Форум esetnod32.ru [тема: Win32/Spy.Agent.QFL троянская программа в оперативной памяти] http://forum.esetnod32.ru Новое в теме Win32/Spy.Agent.QFL троянская программа в оперативной памяти форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 00:21:51 +0300 Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вадим, посмотри пожалуйста, в этих папках что-то еще осталось?
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\

подозрение на то, что для запуска вредоносного кода, использовались легальные файлы, которые при запуске могли загружать вредоносные dll
---------------
Теперь можно отменить отслеживание процессов и лог DNS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
====code==== 
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
QUIT
=============
без перезагрузки системы
04.06.2022 12:20:31, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114116/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114116/ Sat, 04 Jun 2022 12:20:31 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Отлично, спасибо Вам за все предоставленные оперативно  логи и файлы.
04.06.2022 12:18:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114115/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114115/ Sat, 04 Jun 2022 12:18:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
Хорошо. Выполняем скрипт с перезагрузкой системы. Проверяем результат после перезагрузки.




=============
Скрипт выполнил. Спасибо вам, антивирус больше ничего не находит.
====quote====
santy написал:
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru
=============
отправил
04.06.2022 12:10:11, Вадим Ковика.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114114/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114114/ Sat, 04 Jun 2022 12:10:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хорошо. Выполняем скрипт с перезагрузкой системы. Проверяем результат после перезагрузки.
04.06.2022 11:38:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114112/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114112/ Sat, 04 Jun 2022 11:38:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
этот файл проверьте, пожалуйста, на Virustotal.com, дайте нам ссылку на линк проверки:C:\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI
=============
https://www.virustotal.com/gui/file/7096ace4487307c32f707c46fa456404d1fdb8a4c4ab8b5­c6b5573963bbe8a27


====quote====
santy написал:
с этим файлом что случилось? не удалили его случайно?"Модуль" = "c:\windows\syswow64\svchost.exe" ( 1: Безопасно ) ; Хост-процесс для служб Windows ; Microsoft Corporation ;
=============
этот файл присутствует
04.06.2022 11:09:45, Вадим Ковика.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114111/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114111/ Sat, 04 Jun 2022 11:09:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI
zoo %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
;---------command-block---------
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\XVEASRLJH.QTD
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\EC905A47.PNG
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL

apply

czoo
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту safety@chklst.ru
04.06.2022 09:57:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114110/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114110/ Sat, 04 Jun 2022 09:57:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
этот файл проверьте, пожалуйста, на Virustotal.com, дайте нам ссылку на линк проверки:
C:\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI

с этим файлом что случилось? не удалили его случайно?
"Модуль" = "c:\windows\syswow64\svchost.exe" ( 1: Безопасно ) ; Хост-процесс для служб Windows ; Microsoft Corporation ;
04.06.2022 09:24:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114109/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114109/ Sat, 04 Jun 2022 09:24:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
ZOO_2022-06-04_15-07-10.7z
DESKTOP-RPJ3CQS_2022-06-04_15-15-36_v4.12.7z
DESKTOP-RPJ3CQS_2022-06-04_15-21-48.TXT
ESVC_DESKTOP-RPJ3CQS_20220604153148.zip
eis_logs.zip
04.06.2022 08:48:20, Вадим Ковика.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114108/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114108/ Sat, 04 Jun 2022 08:48:20 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
лог ESETSysVulnCheck
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
04.06.2022 05:06:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114107/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114107/ Sat, 04 Jun 2022 05:06:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CMD.EXE [21632]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1640]
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\DLLHOST.EXE [22116]
------------------
Update:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 39
regt 41
ZOO C:\USERS\KVV80\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
ZOO C:\USERS\KVV80\APPDATA\LOCAL\TEMP\17160620-A705FA60-F93F37A0-9487ABE0\1A53653324.SYS
CZOO
restart
=============
перезагрузка, сделайте пожалуйста, новый образ автозапуска
добавьте на форум полученный файл ZOO*
+
нужен лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
04.06.2022 00:38:16, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114106/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114106/ Sat, 04 Jun 2022 00:38:16 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Spy.Agent.QFL троянская программа в оперативной памяти Win32/Spy.Agent.QFL троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Помогите избавиться от этой напасти


Оперативная память » C:\Windows\System32\dllhost.exe - OК
Оперативная память » C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AiSuiteSDK\ArmouryAiSuiteSDK.dll - OК
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\e0acf484.dll - не удается открыть [4]
Оперативная память » C:\Windows\SysWOW64\cmd.exe - OК
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll - не удается открыть [4]
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll » EMB » [#1]GRef - Win32/Spy.Agent.QFL троянская программа - выбор действия отложен до завершения сканирования
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll » EMB » [#0]GRef - модифицированный Win64/Kryptik.CNH троянская программа - выбор действия отложен до завершения сканирования
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\4fbc3690.dll - не удается открыть [4]
Оперативная память » C:\Windows\SysWOW64\dllhost.exe - OК
Оперативная память » mem_180000_32972.dll - не удается открыть [4]
Оперативная память » D:\Download\uvs_latest\tfpmbk - не удается открыть [4]
Оперативная память » C:\Users\kvv80\AppData\Local\Temp\18e39c2.dll - не удается открыть [4]
Количество просканированных объектов: 1640
Количество обнаружений: 2
Количество очищенных объектов: 0
DESKTOP-RPJ3CQS_2022-06-04_01-30-10_v4.12.7z
03.06.2022 18:40:26, Вадим Ковика.]]> http://forum.esetnod32.ru/messages/forum6/topic16805/message114105/ http://forum.esetnod32.ru/messages/forum6/topic16805/message114105/ Fri, 03 Jun 2022 18:40:26 +0300 Обнаружение вредоносного кода и ложные срабатывания