Нашел в диспетчере задач подозрительные процессы.
Они создаются вновь и файлы на тех же местах.
На mssql и файлы windows они явно не похожи.
Нашел в диспетчере задач подозрительные процессы.
Они создаются вновь и файлы на тех же местах.
На mssql и файлы windows они явно не похожи.
Уважаемый(ая) wizzard, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ из папки Autologger
Код:begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteService('wmiApSrvs'); DeleteService('wmiApServs'); DeleteService('DptfParticipant'); DeleteService('DdptfParticipanta'); QuarantineFile('C:\Windows\vss\sihosts.exe',''); TerminateProcessByName('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.0.3705\wininit.exe'); TerminateProcessByName('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.1.4322\winlogon.exe'); QuarantineFile('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.1.4322\winlogon.exe',''); QuarantineFile('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.0.3705\wininit.exe',''); DeleteFile('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.0.3705\wininit.exe','32'); DeleteFile('C:\ProgramData\Network\Windows\Microsoft.NET\Framework\v1.1.4322\winlogon.exe','32'); DeleteFile('D:\Tmp\2\2511AEC7-FE4DF768-8CE62C68-417B98FC\157c546b7.sys','32'); DeleteFile('D:\Tmp\2\15a40dcc6.sys','32'); DeleteFile('C:\Windows\system32\drivers\3C52CFC511.sys','32'); DeleteFile('C:\Windows\vss\sihosts.exe','32'); DeleteFile('C:\Windows\system\csrss.exe','32'); DeleteFile('C:\Windows\Help\csrss.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
- Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепляю новые логи после лечения. Файл карантина прислал ранее как написано по красной ссылке.
CollectionLog-2018.11.08-12.29.zip
- - - - -Добавлено - - - - -
После лечения файлы появились опять.... На тех же самых местах....
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Addition.zip
Готово.
1. Выделите следующий код:
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).Код:Start:: CreateRestorePoint: 2018-11-08 18:59 - 2018-11-08 18:58 - 000052736 __RSH (Microsoft) C:\Windows\system\csrss.exe S4 Pocal AushsHros; C:\Program Files (x86)\PestsHbs\DPInst.exe [X] S4 Pocal Autodesbk; C:\Program Files (x86)\Kingview\KingMet.exe [X] S4 Pocal Autodesk; C:\Program Files (x86)\Autodesk\GPInst.exe [X] HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\...\Run: [MpsSvcd] => C:\Users\Public\Documents\dllhost.exe <==== ATTENTION HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\...\Run: [MpsSvccv] => C:\Users\Public\Documents\ipodservice.exe File: D:\Program Files\Microsoft SQL Server\MSSQL11.SQLEXPRESS\MSSQL\Binn\sqlservr.exe End::
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: перезагрузка компьютера нужно выполнить вручную после скрипта.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Fixlog.txt
Сделано.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
DataFiles.zip
Висят под MSSQL$SQLEXPRESS
Файлики в аттаче.
Если их удалить вручную из-под другой учетки, они снова появляются?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пока наблюдаю. После убиения процессы воскрешают через 5-6 часов. Сразу не вычислить.
Вот список зловредов:
"C:\ProgramData\Network\Windows\Microsoft.NET\Fram ework\v1.0.3705\wininit.exe"
"C:\ProgramData\Network\Windows\Microsoft.NET\Fram ework\v1.1.4322\winlogon.exe"
"C:\Windows\vss\sihosts.exe"
"C:\ProgramData\DataFiles\netg.exe"
"C:\ProgramData\DataFiles\Microsoft\Fonts\sqlbrows er.exe"
"C:\ProgramData\DataFiles\Microsoft\Fonts\x64. exe"
"C:\ProgramData\DataFiles\Microsoft\Fonts\o6.e xe"
"C:\ProgramData\DataFiles\Microsoft\Images\sqlbrow ser.exe"
"C:\ProgramData\DataFiles\Microsoft\Temp\sqlbrowse r.exe"
"C:\Users\Public\Documents\dllhost.exe"
Последний очень похож на xmr_stack_cpu - майнер монеро
Проверьте, не Ваш ли это случай с задачами под MS SQL safezone.c_c/threads/opredelenie-vredonosnyx-ms-sql-jobs.32460/ (в имени домена уберите "_" после копирования)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Процессы запускаются. Но я зашел под обычным пользователем и запустил диспетчер задач под администратором.
- - - - -Добавлено - - - - -
Я зарегистрировался. Перешел по ссылке. Открылась страница с такой надписью:
У Вас недостаточно прав для просмотра этой страницы или для выполнения этого действия.
- - - - -Добавлено - - - - -
Появились 2 процесса:
"C:\ProgramData\Microsoft Labs\NetFramework\BreadcrumbStore\Main\csrss.exe"
"C:\ProgramData\Microsoft Labs\NetFramework\BreadcrumbStore\Protect\csrss.ex e"
Может поставить пароль на эту учетную запись? Или кейлоггер все равно его вычислит?
- - - - -Добавлено - - - - -
У меня есть подозрение, что вирус цепляется к mssql-ю. Выключил его. Наблюдаю.
Смотрите, нет ли в задачах создания вредоносных файлов. Если есть, удалите подобные задачи.- войти через ПУСК -> программы -> Microsoft SQL Server -> SQL Server Management Studio
- авторизоваться
- открыть дерево SQL Server Agent -> Jobs
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Мне кажется, в экспресс версии slq-ля агента нет в принципе.
Но вот есть вот такой интересный bat файл в Users\Public\Documents.Windowsup.bat.txt
Сделайте лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Угрозы не обнаружены.
mbam.log
Mssql с вечера выключен. Подозрительных процессов с указанными именами не рождается.
Посмотрю, рождаются ли подозрительные файлы сами по себе.
wizzard,
Можете прислать экспорт задач? инструкция - https://docs.microsoft.com/en-us/sql...ql-server-2017
Я изменил пароль для sa. Зашел и увидел пользователя с именем So.Back. У него были права админа.
Также обнаружил, что расширенные хранимые процедуры включены (которые позволяют запускать процессы ОС).
Заблокировал пользователя.
Поменял всё пароли.
Выключил вызов расширенных хранимых процедур.
Ну и в журнале много-много попыток входа под sa.
Видимо бот сидит и перебирает пароли.
После этих мероприятий зловреды лезть перестали.
З.Ы. В списке задач - пусто.
Уважаемый(ая) wizzard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.