Друзья, вот и финишная прямая 2024 года. Спасибо вам всем за помощь и поддержку, идеи и вдохновения! Пусть в 2025 году будет больше положительных и ярких моментов. До встречи в следующем году, будет ещё круче!
С Новым годом!🎄🥳
С Новым годом!🎄🥳
Друзья, ориентировочно обновление выйдет 31 января. На текущий момент идёт разработка и тестирование.
❗️Анализ более чем 4000 журналов показал наличие вредоносной версии Steam
Как выяснилось, это не майнер, а бэкдор, злоупотребляющий приложениями на основе Electron.
В одном из похожих примеров попадался Microsoft Teams с действительной подписью. Уязвимое приложение прописывало себя в автозапуск, вызывая вредоносный код, который встраивался в легитимное системное ПО, чтобы как можно дольше оставаться невидимым для антивирусов и других защитных решений. Друзья, проверьте у себя, есть ли у вас нечто похожее и срочно удалите (весь каталог).
Список вредоносных файлов и каталогов
Рекомендуется включить показ скрытых и системных файлов, так как версия с Microsoft.exe изначально имеет скрытый аттрибут.
Как выяснилось, это не майнер, а бэкдор, злоупотребляющий приложениями на основе Electron.
В одном из похожих примеров попадался Microsoft Teams с действительной подписью. Уязвимое приложение прописывало себя в автозапуск, вызывая вредоносный код, который встраивался в легитимное системное ПО, чтобы как можно дольше оставаться невидимым для антивирусов и других защитных решений. Друзья, проверьте у себя, есть ли у вас нечто похожее и срочно удалите (весь каталог).
Список вредоносных файлов и каталогов
C:\Program Files\Client Helper\Client Helper.exe
C:\Users\****\AppData\Local\Programs\Common\OneDriveCloud\taskhostw.exe (или Microsoft.exe)
C:\Users\****\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe
C:\Users\****\AppData\Local\clienthelper-updater\
C:\Users\****\AppData\Local\torrentpro-updater\
C:\Program Files\qBittorrentPro\qBittorrentPro.exe
C:\ProgramData\DiagnosisSync\current\Microsoft.exe
Рекомендуется включить показ скрытых и системных файлов, так как версия с Microsoft.exe изначально имеет скрытый аттрибут.
MinerSearch_v1.4.7.8.rar
630.4 KB
Новая версия v1.4.7.8 🔥
- Поиск и удаление новых майнеров, в том числе nanominer
- Добавлена кнопка "Поддержать проект" на форме с отчетом
- Добавлена возможность вручную разрешать или запрещать отправку результатов проверки разработчику
- Опция --full-scan теперь позволяет сканировать весь системный раздел, не только указанные по-умолчанию каталоги
- Добавлена опция --verbose для подробных сведений о процессах, а также запись в лог строки с файлами, не признанными вредоносными
- Добавлен параметр --run-as-system для запуска приложения с правами системы
- Добавлена опция --select, которая позволит сканировать только выбранный каталог, включая вложенные каталоги
- Корректная работа с опцией --scan-only
- Добавлен каталог C:\Users\ для сканирования
- добавлена краткая форма параметров запуска (смотрите в --help \ -h)
...
Полный список изменений доступен на github
Пароль на архив: 1478
Используйте сторонний архиватор. Распаковывайте архив полностью!
- Поиск и удаление новых майнеров, в том числе nanominer
- Добавлена кнопка "Поддержать проект" на форме с отчетом
- Добавлена возможность вручную разрешать или запрещать отправку результатов проверки разработчику
- Опция --full-scan теперь позволяет сканировать весь системный раздел, не только указанные по-умолчанию каталоги
- Добавлена опция --verbose для подробных сведений о процессах, а также запись в лог строки с файлами, не признанными вредоносными
- Добавлен параметр --run-as-system для запуска приложения с правами системы
- Добавлена опция --select, которая позволит сканировать только выбранный каталог, включая вложенные каталоги
- Корректная работа с опцией --scan-only
- Добавлен каталог C:\Users\ для сканирования
- добавлена краткая форма параметров запуска (смотрите в --help \ -h)
...
Полный список изменений доступен на github
Пароль на архив: 1478
Используйте сторонний архиватор. Распаковывайте архив полностью!
Please open Telegram to view this post
VIEW IN TELEGRAM
Кратко об обновлении, как скачать, как запустить выборочную проверку (и не только). Не забудьте поставить 👍 для продвижения ролика. Спасибо!
