Check Browsers' LNK by Dragokas & regist 2.2.0.42

[Hunter]

Проблемы ..... Ложные срабатывание

Check Browsers' LNK  by Alex Dragokas & regist                                 ver. 2.2.0.24

OS:       x64 Windows 7 (Enterprise), 6.1.7601, Service Pack: 1        ( SingleUserTS / Workstation )
Time:     19.10.2017 - 17:47
Language: OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419). Codepage: OEM - c_866.nls (ok), ANSI - c_1251.nls (ok)
Elevated: Yes
User:     Admin    (group: Administrator) on ADMIN-ПК


* Подозрительные объекты будут отмечены префиксом >>>

[=========================================================================]
                ((((((       Прочие ярлыки       ))))))
===========================================================================

[___________________  Подозрительные ( низкий риск )  ____________________]

-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo\AVZ - распаковать карантин.lnk"   -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ - распаковать карантин.cmd"] -> @echo off¶ SetLocal EnableExtensions EnableDelayedExpansion¶ chcp 866 >nul¶ ¶ set AppVersion=1.20¶ ¶ title AVZ DeQuarantine Script ver. %AppVersion%¶ set "args=%~1"¶ ¶ :: >>>>>   НрёЄЁющъш   <<<<<¶ ¶ :: чэрчхэшя + / -¶ ¶ :: ПхЁхчряшёытрЄь яряъє яЁш Ёрёяръютъх схч яЁхфєяЁхцфхэшя?¶ set OverWrite=+¶ ¶  (19237 байт.) (cp: 1252) (MD5:F3940D8616DCB40828D72396D9AD24A8)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\AVZ DeQuarantine.lnk"   -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ - распаковать карантин.cmd"] -> @echo off¶ SetLocal EnableExtensions EnableDelayedExpansion¶ chcp 866 >nul¶ ¶ set AppVersion=1.20¶ ¶ title AVZ DeQuarantine Script ver. %AppVersion%¶ set "args=%~1"¶ ¶ :: >>>>>   НрёЄЁющъш   <<<<<¶ ¶ :: чэрчхэшя + / -¶ ¶ :: ПхЁхчряшёытрЄь яряъє яЁш Ёрёяръютъх схч яЁхфєяЁхцфхэшя?¶ set OverWrite=+¶ ¶  (19237 байт.) (cp: 1252) (MD5:F3940D8616DCB40828D72396D9AD24A8)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\Удалить AVZ DeQuarantine.lnk"     -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs"] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:6E7DAC7D306957FD0DC0F5968D313A96)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\quarantine.zip - Создать ассоциацию.lnk"    -> ["C:\Windows\system32\wscript.exe"  =>> "C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs" AssocInstall] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:6E7DAC7D306957FD0DC0F5968D313A96)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\quarantine.zip - Удалить ассоциацию.lnk"    -> ["C:\Windows\system32\wscript.exe"  =>> "C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs" AssocUnInstall] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:6E7DAC7D306957FD0DC0F5968D313A96)
-[*.URL] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anvsoft\Any Video Converter Ultimate\Сайт Any Video Converter Ultimate в Интернете.lnk"           -> ["C:\Program Files (x86)\Anvsoft\Any Video Converter Ultimate\AVCUltimate.url"] -> hxxp://vvv.any-video-converter.com/ ( >>> AVCULTIMATE.exe существует <<< )

[_________________________  Цель не существует  __________________________]

>>>  "C:\Users\Admin\Downloads\Programs\WinSetupFromUSB-1-8\files\grub4dos\grub.pif"       -> ["GRUB.EXE"]
>>>  "C:\Users\Admin\Desktop\SAMARAY\ASSEMBLER\LessonSP\SysProg(архив)\Программы\Программы их книги Ирвина\ch12\BorlandCPP\ReadSec\EX1.PIF"  -> ["D:\Kip\AsmBook4\Examples\CH12\BorlandCPP\ReadSec\EX1.EXE"]
>>>  "C:\Users\Admin\Desktop\SAMARAY\ASSEMBLER\ЗаочникиАссемблер\SysProg(архив)\SysProg(архив)\Программы\Программы их книги Ирвина\ch12\BorlandCPP\ReadSec\EX1.PIF"        -> ["D:\Kip\AsmBook4\Examples\CH12\BorlandCPP\ReadSec\EX1.EXE"]

[=========================================================================]
                ((((((       Интернет-ярлыки       ))))))
===========================================================================

- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage II\Web\www.lineage2.com.url"  ->    hxxp://vvv.lineage2.com
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lineage II\Web\www.plaync.com.url"  ->      hxxp://vvv.plaync.com

[____________________ Статистика ___________________]

Найдено угроз:      3
Перечислено файлов: 198808 (папок: 37043, ярлыков: 317)
Затрачено времени:  15 сек. (поиск: 11 сек., анализ: 4 сек.) (MFT)

Проверены:
C:\Users\Admin
C:\Users\Default
C:\Users\Public
C:\ProgramData
______________________________ Конец лога ________________________________11262 bytes, CRC32: FFFFFFFF. Sign: ː곳

 

[Dragokas]

Где?

