Новая версия v1.4.7.4 [перезалив]

🔥🔥[HOTFIX]🔥🔥

11) Исправление некорректного чтения файла hosts
12) Корректное создание индентификатора устройства в логе
13) Улучшена обработка планировщика задач
14) Исправлено ложное срабатываение на легальный скрипт powershell (UnusedSmb1.ps1)
15) Добавлено удаление задачи руткита из планировщика задач
16) Улучшено обнаружение угроз, которые запускаются через RunDLL
17) Предположительно вредоносные файлы перемещаются в карантин
18) Легенда обозначений перемещена в начало лог-файла
19) Исправлено исчезнавение крестика "закрыть" в окне с кратким отчётом
20) Проверка установленной версии NET Framework 4.5.2 (для windows 7)

Читайте все изменения на гитхаб → https://github.com/BlendLog/MinerSearch/releases/tag/v1.4.7.4

Рекомендуется перекачать исправленную версию.

Пароль также: 1474
Извлекайте весь архив!

Информация для тех, у кого может не работать MSI Center после майнера. Возможно Quick CPU и Speedfan

Краткое руководство → Отказано в доступе при запуске MSI Center, Speedfun, Quick CPU после майнера

🔥🔥[HOTFIX]🔥🔥

...
11) Исправление некорректного чтения файла hosts
12) Корректное создание индентификатора устройства в логе
13) Улучшена обработка планировщика задач
14) Исправлено ложное срабатываение на легальный скрипт powershell (UnusedSmb1.ps1)
15) Добавлено удаление задачи руткита из планировщика задач
16) Улучшено обнаружение угроз, которые запускаются через RunDLL
17) Предположительно вредоносные файлы перемещаются в карантин
18) Легенда обозначений перемещена в начало лог-файла
19) Исправлено исчезнавение крестика "закрыть" в окне с кратким отчётом
20) Проверка установленной версии NET Framework 4.5.2 (для windows 7)

[микропатч]
21) Исправлено зависание окна с кратким отчётом
22) Исправлено ошибка создания отчёта при первом запуске

Рекомендуется перекачать исправленную версию.

Пароль также: 1474
Извлекайте весь архив!

Итак, статистика найденных угроз за неделю.

Realtek HD Audio - самый въедливый и самый распространенный. В основном попадает через пиратские сборки Microsoft Office и KMS активатор.

Семейство Updater.exe - он же прячется под обновления хрома, но также бывает и под Edge. Попадает через репаки программ, таки как Adobe Photoshop с непроверенных источников. Возможно другие похожие приложения.

Семейство print.exe - Очень хитрый майнер, найти бывает сложно, но MinerSearch пока с ним справляется. Откуда он появляется не могу сказать.

Jedist - редкий и довольно неприятный майнер. Найти непросто, а удалить ещё сложнее. MinerSearch находит, но алгоритмы могут давать сбой и удаляется не всегда корректно. Рекомендую проверить в C:\ProgramData\ нет ли там AUX и NUL. Если есть, значит он уже побывал в системе.

И спасибо всем, что делитесь отчётами о найденных угрозах. Это помогает выявлять ошибки быстрее и ускоряет выпуск новых версий.

Друзья, у многих были замечены вредоносы, которые ранее не встречались в моей практике. Рядом с приложением MinerSearch по-умолчанию создается папка с карантином (даже если угроз не было).

Архивируйте папку в .7z или .RAR с паролем infected и отправляйте на почту infected.files@list.ru (пустую конечно же не надо). Это поможет изучить ранее неизвестные угрозы и повысить качество приложения. В теме письма укажите "Карантин MinerSearch", письма без темы приниматься не будут!

Для всех желающих сказать "Cпасибо":
Boosty: https://boosty.to/blendlog/donate
Юмани: 4100 1161 1264 0968
Сбер: 2202 2080 4242 1512
TON и USDT: UQBw3htVV8uMW6lugGryttzR50GbBeSSMCsFoHCQjq75JiPl

Обнова на этой неделе

✅Новая версия v.1.4.7.5 [с патчем]

- Более объективное удаление угроз
- Добавлено предложение перезагрузить компьютер, если не все угрозы были устранены с первого раза.
- Минимизировано удаление блокировки телеметрии в hosts
- Устранены ошибки при разблокировке каталогов установленных приложений
- Минимизирована попытка отключить критически важные службы (выводится предупреждение)
- Исключена попытка удалить легальный инструмент для анализа файлов (т.н. Detect It Easy)
- Исключена попытка удалить несуществующий вредоносный каталог на диске
- Исправлено удаление несуществующего вредоносного подраздела в реестре
- Более тщательная проверка системных процессов
- Анализ файлов выполняется быстрее
- Устранен некорректный сбор журналов найденных угроз на Win 8.1 (не поддерживается на Windows 7)
- Исправление других мелких недоработок


