ClearLNK - удаление параметров запуска у ярлыков

ClearLNK - удаление параметров запуска у ярлыков 2.9.0.18

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Исправление багов

2.7.0.6
[баг] Исправлена ошибка, когда программа отказывалась исправлять ярлыки, которые ссылаются на батники (причина: ошибка при рефакторинге кода в ver. 2.7.0.0).
[баг] Исправлена ошибка при определении языков установки системы и интерфейса.
[отчет] Вывод языка интерфейса в шапке лога теперь разделен еще на две части: 1. Язык диалогов (Display). 2. Язык для программ, не поддерживающих юникод (Non-Unicode).
Код языка более не будет указываться. Подробности см. в FAQ программы Check...

Узнать больше об этом обновлении...
 
Непонятки. Новые версии не справляются. Ярлыки и батники находятся, но оригинал тоже пропадает.
Приходится вытаскивать из рабочей директории. А раньше оригинал не пропадал.
Встречаются порой папки, куда прячутся оригинальны ярлыки.
 
Ярлыки и батники находятся, но оригинал тоже пропадает.
Непонятно что за оригинал? Можно, по-конкретнее?
Приходится вытаскивать из рабочей директории.
Что вытаскивать? Что за рабочая директория?
Встречаются порой папки, куда прячутся оригинальны ярлыки.
На флешке, или жестком диске? Возможно, что-то подобное 1 раз видел.
Вы говорите о папке, которая маскируется под невидимый символ?
Даже если ярлыки спрятаны, то они и не представляют прямой угрозы, т.к. в этом случае неопытный пользоваель добраться к ним просто так не сможет.
В любом случае чекер сканирует все подкаталоги. Можно какой-нибудь визуальный пример?
P.S. Я просматривал большинство последних тем лечения.
Никаких жалоб, кроме исправленной сегодня проблемы, не наблюдалось.
 
Оригинальные ярлыка браузера.
---
Директория установленного браузера.
---
Оригинальные ярлыки могут быть спрятаны вредоносной программой в [некой] папке в директории Program files или в App Пользователя.
О их зараженности речь не шла.
Как сделать визуальный пример, подумаю, скриншоты здесь малоэффективны. Могу видео записать, но придется ждать следующего случая.
Я заменил как-то на флешке утилиты новыми версиями, теперь они не работают так, как как старые. А те, что работали, забыл по названию бильда.
 
SNS-amigo, лучше приложите лог Check Browsers' LNK и лог работы ClearLNK + сами заражённые ярлыки.
А утилиты желательно снова заменить (обновить на более свежие - актуальные).
 
А неможно ли эти утилиты так сконфигурировать, чтобы они работали неврозь, а вместе и в одной папке, а не в двухступенчатой и сами собирали зараженные ярлыки для лабораторных анализов в отдельный пап?
А то эти самые бат-ярлыки раскиданы по компьютеру, как семя по полю. Они есть в директориях браузеров, и в/на диске Ц и на рабочем столе.
Кстати бат-ярлыки сейчас делают не только для браузеров, но и для запускных файлов игрух, которые юзеры скачивают и моды к ним ставят. Оттуда видимо и идет часть этой заразы.
Утилиты по новой взял.
 
Последнее редактирование:
и сами собирали зараженные ярлыки для лабораторных анализов в отдельный пап?
Зачем же их (ярлыки) собирать, если в отчете и так выдается полный их анализ?
Они есть в директориях браузеров
Ярлыки из папки Program Files не анализируются, но это и незачем делать.
Пользователь не полезет в эту папку, чтобы запустить оттуда ярлык.
А неможно ли эти утилиты так сконфигурировать, чтобы они работали неврозь, а вместе и в одной папке
Копируете обе утилиты в одну папку.
Создаете батник с таким кодом:
Код:
start "" "Check Browsers LNK.exe" -saveLog . -openLogFile
который тоже ложите рядом.
Запускаете батник, после скана откроется лог, в котором Вы сможете оценить правильность автоматического анализа.
Если требуется вылечить ярлыки, не помеченные префиксом >>>, удалите знак минуса и сохраните лог.
Лог будет создан в той же папке.
Достаточно перетянуть его не программу ClearLNK.
 
