Перейти к содержанию

[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается


Рекомендуемые сообщения

Если обнаружатся системные библиотеки, расположенные в папках самого SQL, их тоже пришлите с пометкой SQL

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

[РЕШЕНО] Парни, вы очень круты! Моя вам благодарность за всю эту помощь. Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системн

Кинул в ЛС.

Здравствуйте,   В процессах виден SQL сервер, могли бы уточнить пожалуйста для чего используется база данных SQL? Сменили ли вы пароль по умочанию для него? Могли бы пожалуйста просмотр

Posted Images

во вложении запрошенные библиотеки

SysWOW64.rar

 

System32.rar

 

sql.rar

 

Замечу, что эти библиотеки встречались только в папках SQL, и при том в нескольких разных папках. Все они были от 2014 года

 

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, VEE said:

 

Разрешил запуск - перезагрузился - вредонос появился. В папке SqlManagement появился assm.exe

Уточните пожалуйста, а если разрешить только следующие службы проблема также проявляется?

MSSQL$SQL2014
MSSQLFDLauncher$SQL2014

 

Ссылка на сообщение
Поделиться на другие сайты

Да, эти службы стартуют вместе. Третья SQLWriter сейчас остановлена. Если тормознуть только MSSQL$SQL2014, вредонос перестает появляется.

 

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста посмотреть что твориться в Activity Monitor, может там удасться вычислить вредоносное ПО.

Spoiler

9268_sql-server-management-studio-ssms-t

Попробуйте проанализировать запросы, если увидете какие-то не знакомые, пожалуйста сообщите о них. Просмотрите processes, Data File I/O, Recent Expensive Queries также попробуйте понаблюдать удалив вредоносный файл (assm.exe) если он появится.

P.S. На данный момент не понятно, где он спрятан, то что утилиты его не видят, больше сконяюсь к тому, что он спрятан в базе-данных, но это пока мои предположения.

Ссылка на сообщение
Поделиться на другие сайты

Вот что я сумел увидет в SQL. Надеюсь, вам увиденное понятнее.

Когда вредонос появляется в проводнике, в мониторе Data File I/O на верхних строчках бывают файлы master.mdf, или mastog.ldf, или templog.ldf

sql2.thumb.PNG.d15976e10272c0affea518d196558870.PNG

 

sql1.PNG

sql3.PNG

sql4.PNG

Ссылка на сообщение
Поделиться на другие сайты

Удалите если не пользуетесь ANVIR.EXE через установку программ в панели управления.

AnVir Task Manager (HKLM-x32\...\AnVir Task Manager) (Version: 9.3.3 - AnVir Software)

 

Вам следующая сетевая активность известна?
 

Spoiler

 

 

image.png

 

Давайте посмотрим, чтобы не было вредоносного ПО в директории клиента SDK.
1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
Folder: C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK
End::


3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?
 

Select * from [dbo].[SQLManagement];

 

Смените пожалуйста пароль, для учетной записи sa.

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, SQ сказал:

Могли бы проверить, если в какой-то из ваших баз-данных имеется таблица SQLManagement?

Сообщение 208, уровень 16, состояние 3, строка 1
Недопустимое имя объекта "dbo.SQLManagement".

 

Пароль sa сменил

Ссылка на сообщение
Поделиться на другие сайты

Приложите пожалуйста новый лог FRST согласно следующей инструкции:
 

скачайте пожалуйста Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1) Закройте и сохраните все открытые приложения.

2) Выделите следующий код:

Start::
CreateRestorePoint:
File: C:\Windows\System32\drivers\BthA2dp.sys
File: C:\Windows\system32\DrtmAuth14.bin
Virustotal: C:\Windows\system32\DrtmAuth14.bin
Folder: C:\Users\Serv\AppData\Roaming\Process Hacker 2
File: C:\Windows\system32\deploymentcsphelper.exe
Folder: C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\110\Tools\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\Tools\Binn
Folder: C:\Program Files\Microsoft SQL Server\120\DTS\Binn
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\Tools\Binn\ManagementStudio
Folder: C:\Program Files (x86)\Microsoft SQL Server\120\DTS\Binn
End::

3) Скопируйте выделенный текст (правая кнопка мыши  Копировать).
4) Запустите Farbar Recovery Scan Tool.
5) Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Уточните пожалуйста, есои временно переименовать следующий файл:
C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe

в

C:\PROGRAM FILES\MICROSOFT SQL SERVER\CLIENT SDK\ODBC\110\TOOLS\BINN\SQLCMD.exe.bak

Вредоносное ПО восстанавливается?
Важно не удаляйте этот файл, я бы хотел понять в если запуск происходить по средством клиента SQL.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От минеевиван
      HEUR. trojan.win64.Miner.gen при каждом запуске компьютера
    • От OpsAce
      Здравствуйте.
      Появилась проблема, каждую минуту KIS выдаёт сообщение “Обнаружен вредоносный объект” и “Результат проверки объекта передан сторонней программе”. Как это исправить и остановить не понимаю, при проверки файла, на который ругается KIS говорит, что вирусов не найдено, но при этом оповещения не перестают приходить.
      Отчет и скриншот прикрепляю. ОС Win 10

      CollectionLog-2021.05.30-15.19.zip 1.txt
    • От Tarnn
      Доброго времени суток, уважаемые форумчане!
      Сразу к делу:
      На ПК периодически появляется один и тот же майнер (в исходных ему директориях). Программа KVRT отважно его удаляет, но ни пройдет и нескольких дней, как он (вирус) снова восстаёт из пепла.
      (Предыстория темы) В попытках установить антивирус Касперского столкнулся с одной важной проблемой - установщик вообще не запускался. Полазив по форуму, нашел и выполнил код в FRST на сброс директорий, и, вуаля, установщик Kasp запустился, но дальше скачивания не прошёл.

      Скриншот проблемы + лог с AutoLogger + лог с FRST  прикрепляю к теме. (Установка проводилась, само собой, от имени администратора)

      CollectionLog-2021.05.11-09.55.zip FarbarLog.rar
    • От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог
      CollectionLog-2021.02.12-18.55.zip
    • От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки перезагружал и нечего без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл 
       

×
×
  • Создать...