Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Загрузитесь в безопасном режиме, заархивируйте 

Цитата

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

с паролем virus1234, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Я постараюсь это сделать завтра. сервер далеко, у меня только удаленный доступ.

Скажите, а архив из первого сообщения темы вам не  подойдет?

Ссылка на комментарий
Поделиться на другие сайты

Подойдет. Я забыл про него.

 

Файлы syswin.dll, SystemManagement.exe, config.json есть на компьютере?

Предположительно в папках c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement или c:\windows\system32.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Этих файлов в системе не обнаружено.

Зато они и некоторые другие присутствуют в отчете антивируса за август. Архив во вложении. Пароль "1" без кавычек

 

 

Kaspersky report2.rar

Ссылка на комментарий
Поделиться на другие сайты

В августе файл assm.exe имел другой размер. И его внутреннее имя было WindowsSecurityService.exe. Теперь Windows Update Service.exe.

syswin.dll тогда назывался просто sys.dll. На деле эти библиотеки - обычные zip-архивы, из которых извлекаются компоненты майнера.

 

Нужно попробовать в безопасном режиме вручную удалить

Цитата

 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcruntime140.dllhuynia

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\WinRing0x64.sys

 

И проверить, появятся ли они при дальнейшей загрузке в обычном режиме после старта MSSQL.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Здраыствуйте,

1) Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.


2) Могли бы уточнить если у Вас есть возможность отключить на 1 сутки базу-данных чтобы убедиться, что в он является виновником восстановления вредоносного ПО?

Ссылка на комментарий
Поделиться на другие сайты

Файл BackupSetevikVecher.bat:

sqlcmd -S <имясервера>\SQL2014 -U <юзер админ> -P <пароль> -i "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\ExecBackup\<имя для бекапа>.sql"

и аналогично в других файлах задач.

 

файл Copy_DB_Files

copy "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Backup\*.*" D:\<куда класть>\

Ссылка на комментарий
Поделиться на другие сайты

1) Если у Вас роутер Mikrotik, пожалуйста проверите все настройки на нем, убедитесь, чтобы он не был взломан.

 

2) Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\SERV\APPDATA\LOCAL\TEMP\CHROME_BITS_10236_1636700410\TW2NZDLTL8EJHL2RELUCMQ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Обратите внимание, что ПК перегрузиться.


3)Проверьте пожалуйста следующее приложение на virustotal.com:
 

C:\PROGRAM FILES\SETEVIK\SETEVIK.EXE

 

Ссылка на комментарий
Поделиться на другие сайты

Скрипт выполнил, микротика проверил. Вирус восстанавливается

Setevik.exe - на virustotal чист.

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты

Уточните пожалуйста восстановление вредоносного ПО совпадает с запуском следующих задач?
 

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONCLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONGLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPSETEVIKVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\COPY_DB_FILES.BAT

P.S. Особенно обратите внимание на это BACKUPALBIONCLVECHER.BAT.

Важно: Пожалуйста самостоятельно ничего не удаляйте.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
×
×
  • Создать...