Создаете батник с таким кодом:
который тоже ложите рядом.
Запускаете батник, после скана откроется лог, в котором Вы сможете оценить правильность автоматического анализа.
Да, так лучше, в одной папке.
А как можно оценить правильность, если он сам все делает?
Или же проследить за тем, чтобы он зашел туда, куда я говорил? И потом рассказать - куда не зашел?
чистка.png
 
А как можно оценить правильность, если он сам все делает?
Оценивать нужно ОБЯЗАТЕЛЬНО.
Т.к. инструмент изначально (да и сейчас) был создан для хелперов.
Автоматизм в определении угрозы нужно рассматривать не более, чем вкусный пряник, а не как антивирусный сканер.
В логах могут быть как ложные срабатывания, так и наоборот.

Ну например, приведу Вам свежие ложные срабатывания:
Код:
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\United Traders\Aurora.lnk"      -> ["C:\Program Files (x86)\UnitedTraders\Aurora\AuroraTerminal.exe"]
>>>  "C:\Users\Public\Desktop\Aurora.lnk"          -> ["C:\Program Files (x86)\UnitedTraders\Aurora\AuroraTerminal.exe"]
>>>  "C:\Users\UpdatusUser\Desktop\ChromePasswordDecryptor.lnk"        -> ["C:\Program Files (x86)\SecurityXploded\ChromePasswordDecryptor\ChromePasswordDecryptor.exe"]
>>>  "C:\Users\Shadoff\Desktop\проги\ChromePasswordDecryptor.lnk"      -> ["C:\Program Files (x86)\SecurityXploded\ChromePasswordDecryptor\ChromePasswordDecryptor.exe"]
Как видите, чекер посчитал это за браузеры Aurora и Chrome.
Просто удаляете их из лога и сохраняете (или ставите слева прочерк).
Фальсы будут исправлены к следующей версии.

Обратный пример - обнаружен список дописок к ярлыкам игр:
Код:
-  "C:\Users\Alex\Desktop\World of tanks.LNK"     -> ["c:\Games\World of Tanks\Wot.bat"  ->  "hxxp://reklama.com"]
Нужно снять знак минуса. И сохранить лог.
Гарантии, что ярлык удастся вылечить нет (ClearLNK заточен под исправление ярлыков браузеров). Здесь много тонкостей. В противном случае, ярлык будет удален.
_________
При этом ярлыки, которые могут представлять угрозу, выводятся всегда.
Но наш инструмент не всегда может явно указать, что вот эту запись нужно подвергать лечению,
потому что парадигма разработки была изначально (и сейчас) направлена в сторону "не навреди", т.е. по пути
минимизации кол-ва ложных срабатываний. Ущерба в этом нет, т.к. хелпер может вручную по логу
дать необходимый список ярлыков для лечения через главное окно ClearLNK.
 
Последнее редактирование:
парадигма разработки
Ну не парадигма уж, а принцип. :Biggrin:
Я не упоминал то, что утилита может навредить и удалить оригиналы, а говорил о том, что она оригинальные ярлыки не ищет, которые спрятаны вредоносом в какой-то ник-нейм папке.
 
Ищет, но не показывает, так как они являются легитимными. Другими словами: не ее дело чистить мусор.
Это тоже один из принципов :)
 
Опять 25. Жуем мочало - начинаем сначала...
У браузеров есть свои оригинальные ярлыки.
Вредоносы могут использовать их для задания команды запуска (в Свойствах см. поле "Объект").
При этом они или прячут оригинальные чистые ярлыки в [некую] папку, или удаляют оригинальные ярлыки насовсем.
Утилита ищет модифицированные ярлыки и исправляет их команду запуска.
Но если оригинальные браузерные ярлыки на рабочем столе (РС), в панели быстрого запуска (ПБЗ) и с меню кнопки "Пуск" (МКП) были удалены вредоносом, то в описанные местах (РС, ПБЗ, МКП) оказываются белые нерабочие ярлыки или они вообще исчезают.
И тогда нам приходится самим лезть в папку браузера и оттуда на основном файле делать новый ярлык на рабочий стол.
 
