Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Неонка )

Спасибо, Severnyj !
Добавлю в базы.
 
В FAQ добавлены описания ошибок вида:
- 25.01.2017 09:55:36 - Couldn't open file handle for: C:\...\Mail.Ru.lnk - #0 . LastDllError = 0 (Операция успешно завершена. ) NT_Return: -1073741790 IO_Status: 0
 
FAQ слегка реорганизовано с отключением спойлеров для удобства поиска через Ctrl + F.
Добавлена ссылка на спец. отладочную версию, которая всегда доступна вместе с оф. релизом для диагностики проблем при падении программы.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

2.2.0.9
Устранён баг с порчей данных юникодных путей при проверке массива.
Устранён баг, когда не работал MFT-поиск на системах без MS Office.
Устранён баг, приводивший к падению программы, при проверке уровня целостности.
Устранён баг, связанный с определением кодировки файла.
Информация об ОС: для Windows 10 добавлен вывод ReleaseId.

Узнать больше об этом обновлении...
 
Еще в копилку:
[_______________________ Имя браузера неверное _________________________]

- "C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander Extended\Программы\Firefox.lnk" -> ["C:\Total Commander Extended\Soft\FirefoxPortable\FirefoxPortable.exe"] -> (111721 байт) (MD5: A3401FDFA6B791E9DF714A2778C338D1) -> (PE EXE)
 
Это нормально. Чекер просто показывает потенциальную подмену. Пометка лечения снята, так что фолса нет.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

2.2.0.12
Пополнены базы браузеров.
Некоторые правки в правилах анализа.

2.2.0.11
Исправлена ошибка с определением кодировки URL-адресов.

2.2.0.10
/Favorites/.../Интернет.lnk добавлен в чёрный список.
Расширено сканирование .appref-ms до папки всех профилей пользователей.
Исправлена ошибка с перекодировкой цели .appref-ms.
Исправлено несколько ошибок в правилах анализа.
Исправлена ошибка, когда по завершению проверки не открывалась папка с логом на некоторых ОС.

Узнать больше об этом обновлении...
 
Алекс привет..!Я буду благодарен за ваше ваше мнение по этому дневнику..! Спасибо..!

Check Browsers' LNK by Alex Dragokas & regist ver. 2.2.0.12

OS: x64 Windows 8.1 (Home), 6.3.9600, Service Pack: 0 ( Personal + SingleUserTS / Workstation )
Time: 15.03.2017 - 20:55
Language: OS: English (0x409). Display: Bulgarian (0x402). Non-Unicode: Bulgarian (0x402). Codepage: OEM - c_866.nls (ok), ANSI - c_1251.nls (ok)
Elevated: Yes
User: Mat (group: Administrator) on ZDRAVE


* Suspicious objects will be marked with prefix >>>

===========================================================================
(((((( BROWSER shortcuts ))))))
===========================================================================

[____________________ Browser’s name is incorrect ______________________]

>>> "C:\Users\Public\Desktop\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxthon Cloud Browser\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)

[=========================================================================]
(((((( Other shortcuts ))))))
===========================================================================

[______________________ Suspicious ( low risk ) ________________________]

-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMB\Official Website.lnk" -> ["(Internet Explorer)" =>> hxxp://yamb.unite-video.com/]

[_______________________ Target does not exist _________________________]

>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help\Manual (Bulgarian).lnk" -> ["C:\Program Files (x86)\Subtitle Workshop\Manual\ManualBG.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Espaсol).lnk" -> ["C:\Program Files (x86)\URUSoft\Subtitle Workshop\Manual\ManualSPA.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMB\YAMB.lnk" -> ["C:\Program Files (x86)\YAMB\Yamb.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAMB\Uninstall.lnk" -> ["C:\Program Files (x86)\YAMB\Uninstall.exe"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help\Manual (Russian).lnk" -> ["C:\Program Files (x86)\Subtitle Workshop\Manual\ManualRUS.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (English).lnk" -> ["C:\Program Files (x86)\URUSoft\Subtitle Workshop\Manual\Manual.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Bulgarian).lnk" -> ["C:\Program Files (x86)\URUSoft\Subtitle Workshop\Manual\ManualBG.html"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help\Manual (Russian).lnk" -> ["C:\Program Files (x86)\URUSoft\Subtitle Workshop\Manual\ManualRUS.html"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help\Manual (English).lnk" -> ["C:\Program Files (x86)\Subtitle Workshop\Manual\Manual.html"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Subtitle Workshop.lnk" -> ["C:\Program Files (x86)\Subtitle Workshop\subtitleworkshop.exe"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Uninstall Subtitle Workshop.lnk" -> ["C:\Program Files (x86)\Subtitle Workshop\uninstall.exe"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk" -> ["C:\Users\Mat\AppData\Local\Pokki\Engine\HostAppService.exe" =>> /OPEN"04bb6df446330549a2cb8d67fbd1a745025b7bd1"]
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk" -> ["C:\Users\Mat\AppData\Local\Pokki\Engine\HostAppService.exe" =>> /OPEN"menu"]
>>> "C:\Users\Mat\Downloads\RipBot264v1.19.4\Tools\remuxtool\FileCutter.lnk" -> ["D:\remuxTool\remuxTool.jar" =>> FileCutter]

