Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Загрузитесь в безопасном режиме, заархивируйте 

Цитата

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

с паролем virus1234, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

Я постараюсь это сделать завтра. сервер далеко, у меня только удаленный доступ.

Скажите, а архив из первого сообщения темы вам не  подойдет?

Ссылка на сообщение
Поделиться на другие сайты

Подойдет. Я забыл про него.

 

Файлы syswin.dll, SystemManagement.exe, config.json есть на компьютере?

Предположительно в папках c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement или c:\windows\system32.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этих файлов в системе не обнаружено.

Зато они и некоторые другие присутствуют в отчете антивируса за август. Архив во вложении. Пароль "1" без кавычек

 

 

Kaspersky report2.rar

Ссылка на сообщение
Поделиться на другие сайты

В августе файл assm.exe имел другой размер. И его внутреннее имя было WindowsSecurityService.exe. Теперь Windows Update Service.exe.

syswin.dll тогда назывался просто sys.dll. На деле эти библиотеки - обычные zip-архивы, из которых извлекаются компоненты майнера.

 

Нужно попробовать в безопасном режиме вручную удалить

Цитата

 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcruntime140.dllhuynia

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\WinRing0x64.sys

 

И проверить, появятся ли они при дальнейшей загрузке в обычном режиме после старта MSSQL.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здраыствуйте,

1) Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.


2) Могли бы уточнить если у Вас есть возможность отключить на 1 сутки базу-данных чтобы убедиться, что в он является виновником восстановления вредоносного ПО?

Ссылка на сообщение
Поделиться на другие сайты

Файл BackupSetevikVecher.bat:

sqlcmd -S <имясервера>\SQL2014 -U <юзер админ> -P <пароль> -i "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\ExecBackup\<имя для бекапа>.sql"

и аналогично в других файлах задач.

 

файл Copy_DB_Files

copy "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Backup\*.*" D:\<куда класть>\

Ссылка на сообщение
Поделиться на другие сайты

1) Если у Вас роутер Mikrotik, пожалуйста проверите все настройки на нем, убедитесь, чтобы он не был взломан.

 

2) Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\SERV\APPDATA\LOCAL\TEMP\CHROME_BITS_10236_1636700410\TW2NZDLTL8EJHL2RELUCMQ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Обратите внимание, что ПК перегрузиться.


3)Проверьте пожалуйста следующее приложение на virustotal.com:
 

C:\PROGRAM FILES\SETEVIK\SETEVIK.EXE

 

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполнил, микротика проверил. Вирус восстанавливается

Setevik.exe - на virustotal чист.

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста восстановление вредоносного ПО совпадает с запуском следующих задач?
 

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONCLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONGLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPSETEVIKVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\COPY_DB_FILES.BAT

P.S. Особенно обратите внимание на это BACKUPALBIONCLVECHER.BAT.

Важно: Пожалуйста самостоятельно ничего не удаляйте.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Asterix
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • KonstantinD
      От KonstantinD
      Все привет , подскажите пожалуста в ноуте сидит майнер процесор грущит 100% . что делать ? сам справится не могу
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.

×
×
  • Создать...