Обсуждение Miner Search v1.4.7.0

[BlendLog]

Программа разработанная для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Ссылка на скачивание → Github MinerSearch

Основан на Miner Killer.

• Улучшен процесс сканирования процессов;
• Добавлено статическое сканирование каталогов;
• Добавлена функция автоматической очистки от вредоносных каталогов;
• Уничтожение вредоносных процессов (в том числе помеченные как критические)
• Сканирование вредоносных ключей реестра...

Версия v1.3

• Добавлена проверка цифровой подписи файлов
• Добавлены дополнительные разделы сканирования реестра (разделы автозапуска, appinit_dlls)
• Изменён метод ведения логов. Статистика сканирования параллельно записывается в файл в формате MinerSearch_ГГГГММддммсс.log
• Исправлены незначительные недоработки

Для запуска требуется NET Framework 4.5 и выше.

 

[akok]

@akok, написано что удалено

ОС так и осталась зараженной. Осталось понять почему.

 

[BlendLog]

Это норма, что рядом с утилитой распаковываются
Microsoft.Win32.TaskScheduler.dll и SilDev.CSharpLib64.dll?

да нормально,

ОС так и осталась зараженной. Осталось понять почему.

недавно встречал модификацию майнера bat файлом, который восстанавливает майнер после перезагрузки. Скрипт лежит где-то в ProgramData\Microsoft\ там же другие .exe файлы рядом. Может быть это она. А если сделать повторное сканирование?

 

[BlendLog]

хотя врядли, ибо сборка детектит виртуалки

 

[akok]

bat файлом, который восстанавливает майнер после перезагрузки.

Это как раз эта версия.

А если сделать повторное сканирование?

Два раза прогнать утилитой? В промежутке систему перезагружать, безопасный или обычный режим?

 

[BlendLog]

Это как раз эта версия.

Тогда повторное сканирование на этой версии бессмыслено, сейчас работают над эти фиксом. Есть тестовая версия, она должна ликвидировать полностью

 

[wumbo12]

Тогда повторное сканирование на этой версии бессмыслено, сейчас работают над эти фиксом. Есть тестовая версия, она должна ликвидировать полностью

Что с остальное реестром hLKM?)
Ведь , майнер может пересоздать и блокирует политику.

 

[BlendLog]

Что с остальное реестром hLKM?)
Ведь , майнер может пересоздать и блокирует политику.

Найденный процесс майнера приостанавливается. Не удаляется из автозапуска потому, что есть риск удалить что-то лишнее. Политики на запуск удаляются все

 

[wumbo12]

Найденный процесс майнера приостанавливается. Не удаляется из автозапуска потому, что есть риск удалить что-то лишнее. Политики на запуск удаляются все

Нужно понимать схему структуру , когда запущенный , удаляет где точный путь его и где таков его находится , например
C:\programData\taskhostw.exe
А, registry
Computer\HKLM\SYSTEM_ROOT_MACHINE_\ProgramData\hostsw.exe - пример эти списки который входят в состав майнера и их не удаляет , но может пересоздана новая.

Единственный проблема , майнер снова воскресит и опять майнер будет закачены в следующий перезапуск системы.

 

[BlendLog]

@wumbo12,Тут нужно действовать хитрее, по какой-то сигнатуре, имя файла может быть любым, он может быть где угодно

 

[Dragokas]

@BlendLog, отправил pull-запрос на добавление проверки ЭЦП по каталогу безопасности средствами WinAPI.
Маршаллинг на C# та ещё адская херь.

ЗЫ. Судя по поиску на github search такого на C# ещё никто не писал ))

 

[Dragokas]

Опцию "Allow unsafe code" кстати можно убрать из проекта, если стояла. Обошелся без неё.

И ещё мы с @Alex1983 обратили внимание, что у вас в манифесте секция compatibility есть, однако всё GUID-ы закомментированы, т.е. она не применяется. Может сказаться на корректной проверке Environment.OSVersion в некоторых сценариях, в т.ч. в коде ЭЦП, где юзается для выбора функций.

