На компьютере начались проблемы с SQL Server, антивирусная проверка показала наличие следующих угроз:
"Дата";"Компонент";"Код";"Событие"
"
31.03.2020 9:15";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >ps.exe</span>";"Угроза: BAT.BtcMine.34";
"Действие: Перемещено";"Путь: <span class="path" >C:\Windows\System32\ps.exe</span>"
"
31.03.2020 9:15";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >sqlbrowser.exe</span>";"Угроза: Trojan.DownLoader27.14976";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\DataFiles\Microsoft\Temp\sqlbrowser.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >sqlbrowser.exe</span>";"Угроза: Trojan.DownLoader28.10410";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\DataFiles\Microsoft\Fonts\sqlbrowser.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >csrss.exe</span>";"Угроза: Tool.BtcMine.1798";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\CodeGear\Microsoft Office\DataFiles\Windows\Config\Microsoft\Images\csrss.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >csrss.exe</span>";"Угроза: Tool.BtcMine.1798";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\CodeGear\Microsoft Office\DataFiles\Windows\Config\Microsoft\csrss.exe</span>"
"
31.03.2020 9:14";"Сканер";"700";"Обнаружена угроза";"Объект: <span class="path" >2.vbs</span>";"Угроза: VBS.DownLoader.1155";
"Действие: Перемещено";"Путь: <span class="path" >C:\ProgramData\2.vbs</span>"
После удаления сканером DrWeb или KVRT через некоторое время троян появляется снова, DR.Web в отчёте формирует запись такого вида:
"Дата";"Компонент";"Код";"Событие"
"
01.04.2020 8:52";"SpIDer Guard";"600";"Обнаружена угроза";"Объект: <span class="path" >TmpA266.tmp</span>";"Угроза: Trojan.DownLoader24.58636";
"Действие: Перемещено";"Путь: <span class="path" >C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp</span>"
Файл с логами прилагаю
Помогите удалить троян
#1
Отправлено 01 Апрель 2020 - 12:45
#2
Отправлено 01 Апрель 2020 - 12:45
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 01 Апрель 2020 - 13:04
1) Рекомендую обновить антивирус до актуальной 12 версии.
Логи в процессе анализа.
#4
Отправлено 01 Апрель 2020 - 14:00
Сам SQL Server является точкой проникновения в данном случае:
2020-Mar-31 14:33:58.925829 [ 4668] [INF] [arkdll] [720] id: 16711, timestamp: 14:33:58.879, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-19, cid: 4048/2400:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll fileinfo: size: 302551, easize: 39, attr: 0x2020, buildtime: 27.04.2019 23:03:27.000, ctime: 31.03.2020 14:33:56.149, atime: 31.03.2020 14:33:56.149, mtime: 31.03.2020 14:33:58.863, descr: , ver: , company: , oname: hash: 4310544fbd1b01e9decfb75e5a25592d822447c5 status: unsigned, pe32 / unsigned / unknown / unknown type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\psa[1].jpg id: 16711 ==> allowed [2], time: 50.668469 ms 2020-Mar-31 14:34:46.022312 [ 4672] [INF] [arkdll] [720] id: 16995, timestamp: 14:34:46.022, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-19, cid: 4048/2304:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 31.03.2020 14:34:46.022, atime: 31.03.2020 14:34:46.022, mtime: 31.03.2020 14:34:46.022, descr: , ver: 0.0.0.0, company: , oname: ExecCode.dll hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp916.tmp id: 16995 ==> allowed [2], time: 1.691618 ms 2020-Mar-31 16:00:01.572929 [ 4684] [INF] [arkdll] [1032] id: 21912, timestamp: 16:00:01.432, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-19, cid: 4048/6028:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe context: start addr: 0x6eb829e1, image: 0x6eb80000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 31.03.2020 16:00:01.432, atime: 31.03.2020 16:00:01.432, mtime: 31.03.2020 16:00:01.432, descr: , ver: 0.0.0.0, company: , oname: ExecCode.dll hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp id: 21912 ==> allowed [2], time: 131.561655 ms 2020-Apr-01 08:52:15.523168 [ 5340] [INF] [arkdll] [1208] id: 5278, timestamp: 08:52:15.491, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-19, cid: 1972/5544:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe context: start addr: 0x6ef429e1, image: 0x6ef40000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll fileinfo: size: 5632, easize: 39, attr: 0x2020, buildtime: 09.03.2017 