Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

VEE

Автор VEE
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

VEE

VEE

Опубликовано
  • Автор
Опубликовано (изменено)

Вредонос появляется сразу же после загрузки компьютера. Касперский его сразу же убивает. Затем вредонос появляется почти каждую минуту.

 

Триггер задач BackupAlbionGL, *CL, *Setevik - ежедневно в 20:00

Изменено пользователем VEE
  • Ответов 69
  • Создана
  • Последний ответ

Топ авторов темы

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Топ авторов темы

  • VEE

    VEE 34 постов

  • SQ

    SQ 23 постов

  • thyrex

    thyrex 13 постов

Популярные посты

VEE
VEE

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

VEE
VEE

Кинул в ЛС.

SQ
SQ

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Изображения в теме

SQ

SQ

Опубликовано
Опубликовано


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код: 

Start::
CreateRestorePoint:
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: c:\windows\temp\sqlmanagement\assm.exe
Folder: c:\windows\temp\sqlmanagement
Folder: C:\Users\TEMP
Folder: C:\tmp
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Agent Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Host Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service"
File: C:\Windows\system32\runexehelper.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

2) Я установил SQL Server Express Edition на тестовой платформе и не нашел следующих пользователей (по умолчанию):

Quote

Mssqla    SQL_LOGIN    0    2020-02-25 23:41:28.363    2020-11-22 11:39:55.017
v    SQL_LOGIN    0    2020-10-17 15:50:48.870    2020-10-17 15:50:48.883
dbhelp    SQL_LOGIN    0    2020-09-04 09:42:25.767    2020-10-11 10:17:04.560
SQLEXPRESS    SQL_LOGIN    0    2020-07-23 22:12:04.560    2020-07-23 22:12:04.727


Если они вам незнакомы, то отключите их временно (не удаляйте, пока не убедитесь что они не вредоносные) Status-> Login -> Disable . Важно: перед отключением убедиться, чтобы хотя бы одна учетная запись активная имела права администратора.
Закройте временно доступ к SQL серверу из интернета, смените все легкие пароли на более сложные.

Quote


FirewallRules: [{D28CCD45-04CA-4E47-A266-DE4AB83B9EB6}] => (Allow) LPort=1433



3) Уточните пожалуйста, если на указанном ПК имеется FTP сервер? Так как имеется информация, что он еще использует его в качестве взлома тоже.

  • Спасибо (+1) 1
VEE

VEE

Опубликовано
  • Автор
Опубликовано (изменено)

Подозрительные учетные записи MSSQL я отключил.

Скрипт FRST выполнил, лог во вложении. После перезагрузки вредонос продолжает появляться.

Компьютер был недавно спрятан внутрь VPN.

FTP-сервера на компьютере нет.

Fixlog.txt

Изменено пользователем VEE
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,


Уточните пожалуйста, если временно отключить все службы связанные с SQL Server (Startup type: Disable), чтобы после перезагрузки они были выключенными также.
Важно запишите текущее состояние запуска указанных служб, чтобы можно было вернуть обратно после теста (Automatic, Manual, etc).

Далее заархивировать копии куда-нибудь и далее удалить каталог:
  

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement

 

Убедиться, что учетная запись Default выключена.

 

После этих манипуляции, если перезагрузиться майнер возвращается?

VEE

VEE

Опубликовано
  • Автор
Опубликовано

Проверил:

Если остановить SQL2014 и перевести службу в ручной запуск, то после перезагрузки майнер не возвращается. Через 25 минут я запустил SQL2014, и assm.exe сразу же создался.

Затем я выключил SQL2014, assm.exe продолжил создаваться.

Сейчас попробую все службы и забекапить и удалить SqlManagment.

SQ

SQ

Опубликовано
Опубликовано

Я бы хотел убедиться, что нет вредоносных файлов в каталогах запуска SQL (например файла:SqlServer.dll ) выполните пожалуйста следующий фикс.

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код: 

Start::
CreateRestorePoint:
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL?
(например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?
VEE

VEE

Опубликовано
  • Автор
Опубликовано (изменено)

Запустил скрипт. Логи во вложении.

Тормознул все службы SQL, запретил запуск. Перезагрузился - вредоноса не видно.

Удалил все файлы в папке SqlManagement, папку оставил.

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

 

Бегло проглядел все базы. Таблиц с именем mbrminer или какой еще miner я не заметил.

Fixlog.txt

Изменено пользователем VEE
thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, SQ сказал:

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL? (например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

Еще вот это не заметили.

SQ

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста посмотреть если в следующей папке имеются какие-то файлы?
  

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\JOBS

 

Могли бы просмотреть следующие логи или приложить в следующем сообщение для анализа предварительно заархивировав:
  

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\ERRORLOG
C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\FDLAUNCHERRORLOG

Хотелось понять если в них видны аномалии.

SQ

SQ

Опубликовано
Опубликовано

Спасибо, к сожалению ничего не увидел в них интересного.

Давайте посмотрим на параметры запуска всех служб SQL Server, может в них что-то есть.
 

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код: 

Start::
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLFDLauncher$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReportServer$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014" /s
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

thyrex

thyrex

Опубликовано
Опубликовано

https://www.hybrid-analysis.com/sample/3e0f474785b4e9320bb7c52863c05b0d940bbaa19e643e4e3891048e7965853f/5a3cc7627ca3e15b12139bc3

В секции File Imports перечислены библиотеки, которые использует файл SQLAGENT.EXE.

Упакуйте в архив все указанные dll и пришлите.

  • Согласен 1
VEE

VEE

Опубликовано
  • Автор
Опубликовано

Какие-то конкреные копии или вообще все копии каждой библиотеки?

advapi32.PNG

thyrex

thyrex

Опубликовано
Опубликовано

Те, которые системные, - из папок system32 и syswow64 

А остальные специфические для самого SQL

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

    • Nickz1337
      [РЕШЕНО] Неизвестный вирус
      Автор Nickz1337
      Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.
      При этом вирус как я понимаю дает пользоваться портами без проблем. 
      Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?
       
      Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.
       
      Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?
       
    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
×
×
  • Создать...