Miner Search

Обсуждение Miner Search v1.4.7.4

Скачать
Обзор Обновления (17) История Обсуждение
akok написал(а):
Это норма, что рядом с утилитой распаковываются
Microsoft.Win32.TaskScheduler.dll и SilDev.CSharpLib64.dll?
Нажмите для раскрытия...
да нормально,
akok написал(а):
ОС так и осталась зараженной. Осталось понять почему.
Нажмите для раскрытия...
недавно встречал модификацию майнера bat файлом, который восстанавливает майнер после перезагрузки. Скрипт лежит где-то в ProgramData\Microsoft\ там же другие .exe файлы рядом. Может быть это она. А если сделать повторное сканирование?
 
BlendLog написал(а):
bat файлом, который восстанавливает майнер после перезагрузки.
Нажмите для раскрытия...
Это как раз эта версия.
BlendLog написал(а):
А если сделать повторное сканирование?
Нажмите для раскрытия...
Два раза прогнать утилитой? В промежутке систему перезагружать, безопасный или обычный режим?
 
Последнее редактирование:
BlendLog написал(а):
Тогда повторное сканирование на этой версии бессмыслено, сейчас работают над эти фиксом. Есть тестовая версия, она должна ликвидировать полностью
Нажмите для раскрытия...
Что с остальное реестром hLKM?)
Ведь , майнер может пересоздать и блокирует политику.
 
wumbo12 написал(а):
Что с остальное реестром hLKM?)
Ведь , майнер может пересоздать и блокирует политику.
Нажмите для раскрытия...
Найденный процесс майнера приостанавливается. Не удаляется из автозапуска потому, что есть риск удалить что-то лишнее. Политики на запуск удаляются все
 
BlendLog написал(а):
Найденный процесс майнера приостанавливается. Не удаляется из автозапуска потому, что есть риск удалить что-то лишнее. Политики на запуск удаляются все
Нажмите для раскрытия...
Нужно понимать схему структуру , когда запущенный , удаляет где точный путь его и где таков его находится , например
C:\programData\taskhostw.exe
А, registry
Computer\HKLM\SYSTEM_ROOT_MACHINE_\ProgramData\hostsw.exe - пример эти списки который входят в состав майнера и их не удаляет , но может пересоздана новая.

Единственный проблема , майнер снова воскресит и опять майнер будет закачены в следующий перезапуск системы.
 
Последнее редактирование модератором:
@wumbo12,Тут нужно действовать хитрее, по какой-то сигнатуре, имя файла может быть любым, он может быть где угодно
 
@BlendLog, отправил pull-запрос на добавление проверки ЭЦП по каталогу безопасности средствами WinAPI.
Маршаллинг на C# та ещё адская херь.

ЗЫ. Судя по поиску на github search такого на C# ещё никто не писал ))
 
Последнее редактирование:
Опцию "Allow unsafe code" кстати можно убрать из проекта, если стояла. Обошелся без неё.

И ещё мы с @Alex1983 обратили внимание, что у вас в манифесте секция compatibility есть, однако всё GUID-ы закомментированы, т.е. она не применяется. Может сказаться на корректной проверке Environment.OSVersion в некоторых сценариях, в т.ч. в коде ЭЦП, где юзается для выбора функций.
 
BlendLog добавил(а) новый ресурс:

Miner Search - Утилита для обнаружения и удаления скрытых майнеров

Программа разработанная для поиска и уничтожения скрытых майнеров.Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Основан на Miner Killer.
  • Улучшен процесс сканирования процессов;
  • Добавлено статическое сканирование каталогов;
  • Добавлена функция автоматической очистки от вредоносных каталогов;
  • Уничтожение вредоносных процессов (в том числе помеченные как критические)
  • Сканирование вредоносных...
Нажмите для раскрытия...

Узнать больше об этом ресурсе...
 
BlendLog обновил(а) ресурс Miner Search новой записью:

v1.4.1.0

  • Подтверждение очистки файла hosts теперь в сохращенном варианте
  • Доработан класс WinTrust для проверки цифровой подписи файлов без внешних зависимостей (thanx for Dragokas)
  • Добавлено полное восстановление прав на каталоги
  • Добавлены новые каталоги и процессы для сканирования
  • Поддержка x32-разрядных систем
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
BlendLog написал(а):
BlendLog обновил(а) ресурс Miner Search новой записью:

v1.4.1.0



Узнать больше об этом обновлении...
Нажмите для раскрытия...
Раз добавили поддержку x32 решил скачать и посмотреть. Только при попытке скачать из ресурсов меня опять перекинуло на гитхаб.
Я так понимаю вы указали внешнюю ссылку, а не залили файл сюда. В принципе конечно решать вам, но имхо, таки
1) Было бы зеркало, мало ли что.
2) На гитхабе не все сразу могут сообразить как надо скачать.
 
@regist, я хотел указать прямую ссылку, но подумал, что можно сразу на папку с релизом, чтобы ссылки не обновлять каждый раз. Хотя думаю вы правы
 
BlendLog написал(а):
@regist, я хотел указать прямую ссылку, но подумал, что можно сразу на папку с релизом, чтобы ссылки не обновлять каждый раз. Хотя думаю вы правы
Нажмите для раскрытия...
нет, вы меня не поняли. Я имел ввиду, что загрузить файл в ресурсы. То есть в ресурсах указать не ссылку на внешний сайт, а загрузить файл. И да, если выберете этот вариант, то при каждом обновлении там надо будет его вручную туда загружать, в случае если указать ссылку на внешний ресурс, то хлопот меньше.

Для примера посмотрите на ресурс с HiJackThis Fork.
Там также разработка на гитхабе, но релизы зеркалятся в ресурсы.

Имхо, указывать ссылку на внешний ресурс стоит:
1) Если автоматически обновляется каждый день. Как пример Автологер.
2) Размер ресурса больше допустимого, то есть физически в ресурсы его не загрузить.
 
Так же по коду не много не понятно зачем проверять белый цвет (или нет) если уже внесли сообщение?
Код: 
Console.ForegroundColor = LogLevel;
                Console.WriteLine(logMessage);
                Console.ForegroundColor = ConsoleColor.White;

                if (LogLevel == ConsoleColor.White)
                {
                    previousWhiteText = currentText;
                }
                if (LogLevel != ConsoleColor.White)
                {
                    previousNonWhiteText = currentText;
                }

Также в манифесте не раскоментировали ОС Виста. Вы это специально сделали?
 
Последнее редактирование:
regist написал(а):
1) Было бы зеркало, мало ли что.
Нажмите для раскрытия...
Действительно имеет смысл, т.к. в последнее время замечаю, что GitHub время от времени отваливается.
Часть страниц тупо пишут, что сервис уехал на отдых. И это не только из моей страны такая проблема.
 
Alex1983 написал(а):
Так же по коду не много не понятно зачем проверять белый цвет (или нет) если уже внесли сообщение?
Нажмите для раскрытия...
Иначе будут много дубликатов в логе типа этого
1684597778136.webp

Alex1983 написал(а):
Также в манифесте не раскоментировали ОС Виста. Вы это специально сделали?
Нажмите для раскрытия...
Да
 

Похожие темы

Dragokas
Обсуждение MidJourney
Ответы
9
Просмотры
128
Dragokas
Dragokas
akok
Обзор Обсуждение TCPView
Ответы
0
Просмотры
208
akok
akok
akok
Обзор и обсуждение SuperSU
Ответы
1
Просмотры
420
Phoenix
Phoenix
Назад
Сверху Снизу