Win32/Spy.Agent.QGW в оперативной памяти - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 03.08.2022

Размещено 03.08.2022 18:30:07

Здравствуйте.
У меня примерно такая же проблема. Постоянно выскакивает уведомление с обнаружением Win32/Spy.Agent.QGW
Подскажите, пожалуйста, как избавиться?
Оперативная память » C:\Users\Дмитрий\AppData\Local\Temp\28e86510.dll - модифицированный Win32/Spy.Agent.QGW троянская программа - очищено удалением [1]

Прикрепленные файлы

2022-08-03_18-44-24.png (7.53 КБ)

COMP-BDA_2022-08-03_18-39-13_v4.12.7z (1001.93 КБ)

Изменено: Дмитрий Белолипецкий - 26.04.2023 01:29:24 (добавление файлов)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.08.2022 19:01:35

Дмитрий Белолипецкий

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Программа FRST должна создать два файла: FRST.txt и Addition.txt

+
Лог ESETLogCollector
как это сделать, подробнее в нашей инструкции
https://forum.esetnod32.ru/forum9/topic10671/

! Здесь внизу страницы есть меню: Загрузить файлы.

Сообщений: 6

Баллов: 3

Регистрация: 03.08.2022

Размещено 03.08.2022 19:25:52

Собрал

Прикрепленные файлы

eis_logs.zip (4.69 МБ)
FRST.txt (65.78 КБ)
Addition.txt (105.57 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.08.2022 19:36:16

Дмитрий Белолипецкий

Сейчас посмотрю.

Изменено: RP55 RP55 - 04.08.2022 06:39:05

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.08.2022 20:01:03

1) Есть заражение.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [3180]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\DLLHOST.EXE [3492]

2) Возможно заражение произошло через этот файл:

2022-08-01 21:39 - 2022-08-01 21:33 - 000024214 _____ C:\Users\Дмитрий\Downloads\ЛС268320981940_номер79806700003_с_31072022_по_01082022.pdf
2022-08-01 21:37 - 2022-08-01 21:37 - 000020240 _____ C:\Users\Дмитрий\Downloads\ЛС268320981940_номер79806700003_с_31072022_по_01082022.pdf.rar

3) Единственный эффективный способ это закрыть - установка системных обновлений\закрыть уязвимости системы.

Сообщений: 6

Баллов: 3

Регистрация: 03.08.2022

Размещено 03.08.2022 20:18:13

Цитата
RP55 RP55 написал: 3) Единственный эффективный способ это закрыть - установка системных обновлений\закрыть уязвимости системы.

Как это сделать? Через центр обновления винды установить всё, что можно?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.08.2022 20:28:31

Цитата
Дмитрий Белолипецкий написал: Как это сделать? Через центр обновления винды установить всё, что можно?

https://www.comss.ru/page.php?id=6542

Но может и не получиться.

Сообщений: 6

Баллов: 3

Регистрация: 03.08.2022

Размещено 03.08.2022 20:32:14

У меня регулярно автоматически обновляется. Вот сегодня ещё что-то там скачалось, как раз устанавливается.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 03.08.2022 20:36:12

Можно установить доступные обновление - перезагрузить PC и посмотреть на результат.

Сообщений: 6

Баллов: 3

Регистрация: 03.08.2022

Размещено 03.08.2022 20:38:34

Цитата
RP55 RP55 написал: Можно установить доступные обновление - перезагрузить PC и посмотреть на результат.

Попробую

Благодарю за помощь.

[ Закрыто ] Win32/Spy.Agent.QGW в оперативной памяти