[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

[thyrex]

Если обнаружатся системные библиотеки, расположенные в папках самого SQL, их тоже пришлите с пометкой SQL

[VEE]

во вложении запрошенные библиотеки

SysWOW64.rar

 

System32.rar

 

sql.rar

 

Замечу, что эти библиотеки встречались только в папках SQL, и при том в нескольких разных папках. Все они были от 2014 года

 

[SQ]

2 hours ago, VEE said:

 

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

Уточните пожалуйста, а если разрешить только следующие службы проблема также проявляется?

MSSQL$SQL2014
MSSQLFDLauncher$SQL2014

 

[VEE]

Да, эти службы стартуют вместе. Третья SQLWriter сейчас остановлена. Если тормознуть только MSSQL$SQL2014, вредонос перестает появляется.

 

[SQ]

Могли бы пожалуйста посмотреть что твориться в Activity Monitor, может там удасться вычислить вредоносное ПО.

Spoiler

Попробуйте проанализировать запросы, если увидете какие-то не знакомые, пожалуйста сообщите о них. Просмотрите processes, Data File I/O, Recent Expensive Queries также попробуйте понаблюдать удалив вредоносный файл (assm.exe) если он появится.

P.S. На данный момент не понятно, где он спрятан, то что утилиты его не видят, больше сконяюсь к тому, что он спрятан в базе-данных, но это пока мои предположения.

[VEE]

Вот что я сумел увидет в SQL. Надеюсь, вам увиденное понятнее.

Когда вредонос появляется в проводнике, в мониторе Data File I/O на верхних строчках бывают файлы master.mdf, или mastog.ldf, или templog.ldf

 

[SQ]

Удалите если не пользуетесь ANVIR.EXE через установку программ в панели управления.

AnVir Task Manager (HKLM-x32\...\AnVir Task Manager) (Version: 9.3.3 - AnVir Software)

 

Вам следующая сетевая активность известна?
 

Spoiler

 

 

 

Давайте посмотрим, чтобы не было вредоносного ПО в директории клиента SDK.
1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Folder: C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[VEE]

Я, к сожалению, не знаком с активность SQL.

 

Проверки Client SDK сделал. лог во вложении

Fixlog.txt

[SQ]

Здравствуйте,

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?
 

Select * from [dbo].[SQLManagement];

 

Смените пожалуйста пароль, для учетной записи sa.

[VEE]

20 часов назад, SQ сказал:

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?

Сообщение 208, уровень 16, состояние 3, строка 1
Недопустимое имя объекта "dbo.SQLManagement".

 

Пароль sa сменил

[SQ]

Уточните пожалуйста, если после смены пароля проблема воспроизводится?

[VEE]

Да, стабильно раз в минуту assm.exe пересоздается.
 

[SQ]

Приложите пожалуйста новый лог FRST согласно следующей инструкции:
 

скачайте пожалуйста Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[VEE]

frst.rar

[SQ]

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\System32\drivers\BthA2dp.sys
File: C:\Windows\system32\DrtmAuth14.bin
Virustotal: C:\Windows\system32\DrtmAuth14.bin
Folder: C:\Users\Serv\AppData\Roaming\Process Hacker 2
File: C:\Windows\system32\deploymentcsphelper.exe
Folder: C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\110\Tools\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\DTS\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn\ManagementStudio
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\DTS\Binn
End::

3) Скопируйте выделенный текст (правая кнопка мыши – Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста, есои временно переименовать следующий файл:

C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe

в

C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe.bak

Вредоносное ПО восстанавливается?
Важно не удаляйте этот файл, я бы хотел понять в если запуск происходить по средством клиента SQL.