Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

VEE

Автор VEE,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

thyrex

thyrex 1 418

Опубликовано
Опубликовано

Загрузитесь в безопасном режиме, заархивируйте 

Цитата

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

с паролем virus1234, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

VEE

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

VEE

Кинул в ЛС.

SQ

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

VEE

VEE 5

Опубликовано
  • Автор
Опубликовано

Я постараюсь это сделать завтра. сервер далеко, у меня только удаленный доступ.

Скажите, а архив из первого сообщения темы вам не  подойдет?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

Подойдет. Я забыл про него.

 

Файлы syswin.dll, SystemManagement.exe, config.json есть на компьютере?

Предположительно в папках c:\program files\microsoft sql server\mssql12.sql2014\mssql\data\sqlmanagement или c:\windows\system32.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
VEE

VEE 5

Опубликовано
  • Автор
Опубликовано

Этих файлов в системе не обнаружено.

Зато они и некоторые другие присутствуют в отчете антивируса за август. Архив во вложении. Пароль "1" без кавычек

 

 

Kaspersky report2.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

В августе файл assm.exe имел другой размер. И его внутреннее имя было WindowsSecurityService.exe. Теперь Windows Update Service.exe.

syswin.dll тогда назывался просто sys.dll. На деле эти библиотеки - обычные zip-архивы, из которых извлекаются компоненты майнера.

 

Нужно попробовать в безопасном режиме вручную удалить

Цитата

 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\vcruntime140.dllhuynia

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\WinRing0x64.sys

 

И проверить, появятся ли они при дальнейшей загрузке в обычном режиме после старта MSSQL.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Здраыствуйте,

1) Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.


2) Могли бы уточнить если у Вас есть возможность отключить на 1 сутки базу-данных чтобы убедиться, что в он является виновником восстановления вредоносного ПО?

Ссылка на сообщение
Поделиться на другие сайты
VEE

VEE 5

Опубликовано
  • Автор
Опубликовано

Файл BackupSetevikVecher.bat:

sqlcmd -S <имясервера>\SQL2014 -U <юзер админ> -P <пароль> -i "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\ExecBackup\<имя для бекапа>.sql"

и аналогично в других файлах задач.

 

файл Copy_DB_Files

copy "C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Backup\*.*" D:\<куда класть>\

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

1) Если у Вас роутер Mikrotik, пожалуйста проверите все настройки на нем, убедитесь, чтобы он не был взломан.

 

2) Выполните скрипт в uVS: 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\SERV\APPDATA\LOCAL\TEMP\CHROME_BITS_10236_1636700410\TW2NZDLTL8EJHL2RELUCMQ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
;-------------------------------------------------------------
restart

Обратите внимание, что ПК перегрузиться.


3)Проверьте пожалуйста следующее приложение на virustotal.com:
  

C:\PROGRAM FILES\SETEVIK\SETEVIK.EXE

 

Ссылка на сообщение
Поделиться на другие сайты
VEE

VEE 5

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил, микротика проверил. Вирус восстанавливается

Setevik.exe - на virustotal чист.

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Уточните пожалуйста восстановление вредоносного ПО совпадает с запуском следующих задач?
  

C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONCLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPALBIONGLVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\BACKUPSETEVIKVECHER.BAT
C:\PROGRAM FILES\MICROSOFT SQL SERVER\MSSQL12.SQL2014\MSSQL\EXECBACKUP\COPY_DB_FILES.BAT

P.S. Особенно обратите внимание на это BACKUPALBIONCLVECHER.BAT.

Важно: Пожалуйста самостоятельно ничего не удаляйте.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • kudyukovn
      [РЕШЕНО] Вирус / Майнер
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • esc.tech
      Вопрос для улучшения безопасности от зашифрованных вирусов (FUD fully undetectable)
      От esc.tech
      Здравствуйте, я бы хотел у вас спросить, когда вы добавите в свой антивирус дополнительное сканирование файлов? Так как в последнее время люди уже начинают шифровать вирусы что делает его незамеченным и ваш антивирус не замечает его. 

    • Specture
      вирус updater.exe
      От Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

    • Grotri
      [РЕШЕНО] Поймал майнер, после удаления файл создается снова
      От Grotri
      Поймал на свой компьютер вирус майнер который сидит вот тут C:/Program Files/Google/Chrome/updater.exe, после удаления файла запускается cmd.exe и создает файл заново (обнаружил с помощью Process Explorer)
      Помогите избавиться от него пожалуйста, прогонял скан системы через Farbar Recovery Scan Tool и, кажется, там есть за что зацепиться, но fixlist своими руками делать страшновато из-за незнания как делать корректно. Прикрепил логи оттуда сюда 
      Addition.txt FRST.txt
×
×
  • Создать...