YouTube
Обновление MinerSearch. Что нового? #shorts #windows #вирус #майнер
Обновление уже доступно для скачивание! Ссылки в закрепленом комментарии.
Друзья, следует кое-что пояснить: у всех, у кого приложение находит в реестре один единственный
P.S. У кого постоянно находит и удаляет руткит → отзовитесь.
MinimumStackCommitInBytes для svchost.exe - безвреден и помечается как "Подозрительный", ошибочно принятый за угрозу. Это стандартный параметр, установленный самой системой, его присутствие, как и удаление ни на что не влияет. Если таких значений в отчёте встречается много (не только для svchost.exe), то это другой вопрос. В случае единственного обнаружения переживать не стоит. P.S. У кого постоянно находит и удаляет руткит → отзовитесь.
MinerSearch_v1.4.7.81.rar
631 KB
✅ Миниобновление v1.4.7.81 [с патчем]
- Устранено ложное срабатывание на MinimumStackCommitInBytes для svchost.exe
- Устранение ошибки "Файл или папка повреждены"
- Удаление новых задач планировщика с рекламным и вредоносным ПО
- Более точное определение удаленного порта в аргументах командной строки
- Улучшена стратегия блокировки вредоносных процессов
- Улучшена стратегия разблокировки каталогов и файлов
- Добавлена обработка исключения при удалении заблокированных майнером каталогов, когда каталог заблокирован Защитником Windows
- Добавлена опция --silent, которое включает тихий (фоновый) режим без диалоговых окон. Приложение переходит в фоновый режим, сообщения не отображаются, но по-прежнему записываются в лог. Несовместимо с параметрами --select или --winpemode.
- Обновление оффлайн базы данных сигнатур
- Исправлена система логгирования
Пароль на архив: 14781
Для корректной работы приложения требуется распаковать ВЕСЬ архив!
Скачать на github
- Устранено ложное срабатывание на MinimumStackCommitInBytes для svchost.exe
- Устранение ошибки "Файл или папка повреждены"
- Удаление новых задач планировщика с рекламным и вредоносным ПО
- Более точное определение удаленного порта в аргументах командной строки
- Улучшена стратегия блокировки вредоносных процессов
- Улучшена стратегия разблокировки каталогов и файлов
- Добавлена обработка исключения при удалении заблокированных майнером каталогов, когда каталог заблокирован Защитником Windows
- Добавлена опция --silent, которое включает тихий (фоновый) режим без диалоговых окон. Приложение переходит в фоновый режим, сообщения не отображаются, но по-прежнему записываются в лог. Несовместимо с параметрами --select или --winpemode.
- Обновление оффлайн базы данных сигнатур
- Исправлена система логгирования
Пароль на архив: 14781
Для корректной работы приложения требуется распаковать ВЕСЬ архив!
Скачать на github
MinerSearch_v1.4.7.82.rar
637.7 KB
- Исправлен баг, при которой часть каталогов удалялось не полностью
- Добавлена блокировка файлов служб и файлов из планировщика задач, если таковой файл считается зараженным
- Удаление новой версии майнера с действительной подписью
- Удаление поддельной задачи MS Teams
- Улучшен алгоритм обработки параметра Debugger в реестре
- Опцимизация системы ведения логов
- Исправить ошибку "Нет процессов связанных с этим объектом" при удалении руткита
- Скорректирована обработка путей запущенных процессов (Razer Synapse больше не выдаёт ошибку)
- Добавлен отсутствующий локализованный ресурс _ErrorCheckingLock
- Устранено пустое окно, если обнаружено множество служб с недействительной подписью
- Обработка задач с pcalua.exe теперь выдает предупреждение, если файл отсутствует
- Исправлено ложное срабатывание на службы принтера HP, Xerox и другие
- Принудительное удаление вредоносного ключа tektonit
Пароль на архив: 14782
Для корректной работы приложения требуется распаковать ВЕСЬ архив!
Please open Telegram to view this post
VIEW IN TELEGRAM
Друзья, нас уже 2000! Это приятно. Канал растёт, и это не просто цифра, а реальный стимул делать лучше. Готовлю обновление с новыми фичами. Спасибо вам за интерес, внимание и доверие. А если захочется отблагодарить не только добрым словом – в приложении есть кнопочка "Поддержать проект". Она не кусается )) Всем добра!
УЖЕ 3000 😳😨 Ну вы даёте😅
Вы лучшие!🔥 🔥 🔥
Вы лучшие!