Для работы приложения требуется NET Framework 4.7.1 !
Скачать на гитхаб -> ссылка

Пароль на архив: 1475

Используйте WinRAR или 7z

✅Микро-обновление MinerSearch

1) Предупреждение перед очисткой файла hosts с возможностью выбора
2) Обработка каталогов с неразрывным пробелом
3) Исправлено некорректное удаление каталога вредоносной версии RDPWrapper
4) Исправлено ложное срабатывание на легальный файл svchost при проверке служб
5) Исправлена попытка завершить вредоносный процесс, который не выполняется

Версия с исправлениями уже доступна для скачивания здесь или на github

Пароль также: 1475

Друзья, у кого наблюдаются проблемы с ютубом, выпустил ролик по теме канала на Rutube. Давайте поднажмём и наберём побольше 👍 для продвижения ролика в массы!

Rutube -> https://rutube.ru/shorts/970091bf0724a64a1f43b21b50c7b3a6/
Youtube -> https://www.youtube.com/shorts/L1IuSDbNato

Исправляем ошибку "Вызывающая сторона не обладает всеми необходимыми правами доступа"

Проблема заключаеся в том, что ни один пользователь, включая администратора, не имеет прав на "Отладку программ". Как её включить читать тут → https://teletype.in/@blendlog/5BZk6SX19DK

Странные файлы в автозапуске. Что это?

Это не вирус, это идентификация игры и устройства steam.
Первый пункт с цифрой - это счётчик входов в игру. Второй - это идентификатор устройства. Место для счётчика странное, согласен, но они никаких исполняемых файлов не запускают. Так что не стоит переживать👍

✅ MinerSearch v1.4.7.6

1) Устранено сообщение "Запрос выполнен частично" при проверке на руткит и без него
2) Исправлен парсинг путей для rundll в WindowsPowerShell и с ключом /d
3) Исправлено некорректное число удаленных строк в hosts (включая подозрительные)
4) Добавлена проверка обновлений (на github)
5) Минимизировано кол-во ошибок при скачивании обновлений Windows
...
Полный список список изменений смотрите на github

Пароль на архив: 1476

Мне всё чаще стали поступать сообщения о том, что утилита находит майнер, маскирующийся под dwm.exe, но не устраняет его полностью. Так как обновление будет не скоро, вы можете попробовать устранить угрозу самостоятельно.

Для этого нужно открыть командную строку (терминал) от администратора и пишем

sc.exe qc DrvSvc 

если получаем сообщение служба не установлена - угрозы нет. В противном случае, нам напишет несколько строк, нас интересует имя двоичного файла, там и зараза и лежит. Не закрывая терминал, достаточно удалить этот файл. Затем в терминале пишем

sc.exe delete DrvSvc

Это команда удалит вредоносную службу. Перезагружаем компьютер и проблема должна исчезнуть.

Не заметил как на канале набралось уже более 400 подписчиков. Спасибо за вашу поддержку! ❤️

✅ 🔥 MinerSearch v1.4.7.7

1) Добавлена форма с кратким отчётом, в которой перечислены какие именно угрозы были устранены
2) добавить сообщение "проверка обновлений..." перед сканированием
3) Исправлен парсинг задач, включающих rundll
4) Исправлено замирание рабочего стола на некоторых системах
...
Подробнее смотрите на github

Для работы приложения извлекайте архив полностью!

Пароль на архив: 1477

Друзья, не игнорируйте уведомление об обновлениях. По возможности обновляйтесь до новой версии, на текущий момент это 1.4.7.7. Около 30% пользователей имеют устаревшую версию 1.4.7.6, которая устраняет не все найденные угрозы, не говоря о тех, у кого по прежнему 1.4.7.5 и ниже.

Рассказываю как восстановить файлы из карантина

1) Открыть консоль (cmd)
2) С зажатым shift + правый клик по приложению MinerSearch – выбрать "копировать как путь"
3) Вставить в консоль правым кликом путь до MinerSearch и через пробел дописать --open-quarantine или -q

"D:\Path\To\MinerSearch.exe" -q

Откроется карантин, где достаточно нажать кнопку восстановить напротив нужного файла

MinerSearch v1.4.7.71 HOTFIX 🔥

1) Добавлена кнопка "Карантин" на итоговом окне с отчётом.
2) Изменена стратегия перемещения файлов в карантин и восстановление из него. Опция "--restore" неактуальна, используйте -q или --open-quarantine для открытия карантина.
3) Вероятность ошибочно удалить незараженный файл снижена до 98%
4) Больше информации об обнаруженных угрозах в итоговом окне. Также угрозы теперь отображаются в режиме "Только сканирование" (--scan-only)
5) Возвращено отображение разрядности системы
6) Исправление других мелких багов

Пароль на архив: 14771

Для корректной работы приложения извлекайте ВЕСЬ архив!

Требуется установленный NET Framework 4.7.1