[РЕШЕНО] HEUR.Trojan.MSIL.Miner.gen пересоздается

[VEE 5]

FRST скрипт выполнил. Лог во вложении.

 

SQLCMD.exe переименовал. Вредонос продолжил появляться.

Fixlog.txt

[SQ 785]

Здравствуйте,

Могли бы предоставить системные базы-данные для анализа на виртуальной среде?
 

master
model
MSDB

P.S. Если сможете, отправьте пожалуйста ссылку на них в лс (личным сообщением).

[VEE 5]

Кинул в ЛС.

[SQ 785]

Похоже проблема в системной базе-данных master, как только ее подменил на виртуальной среде, началась появляться папка SqlManagement. На данный момент пытаюсь понять, где именно вредоносный скрипт спрятан (сложность в том, что не получается получить админ права на вашу базу-данных).

[VEE 5]

[РЕШЕНО]

Парни, вы очень круты!

Моя вам благодарность за всю эту помощь.

Вредонос обезврежен. Он был найден в виде процедуры dbo.sp_sql_management, нескольких функций и сборки в системной базе данных master.

После удаления этих объектов, активность майнера прекратилась.

Финалочкой поменял все пароли на учетках SQL.

Изменено 13 декабря, 2020 пользователем VEE

[thyrex 1 411]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, напримерC:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[VEE 5]

Лог securitycheck во вложении

SecurityCheck.txt

[SQ 785]

Ознакомьтесь пожалуйста с рекомендациями и уведомлениями:

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.10.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.50 Внимание! Скачать обновления
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 78.0.2 (x64 ru) v.78.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Microsoft Edge v.86.0.622.38 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------

[VEE 5]

Благодарю. Обновился

[thyrex 1 411]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".