backdoor.Win32.Agent не удаляется

[MDmitryS]

Здравствуйте! Вот уже несколько дне не могу избавиться от backdoor.Win32.Agent. На данном сервере установлен KES 11.6. Он периодически находит данный вирус и удаляет его, но через некоторое время backdoor.Win32.Agent появляется снова. Проверка KVRT ничего не дала.

CollectionLog-2021.07.06-08.25.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)

 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

В логах я вижу, что используете базу-данных MS SQL Server 2014, уточните пожалуйста не замечали, каких-то аномалии в его работе или новых пользователей?

[MDmitryS]

Добрый день!

Указанные строки профиксил.

 

Прошлый раз забыл указать, что когда Касперский находил и уничтожал backdoor.Win32.Agent, появлялось сообщение о нахождении в памяти Trojan.Multi.GenAutorunSQL.a

При этом пользователи, которые были подключены к базе, отваливались.

 

 

ЛОГ автозагрузки

DELOSRV_2021-07-11_09-32-45_v4.11.6.7z

[SQ]

Здравствуйте,

В логах найдено следующее:

WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER

 

По возможности перед следующими манипуляциями сделайте не менее одного рабочего бэкапа сервера + баз-данных MS SQL Server (чтобы в случае не предвиденного поведения была возможность восстановления сервера со всеми данными)

 

Выполните скрипт в uVS:
 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER

Перегрузите ваш сервер вручную.

Но скорее всего после перегрузки вредоносное ПО будет восстанавливаться.

Скорее всего у Вас инфицирован сервер баз-данных MS SQL Server, который будет восстанавливать вредоносное ПО после каждого его запуска.

Возможно на вашем сервере присустсвуют вредоносные задачи в MS SQL Server Agent.
Можете ли прислать экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017)

 

Важно: Пожалуйста не в коем случае не удаляйте задачи до тех пор пока их не экспортируйте. Спасибо.

Также давайте проверим загрузочный сектор, покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

[SQ]

Здравствуйте,

Уточните пожалуйста, если Вам еще требуется наша помощь?