Miner Search v1.4.7.4

[HOTFIX]
1) Исправление некорректного чтения файла hosts
2) Корректное создание индентификатора устройства в логе
3) Улучшена обработка планировщика задач
4) Исправлено ложное срабатываение на легальный скрипт powershell (UnusedSmb1.ps1)
5) Добавлено удаление задачи руткита из планировщика задач
6) Улучшено обнаружение угроз, которые запускаются через RunDLL
7) Предположительно вредоносные файлы перемещаются в карантин
8) Легенда обозначений перемещена в начало лог-файла
9) Исправлено исчезнавение крестика "закрыть" в окне с кратким отчётом
10) Проверка установленной версии NET Framework 4.5.2 (для windows 7)
[микропатч]
21) Исправлено зависание окна с кратким отчётом
22) Исправлено ошибка создания отчёта при первом запуске

MinerSearch_v1.4.7.4
SHA256 6d6922f898d93ebd76428e53bc01d0ed314f9d8f9e23a11b9708457c7bc6c15f
SHA1 5fd777741259bf96ee340525866fb38428fe7912
MD5 f7742d76e9ebcd8aefb330d36f65c28f

dbase
SHA256 2bb837031e0a50e8f2bf82f1b2fd1dee66da1cd2d3bd21aec5070c2e741293b7
SHA1 076cbb53b8b0a7b638ddc84735c041028beb23c6
MD5 d3124d4af1578f451bda44bb6ee47e03

netlib
SHA256 b7427e4fd74beefe74c89b3db66cdfcf674382dc80802c787e97fed23fd9259e
SHA1 0df8f9c7b6cea1365677bcae0af5d2410798cb1e
MD5 e1f852ba7ad79847091ef8ff10b83421

--------------------
Официальный телеграм канал MinerSearch

MinerSearch | Заметки разработчика

Новости об обновлениях и других нововведениях MinerSearch. Задать вопрос можно тут https://t.me/MinerSearch_chat

t.me

• Сбор статистики удаления угроз (на усмотрение пользователя)
• Восстановление прав доступа существующих приложений из списка заблокированных каталогов
• Добавлена тщательная проверка процессов по времени использования CPU
• Добавлена легенда условных обозначений в логе
• Добавлена кнопка "Подробно" для открытия папки с логами
• Более точное обнаружение руткита майнера
• Нормальный формат даты в имени лог файла
• Улучшена проверка служб, включая Службы удаленных рабочих столов (TermService)
• Восстанавление базы данных WMI
• Удаление новых вредоносных версий системных программ

MinerSearch_v1.4.7.4
SHA256 b4162a9c740e739871db7985c8b741c931dfddefdf59e2970a71753fcd90e722
SHA1 6547b5b677f053055574487d18ffd164a70a8948
MD5 6a531f6d3238808a39936902c236589d

dbase
SHA256 2bb837031e0a50e8f2bf82f1b2fd1dee66da1cd2d3bd21aec5070c2e741293b7
SHA1 076cbb53b8b0a7b638ddc84735c041028beb23c6
MD5 d3124d4af1578f451bda44bb6ee47e03

netlib
SHA256 5edc4b84d3a9b1635de9825d0adf17f8b8f15c74e56de54850d65fdac43adb6e
SHA1 cedfda9507d86a1a9f0b235531933b2fd55d539a
MD5 839fb6ddef4cc7a32eec133eb2f13467

--------------------
Официальный телеграм канал MinerSearch

MinerSearch | Заметки разработчика

Новости об обновлениях и других нововведениях MinerSearch. Задать вопрос можно тут https://t.me/MinerSearch_chat

t.me

• Удаление новой версии майнера с цифровой подписью;
• Исправлено автоматическое закрытие приложения в случае сбоя;
• Переработан алгоритм отключения вредоносных служб;
• Исправлено добавление удалённых файлов в карантин;
• Добавлена проверку удаления файла из аргументов msiexec;
• Добавлен счетчик всех найденных угроз;
• Добавлено игнорирование новых функций удаления с опцией --scan-only;
• Добавлено отображение строк из файла hosts, которые были обезврежены;
• Исправлена обработка каталогов в виде символической ссылки;
• Теперь статистика отображатеся в диалоговом окне;
• Вывод уведомления по завершении сканирования;

MinerSearch_v1.4.7.3.exe
SHA256 45433eafd4f8e9b8758612d86f18a95ad0e80fd941bf41249f5a8ba5094d621d
SHA1 28f17040ea261a06a79e809823781b722dcd8c8a
MD5 6f532742105758e8ec1c05e5c846af90


dbase.dll
SHA256 c76272c46c2b57f2db89bd29ee21f9ca31b53045cecb7e4751e0fa7b0a9878fb
SHA1 aabf6373a725036ca3a3c493a78acb3e8c3879c7
MD5 03b024baf63fdb62662b5a64f5cc7c69

1) Наличие руткита майнера определяется быстрее
2) Разделение базы данных от основного приложения
3) Исправлена обработка путей с прямым(обычным) слешем
4) Исправлено ошибочное завершение легального процесса Dwm (Windows 7)

SHA256 e63041e05c9cb47a7a22e2429e35f496594bab501f4be4364b8bca9f369584a0
SHA1 35ad91bcb7e6a3e20db822e651bd9d2dd506991f
MD5 61cdb673602f23ee2d43effc7e169acb

• Добавлено обнаружение вредоносной версии утилиты печати (print.exe)
• Добавлена проверка Установщика Windows (msiexec.exe)
• добавлена проверка установленного пакета NET Framework 4.5.X
• Исправлено зависание утилиты при сканировании процессов, если систем несколько
• Исправление ошибок локализации
• Корректная проверка powershell
• Нативная проверка имени пользователя
• добавлен параметр --no-scan-tasks для пропуска сканирования задач планировщика
• обновление сигнатур

SHA256 7929c1632828a3b32573e09f6024c98925be524e2b4b2a0e46524abf08f06cd9
SHA1 4bd7e7b6a7d410a61250e89db8f0ca2192bf58ad
MD5 e583a0a4868c9a8b7f76053acce6f767

• Добавлен перевод на русский
• Исправлена обработка путей с неразрывным пробелом
• Добавлено предотвращение внедрения неподписаных Microsoft dll
• Добавлено предотвращение блокировки по хэшу значка в заголовке приложения
• Исправление ошибки 0xc0000005 при проверке процессов в безопасном режиме без поддержки сети
• Добавлена поддержка малых разрешений экрана
• Добавлена запись в лог версии приложения
• Добавлена запись в лог, что ранее найденные процессы были приостановлены, в случае аварийного закрытия программы
• Добавлен параметр --debug для отладки. Используется при запуске приложения через cmd или powershell

SHA256 1ce4e65938c05f0e03c20d26c8bcd671f2767a0bf11dae07b446e2b5b5d7a8c2
SHA1 767b7987ad52668520a44f6b183fcaeb01329351
MD5 9e8c69d4c9d9be3b4a5675bc6da439e7

1) Запись режима загрузки в лог (нормальный или безопасный)
2) Обнаружение работы другой копии программы
3) Обнаружение внедрения в процесс проводника
4) Удаление нежелательных правил блокировки приложений политикой AppLocker
5) Добавлен русский язык справки
6) Исправлена ошибка, когда окно консоли задано больше, чем разрешается
7) Убрана возможность выделения в консоли, предотвращая случайную приостановку работы приложения
8) Зараженные файлы будут зашифрованы, перед добавлением в карантин
9) Добавлена команда --restore=<путь> для восстановления указанного файла из карантина

SHA256 aa6c783803c2e7140b8cb80e8d502504a19179b2e51bf0b0eb6879fd7530d566
SHA1 c4f0aaea89cefe24a47f0f460f0d0a9f5e5318af
MD5 6fd7ee0db3ce56d56451a7201acd9abd

1. Добавлено обнаружение запуска приложения из под архива
2. Добавлено корректное определение версии Windows
3. Исключена попытка случайно удалить легальный .bat скрипт
4. Исключена потеря списка вредоносных процессов из памяти, когда приложение аварийно закрывалось
5. Добавлено отключение установленных майнером сервисов (лучше будет удалять, но нужно больше тестов)
6. Добавлена проверка подписи файла из аргументов rundll32.exe и pcalua.exe, а не сами файлы
7. Исправлена ошибка "Доступ к этому файлу из системы отсутствует"
8. Исправлена недоработка, когда вредоносный файл удален, но выводится сообщение "No threats found"
9. Определение sfx архива в автозапуске
10. Восстановление службы удаленных рабочих столов и удаление RDP Wrapper
11. Опеределение исполняемого файла по сигнатуре, а не по расширению
12. Добавлен параметр --no-services для пропуска сканирования служб
13. Добавлен парамтре --full-scan для добавления всех дополнительных локальных дисков для сигнатурного сканирования
14. Добавлен параметр --scan-only. Отображать подозрительные или вредоносные объекты, но не выполнять лечение.

MD5 85af6247ca004be806eb08122b489745
SHA1 87c071c3a8d8329ea55c6498358208a2486c2e10
SHA256 6829bbcab2d347ca7c900960bce7be2c2e3a186f6a5f06ae7cb1b7f6d0abb073

1. Удаление новых блокируемых каталогов
2. Задан нормальный размер консоли по-умолчанию
3. Исправление ошибок

SHA256 498ce9762f6cca41d6eb2e4c3dba7649b0a20000b9ad0c2aa39e8b672c245c01
SHA1 27dbe0fa064ea18625f1927930e1dd36c33c4f75
MD5 4371c3a7cd736b8714afb417d6aa49a1

Пароль на архив: 1453

1) Повторное снятие ложного срабатывания антивирусов
2) Переработан алгоритм получения удаленного порта процесса (без netstat)
3) Лог файл записывается в каталог MinerSearch_Logs сканируемого диска, а не напрямую в корень
4) обновление / добавление новых сигнатур
5) Обновление ресурсов
6) Исправление мелких недоработок

SHA256 4dc91fc985c9071bbe9338daec8ac29d9fd2428afa6e07ac7c30e913db73408c
SHA1 174c976af49ccd53d58852347c494530c3389878
MD5 c346e4047b1602fecd7fa40cf015c1ed