18:21:30.000, ctime: 01.04.2020 08:52:15.476, atime: 01.04.2020 08:52:15.476, mtime: 01.04.2020 08:52:15.491, descr: , ver: 0.0.0.0, company: , oname: ExecCode.dll hash: 2f4b60d9aff82212e9f81a4f90159fc0ceb1df4a status: unsigned, pe32, dll / unsigned / unknown / unknown type: unknown, drop new executable: \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp id: 5278 ==> allowed [2], time: 36.596491 ms 2020-Apr-01 08:52:28.579992 [ 5340] [INF] [arkdll] [1372] id: 5367, timestamp: 08:52:28.548, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-19, cid: 1972/2392:\Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe context: start addr: 0x6ef429e1, image: 0x6ef40000:\Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4940_none_d08cc06a442b34fc\msvcr80.dll created process: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe:1972 => \Device\HarddiskVolume2\Windows\System32\cmd.exe:4196 sid: S-1-5-19, bitness: 32, ilevel: system, sesion id: 0, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0 curdir: C:\Windows\system32\, cmd: "C:\Windows\system32\cmd.exe" /c taskkill /f /im 360sd.exe&taskkill /f /im zhudongfangyu.exe&taskkill /f /im 360tray.exe&taskkill /f /im 360rp.exe&taskkill /f /im 360rps.exe status: signed_microsoft, script_vm, spc / signed_microsoft / unknown / cmd object: cmdline ==> Ok [0] id: 5367 ==> allowed [2], time: 15.763759 ms
И соответствующие сигнатурные детекты:
20200328.182635 [CL,LO] C:\Windows\inf\c3.bat - infected with BAT.BtcMine.34 20200328.182635 [CL,LO] C:\Windows\inf\n.vbs - infected with VBS.Starter.179 20200328.182717 [CL,LO] C:\Windows\inf\c3.bat - quarantined (20,1K 42062/211ms 95KB/s) [C:\windows\system32\ps.exe:2812] {NTOP-ZAGS-49\User:NTOP-ZAGS-49\None} 20200328.182732 [CL,LO] C:\Windows\inf\n.vbs - quarantined (207B 57158/227ms 0KB/s) [C:\windows\system32\ps.exe:2812] {NTOP-ZAGS-49\User:NTOP-ZAGS-49\None} 20200331.160001 [CL,LO] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp - infected with Trojan.DownLoader24.58636 20200331.160014 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\Tmp172C.tmp - quarantined (5,5K 13282/166ms 33KB/s) [D:\sql2008r2\mssql10_50.mssqlserver\mssql\binn\sqlservr.exe:4048] {NT AUTHORITY\LOCAL SERVICE:NT AUTHORITY\LOCAL SERVICE} 20200401.085215 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp - infected with Trojan.DownLoader24.58636 20200401.085253 [CL] C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TmpA266.tmp - quarantined (5,5K 38064/63ms 86KB/s) [D:\sql2008r2\mssql10_50.mssqlserver\mssql\binn\sqlservr.exe:1972] {NT AUTHORITY\LOCAL SERVICE:NT AUTHORITY\LOCAL SERVICE}
Ну и IP:
[31/03/2020 12:05:18 00001714] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=5836, user S-1-5-19): 49515 -> ( 49516 -> 49517 ) -> 150.107.76.227:80 [31/03/2020 12:05:18 00001714] <DEBUG:1> Trying to connect to: 150.107.76.227:80 [31/03/2020 12:07:34 000013ac] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=5836, user S-1-5-19): 49548 -> ( 49549 -> 49550 ) -> 139.5.177.10:280 [31/03/2020 12:07:34 000013ac] <DEBUG:1> Trying to connect to: 139.5.177.10:280 [31/03/2020 14:30:48 000010a4] <DEBUG:1> Redirection: \Device\HarddiskVolume3\SQL2008R2\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (PID=4048, user S-1-5-19): 50439 -> ( 50440 -> 50441 ) -> 69.30.200.178:80 [31/03/2020 14:30:48 000010a4] <DEBUG:1> Trying to connect to: 69.30.200.178:80
Сообщение было изменено RomaNNN: 01 Апрель 2020 - 14:00
#5
Отправлено 01 Апрель 2020 - 14:08
1. Ставьте несловарный пароль на все учетки SQL сервера
2. Удалите вредоносную(ые) job из SQL сервера
3. Установите MS17-010, если не стоит
Только после этого можно будет говорить о лечении.
#6
Отправлено 23 Апрель 2020 - 14:54
Скажите пожалуйста, а может быть троян в самой базе в SQL? Поставил SQL на чистой машине, присоединил базу и снова та же проблема.
#7
Отправлено 23 Апрель 2020 - 17:13
#8
Отправлено 23 Апрель 2020 - 20:11
в теории может, в хранимых процедурах можно всякое творить
Doctor Web, Ltd.
#9
Отправлено 24 Апрель 2020 - 14:57
Скажите пожалуйста, а может быть троян в самой базе в SQL? Поставил SQL на чистой машине, присоединил базу и снова та же проблема.
Про удаление job-ов из базы не просто так было сказано. Вредоносный код в них - реальность уже несколько лет.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых