Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Вредонос появляется сразу же после загрузки компьютера. Касперский его сразу же убивает. Затем вредонос появляется почти каждую минуту.

 

Триггер задач BackupAlbionGL, *CL, *Setevik - ежедневно в 20:00

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: c:\windows\temp\sqlmanagement\assm.exe
Folder: c:\windows\temp\sqlmanagement
Folder: C:\Users\TEMP
Folder: C:\tmp
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Agent Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Host Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service"
File: C:\Windows\system32\runexehelper.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

2) Я установил SQL Server Express Edition на тестовой платформе и не нашел следующих пользователей (по умолчанию):

  Quote

Mssqla    SQL_LOGIN    0    2020-02-25 23:41:28.363    2020-11-22 11:39:55.017
v    SQL_LOGIN    0    2020-10-17 15:50:48.870    2020-10-17 15:50:48.883
dbhelp    SQL_LOGIN    0    2020-09-04 09:42:25.767    2020-10-11 10:17:04.560
SQLEXPRESS    SQL_LOGIN    0    2020-07-23 22:12:04.560    2020-07-23 22:12:04.727

Показать  


Если они вам незнакомы, то отключите их временно (не удаляйте, пока не убедитесь что они не вредоносные) Status-> Login -> Disable . Важно: перед отключением убедиться, чтобы хотя бы одна учетная запись активная имела права администратора.
Закройте временно доступ к SQL серверу из интернета, смените все легкие пароли на более сложные.

  Quote


FirewallRules: [{D28CCD45-04CA-4E47-A266-DE4AB83B9EB6}] => (Allow) LPort=1433

Показать  



3) Уточните пожалуйста, если на указанном ПК имеется FTP сервер? Так как имеется информация, что он еще использует его в качестве взлома тоже.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Подозрительные учетные записи MSSQL я отключил.

Скрипт FRST выполнил, лог во вложении. После перезагрузки вредонос продолжает появляться.

Компьютер был недавно спрятан внутрь VPN.

FTP-сервера на компьютере нет.

Fixlog.txtПолучение информации...

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,


Уточните пожалуйста, если временно отключить все службы связанные с SQL Server (Startup type: Disable), чтобы после перезагрузки они были выключенными также.
Важно запишите текущее состояние запуска указанных служб, чтобы можно было вернуть обратно после теста (Automatic, Manual, etc).

Далее заархивировать копии куда-нибудь и далее удалить каталог:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement

 

Убедиться, что учетная запись Default выключена.

 

После этих манипуляции, если перезагрузиться майнер возвращается?

Ссылка на комментарий
Поделиться на другие сайты

Проверил:

Если остановить SQL2014 и перевести службу в ручной запуск, то после перезагрузки майнер не возвращается. Через 25 минут я запустил SQL2014, и assm.exe сразу же создался.

Затем я выключил SQL2014, assm.exe продолжил создаваться.

Сейчас попробую все службы и забекапить и удалить SqlManagment.

Ссылка на комментарий
Поделиться на другие сайты

Я бы хотел убедиться, что нет вредоносных файлов в каталогах запуска SQL (например файла:SqlServer.dll ) выполните пожалуйста следующий фикс.

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL?
(например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?
Ссылка на комментарий
Поделиться на другие сайты

Запустил скрипт. Логи во вложении.

Тормознул все службы SQL, запретил запуск. Перезагрузился - вредоноса не видно.

Удалил все файлы в папке SqlManagement, папку оставил.

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

 

Бегло проглядел все базы. Таблиц с именем mbrminer или какой еще miner я не заметил.

Fixlog.txtПолучение информации...

Изменено пользователем VEE
Ссылка на комментарий
Поделиться на другие сайты

  В 06.12.2020 в 19:46, SQ сказал:

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL? (например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

Показать  

Еще вот это не заметили.

Ссылка на комментарий
Поделиться на другие сайты

Могли бы пожалуйста посмотреть если в следующей папке имеются какие-то файлы?
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\JOBS

 

Могли бы просмотреть следующие логи или приложить в следующем сообщение для анализа предварительно заархивировав:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\ERRORLOG
C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\FDLAUNCHERRORLOG

Хотелось понять если в них видны аномалии.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо, к сожалению ничего не увидел в них интересного.

Давайте посмотрим на параметры запуска всех служб SQL Server, может в них что-то есть.
 

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLFDLauncher$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReportServer$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014" /s
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Ссылка на комментарий
Поделиться на другие сайты

https://www.hybrid-analysis.com/sample/3e0f474785b4e9320bb7c52863c05b0d940bbaa19e643e4e3891048e7965853f/5a3cc7627ca3e15b12139bc3

В секции File Imports перечислены библиотеки, которые использует файл SQLAGENT.EXE.

Упакуйте в архив все указанные dll и пришлите.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Alexandr_XML
      Автор Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Poiluyf
      Автор Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • kudyukovn
      Автор kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • sova.prod123
      Автор sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • Александр Лаптев
      Автор Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...