Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Здравствуйте.

Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.

Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек

Помогите пожалуйста.

 

 

Изменено пользователем VEE
забыл написать чего хочу
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe');
 QuarantineFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','');
 DeleteFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузил.

Файл сохранён как 201202_091012_quarantine_5fc759f42c168.zip
Размер файла 453
MD5 e7c80cd0f36fb5450b5e3c84502642ee

Автологи во вложении:

 

CollectionLog-2020.12.02-12.18.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него?

Могли бы пожалуйста просмотреть задачи на SQL сервере и прислать нам экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017).

 

Спасибо.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

в SQL сервере крутится три базы какого-то самописного сетевого софта. Пароли не менял.

 

Я не смог посмотреть задачи на SQL-сервере.

Зашел в SQL Management от учетки локального админа компьютера. Но нигде не увидел SQL Server Agent

Ссылка на сообщение
Поделиться на другие сайты

1) У вас есть, что-то похожее?

Spoiler

FUNGu.jpg

 

или

 

Spoiler

67705iF0C03D57601BDDEE



2)Уточните пожалуйста, а вы можете на время отключить базы-данных, и убедиться в том, что не он является виновником?

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Да, отключить базы я смогу. В ближайшее нерабочее время это сделаю. Надо остановить сервисы SQL или как-то отключить отдельные базы в работающем SQL?

 

 

Ссылка на сообщение
Поделиться на другие сайты
13 hours ago, VEE said:

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Странно, могли бы проверить пожалуйста если не присутствуют какие-то подозрительные учетные записи на SQL Server или в Windows?
Проверьте ваша базу по умолчанию, если в ней присутствуют какие-то левые таблицы?

Важно перед любыми манипуляциями с базой-данных сделать резервную копию и хранить их в разных источниках (облака, сетевой диск и т.п.)
 

Необходимо будет отключить сервисы через консоль SQL Server, чтобы база-данных отключилась корректно.

Перед выключением баз-данных скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Похожий на ваш случай - SQL Server, MrbMiner the new malware that infects SQL Server!

Проверьте пожалуйста, если в учетных записях имеется имя пользователя:
 

The backdoor account has the username "Default" and a password of "@ fg125kjnhn987".

Если он присутствует, вам необходимо его как минимум отключить, так как это может способствовать проникновению в вашу инфраструктуру.

Попробуйте также выполнить описанный в статье T-SQL:
 

SELECT

      [name],

      [type_desc],

      is_disabled,

      create_date,

      modify_date

FROM sys.server_principals

ORDER BY modify_date desc

и проверить роль пользователя.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

Да, появление новых assm.exe совпадает с работой службы SQL server. Работает sql - появляются файлы.

Да, пользоватьель Windows с именем default в группе Администраторов присутствует в системе. Я его отключил.

Отчеты FRST во вложении.

SQL запрос о пользователях SQL сделал, но там я пользователя default не увидел. Отдельно default в сервере SQL не создавался. Зато там присутствуют свежемодифицированные пользователи "Mssqla", "sa", "dbhelp" с ролями sysadmin и несколько учеток, похожих на пользовательские с ролями public, одна из них тоже sysadmin.

Остальные учетки не менялись дольше, чем предположительно произошло заражение (июль-август 2020). Отчет во вложении

 

Кроме этого, я обратил внимание на присутствие большого количество виндовых служб с разными названиями, оканчивающихся на "3c37c", например:

"CDPUserSvc_3c37c" - C:\Windows\system32\svchost.exe -k UnistackSvcGroup

И все эти службы - это svchost.exe с каким-то значением ключа -k

frst.rar SQL_logins.txt

Ссылка на сообщение
Поделиться на другие сайты

Слишком подозрительное следующее обновление Windows в каталоге SQL Server:

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe


пожалуйста самостоятельно ничего не удаляйте.


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Users\Serv\AppData\Roaming\IsolatedStorage
File: C:\Windows\system32\IHDS.dll
File: C:\Windows\system32\sysmain.dll
File: C:\Windows\SysWOW64\TextInputMethodFormatter.dll
File: C:\Windows\system32\TextInputMethodFormatter.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
Zip: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Sosnych
      От Sosnych
      Купил игровой ПК в DNS. В характеристиках было указано, что установленной операционной системы не будет, однако по факту оказалось, что стоит Windows 10. При простое идет нагрузка на процессор. Постоянно используется около 30% ОЗУ. Переустановка винды не помогает, при подключении в пк смартфона, заразил какой-то дрянью еще и его (поменялся интерфейс смартфона, в браузере всплывает реклама, постоянно включается блютуз). Также если раньше можно было легко выйти в Биос, то теперь почему-то долго включается монитор, и мышь с клавиатурой тоже подтупливают. Логи прилагаю (Винда "чистая" однако проблемы все также присутствуют).
      CollectionLog-2023.09.19-18.49.zip
    • Cardi
      От Cardi
      Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?
      При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется. 

    • Alysona
      От Alysona
      Каким-то образом на совершенно новом компе поймала майнер. Либо при активации винды через KMS Auto, либо вероятнее при установке драйверов (Win Defender нашел Realtek HD, который маскируется под звуковую карту?).
      Изначально самопроизвольно закрывалась папка Program Data, файл hosts, браузер при попытке захода на сайты антивирусов или с описаниями вирусов. Через безопасный режим установила Kaspersky Virus Removal Tool и через него удалила вирусы.
      После еще прогоняла DrWeb'ом и другими утилитами, тоже что-то удалили. Попробовала поставить Аваст, но он не устанавливается, выдает "ошибку 5 отказано в доступе" и Ошибка 5 ae_unknown.
      Прилагаю логи с FRST и скан с Касперского
       
       

      FRST.zip
    • 5Карина5
      От 5Карина5
      Помогите удалить троян, ничего не помогает 
    • 77777
      От 77777
      Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит
      Обнаружено: Trojan:Win64/DisguisedXMRigMiner
      Состояние: Активно
       
      Касперский и докторвеб - ничего не находят
       
       
      CollectionLog-2023.06.28-15.47.zip
      FRST.txt Addition.txt

×
×
  • Создать...