Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

ver. 2.2.0.26
Код:
[___________________  Подозрительные ( низкий риск )  ____________________]

-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2017\Visual Studio Tools\Developer Command Prompt for VS 2017.lnk"       -> ["C:\WINDOWS\system32\cmd.exe"  =>> /k "C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat"] -> ¶ ¶ @if NOT "%VSCMD_DEBUG%" GEQ "3" @echo off¶ ¶ @REM If in debug mode, we want to log the environment variable state¶ @REM prior to VSDevCmd.bat being executed. This is disabled by default¶ @REM and is enabled by setting [VSCMD_DEBUG] to some value.¶ if "%VSCMD_DEBUG%" NEQ "" (¶         @echo [DEBU (8470 байт.) (cp: 20127) (MD5:3D446536128C3B32CB8896377CB95352)
-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2017\Visual Studio Tools\Командная строка разработчика для VS 2017.lnk"  -> ["C:\WINDOWS\system32\cmd.exe"  =>> /k "C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat"] -> ¶ ¶ @if NOT "%VSCMD_DEBUG%" GEQ "3" @echo off¶ ¶ @REM If in debug mode, we want to log the environment variable state¶ @REM prior to VSDevCmd.bat being executed. This is disabled by default¶ @REM and is enabled by setting [VSCMD_DEBUG] to some value.¶ if "%VSCMD_DEBUG%" NEQ "" (¶         @echo [DEBU (8470 байт.) (cp: 20127) (MD5:3D446536128C3B32CB8896377CB95352)
Вроде всё нормально предупреждает, но как-то глаз режет...
 
Спасибо за лог. Это новая версия Studio. Нужно пополнить базу.
 
@BORODA(C), пришлите, пожалуйста в архиве файл C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

2.2.0.27

2.2.0.27
Доработан движок проверки симлинков.
Отключён режим MFT при проверке целей симлинков на не-системных дисках.
Исправлены некоторые ложные срабатывания.

2.2.0.26
Добавлена поддержка проверки профилей и подкаталогов, перемещённых с помощью симлинков.
Исправлена ошибка, из-за которой ярлыки .website не попадали в лог.
Исправлен креш при блокировке записи лога сторонним ПО.

2.2.0.25
Исправлена ошибка при раскрытии некоторых ярлыков URI (ftp).
Исправлена ошибка при раскрытии ярлыков с...

Узнать больше об этом обновлении...
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.31
Правила: усилена подозрительность к ярлыкам автозапуска.
К категории "скриптовые ярлыки" добавлено несколько новых хост-программ.
Незначительные исправления в движке поиска файлов.
Пополнены базы и убраны некоторые ложные срабатывания.

Узнать больше об этом обновлении...
 
В текущием автологгере крайняя версия? Из лога:
Код:
[_____________  Подозрительные ( >>> ВЫСОКИЙ риск <<< )  _________________]

- "C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EOS Utility.lnk"      -> ["C:\Program Files (x86)\Canon\EOS Utility\EOS Utility.exe"  =>> /AutoStartUp]

[___________________  Подозрительные ( низкий риск )  ____________________]

-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegJump MOD\Реестр - прыжок из буфера.lnk"     -> ["C:\WINDOWS\system32\schtasks.exe"  =>> /i /run /tn "RegJump Mod SkipUAC"]
EOS Utility.exe
 
Последнее редактирование:
И что вам тут не нравится? И зачем ссылку на вирустотал? Это же не антивирус, чтобы на ВТ файлы проверять.
Она просто проверяет ярлыки и показывает, что есть вот такой файл запускается с таким ключом. Если бы ключа запуска не было, то учитывая, что это не браузер он бы в лог не попал.
 
@BORODA(C), из этого же лога:

* Подозрительные объекты будут отмечены префиксом >>>
ClearLNK лечит в автоматическом режиме только ярлыки помеченные этим префиксом, если лог передан целиком.

По остальным объектам решение принимает аналитик.
А по первой записи - ярлык находится в папке "Автозагрузка" поэтому имеет статут "Высокий риск".
 
Последнее редактирование:
Последнее редактирование модератором:
Список исключений есть для наиболее популярных программ.
 
Лучше сделать Checks Browser Cloud LNK - это инструмент предназначена для поиск неизвестных следы, она будет переданы/собирает информацию о системе и остальных, будет обновлять автоматические базы и модули( лучше чем Checks Browser LNK) в отдельный папке будет хранить базы данных C:\CheckUpdate\ -там будет база список черных.
Там будет входить функция Update ( это означает что она будет загружать модули и базы) например раз в 1-2 дня.
Есть минусы Cheks Browser LNK - нет облачных технологии, который позволяет собирать данные и обезвреживания угроз.
Плюсы Checks Browser Cloud LNK - облачные технологии, который могут собирать данные/информации и обезвреживания и обновление ( может потребоваться снизить ложные срабатывание).
То, есть очищает ссылки и прочее. Не для вирусов, а скорее AdWare.
 
Последнее редактирование:
@wumbo12, Cheсk Browsers' LNK содержит большое число алгоритмов, которое позволяет ей обходится без использования облачных технологий и соответственно лишних ложных срабатываний.
Для проверки лога есть голова и мозги человека, который будет его смотреть. Благо, логи очень компактные.

Также, это не антивирус. Там нет и не будет чёрных баз. И основной критерий - быстрая работа.
Также, там нет движка лечения. Он находится в другой программе - ClearLNK и работает на отдельных алгоритмах.
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.35
Добавлена поддержка переадресации рабочего стола (ранее это не работало, т.к. Майкрософт не придерживается своих же рекомендаций читать специальные папки вместо реестра).

Узнать больше об этом обновлении...
 
Добрый день! Пользуюсь программой уже год для анализа рабочих станций.
Для сбора данных и запуска использую следующую логику:

Код:
set "save_folder=Сетевой путь до папки логов"
set "startup_folder=Сетевой путь до папки где лежат утилиты"
mklink /D %PUBLIC%\forensic %save_folder%
mklink /D %PUBLIC%\forensicsoft %startup_folder%
start /B "CheckBrowsersLNK..." "%PUBLIC%\forensicsoft\CheckBrowsersLNK\CheckBrowsersLNK.exe" /noGUI /silent /savelog "%PUBLIC%\forensic\%COMPUTERNAME%\" /timeout 285

Далее с одной рабочей станции с через psexec захожу на целевую рабочую станцию которою необходимо проверить и копирую
Bat файл в папку темп, и оттуда запускаю от УЗ СИСТЕМА.
Программа не запускается. Версия самая последняя.
Может как либо debag собрать? Ранее все было ок.
 
Может как либо debag собрать? Ранее все было ок.
Ключи для дебага есть в FAQ в разделе Ключи запуска из командной строки. Только если программа вообще не запускается, то это не поможет.
Лучше соберите лог Process Monitor.
 
Назад
Сверху Снизу