Please open Telegram to view this post
VIEW IN TELEGRAM
MinerSearch_v1.4.7.9.rar
660.3 KB
Загрузить с github
1) Реализовано удаление 8 новых вариантов угроз
2) Добавлена кнопка "Свернуть" в форме краткого отчёта
3) Изменён числовой уровень риска на категориальный
4) Добавлен механизм очистки исключенных расширений в Windows Defender
5) Реализовано удаление задач автозапуска с подозрительно длинными параметрами
6) Добавлена очистка задач планировщика, использующих сторонние исполняемые среды (JVM)
7) Исправлена некорректная классификация V2RayN
8) Повышена стабильность обработки служб NVIDIA
9) Повышена стабильность обработки файлов при сигнатурном анализе
10) Исправлен баг генерации пустых отчётов
11) Улучшено выявление заблокированных доверенных сайтов через hosts
12) Исправлен визуальный баг на форме с кратким отчётом, где отображался неточный путь нейтрализованной службы
13) Улучшена навигация в менеджере карантина
Пароль на архив: 1479
Для корректной работы необходимо распаковать ВСЕ файлы!
Используйте для распаковки сторонний архиватор WinRAR или 7zip
Please open Telegram to view this post
VIEW IN TELEGRAM
MinerSearch_v1.4.7.91.rar
664.9 KB
✅ [Патч] MinerSearch v1.4.7.91
- Устранён сбой приложения при ошибках чтения файлов и каталогов
- Исправлен визуальный баг неверного количества найденных угроз
- Улучшен алгоритм определения подозрительных файлов
- Повышена стабильность обработки сторонних сетевых служб
- Добавлен функционал переключения языка. Создайте language.cfg (содержимое должно быть RU или EN)
- Устранённые ограничения Windows Defender больше не дублируются в лог
- Добавлен аргумент --no-check-hosts - пропускает проверку файла hosts
- Добавлен ключ-идентификатор на форму общих сведений для быстрой обработки отчётов (подробнее здесь)
- Реализован механизм разблокировки диспетчера задач и редактора реестра
- Нормальный цвет кнопки Свернуть
Для распаковки архива используйте WinRAR или 7zip.
Пароль на архив: 14791
- Устранён сбой приложения при ошибках чтения файлов и каталогов
- Исправлен визуальный баг неверного количества найденных угроз
- Улучшен алгоритм определения подозрительных файлов
- Повышена стабильность обработки сторонних сетевых служб
- Добавлен функционал переключения языка. Создайте language.cfg (содержимое должно быть RU или EN)
- Устранённые ограничения Windows Defender больше не дублируются в лог
- Добавлен аргумент --no-check-hosts - пропускает проверку файла hosts
- Добавлен ключ-идентификатор на форму общих сведений для быстрой обработки отчётов (подробнее здесь)
- Реализован механизм разблокировки диспетчера задач и редактора реестра
- Нормальный цвет кнопки Свернуть
Для распаковки архива используйте WinRAR или 7zip.
Пароль на архив: 14791
Друзья, пришла пора разбавить посты с обновами чем-то новым 😎
Делюсь с вами опенсорным чистым от вирусов вариантом по разблoкирoвке Discord / YouTube для новичков. Никаких командных строк и консолей.
1) Скачали ⬇️
2) Установили ✅
3) Запустили 🚀
4) Радуемся 😄
Какие фичи предлагаются:
1) Автоматическое обновление конфигов
2) Быстрая смена стратегий
3) Разблокировка ChatGPT, Google Gemini, Spotify и других сервисов
4) Возможность прописать кастомные DNS сервера
Всё просто, быстро и понятно.
Делюсь с вами опенсорным чистым от вирусов вариантом по разблoкирoвке Discord / YouTube для новичков. Никаких командных строк и консолей.
1) Скачали ⬇️
2) Установили ✅
3) Запустили 🚀
4) Радуемся 😄
Какие фичи предлагаются:
1) Автоматическое обновление конфигов
2) Быстрая смена стратегий
3) Разблокировка ChatGPT, Google Gemini, Spotify и других сервисов
4) Возможность прописать кастомные DNS сервера
Всё просто, быстро и понятно.
Please open Telegram to view this post
VIEW IN TELEGRAM
Итак, друзья, с момента первой публикации по майнерам прошло достаточно много времени и пора её освежить.
