Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Здравствуйте.

Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.

Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек

Помогите пожалуйста.

 

 

Изменено пользователем VEE
забыл написать чего хочу
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотреть

Posted Images

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe');
 QuarantineFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','');
 DeleteFile('c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement\assm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузил.

Файл сохранён как 201202_091012_quarantine_5fc759f42c168.zip
Размер файла 453
MD5 e7c80cd0f36fb5450b5e3c84502642ee

Автологи во вложении:

 

CollectionLog-2020.12.02-12.18.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него?

Могли бы пожалуйста просмотреть задачи на SQL сервере и прислать нам экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017).

 

Спасибо.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

в SQL сервере крутится три базы какого-то самописного сетевого софта. Пароли не менял.

 

Я не смог посмотреть задачи на SQL-сервере.

Зашел в SQL Management от учетки локального админа компьютера. Но нигде не увидел SQL Server Agent

Ссылка на сообщение
Поделиться на другие сайты

1) У вас есть, что-то похожее?

Spoiler

FUNGu.jpg

 

или

 

Spoiler

67705iF0C03D57601BDDEE



2)Уточните пожалуйста, а вы можете на время отключить базы-данных, и убедиться в том, что не он является виновником?

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Да, отключить базы я смогу. В ближайшее нерабочее время это сделаю. Надо остановить сервисы SQL или как-то отключить отдельные базы в работающем SQL?

 

 

Ссылка на сообщение
Поделиться на другие сайты
13 hours ago, VEE said:

Да, именно так выглядит мой SQL Manager, кроме SQL Server Agent - такого пункта у меня нет.

 

Странно, могли бы проверить пожалуйста если не присутствуют какие-то подозрительные учетные записи на SQL Server или в Windows?
Проверьте ваша базу по умолчанию, если в ней присутствуют какие-то левые таблицы?

Важно перед любыми манипуляциями с базой-данных сделать резервную копию и хранить их в разных источниках (облака, сетевой диск и т.п.)
 

Необходимо будет отключить сервисы через консоль SQL Server, чтобы база-данных отключилась корректно.

Перед выключением баз-данных скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Похожий на ваш случай - SQL Server, MrbMiner the new malware that infects SQL Server!

Проверьте пожалуйста, если в учетных записях имеется имя пользователя:
 

The backdoor account has the username "Default" and a password of "@ fg125kjnhn987".

Если он присутствует, вам необходимо его как минимум отключить, так как это может способствовать проникновению в вашу инфраструктуру.

Попробуйте также выполнить описанный в статье T-SQL:
 

SELECT

      [name],

      [type_desc],

      is_disabled,

      create_date,

      modify_date

FROM sys.server_principals

ORDER BY modify_date desc

и проверить роль пользователя.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

Да, появление новых assm.exe совпадает с работой службы SQL server. Работает sql - появляются файлы.

Да, пользоватьель Windows с именем default в группе Администраторов присутствует в системе. Я его отключил.

Отчеты FRST во вложении.

SQL запрос о пользователях SQL сделал, но там я пользователя default не увидел. Отдельно default в сервере SQL не создавался. Зато там присутствуют свежемодифицированные пользователи "Mssqla", "sa", "dbhelp" с ролями sysadmin и несколько учеток, похожих на пользовательские с ролями public, одна из них тоже sysadmin.

Остальные учетки не менялись дольше, чем предположительно произошло заражение (июль-август 2020). Отчет во вложении

 

Кроме этого, я обратил внимание на присутствие большого количество виндовых служб с разными названиями, оканчивающихся на "3c37c", например:

"CDPUserSvc_3c37c" - C:\Windows\system32\svchost.exe -k UnistackSvcGroup

И все эти службы - это svchost.exe с каким-то значением ключа -k

frst.rar SQL_logins.txt

Ссылка на сообщение
Поделиться на другие сайты

Слишком подозрительное следующее обновление Windows в каталоге SQL Server:

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe


пожалуйста самостоятельно ничего не удаляйте.


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Users\Serv\AppData\Roaming\IsolatedStorage
File: C:\Windows\system32\IHDS.dll
File: C:\Windows\system32\sysmain.dll
File: C:\Windows\SysWOW64\TextInputMethodFormatter.dll
File: C:\Windows\system32\TextInputMethodFormatter.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
Zip: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn\sqlservr.exe;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcpruntime140.dll;C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\Windows Update Service.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Karibke
      От Karibke
      Здравствуйте, поймал майнер. При попытке открыть расположение процесса закрывает проводник, диспетчер и браузер; некоторые страницы в браузере либо не открываются, либо вообще закрывает браузер. 
      Логи сняты в безопасном режиме. 
      Заранее спасибо за отклик. 
      CollectionLog-2022.08.29-03.48.zip
    • Arxangelskiy
      От Arxangelskiy
      Доброго времени суток! Уже бесчисленное кол-во я продолжаю в ручную закрывать майнер на своём ПК через диспетчер задач (Кнопкой завершить процесс), после захожу в папку майнера (Открыть путь файла или что-то такое - так же в диспетчере задач) и удаляю папку с этим вирусом. НО! Каждый раз, как включаю ПК, эта зараза вновь появляется по тому же пути в файловой системе и продолжает греть видеокарту. Как можно избавиться от этого?
      Ни один антивирус не видит майнер.
      Название процесса: Nvidia GPU Miner 
      Фото процесса: прилагаю
      Система: Windows 10

    • tezeract
      От tezeract
      Доброго времени суток! 
      недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 
      пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером
      я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 
    • Danchik
      От Danchik
      Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt

×
×
  • Создать...