Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Здравствуйте.

Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.

Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек

Помогите пожалуйста.

 

 

Изменено пользователем VEE
забыл написать чего хочу
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe');
 QuarantineFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','');
 DeleteFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузил.

Файл сохранён как 201202_091012_quarantine_5fc759f42c168.zip
Размер файла 453
MD5 e7c80cd0f36fb5450b5e3c84502642ee

Автологи во вложении:

 

CollectionLog-2020.12.02-12.18.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него?

Могли бы пожалуйста просмотреть задачи на SQL сервере и прислать нам экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017).

 

Спасибо.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

в SQL сервере крутится три базы какого-то самописного сетевого софта. Пароли не менял.

 

Я не смог посмотреть задачи на SQL-сервере.

Зашел в SQL Management от учетки локального админа компьютера. Но нигде не увидел SQL Server Agent

Ссылка на сообщение
Поделиться на другие сайты

1) У вас есть, что-то похожее?

Spoiler

FUNGu.jpg

 

или

 

Spoiler

67705iF0C03D57601BDDEE



2)Уточните пожалуйста, а вы можете на время отключить базы-данных, и убедиться в том, что не он является виновником?

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Да, отключить базы я смогу. В ближайшее нерабочее время это сделаю. Надо остановить сервисы SQL или как-то отключить отдельные базы в работающем SQL?

 

 

Ссылка на сообщение
Поделиться на другие сайты
13 hours ago, VEE said:

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Странно, могли бы проверить пожалуйста если не присутствуют какие-то подозрительные учетные записи на SQL Server или в Windows?
Проверьте ваша базу по умолчанию, если в ней присутствуют какие-то левые таблицы?

Важно перед любыми манипуляциями с базой-данных сделать резервную копию и хранить их в разных источниках (облака, сетевой диск и т.п.)
 

Необходимо будет отключить сервисы через консоль SQL Server, чтобы база-данных отключилась корректно.

Перед выключением баз-данных скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Похожий на ваш случай - SQL Server, MrbMiner the new malware that infects SQL Server!

Проверьте пожалуйста, если в учетных записях имеется имя пользователя:
 

The backdoor account has the username "Default" and a password of "@ fg125kjnhn987".

Если он присутствует, вам необходимо его как минимум отключить, так как это может способствовать проникновению в вашу инфраструктуру.

Попробуйте также выполнить описанный в статье T-SQL:
 

SELECT

      [name],

      [type_desc],

      is_disabled,

      create_date,

      modify_date

FROM sys.server_principals

ORDER BY modify_date desc

и проверить роль пользователя.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

Да, появление новых assm.exe совпадает с работой службы SQL server. Работает sql - появляются файлы.

Да, пользоватьель Windows с именем default в группе Администраторов присутствует в системе. Я его отключил.

Отчеты FRST во вложении.

SQL запрос о пользователях SQL сделал, но там я пользователя default не увидел. Отдельно default в сервере SQL не создавался. Зато там присутствуют свежемодифицированные пользователи "Mssqla", "sa", "dbhelp" с ролями sysadmin и несколько учеток, похожих на пользовательские с ролями public, одна из них тоже sysadmin.

Остальные учетки не менялись дольше, чем предположительно произошло заражение (июль-август 2020). Отчет во вложении

 

Кроме этого, я обратил внимание на присутствие большого количество виндовых служб с разными названиями, оканчивающихся на "3c37c", например:

"CDPUserSvc_3c37c" - C:\Windows\system32\svchost.exe -k UnistackSvcGroup

И все эти службы - это svchost.exe с каким-то значением ключа -k

frst.rar SQL_logins.txt

Ссылка на сообщение
Поделиться на другие сайты

Слишком подозрительное следующее обновление Windows в каталоге SQL Server:

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe


пожалуйста самостоятельно ничего не удаляйте.


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Users\Serv\AppData\Roaming\IsolatedStorage
File: C:\Windows\system32\IHDS.dll
File: C:\Windows\system32\sysmain.dll
File: C:\Windows\SysWOW64\TextInputMethodFormatter.dll
File: C:\Windows\system32\TextInputMethodFormatter.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
Zip: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Dron86
      У меня та же петрушка с sql сервером, так же появляется этот файл. Касперский его удаляет, но он снова появляется, продолжается уже около 2х месяцев.
       
      Сообщение от модератора thyrex Перенесено из https://forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/  
    • От Fadei
      Не могу удалить майнер 
      first_log.txt
    • От NAVARO
      Привет Ребята!
       
      У меня тоже появился VmWare - который запускается в месте с Windows - Нагружает Процессор - Повышает Обороты кулеров и т.д
      Удаляю Папку VmWare из ProgramData  - после перезагрузки он снова появляется и запускается..

      Сканировал - разными антивирусами нечего не помогло (wind defender / drweb / avz / mylwarebyte )
       
      Отклюаю Кабель Интернета - Все утихает 

      Снимаю Задачу в Диспетчере - Все утихает
       
      С Нетерпеньем Жду Ваших Указаний :)
       
    • От Nerff
      Добрый день.
      На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:
        C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ C:\Users\admin\Start Menu\Programs\Startup\ C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

      в каждой из этих папок образуется файл vid001.exe
      kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
      В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.
    • От BlitGaming
      Короче. Живу, живу, и вдруг у меня ноутбук начинает ОЧЕНЬ сильно греться. Думаю термопаста высохла. Потом открываю speedfan. (Прога я ей пользуюсь) и вижу нагрузку процессора 100%.
      Захожу в ParkControl вижу все 8 потоков заняты под 100%. И тут я понимаю что что-то здесь не чисто. Открываю диспетчер задач и на секунду вижу имя процесса Dll... и нагрузку 100%. Потом через 2 секунды в SpeedFan я вижу нагрузку 1-2 %. Гуглю название. И вижу! DllHosteX.exe - Вирус майнер! Вообщем нужна помощь по удалению. Если понадобятся логи UVS то могу предоставить. (Эти программы я уже скачал.)

      P.S После этого перестал появляться процесс DllHosteX.exe. Начали появляться процессы со странными названиями примерно 2-3. Типа HskwkLmckqskd в папке Temp. Они также нагружают процессор. Пробовал удалить. Пишет: Отказано в доступе.

×
×
  • Создать...