Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Вредонос появляется сразу же после загрузки компьютера. Касперский его сразу же убивает. Затем вредонос появляется почти каждую минуту.

 

Триггер задач BackupAlbionGL, *CL, *Setevik - ежедневно в 20:00

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images


1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement\assm.exe
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement
File: c:\windows\temp\sqlmanagement\assm.exe
Folder: c:\windows\temp\sqlmanagement
Folder: C:\Users\TEMP
Folder: C:\tmp
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Agent Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Host Service"
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update Service"
File: C:\Windows\system32\runexehelper.exe
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: возможно будет выполнена перезагрузка компьютера.

2) Я установил SQL Server Express Edition на тестовой платформе и не нашел следующих пользователей (по умолчанию):

Quote

Mssqla    SQL_LOGIN    0    2020-02-25 23:41:28.363    2020-11-22 11:39:55.017
v    SQL_LOGIN    0    2020-10-17 15:50:48.870    2020-10-17 15:50:48.883
dbhelp    SQL_LOGIN    0    2020-09-04 09:42:25.767    2020-10-11 10:17:04.560
SQLEXPRESS    SQL_LOGIN    0    2020-07-23 22:12:04.560    2020-07-23 22:12:04.727


Если они вам незнакомы, то отключите их временно (не удаляйте, пока не убедитесь что они не вредоносные) Status-> Login -> Disable . Важно: перед отключением убедиться, чтобы хотя бы одна учетная запись активная имела права администратора.
Закройте временно доступ к SQL серверу из интернета, смените все легкие пароли на более сложные.

Quote


FirewallRules: [{D28CCD45-04CA-4E47-A266-DE4AB83B9EB6}] => (Allow) LPort=1433



3) Уточните пожалуйста, если на указанном ПК имеется FTP сервер? Так как имеется информация, что он еще использует его в качестве взлома тоже.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Подозрительные учетные записи MSSQL я отключил.

Скрипт FRST выполнил, лог во вложении. После перезагрузки вредонос продолжает появляться.

Компьютер был недавно спрятан внутрь VPN.

FTP-сервера на компьютере нет.

Fixlog.txt

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,


Уточните пожалуйста, если временно отключить все службы связанные с SQL Server (Startup type: Disable), чтобы после перезагрузки они были выключенными также.
Важно запишите текущее состояние запуска указанных служб, чтобы можно было вернуть обратно после теста (Automatic, Manual, etc).

Далее заархивировать копии куда-нибудь и далее удалить каталог:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA\SqlManagement

 

Убедиться, что учетная запись Default выключена.

 

После этих манипуляции, если перезагрузиться майнер возвращается?

Ссылка на сообщение
Поделиться на другие сайты

Проверил:

Если остановить SQL2014 и перевести службу в ручной запуск, то после перезагрузки майнер не возвращается. Через 25 минут я запустил SQL2014, и assm.exe сразу же создался.

Затем я выключил SQL2014, assm.exe продолжил создаваться.

Сейчас попробую все службы и забекапить и удалить SqlManagment.

Ссылка на сообщение
Поделиться на другие сайты

Я бы хотел убедиться, что нет вредоносных файлов в каталогах запуска SQL (например файла:SqlServer.dll ) выполните пожалуйста следующий фикс.

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Binn
Folder: C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\DATA
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL?
(например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?
Ссылка на сообщение
Поделиться на другие сайты

Запустил скрипт. Логи во вложении.

Тормознул все службы SQL, запретил запуск. Перезагрузился - вредоноса не видно.

Удалил все файлы в папке SqlManagement, папку оставил.

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

 

Бегло проглядел все базы. Таблиц с именем mbrminer или какой еще miner я не заметил.

Fixlog.txt

Изменено пользователем VEE
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, SQ сказал:

Уточните пожалуйста вы не замечали подозрительных таблиц или баз-данных на вашем сервере SQL? (например с именем MrbMiner, в системной базе-данных master или в базе-данных указанных по умолчанию)?

Еще вот это не заметили.

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста посмотреть если в следующей папке имеются какие-то файлы?
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\JOBS

 

Могли бы просмотреть следующие логи или приложить в следующем сообщение для анализа предварительно заархивировав:
 

C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\ERRORLOG
C:\Program Files\Microsoft SQL Server\MSSQL12.SQL2014\MSSQL\Log\FDLAUNCHERRORLOG

Хотелось понять если в них видны аномалии.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, к сожалению ничего не увидел в них интересного.

Давайте посмотрим на параметры запуска всех служб SQL Server, может в них что-то есть.
 

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLFDLauncher$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ReportServer$SQL2014" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQL2014" /s
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Ссылка на сообщение
Поделиться на другие сайты

https://www.hybrid-analysis.com/sample/3e0f474785b4e9320bb7c52863c05b0d940bbaa19e643e4e3891048e7965853f/5a3cc7627ca3e15b12139bc3

В секции File Imports перечислены библиотеки, которые использует файл SQLAGENT.EXE.

Упакуйте в архив все указанные dll и пришлите.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От минеевиван
      HEUR. trojan.win64.Miner.gen при каждом запуске компьютера
    • От OpsAce
      Здравствуйте.
      Появилась проблема, каждую минуту KIS выдаёт сообщение “Обнаружен вредоносный объект” и “Результат проверки объекта передан сторонней программе”. Как это исправить и остановить не понимаю, при проверки файла, на который ругается KIS говорит, что вирусов не найдено, но при этом оповещения не перестают приходить.
      Отчет и скриншот прикрепляю. ОС Win 10

      CollectionLog-2021.05.30-15.19.zip 1.txt
    • От Tarnn
      Доброго времени суток, уважаемые форумчане!
      Сразу к делу:
      На ПК периодически появляется один и тот же майнер (в исходных ему директориях). Программа KVRT отважно его удаляет, но ни пройдет и нескольких дней, как он (вирус) снова восстаёт из пепла.
      (Предыстория темы) В попытках установить антивирус Касперского столкнулся с одной важной проблемой - установщик вообще не запускался. Полазив по форуму, нашел и выполнил код в FRST на сброс директорий, и, вуаля, установщик Kasp запустился, но дальше скачивания не прошёл.

      Скриншот проблемы + лог с AutoLogger + лог с FRST  прикрепляю к теме. (Установка проводилась, само собой, от имени администратора)

      CollectionLog-2021.05.11-09.55.zip FarbarLog.rar
    • От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог
      CollectionLog-2021.02.12-18.55.zip
    • От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки перезагружал и нечего без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл 
       

×
×
  • Создать...