Перейти к содержанию

VEE

Участники
  • Публикаций

    36
  • Зарегистрирован

  • Посещение

  • Победитель дней

    1

VEE стал победителем дня 14 декабря 2020

VEE имел наиболее популярный контент!

Репутация

5

Информация о VEE

  • Статус
    Постоялец

Посетители профиля

Блок последних пользователей отключён и не показывается другим пользователям.

  1. [РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системной базе данных master. После удаления этих объектов, активность майнера прекратилась. Финалочкой поменял все пароли на учетках SQL.
  2. FRST скрипт выполнил. Лог во вложении. SQLCMD.exe переименовал. Вредонос продолжил появляться. Fixlog.txt
  3. Да, стабильно раз в минуту assm.exe пересоздается.
  4. Сообщение 208, уровень 16, состояние 3, строка 1 Недопустимое имя объекта "dbo.SQLManagement". Пароль sa сменил
  5. Я, к сожалению, не знаком с активность SQL. Проверки Client SDK сделал. лог во вложении Fixlog.txt
  6. Вот что я сумел увидет в SQL. Надеюсь, вам увиденное понятнее. Когда вредонос появляется в проводнике, в мониторе Data File I/O на верхних строчках бывают файлы master.mdf, или mastog.ldf, или templog.ldf
  7. Да, эти службы стартуют вместе. Третья SQLWriter сейчас остановлена. Если тормознуть только MSSQL$SQL2014, вредонос перестает появляется.
  8. во вложении запрошенные библиотеки SysWOW64.rar System32.rar sql.rar Замечу, что эти библиотеки встречались только в папках SQL, и при том в нескольких разных папках. Все они были от 2014 года
  9. Какие-то конкреные копии или вообще все копии каждой библиотеки?
×
×
  • Создать...