Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! Вот уже несколько дне не могу избавиться от backdoor.Win32.Agent. На данном сервере установлен KES 11.6. Он периодически находит данный вирус и удаляет его, но через некоторое время backdoor.Win32.Agent появляется снова. Проверка KVRT ничего не дала.

CollectionLog-2021.07.06-08.25.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.


O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)


 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

В логах я вижу, что используете базу-данных MS SQL Server 2014, уточните пожалуйста не замечали, каких-то аномалии в его работе или новых пользователей?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

Указанные строки профиксил.

 

Прошлый раз забыл указать, что когда Касперский находил и уничтожал backdoor.Win32.Agent, появлялось сообщение о нахождении в памяти Trojan.Multi.GenAutorunSQL.a

При этом пользователи, которые были подключены к базе, отваливались.

 

 

ЛОГ автозагрузки

DELOSRV_2021-07-11_09-32-45_v4.11.6.7z

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

В логах найдено следующее:

WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER

 

По возможности перед следующими манипуляциями сделайте не менее одного рабочего бэкапа сервера + баз-данных MS SQL Server (чтобы в случае не предвиденного поведения была возможность восстановления сервера со всеми данными)

 

Выполните скрипт в uVS:
 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER

Перегрузите ваш сервер вручную.

Но скорее всего после перегрузки вредоносное ПО будет восстанавливаться.


Скорее всего у Вас инфицирован сервер баз-данных MS SQL Server, который будет восстанавливать вредоносное ПО после каждого его запуска.

Возможно на вашем сервере присустсвуют вредоносные задачи в MS SQL Server Agent.
Можете ли прислать экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017)

 

Важно: Пожалуйста не в коем случае не удаляйте задачи до тех пор пока их не экспортируйте. Спасибо.

Также давайте проверим загрузочный сектор, покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.) 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...