1) Всё также лидирует John майнер (он же Realtek HD Audio) - да, тот самый, который закрывает вам браузер при попытке скачать антивирус или нагуглить какую-то информацию как от него избавиться. О том, как стараться его не ловить, уже был пост
2) Далее, очень внезапно появился nanominer. Думаю многи уже о нём слышали - много чего запрещает, сам восстанавливается. Сложно удалить руками, если не знать в каком порядке удалять. Больше про него рассказать нечего.
3) Третья категория "Семейство DrvSvc/STXService" - не такой въедливый, но неприятен тем, что его не может проглотить не один антивирус в силу своей громоздкости.
4) На четвертом месте догоняют майнеры из семейства dialer.exe. Встречается реже, но сложнее обнаружить глазами. Умеет скрывать свои файлы, процессы, а также присутствие в автозагрузке. Некоторые модификации этого майнера не скрывают своё присутствие, а нагло жрут ресурсы процессора или видеокарты. При попытке закрыть такой процесс получаем синий экран. Такие дела. Если у вас через какой-то время выдаёт bsod с кодом CRITICAL_PROCESS_DIED - это может быть признаком такого майнера.
5) Gang Miner - новый майнер, предположительно проводимой группой 8220 Gang эксплуатируя валидный файл АddInPrоcеss.
6) Fake uttorent - наверно самый хитрый майнер, использущий нестандартные пути автозапуска, а также механизм самовосстановления, когда система закончила установку обновлений. Очень неприятным моментом стало то, что установщик этого майнера (фейковый utorrent) был подписан доверенным сертификатом, чтобы гарантированно избежать обнаружения антивирусами. встречается менее чем 1% случаев. К этому времени сертификат уже отозван и нормально детектируется известными брендами коммерческих антивирусов.
7) Из интересных майнеров можно выделить Fake sandboxie и relativeHost. Тут злоумышленники проявили немного креативности и проэксплуатировали настоящие с подписью Microsoft файлы, а также службу Sandboxie – это такая песочница, для безопасного запуска приложений, где можно будет откатить состояние, если что-то пойдет не так. Служба также имеет подпись и поэтому не все антивирусы могут заметить подмену.
Про остальные майнеры особо сказать нечего, так как встречались крайне редко и были мало изучены. Имеются +- похожие поведения, нагрузка на железо, когда ничего тяжелого не запущено, закрываются при открытом диспетчере задач и прочее. И как бы на этом всё.
Удачи всем, друзья, и всех с наступающим Днём победы!
1) Всё также лидирует John майнер (он же Realtek HD Audio) - да, тот самый, который закрывает вам браузер при попытке скачать антивирус или нагуглить какую-то информацию как от него избавиться. О том, как стараться его не ловить, уже был пост
2) Далее, очень внезапно появился nanominer. Думаю многи уже о нём слышали - много чего запрещает, сам восстанавливается. Сложно удалить руками, если не знать в каком порядке удалять. Больше про него рассказать нечего.
3) Третья категория "Семейство DrvSvc/STXService" - не такой въедливый, но неприятен тем, что его не может проглотить не один антивирус в силу своей громоздкости.
4) На четвертом месте догоняют майнеры из семейства dialer.exe. Встречается реже, но сложнее обнаружить глазами. Умеет скрывать свои файлы, процессы, а также присутствие в автозагрузке. Некоторые модификации этого майнера не скрывают своё присутствие, а нагло жрут ресурсы процессора или видеокарты. При попытке закрыть такой процесс получаем синий экран. Такие дела. Если у вас через какой-то время выдаёт bsod с кодом CRITICAL_PROCESS_DIED - это может быть признаком такого майнера.
5) Gang Miner - новый майнер, предположительно проводимой группой 8220 Gang эксплуатируя валидный файл АddInPrоcеss.
6) Fake uttorent - наверно самый хитрый майнер, использущий нестандартные пути автозапуска, а также механизм самовосстановления, когда система закончила установку обновлений. Очень неприятным моментом стало то, что установщик этого майнера (фейковый utorrent) был подписан доверенным сертификатом, чтобы гарантированно избежать обнаружения антивирусами. встречается менее чем 1% случаев. К этому времени сертификат уже отозван и нормально детектируется известными брендами коммерческих антивирусов.
7) Из интересных майнеров можно выделить Fake sandboxie и relativeHost. Тут злоумышленники проявили немного креативности и проэксплуатировали настоящие с подписью Microsoft файлы, а также службу Sandboxie – это такая песочница, для безопасного запуска приложений, где можно будет откатить состояние, если что-то пойдет не так. Служба также имеет подпись и поэтому не все антивирусы могут заметить подмену.