 

[Hunter]

По логам.. AVZDeQuarantine , AnyVideoConverter ... И Lineage - список чистые, ни какой не имеет отношению к детектирование.

 

[Dragokas]

См. описание программы: https://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/
Рекомендуемые к удалению записи отмечаются меткой >>>
Всё остальное - для оценки консультантом вручную.

 

[BORODA(C)]

Строка с отчётом нужна с конца лога

Исправляюсь:

Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz

ver. 2.2.0.24
Перечислено файлов: 656879 (папок: 132785, ярлыков: 610)
Затрачено времени:  5 сек. (поиск: 4 сек., анализ: 1 сек.) (MFT)

Перезагрузка

ver. 2.2.0.16 ( ALPHA )
Перечислено файлов: 656876 (папок: 132785, ярлыков: 651)
Затрачено времени:  6 сек. (поиск: 5 сек., анализ: 1 сек.) (MFT)

 

[glax24]

Тип ЦП Mobile DualCore Intel Core i5-450M, 2666 MHz (20 x 133)
ver. 2.2.0.24
Перечислено файлов: 143282 (папок: 24107, ярлыков: 208)
Затрачено времени: 18 сек. (поиск: 15 сек., анализ: 2 сек.) (MFT)
ver. 2.2.0.16 ( ALPHA )
Перечислено файлов: 143169 (папок: 24106, ярлыков: 208)
Затрачено времени: 15 сек. (поиск: 12 сек., анализ: 2 сек.) (MFT)

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.24
Ускорена работа программы в высоконагруженной на ЦП системе (например, вследствие работы майнера).
Устранено падение программы, которое могло иногда возникать в момент завершения работы.

Узнать больше об этом обновлении...

 

[mike 1]

Хочу убедиться в отсутствии вредоносных программ (заявка № 216819)

Утилита почему-то не увидела этот ярлык.

ShortcutWithArgument: C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /C "c:\users\1\appdata\local\yandex\yandexbrowser\application\browser.bat"

 

[Dragokas]

mike 1, а я думал Новый год встретить со спокойной душой

Спасибо за отчёт. Это баг утилиты. Буду смотреть, что не так.

 

[mike 1]

mike 1, а я думал Новый год встретить со спокойной душой

Спасибо за отчёт. Это баг утилиты. Буду смотреть, что не так.

Я тоже думал, но меня забанили на ВИ. Будьте аккуратны с женщинами

 

[Dragokas]

mike 1, бери шампанское, конфеты и цветы и иди в гости просить прощения

 

[Dragokas]

Утилита почему-то не увидела этот ярлык.

Проблема скорее всего не массовая, и проявится только при специфических настройках системы (каких, называть не буду).
Уведомление об исправлении выйдёт скорее всего на ToolsLib в связи с временным закрытием форума.

 

[Dragokas]

Виновник "бага" найден - это юзер.
Логи сняты с разных ПК.

 

[Dragokas]

Выкладываю новую версию для тестирования.

2.2.0.25
Исправлена ошибка при раскрытии некоторых ярлыков URI (ftp).
Исправлена ошибка при раскрытии ярлыков с переменными окружения, привязанными к конкретным пользователям.
Исправлена ошибка при конкатенации строк со знаками NUL, приводившая к урезанию лога.
Исправлена ошибка при попытке двойного раскрытия батников, приводящая к выводу их текста в лог отладки.
Добавлена совместимость программы с DBCS-системами (например, с японской локалью).
Добавлена совместимость программы при запуске от имени Local System.
Улучшен парсер командной строки.
Улучшено качество иконки в панели задач.
Добавлено предупреждение при попытке перетянуть любой файл или папку на Check Browsers LNK.exe
Поправлены правила анализа.
Обновлена база браузеров.
Добавлен перевод на украинский язык.

 

[akok]

Запустил, вроде стандартная установка OneDrive, а подозревает в крамоле.

[_____________  Подозрительные ( >>> ВЫСОКИЙ риск <<< )  _________________]

>>> [modified] "C:\Users\algas_0rsooid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"     -> ["C:\Users\algas\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]

 

[Dragokas]

Кидай ярлык в архив, гляну.

 

[akok]

Во вложении

 

[Dragokas]

Спасибо. Твой случай имеет смысл учесть в правилах.

 

[Dragokas]

@akok, правила не смягчал. Там была ошибка при разборе ярлыка. Просьба перепроверить на новой версии.

Новая тестовая:

2.2.0.26
Добавлена поддержка проверки профилей и подкаталогов, перемещённых с помощью симлинков.
Исправлена ошибка, из-за которой ярлыки .website не попадали в лог.
Исправлен креш при блокировке записи лога сторонним ПО.

 

[akok]

@Dragokas, ошибок не вижу. Все отлично отработало.