Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Если обнаружатся системные библиотеки, расположенные в папках самого SQL, их тоже пришлите с пометкой SQL

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • VEE

    34

  • SQ

    23

  • thyrex

    13

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

во вложении запрошенные библиотеки

SysWOW64.rar

 

System32.rar

 

sql.rar

 

Замечу, что эти библиотеки встречались только в папках SQL, и при том в нескольких разных папках. Все они были от 2014 года

 

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, VEE said:

 

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

Уточните пожалуйста, а если разрешить только следующие службы проблема также проявляется?

MSSQL$SQL2014
MSSQLFDLauncher$SQL2014

 

Ссылка на сообщение
Поделиться на другие сайты

Да, эти службы стартуют вместе. Третья SQLWriter сейчас остановлена. Если тормознуть только MSSQL$SQL2014, вредонос перестает появляется.

 

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста посмотреть что твориться в Activity Monitor, может там удасться вычислить вредоносное ПО.

Spoiler

9268_sql-server-management-studio-ssms-t

Попробуйте проанализировать запросы, если увидете какие-то не знакомые, пожалуйста сообщите о них. Просмотрите processes, Data File I/O, Recent Expensive Queries также попробуйте понаблюдать удалив вредоносный файл (assm.exe) если он появится.

P.S. На данный момент не понятно, где он спрятан, то что утилиты его не видят, больше сконяюсь к тому, что он спрятан в базе-данных, но это пока мои предположения.

Ссылка на сообщение
Поделиться на другие сайты

Вот что я сумел увидет в SQL. Надеюсь, вам увиденное понятнее.

Когда вредонос появляется в проводнике, в мониторе Data File I/O на верхних строчках бывают файлы master.mdf, или mastog.ldf, или templog.ldf

sql2.thumb.PNG.d15976e10272c0affea518d196558870.PNG

 

sql1.PNG

sql3.PNG

sql4.PNG

Ссылка на сообщение
Поделиться на другие сайты

Удалите если не пользуетесь ANVIR.EXE через установку программ в панели управления.

AnVir Task Manager (HKLM-x32\...\AnVir Task Manager) (Version: 9.3.3 - AnVir Software)

 

Вам следующая сетевая активность известна?
 

Spoiler

 

 

image.png

 

Давайте посмотрим, чтобы не было вредоносного ПО в директории клиента SDK.
1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Folder: C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?
 

Select * from [dbo].[SQLManagement];

 

Смените пожалуйста пароль, для учетной записи sa.

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, SQ сказал:

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?

Сообщение 208, уровень 16, состояние 3, строка 1
Недопустимое имя объекта "dbo.SQLManagement".

 

Пароль sa сменил

Ссылка на сообщение
Поделиться на другие сайты

Приложите пожалуйста новый лог FRST согласно следующей инструкции:
 

скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\System32\drivers\BthA2dp.sys
File: C:\Windows\system32\DrtmAuth14.bin
Virustotal: C:\Windows\system32\DrtmAuth14.bin
Folder: C:\Users\Serv\AppData\Roaming\Process Hacker 2
File: C:\Windows\system32\deploymentcsphelper.exe
Folder: C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\110\Tools\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\DTS\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn\ManagementStudio
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\DTS\Binn
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста, есои временно переименовать следующий файл:
C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe

в

C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe.bak

Вредоносное ПО восстанавливается?
Важно не удаляйте этот файл, я бы хотел понять в если запуск происходить по средством клиента SQL.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • KonstantinD
      От KonstantinD
      Все привет , подскажите пожалуста в ноуте сидит майнер процесор грущит 100% . что делать ? сам справится не могу
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • zerx465
      От zerx465
      У меня аналогичная проблема. Кое-как за пол дня смог собрать файлы, но отправить могу только с телефона. Напишите пж мне на почту по этому вопросу, я скину отсчёты. Очень нужна помощь но с компьютера ничего не работает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  

×
×
  • Создать...