MDmitryS 0 Опубликовано 6 июля, 2021 Share Опубликовано 6 июля, 2021 Здравствуйте! Вот уже несколько дне не могу избавиться от backdoor.Win32.Agent. На данном сервере установлен KES 11.6. Он периодически находит данный вирус и удаляет его, но через некоторое время backdoor.Win32.Agent появляется снова. Проверка KVRT ничего не дала. CollectionLog-2021.07.06-08.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 8 июля, 2021 Share Опубликовано 8 июля, 2021 Здравствуйте, HiJackThis (из каталога autologger) профиксить Важно: необходимо отметить и профиксить только то, что указано ниже. O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file) O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file) Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. В логах я вижу, что используете базу-данных MS SQL Server 2014, уточните пожалуйста не замечали, каких-то аномалии в его работе или новых пользователей? Цитата Ссылка на сообщение Поделиться на другие сайты
MDmitryS 0 Опубликовано 11 июля, 2021 Автор Share Опубликовано 11 июля, 2021 Добрый день! Указанные строки профиксил. Прошлый раз забыл указать, что когда Касперский находил и уничтожал backdoor.Win32.Agent, появлялось сообщение о нахождении в памяти Trojan.Multi.GenAutorunSQL.a При этом пользователи, которые были подключены к базе, отваливались. ЛОГ автозагрузки DELOSRV_2021-07-11_09-32-45_v4.11.6.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 11 июля, 2021 Share Опубликовано 11 июля, 2021 Здравствуйте, В логах найдено следующее: WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER] WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER По возможности перед следующими манипуляциями сделайте не менее одного рабочего бэкапа сервера + баз-данных MS SQL Server (чтобы в случае не предвиденного поведения была возможность восстановления сервера со всеми данными) Выполните скрипт в uVS: ;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM_FILTER] delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM_ITIMER Перегрузите ваш сервер вручную. Но скорее всего после перегрузки вредоносное ПО будет восстанавливаться. Скорее всего у Вас инфицирован сервер баз-данных MS SQL Server, который будет восстанавливать вредоносное ПО после каждого его запуска. Возможно на вашем сервере присустсвуют вредоносные задачи в MS SQL Server Agent. Можете ли прислать экспорт задач? (инструкция - https://docs.microsoft.com/en-us/sql/ssms/agent/view-job-activity?view=sql-server-2017) Важно: Пожалуйста не в коем случае не удаляйте задачи до тех пор пока их не экспортируйте. Спасибо. Также давайте проверим загрузочный сектор, покажите лог TDSSKiller Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска.) Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 июля, 2021 Share Опубликовано 18 июля, 2021 Здравствуйте, Уточните пожалуйста, если Вам еще требуется наша помощь? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.