Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Spy.Agent.QFL троянская программа в оперативной памяти

RSS
 
Вадим Ковика
Вадим Ковика
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.06.2022
Размещено 03.06.2022 18:40:26
Помогите избавиться от этой напасти


Оперативная память » C:\Windows\System32\dllhost.exe - OК
Оперативная память » C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AiSuiteSDK\ArmouryAiSuiteSDK.dll - OК
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\e0acf484.dll - не удается открыть [4]
Оперативная память » C:\Windows\SysWOW64\cmd.exe - OК
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll - не удается открыть [4]
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll » EMB » [#1]GRef - Win32/Spy.Agent.QFL троянская программа - выбор действия отложен до завершения сканирования
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll » EMB » [#0]GRef - модифицированный Win64/Kryptik.CNH троянская программа - выбор действия отложен до завершения сканирования
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\4fbc3690.dll - не удается открыть [4]
Оперативная память » C:\Windows\SysWOW64\dllhost.exe - OК
Оперативная память » mem_180000_32972.dll - не удается открыть [4]
Оперативная память » D:\Download\uvs_latest\tfpmbk - не удается открыть [4]
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll - не удается открыть [4]
Количество просканированных объектов: 1640
Количество обнаружений: 2
Количество очищенных объектов: 0

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 12:20:31
Вадим, посмотри пожалуйста, в этих папках что-то еще осталось?
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\

подозрение на то, что для запуска вредоносного кода, использовались легальные файлы, которые при запуске могли загружать вредоносные dll
---------------
Теперь можно отменить отслеживание процессов и лог DNS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
Код
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
QUIT

без перезагрузки системы
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему