Miner Search

Обсуждение Miner Search v1.4.7.4

Скачать
Обзор Обновления (17) История Обсуждение
Версия v1.4

  • Переработан алгоритм проверки и удаления вредоносных каталогов / файлов
  • Добавлена проверка планировщика задач
  • Переработать алгоритм парсинга пути приложения в автозапуске из реестра
  • Добавлена проверка, действительно ли процесс приостановлен
  • Добавлена функция переименования вредоносных файлов процессов
  • Добавлен вызов справки --help
  • Переработана проверка цифровой подписи
  • Текст в логе теперь не дублируется
  • Исправлен баг, когда входная строка имела неверный формат
  • Добавлена проверка родительского процесса
 
У меня не запустилось, похоже на 32-х разрядных ОС просто не работает :(.
 
Интересненько, WinVerifyTrust, который вызывает внешнюю либу, которая вызывает PowerShell апплет :), который почему то сертификаты умеет проверять на Windows 10, а на Windows 7 почему-то выдаёт ложь.
github.com

CSharpLib/FileEx.cs at a8f5f56c02c6d79033d932d674a8738309febe3f · SilDev/CSharpLib

:books: Si13n7 Dev.™ CSharp Library. Contribute to SilDev/CSharpLib development by creating an account on GitHub.
github.com github.com

Код: 
if (WinTrust.VerifyEmbeddedSignature(path) != WinVerifyTrustResult.Error)
                        {
                            WinTrust.VerifyEmbeddedSignature(path);
                        }
А он разве не будет в лог двоить одно и то же? (т.к. код логирования внутри самой VerifyEmbeddedSignature)
 
regist написал(а):
а в первом сообщение в системных требованиях это не указано. И почему решили оставить без лечения таких пользователей как я?
Нажмите для раскрытия...
Сколько удалял майнеров, ни разу не видел, чтобы он был 32 бита. Оф версии Xmrig, gminer, nbminer и их модификации под троян сами 64 бит, поэтому было решено не делать 32-бита.
Dragokas написал(а):
WinVerifyTrust, который вызывает внешнюю либу, которая вызывает PowerShell апплет
Нажмите для раскрытия...
Да, такой вот костыль. Если внутренней подписи нет, нужно проверить, а действительно ли нет подписи. Насчёт Win 7, тут да, моё упущение.
Dragokas написал(а):
А он разве не будет в лог двоить одно и то же? (т.к. код логирования внутри самой VerifyEmbeddedSignature)
Нажмите для раскрытия...
Лог всё равное идет через класс Logger, где проверяется предыдущее сообщение. Поскольку список процессов и задач планировщика отсортированы, то одинаковых строк нет. Но под капотом всё равно проверяются все процессы, т.к. в один из них может быть инжект, тот же svchost например, а "расположение файла" ссылается на нормальный путь.
 
Сколько удалял майнеров, ни разу не видел, чтобы он был 32 бита.
Нажмите для раскрытия...
Местный раздел лечения говорит об обратном ;). Да и далеко ходить не надо, даже этот майнер который создаёт папки антивирусов (если отбросить протектор который появился в некоторых версиях) также прекрасно заражает x32.

В любом случае о подобных ограничениях своей утилиты надо предупреждать.
 
Последнее редактирование:
regist написал(а):
Местный раздел лечения говорит об обратном ;). Да и далеко ходить не надо, даже этот майнер который создаёт папки антивирусов (если отбросить протектор который появился в некоторых версиях) также прекрасно заражает x32.

В любом случае о подобных ограничениях своей утилиты надо предупреждать.
Нажмите для раскрытия...
Понял
 
@BlendLog, вы можете собрать приложение в конфигурации "Any CPU" (там где вы выбираете конфигурацию разрядности) и оно сможет запускаться как на x32, так и на x64 ОС.
 
@Dragokas, тогда мне нужно взять библиотеку SilDev под x32. Хотя, если починить проверку подписи, то она будет не нужна.
 
А зачем вам вообще эта библиотека. Там код из буквально одной строчки - вызов команды Powershell.
Сегодня посмотрю, может удастся отдебажить WinAPI-шный вариант.
 
Dragokas написал(а):
А зачем вам вообще эта библиотека. Там код из буквально одной строчки - вызов команды Powershell.
Нажмите для раскрытия...
Действительно. Но ничего страшного в том, что будет плодится куча процессов powershell во время проверки?
 
Там вроде задействован способ без спауна процесса Powershell.
 
А можно сделать, чтоб принималось сокращенные варианты (y и n)?
1684507241369.png


Это норма, что рядом с утилитой распаковываются
Microsoft.Win32.TaskScheduler.dll и SilDev.CSharpLib64.dll?

Майнер taskhost утилита не берет. Во вложении логи после прогона.
 

Вложения

@akok, написано что удалено
просто перед тем как удалить, идёт попытка переименовывания, чтобы планировщик задач не запустил второй экзепляр, затем удаляет
 
Добрый день!
Ваш утилита не удаляется следы HLKM реестров за след ним , которые связян с майнером.
 

Похожие темы

Dragokas
Обсуждение MidJourney
Ответы
9
Просмотры
129
Dragokas
Dragokas
akok
Обзор Обсуждение TCPView
Ответы
0
Просмотры
211
akok
akok
akok
Обзор и обсуждение SuperSU
Ответы
1
Просмотры
423
Phoenix
Phoenix
Назад
Сверху Снизу