[__________________ Target on remote / network device __________________]

- "C:\Users\Mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BD-ROM устройство (F) OFFICE12.lnk" -> ["F:\"] ( F:\ - Disconnected disk )

[=========================================================================]
(((((( Internet shortcuts ))))))
===========================================================================

- "C:\Users\Default\Desktop\FREE CALLS with Voxox.url" -> hxxp://vvv.voxox.com/lenovo
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Need For Speed Hot Pursuit 2\Check For Update.url" -> hxxp://patches.ea.com/nfshp2/EN-US/home.html
- "C:\Users\Mat\Desktop\Adobe Photo Offer.url" -> hxxp://adobe.com/go/LenovoPhotoOffer
- "C:\Users\Mat\Desktop\FREE CALLS with Voxox.url" -> hxxp://vvv.voxox.com/lenovo
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uGet VGI\uGet в Интернет.url" -> hxxp://vvv.uget.in/
- "C:\Users\Default\Desktop\Adobe Photo Offer.url" -> hxxp://adobe.com/go/LenovoPhotoOffer
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Subtitle Edit\Help and Support\Online Help.url" -> hxxp://vvv.nikse.dk/SubtitleEdit/Help
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Subtitle Edit\Help and Support\Subtitle Edit в Интернет.url" -> hxxp://vvv.nikse.dk/SubtitleEdit/
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My MP4Box GUI\My MP4Box GUI on the Web.url" -> hxxp://my-mp4box-gui.zymichost.com
- "C:\Users\Default\Favorites\AmazonBrowserBar.url" -> hxxp://vvv.amazon.com/gp/BIT/AmazonBrowserBar/ref=bit_lnv_fav?tag=lenovo-abb-bm-us-ie-20
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxthon Cloud Browser\Visit Maxthon Forum.url" -> hxxp://go.maxthon.com/redir/mx4/feature_post.htm?f=mx4forum
- "C:\Users\Default\Favorites\Voxox Free Calls.url" -> hxxp://vvv.voxox.com/lenovo
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP4Tools\Сайт MP4Tools в Интернете.url" -> hxxp://vvv.mp4joiner.org/
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games\Need For Speed Hot Pursuit 2\Need For Speed Top Speed.url" -> hxxp://ea.pogo.com/rooms/roomtabs.jsp?game=topspeed&site=eaga
- "C:\Users\Mat\Downloads\RipBot264v1.19.4\RipBot264 Distributed Encoding Tutorial.url" -> hxxp://youtu.be/b-BICnj62iE
- "C:\Users\Mat\Downloads\RipBot264v1.19.4\Tools\mkvtoolnix\MKVToolNix.url" -> hxxps://vvv.bunkus.org/videotools/mkvtoolnix/
- "C:\Users\Mat\Downloads\GOTSent24b8\GOTSent\MKVToolnix\MKVtoolnix.url" -> hxxp://vvv.bunkus.org/videotools/mkvtoolnix/

[_____________________________ Favorites _______________________________]

- "C:\Users\Mat\Favorites\Voxox Free Calls.url" -> hxxp://vvv.voxox.com/lenovo
- "C:\Users\Mat\Favorites\AmazonBrowserBar.url" -> hxxp://vvv.amazon.com/gp/BIT/AmazonBrowserBar/ref=bit_lnv_fav?tag=lenovo-abb-bm-us-ie-20
- "C:\Users\Mat\Favorites\Алтернатива на пастата за зъби - стр. 4 - Здравни конспирации - Форум за конспирации, уфология и мистика..url" -> hxxp://forum.xnetbg.net/index.php?topic=14563.45

