VEE

Благодарю. Обновился

Лог securitycheck во вложении SecurityCheck.txt

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системной базе данных master. После удаления этих объектов, активность майнера прекратилась. Финалочкой поменял все пароли на учетках SQL.

Кинул в ЛС.

FRST скрипт выполнил. Лог во вложении. SQLCMD.exe переименовал. Вредонос продолжил появляться. Fixlog.txt

frst.rar

Да, стабильно раз в минуту assm.exe пересоздается.

Сообщение 208, уровень 16, состояние 3, строка 1 Недопустимое имя объекта "dbo.SQLManagement". Пароль sa сменил

Я, к сожалению, не знаком с активность SQL. Проверки Client SDK сделал. лог во вложении Fixlog.txt

Вот что я сумел увидет в SQL. Надеюсь, вам увиденное понятнее. Когда вредонос появляется в проводнике, в мониторе Data File I/O на верхних строчках бывают файлы master.mdf, или mastog.ldf, или templog.ldf

Да, эти службы стартуют вместе. Третья SQLWriter сейчас остановлена. Если тормознуть только MSSQL$SQL2014, вредонос перестает появляется.

во вложении запрошенные библиотеки SysWOW64.rar System32.rar sql.rar Замечу, что эти библиотеки встречались только в папках SQL, и при том в нескольких разных папках. Все они были от 2014 года

Какие-то конкреные копии или вообще все копии каждой библиотеки?

логи во вложении Fixlog.txt

логи SQL Папка JOBS пуста sqlLog.rar