Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Здравствуйте.

Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.

Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек

Помогите пожалуйста.

 

 

Изменено пользователем VEE
забыл написать чего хочу
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe');
 QuarantineFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','');
 DeleteFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него?

Могли бы пожалуйста просмотреть задачи на SQL сервере и прислать нам экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017).

 

Спасибо.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

в SQL сервере крутится три базы какого-то самописного сетевого софта. Пароли не менял.

 

Я не смог посмотреть задачи на SQL-сервере.

Зашел в SQL Management от учетки локального админа компьютера. Но нигде не увидел SQL Server Agent

Ссылка на комментарий
Поделиться на другие сайты

1) У вас есть, что-то похожее?

Spoiler

FUNGu.jpg

 

или

 

Spoiler

67705iF0C03D57601BDDEE



2)Уточните пожалуйста, а вы можете на время отключить базы-данных, и убедиться в том, что не он является виновником?

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Да, отключить базы я смогу. В ближайшее нерабочее время это сделаю. Надо остановить сервисы SQL или как-то отключить отдельные базы в работающем SQL?

 

 

Ссылка на комментарий
Поделиться на другие сайты

13 hours ago, VEE said:

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Странно, могли бы проверить пожалуйста если не присутствуют какие-то подозрительные учетные записи на SQL Server или в Windows?
Проверьте ваша базу по умолчанию, если в ней присутствуют какие-то левые таблицы?

Важно перед любыми манипуляциями с базой-данных сделать резервную копию и хранить их в разных источниках (облака, сетевой диск и т.п.)
 

Необходимо будет отключить сервисы через консоль SQL Server, чтобы база-данных отключилась корректно.

Перед выключением баз-данных скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Похожий на ваш случай - SQL Server, MrbMiner the new malware that infects SQL Server!

Проверьте пожалуйста, если в учетных записях имеется имя пользователя:
 

The backdoor account has the username "Default" and a password of "@ fg125kjnhn987".

Если он присутствует, вам необходимо его как минимум отключить, так как это может способствовать проникновению в вашу инфраструктуру.

Попробуйте также выполнить описанный в статье T-SQL:
 

SELECT

      [name],

      [type_desc],

      is_disabled,

      create_date,

      modify_date

FROM sys.server_principals

ORDER BY modify_date desc

и проверить роль пользователя.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

Да, появление новых assm.exe совпадает с работой службы SQL server. Работает sql - появляются файлы.

Да, пользоватьель Windows с именем default в группе Администраторов присутствует в системе. Я его отключил.

Отчеты FRST во вложении.

SQL запрос о пользователях SQL сделал, но там я пользователя default не увидел. Отдельно default в сервере SQL не создавался. Зато там присутствуют свежемодифицированные пользователи "Mssqla", "sa", "dbhelp" с ролями sysadmin и несколько учеток, похожих на пользовательские с ролями public, одна из них тоже sysadmin.

Остальные учетки не менялись дольше, чем предположительно произошло заражение (июль-август 2020). Отчет во вложении

 

Кроме этого, я обратил внимание на присутствие большого количество виндовых служб с разными названиями, оканчивающихся на "3c37c", например:

"CDPUserSvc_3c37c" - C:\Windows\system32\svchost.exe -k UnistackSvcGroup

И все эти службы - это svchost.exe с каким-то значением ключа -k

frst.rar SQL_logins.txt

Ссылка на комментарий
Поделиться на другие сайты

Слишком подозрительное следующее обновление Windows в каталоге SQL Server:

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe


пожалуйста самостоятельно ничего не удаляйте.


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Users\Serv\AppData\Roaming\IsolatedStorage
File: C:\Windows\system32\IHDS.dll
File: C:\Windows\system32\sysmain.dll
File: C:\Windows\SysWOW64\TextInputMethodFormatter.dll
File: C:\Windows\system32\TextInputMethodFormatter.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
Zip: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Frol3310
      От Frol3310
      Нужна помощь в удалении вируса. Появился после установки файла discord fixотчет.txt
       
      отчет.txt
      Addition.txt FRST.txt
×
×
  • Создать...