Последнее редактирование:
Еще не видел Adware, который ради прикола берет и просто так удаляет ярлык браузера.
А испорченные браузерные можно легко восстановить через связку чекер-ClearLNK.
Скорее всего идет речь об удалении ярлыков установленным антивирусом.

На счет восстановления расположения ярлыков, по-умолчанию созданных при установке браузера, не знаю стоит ли это делать.
Нужно подумать...
 
стоит ли это делать.
По моему, нет.
К примеру, установил я какой-нибудь браузер, который нужен мне для каких-либо специфических целей, и его ярлыки мне совсем не облокотились. Чем, в этом случае, удаление вручную ненужных ярлыков отличается от создания вручную нужных?
 
Какой-нибудь бра вряд ли поставишь.
Ярлыки удаляются с его удалением.
Для нас то необременительно вернуть ярлыки на место, а при удаленной помощи пользователь должен иметь возможность начать браузерами пользоваться просто кликнув на уже знакомый очищенный значок. И поскакать дальше по дорожке...
 
просто кликнув на уже знакомый очищенный значок.
А кто будет решать, какой значок создавать?
От всех браузеров, что в системе установлены, не катит. Раз уж мы мусор у пользователя не чистим, то и разводить его не стоит. Для таких целей нужна отдельная утилита, которая найдет все установленные браузеры и сделает запрос у пользователя, для каких из них нужно сделать ярлыки.
Не вижу ничего сложного в том, чтобы особо =дружащим= с компьютером пользователям дать ссылку на файл его любимого браузера из логов, если уж он умеет его только на рабочем столе искать.
 
Еще не видел Adware, который ради прикола берет и просто так удаляет ярлык браузера.
Ты до сих пор считаешь их Adware, а не HiJack?
Приему, которую используют сейчас, уже немало лет. Еще в 2004-2006-м мы считали их HiJack-ами.
На каждое место в системе был прописан свой hijack. Но позже создатели вредоносов стали действовать жестче и ушли в сторону наживы.
Сейчас этот прием налёта просто вернулся.
 
Как не называй, но цель - показ рекламы для наживы.
А методы могут быть какими угодно, не только Hijack.
 
+1 к словам ScriptMakeR.
SNS-amigo, похоже вы не до конца понимаете суть работы утилиты.
Если оригинальные браузерные ярлыки были изменены (например дописаны вирусные параметры в свойства) или ярлык был удалён малварью и создан вирусом такой же, но указывающий уже на запуск вируса, то сабж его вылечит (исправит, заменит). То есть оригинальные ярлыки будут восстановлены по тому же пути.
А если к примеру я удалил с рабочего стола ярлыки, так как всегда запускаю браузер с панели быстрого запуска, на кой :Diablo: мне утилиты снова должны их на стол кидать?
Утилита должна их восстановить там где они у меня лежали, а не там где они после установки когда-то лежали.
 
А если к примеру я удалил с рабочего стола ярлыки, так как всегда запускаю браузер с панели быстрого запуска, на кой :Diablo: мне утилиты снова должны их на стол кидать? Утилита должна их восстановить там где они у меня лежали, а не там где они после установки когда-то лежали.

А я это и не просил. Это кое-кто влез, развернул мысль не в ту степь, и запутал всю разработку. :Biggrin: Не будем говорить кто, хотя это был... ScriptMakeR. :Biggrin:

Рабочий стол мной упоминался в числе мест - РС, ПБЗ, МКП, где эти ярлыки размещаются легитимным системным установщиком.
И если до атаки малвари их там не было, то нужно восстановить только те оригинальные ярлыки, которые были у пользователя до атаки.

И [некая] папка была не пользовательской, а созданной малварью в определенном месте. Это место тоже упоминалось выше.

Тем более в последних версиях системы ярлык IE на стол не падает, а находится только в группах МКП и ПБЗ, а у 8-ок в группе приложений и Metro/Modern.
оригинальные ярлыки будут восстановлены по тому же пути.
Но в начале я говорил о том, что в ряде случаев они там как раз не восстанавливались.
С чего начали к тому и вернулись. :Wacko:
 
Последнее редактирование:
Назад
Сверху Снизу