 

[BlendLog]

BlendLog добавил(а) новый ресурс:

Miner Search - Утилита для обнаружения и удаления скрытых майнеров

Программа разработанная для поиска и уничтожения скрытых майнеров.Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Основан на Miner Killer.

• Улучшен процесс сканирования процессов;
• Добавлено статическое сканирование каталогов;
• Добавлена функция автоматической очистки от вредоносных каталогов;
• Уничтожение вредоносных процессов (в том числе помеченные как критические)
• Сканирование вредоносных...

Узнать больше об этом ресурсе...

 

[BlendLog]

BlendLog обновил(а) ресурс Miner Search новой записью:

v1.4.1.0

• Подтверждение очистки файла hosts теперь в сохращенном варианте
• Доработан класс WinTrust для проверки цифровой подписи файлов без внешних зависимостей (thanx for Dragokas)
• Добавлено полное восстановление прав на каталоги
• Добавлены новые каталоги и процессы для сканирования
• Поддержка x32-разрядных систем

Узнать больше об этом обновлении...

 

[regist]

BlendLog обновил(а) ресурс Miner Search новой записью:

v1.4.1.0



Узнать больше об этом обновлении...

Раз добавили поддержку x32 решил скачать и посмотреть. Только при попытке скачать из ресурсов меня опять перекинуло на гитхаб.
Я так понимаю вы указали внешнюю ссылку, а не залили файл сюда. В принципе конечно решать вам, но имхо, таки
1) Было бы зеркало, мало ли что.
2) На гитхабе не все сразу могут сообразить как надо скачать.

 

[BlendLog]

@regist, я хотел указать прямую ссылку, но подумал, что можно сразу на папку с релизом, чтобы ссылки не обновлять каждый раз. Хотя думаю вы правы

 

[regist]

@regist, я хотел указать прямую ссылку, но подумал, что можно сразу на папку с релизом, чтобы ссылки не обновлять каждый раз. Хотя думаю вы правы

нет, вы меня не поняли. Я имел ввиду, что загрузить файл в ресурсы. То есть в ресурсах указать не ссылку на внешний сайт, а загрузить файл. И да, если выберете этот вариант, то при каждом обновлении там надо будет его вручную туда загружать, в случае если указать ссылку на внешний ресурс, то хлопот меньше.

Для примера посмотрите на ресурс с HiJackThis Fork.
Там также разработка на гитхабе, но релизы зеркалятся в ресурсы.

Имхо, указывать ссылку на внешний ресурс стоит:
1) Если автоматически обновляется каждый день. Как пример Автологер.
2) Размер ресурса больше допустимого, то есть физически в ресурсы его не загрузить.

 

[BlendLog]

@regist, Ок. При следующем обновлении загружу сюда

 

[Alex1983]

Так же по коду не много не понятно зачем проверять белый цвет (или нет) если уже внесли сообщение?

Console.ForegroundColor = LogLevel;
                Console.WriteLine(logMessage);
                Console.ForegroundColor = ConsoleColor.White;

                if (LogLevel == ConsoleColor.White)
                {
                    previousWhiteText = currentText;
                }
                if (LogLevel != ConsoleColor.White)
                {
                    previousNonWhiteText = currentText;
                }

Также в манифесте не раскоментировали ОС Виста. Вы это специально сделали?

 

[Dragokas]

1) Было бы зеркало, мало ли что.

Действительно имеет смысл, т.к. в последнее время замечаю, что GitHub время от времени отваливается.
Часть страниц тупо пишут, что сервис уехал на отдых. И это не только из моей страны такая проблема.

 

[BlendLog]

Так же по коду не много не понятно зачем проверять белый цвет (или нет) если уже внесли сообщение?

Иначе будут много дубликатов в логе типа этого

Спойлер: пример

Также в манифесте не раскоментировали ОС Виста. Вы это специально сделали?

Да