Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Загрузитесь в безопасном режиме, заархивируйте 

Цитата

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

с паролем virus1234, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотреть

Posted Images

Я постараюсь это сделать завтра. сервер далеко, у меня только удаленный доступ.

Скажите, а архив из первого сообщения темы вам не  подойдет?

Ссылка на сообщение
Поделиться на другие сайты

Подойдет. Я забыл про него.

 

Файлы syswin.dll, SystemManagement.exe, config.json есть на компьютере?

Предположительно в папках c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement или c:\windows\system32.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этих файлов в системе не обнаружено.

Зато они и некоторые другие присутствуют в отчете антивируса за август. Архив во вложении. Пароль "1" без кавычек

 

 

Kaspersky report2.rar

Ссылка на сообщение
Поделиться на другие сайты

В августе файл assm.exe имел другой размер. И его внутреннее имя было WindowsSecurityService.exe. Теперь Windows Update Service.exe.

syswin.dll тогда назывался просто sys.dll. На деле эти библиотеки - обычные zip-архивы, из которых извлекаются компоненты майнера.

 

Нужно попробовать в безопасном режиме вручную удалить

Цитата

 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcruntime140.dllhuynia

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\WinRing0x64.sys

 

И проверить, появятся ли они при дальнейшей загрузке в обычном режиме после старта MSSQL.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Здраыствуйте,

1) Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.


2) Могли бы уточнить если у Вас есть возможность отключить на 1 сутки базу-данных чтобы убедиться, что в он является виновником восстановления вредоносного ПО?

Ссылка на сообщение
Поделиться на другие сайты

Файл BackupSetevikVecher.bat:

sqlcmd -S <имясервера>\SQL2014 -U <юзер админ> -P <пароль> -i "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\ExecBackup\<имя для бекапа>.sql"

и аналогично в других файлах задач.

 

файл Copy_DB_Files

copy "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Backup\*.*" D:\<куда класть>\

Ссылка на сообщение
Поделиться на другие сайты

1) Если у Вас роутер Mikrotik, пожалуйста проверите все настройки на нем, убедитесь, чтобы он не был взломан.

 

2) Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\SERV\APPDATA\LOCAL\TEMP\CHROME_BITS_10236_1636700410\TW2NZDLTL8EJHL2RELUCMQ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Обратите внимание, что ПК перегрузиться.


3)Проверьте пожалуйста следующее приложение на virustotal.com:
 

C:\PROGRAM FILES\SETEVIK\SETEVIK.EXE

 

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполнил, микротика проверил. Вирус восстанавливается

Setevik.exe - на virustotal чист.

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста восстановление вредоносного ПО совпадает с запуском следующих задач?
 

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONCLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONGLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPSETEVIKVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\COPY_DB_FILES.BAT

P.S. Особенно обратите внимание на это BACKUPALBIONCLVECHER.BAT.

Важно: Пожалуйста самостоятельно ничего не удаляйте.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Karibke
      От Karibke
      Здравствуйте, поймал майнер. При попытке открыть расположение процесса закрывает проводник, диспетчер и браузер; некоторые страницы в браузере либо не открываются, либо вообще закрывает браузер. 
      Логи сняты в безопасном режиме. 
      Заранее спасибо за отклик. 
      CollectionLog-2022.08.29-03.48.zip
    • Arxangelskiy
      От Arxangelskiy
      Доброго времени суток! Уже бесчисленное кол-во я продолжаю в ручную закрывать майнер на своём ПК через диспетчер задач (Кнопкой завершить процесс), после захожу в папку майнера (Открыть путь файла или что-то такое - так же в диспетчере задач) и удаляю папку с этим вирусом. НО! Каждый раз, как включаю ПК, эта зараза вновь появляется по тому же пути в файловой системе и продолжает греть видеокарту. Как можно избавиться от этого?
      Ни один антивирус не видит майнер.
      Название процесса: Nvidia GPU Miner 
      Фото процесса: прилагаю
      Система: Windows 10

    • tezeract
      От tezeract
      Доброго времени суток! 
      недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 
      пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером
      я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 
    • Danchik
      От Danchik
      Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt

×
×
  • Создать...