[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

[thyrex]

Загрузитесь в безопасном режиме, заархивируйте 

Цитата

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

с паролем virus1234, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

[VEE]

Я постараюсь это сделать завтра. сервер далеко, у меня только удаленный доступ.

Скажите, а архив из первого сообщения темы вам не  подойдет?

[thyrex]

Подойдет. Я забыл про него.

 

Файлы syswin.dll, SystemManagement.exe, config.json есть на компьютере?

Предположительно в папках c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement или c:\windows\system32.

[VEE]

Этих файлов в системе не обнаружено.

Зато они и некоторые другие присутствуют в отчете антивируса за август. Архив во вложении. Пароль "1" без кавычек

 

 

Kaspersky report2.rar

[thyrex]

В августе файл assm.exe имел другой размер. И его внутреннее имя было WindowsSecurityService.exe. Теперь Windows Update Service.exe.

syswin.dll тогда назывался просто sys.dll. На деле эти библиотеки - обычные zip-архивы, из которых извлекаются компоненты майнера.

 

Нужно попробовать в безопасном режиме вручную удалить

Цитата

 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcruntime140.dllhuynia

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\WinRing0x64.sys

 

И проверить, появятся ли они при дальнейшей загрузке в обычном режиме после старта MSSQL.

[VEE]

Удалил файлы. Однако это не мешает майнеру создаваться заного

[thyrex]

Редакция SQL сервера какая (не путать с версией)?

[VEE]

Express

[SQ]

Здраыствуйте,

1) Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.


2) Могли бы уточнить если у Вас есть возможность отключить на 1 сутки базу-данных чтобы убедиться, что в он является виновником восстановления вредоносного ПО?

[VEE]

Да, возможность отключить базу есть завтра.

Логи uvs во вложении

uvs_2020-12-05_23-19-17_v4.11.3.7z

[thyrex]

Еще просьба: содержимое файлов BackupAlbionGLVecher.BAT, Copy_DB_Files.BAT,  BackupSetevikVecher.BAT процитировать можете?

[VEE]

Файл BackupSetevikVecher.bat:

sqlcmd -S <имясервера>\SQL2014 -U <юзер админ> -P <пароль> -i "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\ExecBackup\<имя для бекапа>.sql"

и аналогично в других файлах задач.

 

файл Copy_DB_Files

copy "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Backup\*.*" D:\<куда класть>\

[SQ]

1) Если у Вас роутер Mikrotik, пожалуйста проверите все настройки на нем, убедитесь, чтобы он не был взломан.

 

2) Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\SERV\APPDATA\LOCAL\TEMP\CHROME_BITS_10236_1636700410\TW2NZDLTL8EJHL2RELUCMQ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Обратите внимание, что ПК перегрузиться.


3)Проверьте пожалуйста следующее приложение на virustotal.com:
 

C:\PROGRAM FILES\SETEVIK\SETEVIK.EXE

 

[VEE]

Скрипт выполнил, микротика проверил. Вирус восстанавливается

Setevik.exe - на virustotal чист.

Изменено 5 декабря, 2020 пользователем VEE

[SQ]

Уточните пожалуйста восстановление вредоносного ПО совпадает с запуском следующих задач?
 

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONCLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONGLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPSETEVIKVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\COPY_DB_FILES.BAT

P.S. Особенно обратите внимание на это BACKUPALBIONCLVECHER.BAT.

Важно: Пожалуйста самостоятельно ничего не удаляйте.