Обсуждение Miner Search v1.4.7.0

[BlendLog]

Программа разработанная для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Ссылка на скачивание → Github MinerSearch

Основан на Miner Killer.

• Улучшен процесс сканирования процессов;
• Добавлено статическое сканирование каталогов;
• Добавлена функция автоматической очистки от вредоносных каталогов;
• Уничтожение вредоносных процессов (в том числе помеченные как критические)
• Сканирование вредоносных ключей реестра...

Версия v1.3

• Добавлена проверка цифровой подписи файлов
• Добавлены дополнительные разделы сканирования реестра (разделы автозапуска, appinit_dlls)
• Изменён метод ведения логов. Статистика сканирования параллельно записывается в файл в формате MinerSearch_ГГГГММддммсс.log
• Исправлены незначительные недоработки

Для запуска требуется NET Framework 4.5 и выше.

 

[BlendLog]

На той неделе посмотрю, пока завал на работе.

Понял

 

[BlendLog]

Версия v1.4

• Переработан алгоритм проверки и удаления вредоносных каталогов / файлов
• Добавлена проверка планировщика задач
• Переработать алгоритм парсинга пути приложения в автозапуске из реестра
• Добавлена проверка, действительно ли процесс приостановлен
• Добавлена функция переименования вредоносных файлов процессов
• Добавлен вызов справки --help
• Переработана проверка цифровой подписи
• Текст в логе теперь не дублируется
• Исправлен баг, когда входная строка имела неверный формат
• Добавлена проверка родительского процесса

 

[regist]

У меня не запустилось, похоже на 32-х разрядных ОС просто не работает .

 

[BlendLog]

У меня не запустилось, похоже на 32-х разрядных ОС просто не работает .

да, он на 64 бит

 

[akok]

Закрепил первый пост.

 

[regist]

да, он на 64 бит

а в первом сообщение в системных требованиях это не указано. И почему решили оставить без лечения таких пользователей как я?

 

[Dragokas]

Интересненько, WinVerifyTrust, который вызывает внешнюю либу, которая вызывает PowerShell апплет , который почему то сертификаты умеет проверять на Windows 10, а на Windows 7 почему-то выдаёт ложь.

CSharpLib/FileEx.cs at a8f5f56c02c6d79033d932d674a8738309febe3f · SilDev/CSharpLib

:books: Si13n7 Dev.™ CSharp Library. Contribute to SilDev/CSharpLib development by creating an account on GitHub.

github.com

if (WinTrust.VerifyEmbeddedSignature(path) != WinVerifyTrustResult.Error)
                        {
                            WinTrust.VerifyEmbeddedSignature(path);
                        }

А он разве не будет в лог двоить одно и то же? (т.к. код логирования внутри самой VerifyEmbeddedSignature)

 

[BlendLog]

а в первом сообщение в системных требованиях это не указано. И почему решили оставить без лечения таких пользователей как я?

Сколько удалял майнеров, ни разу не видел, чтобы он был 32 бита. Оф версии Xmrig, gminer, nbminer и их модификации под троян сами 64 бит, поэтому было решено не делать 32-бита.

WinVerifyTrust, который вызывает внешнюю либу, которая вызывает PowerShell апплет

Да, такой вот костыль. Если внутренней подписи нет, нужно проверить, а действительно ли нет подписи. Насчёт Win 7, тут да, моё упущение.

А он разве не будет в лог двоить одно и то же? (т.к. код логирования внутри самой VerifyEmbeddedSignature)

Лог всё равное идет через класс Logger, где проверяется предыдущее сообщение. Поскольку список процессов и задач планировщика отсортированы, то одинаковых строк нет. Но под капотом всё равно проверяются все процессы, т.к. в один из них может быть инжект, тот же svchost например, а "расположение файла" ссылается на нормальный путь.

 

[regist]

Сколько удалял майнеров, ни разу не видел, чтобы он был 32 бита.

Местный раздел лечения говорит об обратном . Да и далеко ходить не надо, даже этот майнер который создаёт папки антивирусов (если отбросить протектор который появился в некоторых версиях) также прекрасно заражает x32.

В любом случае о подобных ограничениях своей утилиты надо предупреждать.

 

[BlendLog]

Местный раздел лечения говорит об обратном . Да и далеко ходить не надо, даже этот майнер который создаёт папки антивирусов (если отбросить протектор который появился в некоторых версиях) также прекрасно заражает x32.

В любом случае о подобных ограничениях своей утилиты надо предупреждать.

Понял

 

[Dragokas]

@BlendLog, вы можете собрать приложение в конфигурации "Any CPU" (там где вы выбираете конфигурацию разрядности) и оно сможет запускаться как на x32, так и на x64 ОС.

 

[BlendLog]

@Dragokas, тогда мне нужно взять библиотеку SilDev под x32. Хотя, если починить проверку подписи, то она будет не нужна.

 

[Dragokas]

А зачем вам вообще эта библиотека. Там код из буквально одной строчки - вызов команды Powershell.
Сегодня посмотрю, может удастся отдебажить WinAPI-шный вариант.

 

[BlendLog]

А зачем вам вообще эта библиотека. Там код из буквально одной строчки - вызов команды Powershell.

Действительно. Но ничего страшного в том, что будет плодится куча процессов powershell во время проверки?

 

[Dragokas]

Там вроде задействован способ без спауна процесса Powershell.

 

[akok]

А можно сделать, чтоб принималось сокращенные варианты (y и n)?

Это норма, что рядом с утилитой распаковываются
Microsoft.Win32.TaskScheduler.dll и SilDev.CSharpLib64.dll?

Майнер taskhost утилита не берет. Во вложении логи после прогона.

 

[BlendLog]

@akok,
1) Можно сделать
2) А есть лог от самого сёрча?

 

[akok]

Да, забыл прикрепить

 

[BlendLog]

@akok, написано что удалено
просто перед тем как удалить, идёт попытка переименовывания, чтобы планировщик задач не запустил второй экзепляр, затем удаляет

 

[wumbo12]

Добрый день!
Ваш утилита не удаляется следы HLKM реестров за след ним , которые связян с майнером.