.d[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\etebcore-2.x86.dll - [B]Exploit.Win32.Sha=
dowBrokers.ad[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\eteb-2.dll - [B]Exploit.Win32.ShadowBroke=
rs.ab[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\eternalblue-2.2.0.exe - [B]Exploit.Win32.=
ShadowBrokers.ae[/B] ( AVAST4: Sf:WNCryLdr-A [Trj] )[*] c:\programdata\rundll\exma.dll - [B]Trojan.Win32.ShadowBrokers.=
w[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\exma-1.dll - [B]Trojan.Win32.ShadowBroker=
s.x[/B][*] c:\programdata\rundll\iconv.dll - [B]Trojan.Win32.ShadowBrokers=
=2Ect[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\libcurl.dll - [B]Trojan.Win32.EquationDru=
g.jf[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\libeay32.dll - [B]HackTool.Win32.ShadowBr=
okers.n[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\programdata\rundll\libiconv-2.dll - [B]HackTool.Win32.Shadow=
Brokers.l[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\libxml2.dll - [B]HackTool.Win32.ShadowBro=
kers.k[/B][*] c:\programdata\rundll\pcla-0.dll - [B]Trojan.Win32.ShadowBroker=
s.y[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\pcrecpp-0.dll - [B]Trojan.Win32.ShadowBro=
kers.av[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\pcreposix-0.dll - [B]Trojan.Win32.ShadowB=
rokers.au[/B][*] c:\programdata\rundll\pcre-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ax[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\posh.dll - [B]Trojan.Win32.ShadowBrokers.=
aa[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\posh-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ab[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\riar.dll - [B]Trojan.Win32.ShadowBrokers.=
ar[/B] ( AVAST4: Win32:Stuxnet-C [Wrm] )[*] c:\programdata\rundll\riar-2.dll - [B]Trojan.Win32.ShadowBroker=
s.as[/B] ( AVAST4: Win32:Stuxnet-C [Wrm] )[*] c:\programdata\rundll\rundll.exe - [B]UDS:DangerousObject.Multi=
=2EGeneric[/B][*] c:\programdata\rundll\ssleay32.dll - [B]Trojan.Win32.ShadowBrok=
ers.cz[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\start.exe - [B]Trojan.VBS.Starter.mi[/B][*] c:\programdata\rundll\tibe.dll - [B]Trojan.Win32.ShadowBrokers.=
ac[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tibe-1.dll - [B]Trojan.Win32.ShadowBroker=
s.bb[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tibe-2.dll - [B]Trojan.Win32.ShadowBroker=
s.ad[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trch.dll - [B]Trojan.Win32.ShadowBrokers.=
ae[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\trch-0.dll - [B]Trojan.Win32.ShadowBroker=
s.af[/B][*] c:\programdata\rundll\trch-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ag[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trfo.dll - [B]Trojan.Win32.ShadowBrokers.=
an[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\trfo-0.dll - [B]Trojan.Win32.ShadowBroker=
s.aq[/B][*] c:\programdata\rundll\trfo-2.dll - [B]Trojan.Win32.EquationDrug=
=2Eacg[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tucl.dll - [B]Trojan.Win32.ShadowBrokers.=
ah[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\tucl-1.dll - [B]Trojan.Win32.ShadowBroker=
s.ai[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\ucl.dll - [B]Trojan.Win32.Shadowbrokers.c=
o[/B][*] c:\programdata\rundll\xdvl-0.dll - [B]Trojan.Win32.ShadowBroker=
s.ak[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\x64.dll - [B]HEUR:Trojan.Win32.Blouiroet.=
gen[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\rundll\x86.dll - [B]HEUR:Trojan.Win32.Blouiroet.=
gen[/B] ( BitDefender: Gen:Trojan.Heur.LP.fu4@aKVfA7ei, AVAST4: Win32:=
Trojan-gen )[*] c:\programdata\rundll\zibe.dll - [B]Trojan.Win32.ShadowBrokers.=
al[/B] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\rundll\zlib1.dll - [B]Trojan.Win32.EquationDrug.=
dp[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\rundll\2x64.dll - [B]HEUR:Trojan.Win32.Blouiroet=
=2Egen[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\rundll\2x86.dll - [B]HEUR:Trojan.Win32.Blouiroet=
=2Egen[/B] ( BitDefender: Gen:Trojan.Heur.LP.fu4@aKVfA7ei, AVAST4: Win=
32:Trojan-gen )[*] c:\programdata\windows\rfusclient.exe - [B]Backdoor.Win32.RMS.p=
m[/B] ( BitDefender: Trojan.Generic.15942633 )[*] c:\programdata\windowstask\appmodule.exe - [B]HEUR:Trojan.Win32=
=2EMiner.gen[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\windowstask\audiodg.exe - [B]HEUR:Trojan-Spy.Win=
32.Convagent.gen[/B] ( BitDefender: Gen:Trojan.Heur.AutoIT.2, AVAST4: =
Win32:Malware-gen )[*] c:\programdata\windowstask\winlogon.exe - [B]Trojan.Win32.Autoi=
t.acbae[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
[LIST=3D1][*]=CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 ![/LIST]