Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Скачать
Обзор F.A.Q. Обновления (46) Отзывы (4) История Обсуждение
ver. 2.2.0.26
Код: 
[___________________  Подозрительные ( низкий риск )  ____________________]

-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2017\Visual Studio Tools\Developer Command Prompt for VS 2017.lnk"       -> ["C:\WINDOWS\system32\cmd.exe"  =>> /k "C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat"] -> ¶ ¶ @if NOT "%VSCMD_DEBUG%" GEQ "3" @echo off¶ ¶ @REM If in debug mode, we want to log the environment variable state¶ @REM prior to VSDevCmd.bat being executed. This is disabled by default¶ @REM and is enabled by setting [VSCMD_DEBUG] to some value.¶ if "%VSCMD_DEBUG%" NEQ "" (¶         @echo [DEBU (8470 байт.) (cp: 20127) (MD5:3D446536128C3B32CB8896377CB95352)
-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2017\Visual Studio Tools\Командная строка разработчика для VS 2017.lnk"  -> ["C:\WINDOWS\system32\cmd.exe"  =>> /k "C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat"] -> ¶ ¶ @if NOT "%VSCMD_DEBUG%" GEQ "3" @echo off¶ ¶ @REM If in debug mode, we want to log the environment variable state¶ @REM prior to VSDevCmd.bat being executed. This is disabled by default¶ @REM and is enabled by setting [VSCMD_DEBUG] to some value.¶ if "%VSCMD_DEBUG%" NEQ "" (¶         @echo [DEBU (8470 байт.) (cp: 20127) (MD5:3D446536128C3B32CB8896377CB95352)
Вроде всё нормально предупреждает, но как-то глаз режет...
 
Спасибо за лог. Это новая версия Studio. Нужно пополнить базу.
 
@BORODA(C), пришлите, пожалуйста в архиве файл C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

2.2.0.27

2.2.0.27
Доработан движок проверки симлинков.
Отключён режим MFT при проверке целей симлинков на не-системных дисках.
Исправлены некоторые ложные срабатывания.

2.2.0.26
Добавлена поддержка проверки профилей и подкаталогов, перемещённых с помощью симлинков.
Исправлена ошибка, из-за которой ярлыки .website не попадали в лог.
Исправлен креш при блокировке записи лога сторонним ПО.

2.2.0.25
Исправлена ошибка при раскрытии некоторых ярлыков URI (ftp).
Исправлена ошибка при раскрытии ярлыков с...
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.31
Правила: усилена подозрительность к ярлыкам автозапуска.
К категории "скриптовые ярлыки" добавлено несколько новых хост-программ.
Незначительные исправления в движке поиска файлов.
Пополнены базы и убраны некоторые ложные срабатывания.
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
В текущием автологгере крайняя версия? Из лога:
Код: 
[_____________  Подозрительные ( >>> ВЫСОКИЙ риск <<< )  _________________]

- "C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EOS Utility.lnk"      -> ["C:\Program Files (x86)\Canon\EOS Utility\EOS Utility.exe"  =>> /AutoStartUp]

[___________________  Подозрительные ( низкий риск )  ____________________]

-[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegJump MOD\Реестр - прыжок из буфера.lnk"     -> ["C:\WINDOWS\system32\schtasks.exe"  =>> /i /run /tn "RegJump Mod SkipUAC"]
EOS Utility.exe
 
Последнее редактирование:
BORODA(C) написал(а):
Из лога:
Нажмите для раскрытия...
И что вам тут не нравится? И зачем ссылку на вирустотал? Это же не антивирус, чтобы на ВТ файлы проверять.
Она просто проверяет ярлыки и показывает, что есть вот такой файл запускается с таким ключом. Если бы ключа запуска не было, то учитывая, что это не браузер он бы в лог не попал.
 
@BORODA(C), из этого же лога:

* Подозрительные объекты будут отмечены префиксом >>>
Нажмите для раскрытия...
ClearLNK лечит в автоматическом режиме только ярлыки помеченные этим префиксом, если лог передан целиком.

По остальным объектам решение принимает аналитик.
А по первой записи - ярлык находится в папке "Автозагрузка" поэтому имеет статут "Высокий риск".
 
Последнее редактирование:
Список исключений есть для наиболее популярных программ.
 
Лучше сделать Checks Browser Cloud LNK - это инструмент предназначена для поиск неизвестных следы, она будет переданы/собирает информацию о системе и остальных, будет обновлять автоматические базы и модули( лучше чем Checks Browser LNK) в отдельный папке будет хранить базы данных C:\CheckUpdate\ -там будет база список черных.
Там будет входить функция Update ( это означает что она будет загружать модули и базы) например раз в 1-2 дня.
Есть минусы Cheks Browser LNK - нет облачных технологии, который позволяет собирать данные и обезвреживания угроз.
Плюсы Checks Browser Cloud LNK - облачные технологии, который могут собирать данные/информации и обезвреживания и обновление ( может потребоваться снизить ложные срабатывание).
То, есть очищает ссылки и прочее. Не для вирусов, а скорее AdWare.
 
Последнее редактирование модератором:
@wumbo12, Cheсk Browsers' LNK содержит большое число алгоритмов, которое позволяет ей обходится без использования облачных технологий и соответственно лишних ложных срабатываний.
Для проверки лога есть голова и мозги человека, который будет его смотреть. Благо, логи очень компактные.

Также, это не антивирус. Там нет и не будет чёрных баз. И основной критерий - быстрая работа.
Также, там нет движка лечения. Он находится в другой программе - ClearLNK и работает на отдельных алгоритмах.
 
Dragokas обновил(а) ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.2.0.35
Добавлена поддержка переадресации рабочего стола (ранее это не работало, т.к. Майкрософт не придерживается своих же рекомендаций читать специальные папки вместо реестра).
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Добрый день! Пользуюсь программой уже год для анализа рабочих станций.
Для сбора данных и запуска использую следующую логику:

Код: 
set "save_folder=Сетевой путь до папки логов"
set "startup_folder=Сетевой путь до папки где лежат утилиты"
mklink /D %PUBLIC%\forensic %save_folder%
mklink /D %PUBLIC%\forensicsoft %startup_folder%
start /B "CheckBrowsersLNK..." "%PUBLIC%\forensicsoft\CheckBrowsersLNK\CheckBrowsersLNK.exe" /noGUI /silent /savelog "%PUBLIC%\forensic\%COMPUTERNAME%\" /timeout 285

Далее с одной рабочей станции с через psexec захожу на целевую рабочую станцию которою необходимо проверить и копирую
Bat файл в папку темп, и оттуда запускаю от УЗ СИСТЕМА.
Программа не запускается. Версия самая последняя.
Может как либо debag собрать? Ранее все было ок.
 
bboymig написал(а):
Может как либо debag собрать? Ранее все было ок.
Нажмите для раскрытия...
Ключи для дебага есть в FAQ в разделе Ключи запуска из командной строки. Только если программа вообще не запускается, то это не поможет.
Лучше соберите лог Process Monitor.
 

Похожие темы

akok
  • Закрыта
Как подготовить лог Check Browsers' LNK
Ответы
0
Просмотры
4K
akok
akok
Dragokas
Анализ особых видов заражений с помощью Check Browsers’ LNK
Ответы
0
Просмотры
5K
Dragokas
Dragokas
Dragokas
[C#] Digital signature check
Ответы
13
Просмотры
1K
ChatGPT
ChatGPT
Назад
Сверху Снизу