Про остальные майнеры особо сказать нечего, так как встречались крайне редко и были мало изучены. Имеются +- похожие поведения, нагрузка на железо, когда ничего тяжелого не запущено, закрываются при открытом диспетчере задач и прочее. И как бы на этом всё.
Удачи всем, друзья, и всех с наступающим Днём победы!
MinerSearch_v1.4.7.92.rar
658.7 KB
✅MinerSearch v1.4.7.92 [патч]
- Улучшение правил обработки процессов
- Обнаружение и удаление новых майнеров
- Исправлена некорректная классификация адреса copilot в файле hosts
- Исправлено кратковременное зависание при формировании отчётов на форме кратких сведений по угрозам
- Больше сведений о задачах планировщика с опцией --verbose
- Другие мелкие исправления
Пароль на архив: 14792
- Улучшение правил обработки процессов
- Обнаружение и удаление новых майнеров
- Исправлена некорректная классификация адреса copilot в файле hosts
- Исправлено кратковременное зависание при формировании отчётов на форме кратких сведений по угрозам
- Больше сведений о задачах планировщика с опцией --verbose
- Другие мелкие исправления
Пароль на архив: 14792
Друзья, небольшая важная информация
Этот тип майнера стал умнее и, если вы снова наблюдаете появляение updater.exe в фейковой папке с chrome, проверьте систему в безопасном режиме и проблема уйдёт.
Этот тип майнера стал умнее и, если вы снова наблюдаете появляение updater.exe в фейковой папке с chrome, проверьте систему в безопасном режиме и проблема уйдёт.
Друзья, привет!
Бывали ситуации, когда вы могли наблюдать такую картину: каталоги, чаще всего добавленные зловредом, в исключениях Защитника Windows не удаляются. Если стоит другой антивирус, то можно проигнорировать, но если напрягает ненулевое количество угроз, рассказываю что делать в таком случае.
Сразу оговорюсь, что эти угрозы не являются прямым доказательством наличия зловреда в системе и имеет косвенный вред, если вирус каким-либо образом узнает, какие каталоги Защитник на проверяет.
1. Первый самый простой способ, запустить сам Защитник → Защита от вирусов и угроз → Управление настройками → Добавление или удаление исключений → Выбрать исключение, нажимаете стрелочку, удалить.
2. Второй способ, запустить powershell от администратора, временно отключить в защитнике "защиту от подделки" и выполнить для каждого исключения в powershell комаду
3. И, если ничего не помогает, третий способ - воспользоваться сторонней утилитой NSudo (перед этим желательно сделать точку восстановления). Скачиваем архив, распаковываем в пустую папку, NSudo Launcher → x64 → NSudoLG.exe. Запускаем, выбираем в выпадающем меню пользователя TrustedInstaller, ставим галочку Enable All privileges, в поле Open вписываем regedit, переходим в ветку
И на этом всё, обычно перезагрузка не требуется.
Бывали ситуации, когда вы могли наблюдать такую картину: каталоги, чаще всего добавленные зловредом, в исключениях Защитника Windows не удаляются. Если стоит другой антивирус, то можно проигнорировать, но если напрягает ненулевое количество угроз, рассказываю что делать в таком случае.
Сразу оговорюсь, что эти угрозы не являются прямым доказательством наличия зловреда в системе и имеет косвенный вред, если вирус каким-либо образом узнает, какие каталоги Защитник на проверяет.
1. Первый самый простой способ, запустить сам Защитник → Защита от вирусов и угроз → Управление настройками → Добавление или удаление исключений → Выбрать исключение, нажимаете стрелочку, удалить.
2. Второй способ, запустить powershell от администратора, временно отключить в защитнике "защиту от подделки" и выполнить для каждого исключения в powershell комаду
Remove-MpPreference -ExclusionPath "C:\путь". Вместо слова "путь", указать фактический путь из списка3. И, если ничего не помогает, третий способ - воспользоваться сторонней утилитой NSudo (перед этим желательно сделать точку восстановления). Скачиваем архив, распаковываем в пустую папку, NSudo Launcher → x64 → NSudoLG.exe. Запускаем, выбираем в выпадающем меню пользователя TrustedInstaller, ставим галочку Enable All privileges, в поле Open вписываем regedit, переходим в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths и удаляем справа все нежетальные исключения. Закрываем обе программы. И на этом всё, обычно перезагрузка не требуется.