[____________________ Statistics ___________________]

Threats found: 17
Files listed: 220087 (folders: 49336, shortcuts: 311)
Time spent: 80 sec. (search: 71 sec., analysis: 5 sec.) (MFT)

Been verified:
C:\Users\Mat
C:\Users\Default
C:\Users\Public
C:\ProgramData
_____________________________ End of Log _________________________________16616 bytes, CRC32: FFFFFFFF. Sign: 럃㷻
AdwCleaner откри заплахи
 
[____________________ Browser’s name is incorrect ______________________]

>>> "C:\Users\Public\Desktop\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxthon Cloud Browser\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)
>>> "C:\Users\Mat\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnk" -> ["C:\Program Files (x86)\Maxthon\Bin\MxStart.exe"] -> (155936 bytes) (MD5: 85111BA781CC2D2CAB9CD3055A2545E4) -> (PE EXE)
это надо добавить в базу, облачного там нет.
А остальное можно исправлять.
 
В FAQ добавлен батник для упрощения ручного способа сбора дампов при падении программы, на случай если метод, используемый в Автологгере не сработал (или ОС - XP).
 
Из какой темы?
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

обновления

2.2.0.16
Улучшен движок поиска файлов (менее конфликтный к защитному ПО).
Добавлен резервный движок регулярных выражений.
Отменена замена служебных символов лога на \xDD
Ужесточение правил к обфусцированным батникам.
Пополнены белые списки скриптов и браузеров.
Исправлены случаи креша при освобождении ресурсов.
Улучшено определение версии ОС.
Улучшено распознавание кодировки URL-адресов.
Исправлена работа ключа /allDrives
Добавлены ASLR, DEP
Исправлены ошибки с "Цель не найдена" в системных папках на Windows Server x64.

Узнать больше об этом обновлении...
 
Последнее редактирование:
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.23
Изменён способ построения дерева папок при поиске ярлыков (более требователен к ЦП, менее - к ЖД).
Улучшена функция чтения файлов.
Улучшено получение переменных окружения.
Изменены некоторые правила анализа.
Исправлены некоторые ошибки.

Узнать больше об этом обновлении...
Если будет у кого-то желание помочь с тестами,
пожалуйста, запустите новую версию. Запишите время, затраченное на поиск. Перезагрузите компьютер, скачайте версию 2.2.0.16: https://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/download?version=925
Запустите, напишите, какая версия, сколько времени потратила и Вашу модель процессора.
 
Если будет у кого-то желание помочь с тестами,

9:37:17,23 Start 2.2.0.24
9:37:23,74 End 2.2.0.24
9:37:23,75 Start 2.2.0.16
9:37:28,74 End 2.2.0.16

Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz

Код:
echo off
echo %time% Start 2.2.0.24
cmd /c "Check Browsers LNK 22024.exe" /silent
echo %time% End 2.2.0.24
rename LOG\Check_Browsers_LNK.log Check_Browsers_LNK_22024.log
echo %time% Start 2.2.0.16
cmd /c "Check Browsers LNK 22016.exe" /silent
echo %time% End 2.2.0.16
rename LOG\Check_Browsers_LNK.log Check_Browsers_LNK_22016.log
 
Последнее редактирование:
Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz

Запустил новую версию:
Затрачено времени: 28 сек. (поиск: 20 сек., анализ: 7 сек.)
Перегрузился и запустил 16-ю
Более 80 секунд (лог, к сожалению, не сохранил).

Я правильно понимаю, что кое-что кэшируется? Т.к. повторное сканирование (без перезагрузки) происходит значительно быстрее.
 
BORODA(C),
Батник не подойдёт. Перед запуском другой версии нужна перезагрузка.
Строка с отчётом нужна с конца лога, например:
Затрачено времени: 5 сек. (поиск: 2 сек., анализ: 3 сек.) (MFT)
В любом случае спасибо за тесты.

Sandor, да. Повторный поиск файлов произойдёт значительно быстрее. Кеш на уровне ОС, поэтому только с перезагрузкой.
 
Назад
Сверху Снизу