Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Вредонос появляется сразу же после загрузки компьютера. Касперский его сразу же убивает. Затем вредонос появляется почти каждую минуту.

 

Триггер задач BackupAlbionGL, *CL, *Setevik - ежедневно в 20:00

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: c:\windows\temp\sqlmanagement\assm.exe
Folder: c:\windows\temp\sqlmanagement
Folder: C:\Users\TEMP
Folder: C:\tmp
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Agent Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Host Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service"
File: C:\Windows\system32\runexehelper.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

2) Я установил SQL Server Express Edition на тестовой платформе и не нашел следующих пользователей (по умолчанию):

Quote

Mssqla    SQL_LOGIN    0    2020-02-25 23:41:28.363    2020-11-22 11:39:55.017
v    SQL_LOGIN    0    2020-10-17 15:50:48.870    2020-10-17 15:50:48.883
dbhelp    SQL_LOGIN    0    2020-09-04 09:42:25.767    2020-10-11 10:17:04.560
SQLEXPRESS    SQL_LOGIN    0    2020-07-23 22:12:04.560    2020-07-23 22:12:04.727


Если они вам незнакомы, то отключите их временно (не удаляйте, пока не убедитесь что они не вредоносные) Status-> Login -> Disable . Важно: перед отключением убедиться, чтобы хотя бы одна учетная запись активная имела права администратора.
Закройте временно доступ к SQL серверу из интернета, смените все легкие пароли на более сложные.

Quote


FirewallRules: [{D28CCD45-04CA-4E47-A266-DE4AB83B9EB6}] => (Allow) LPort=1433



3) Уточните пожалуйста, если на указанном ПК имеется FTP сервер? Так как имеется информация, что он еще использует его в качестве взлома тоже.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Подозрительные учетные записи MSSQL я отключил.

Скрипт FRST выполнил, лог во вложении. После перезагрузки вредонос продолжает появляться.

Компьютер был недавно спрятан внутрь VPN.

FTP-сервера на компьютере нет.

Fixlog.txt

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,


Уточните пожалуйста, если временно отключить все службы связанные с SQL Server (Startup type: Disable), чтобы после перезагрузки они были выключенными также.
Важно запишите текущее состояние запуска указанных служб, чтобы можно было вернуть обратно после теста (Automatic, Manual, etc).

Далее заархивировать копии куда-нибудь и далее удалить каталог:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement

 

Убедиться, что учетная запись Default выключена.

 

После этих манипуляции, если перезагрузиться майнер возвращается?

Ссылка на комментарий
Поделиться на другие сайты

Проверил:

Если остановить SQL2014 и перевести службу в ручной запуск, то после перезагрузки майнер не возвращается. Через 25 минут я запустил SQL2014, и assm.exe сразу же создался.

Затем я выключил SQL2014, assm.exe продолжил создаваться.

Сейчас попробую все службы и забекапить и удалить SqlManagment.

Ссылка на комментарий
Поделиться на другие сайты

Я бы хотел убедиться, что нет вредоносных файлов в каталогах запуска SQL (например файла:SqlServer.dll ) выполните пожалуйста следующий фикс.

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL?
(например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?
Ссылка на комментарий
Поделиться на другие сайты

Запустил скрипт. Логи во вложении.

Тормознул все службы SQL, запретил запуск. Перезагрузился - вредоноса не видно.

Удалил все файлы в папке SqlManagement, папку оставил.

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

 

Бегло проглядел все базы. Таблиц с именем mbrminer или какой еще miner я не заметил.

Fixlog.txt

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, SQ сказал:

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL? (например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

Еще вот это не заметили.

Ссылка на комментарий
Поделиться на другие сайты

Могли бы пожалуйста посмотреть если в следующей папке имеются какие-то файлы?
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\JOBS

 

Могли бы просмотреть следующие логи или приложить в следующем сообщение для анализа предварительно заархивировав:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\ERRORLOG
C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\FDLAUNCHERRORLOG

Хотелось понять если в них видны аномалии.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо, к сожалению ничего не увидел в них интересного.

Давайте посмотрим на параметры запуска всех служб SQL Server, может в них что-то есть.
 

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLFDLauncher$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReportServer$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014" /s
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Ссылка на комментарий
Поделиться на другие сайты

https://www.hybrid-analysis.com/sample/3e0f474785b4e9320bb7c52863c05b0d940bbaa19e643e4e3891048e7965853f/5a3cc7627ca3e15b12139bc3

В секции File Imports перечислены библиотеки, которые использует файл SQLAGENT.EXE.

Упакуйте в архив все указанные dll и пришлите.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • DrRybkin
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • seiqwi0o
      Автор seiqwi0o
      Здравствуйте! Скачал зип архив для установки лаунчера игры, неоднократно запускал Setup.exe от имени администратора, ничего не происходило, затем пришло уведомление от антивируса.
      Через пару дней была попытка увести телеграмм (активная сессия с моего декстопа, но из другой страны и с другим названием устройства/пользователя). Запаниковал, удалил браузеры кроме еджа, не знаю зря ли.
      Вирус, обнаруженный дефендером при установке:

      В результате первого сканирования KVRT был обнаружен и вылечен: 
      После второго сканирования:

      Все удалось удалить, после перезагрузки ПК никаких обнаружений.
      Скажите, пожалуйста, компьютер до сих пор уязвим, нужно предпринять еще какие-то меры?
      CollectionLog-2025.08.02-01.22.zip
×
×
  • Создать...