Check Browsers' LNK by Dragokas & regist 2.2.0.42

[Кирилл]

Dragokas, в последней версии эстетическая особенность - допформа на заднем плане.
Так задумано?

 

[Dragokas]

Хм. Станно выглядит.
Какая версия ОС?
Проблема проявляется именно в .34 ? В .33 версии все нормально?

 

[Кирилл]

В .33 не помню,дай ссылку.
Ос вин 8.1 про,32

 

[Dragokas]

Вот несколько последних

 

[Кирилл]

Dragokas, да - все так же.

Несколько версий испытал.
+ не думал насчет защиты от запуска копии и кнопочку экстренного завершения на случай?
И еще симантек на него сильно реагирует.

 

[shestale]

Тоже есть, проверял в 32 и 33

 

[Dragokas]

+ не думал насчет защиты от запуска копии и кнопочку экстренного завершения на случай?

Так есть же.
При попытке запустить дважды:

На счет экстренного выхода, ... если вдруг что зависнет, винда и так предложит закрыть.

Тоже есть, проверял в 32 и 33

Уточни, плиз, что у тебя не так. Не совсем понятно по скрину.

 

[Кирилл]

При попытке запустить дважды:

Разные версии запускаются)

Не совсем понятно по скрину.

На скрине видишь как будто окно второй формы сзади,на фоне первой прозрачной?
Мне особо не мешает,точнее абсолютно.
Просто показал тебе как разработчику.

 

[Dragokas]

Разные версии запускаются)

Там проверка по мютексу. Разве что ты запускал версию < 1.1.0.23, в которой ее не было.

На скрине видишь как будто окно второй формы сзади,на фоне первой прозрачной?
Мне особо не мешает,точнее абсолютно.
Просто показал тебе как разработчику.

Вижу, но пока объяснить не могу.

 

[SNS-amigo]

И еще симантек на него сильно реагирует.

Потому что утилита пересобирается быстрее, чем пользователи сообщества Нортон успевают ее позапускать.
Для нас хорошо, но чисто технически это новый экзепляр, а они теперь особо контролируются.

Вон гугл свои googleupdate.exe тоже изо дня в день пересобирает. Потому теперь тоже жёстко контролируется.
Наш продукт тоже не даст ему просто так запуститься. Потому как нужно дать права на выполнения файлу без валидной и достоверной ЭЦП.
Как запустить, если уж возникла такая необходимость, в инструкции давно описано.
Правда я пока ни разу не видел, чтобы комп с SNS пострадал от браузерного вируса.

 

[Dragokas]

Доллар нынче дорого. На вилидную подпись нужно три зарплаты.

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Правка багов

1.1.0.35
[баг] Устранено дублирование записей, когда у пути отсутствовала буква диска.
[баг] Устранено дублирование префиксов [hidden]
[баг] Часть записей со скрытыми атрибутами по ошибке помечались также префиксом [RO].
[баг] Исправлено ложное срабатывание на ярлыки легального софта, который их создает похожими на модифицированные.
[отчет] Из секции об атрибутах теперь фильтруются записи, которые уже присутствуют в других секциях.
[отчет] Префикс [hidden] заменен на [h] и [ s ] для атрибутов...

Узнать больше об этом обновлении...

 

[SNS-amigo]

Dragokas, у Яндекса есть Менеджер браузеров.
Так вот на него тоже делают батник, как для браузеров. Не замечал?

 

[Dragokas]

SNS-amigo, спасибо. У меня это учтено.

 

[SNS-amigo]

Alex, зачем в логе такие ужастики:
hxxp://vvv.safensoft.ru/
hxxp://safezone.cc/
hxxps://vvv.yandex.ru/

Особенно с vvv.

 

[regist]

Особенно с vvv.

с vvv чтобы ссылка не активировались, а то в некоторых текстовых редакторах если случайно по такой ссылке кликнуть она откроется в браузере, а также на форуме если написать www.safezone.cc забыв оформить тегами код, то форум сам сделает её кликабельной. А ведь ссылка может вести на заражённый сайт.

hxxps://vvv.yandex.ru/

так через редирект яндекса можно любой сайт указать, вот пример http://yandex.ru/yandsearch?clid=9582&text=safezone.cc

hxxp://vvv.safensoft.ru/
hxxp://safezone.cc/

safensoft можно добавить в базу, видно просто не попадается (или редко попадалось) в логах. После установки вашего софта такие ярлыки появляются?
По safezone также как и по остальным форумам не добавляем, так как... если помните на старом движке тут использовался редиректр для внешних ссылок.
Да и сейчас если внимательно посмотреть на внешнюю ссылку, то она выглядит так

<a href="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner" target="_blank" class="externalLink ProxyLink" data-proxy-href="proxy.php?link=http%3A%2F%2Fgeneral-changelog-team.fr%2Fen%2Fdownloads%2Ffinish%2F20-outils-de-xplode%2F2-adwcleaner&hash=68e6611f42d9bf87d96849cd9894fa7d">оф. сайт.</a>

а на старом движке они были аналогично как сейчас выглядят внешние ссылки на киберфоруме.

<a href="http://www.cyberforum.ru/redirector.php?url=aHR0cCUzQSUyRiUyRnNhZmV6b25lLmNjJTJGcmVzb3VyY2VzJTJGYXV0b2xvZ2dlci1yZWdpc3QtZHJvbmdvLjU5JTJG" title="http://safezone.cc/resources/autologger-regist-drongo.59" target="_blank" rel="nofollow">

Кто знает может в будущем админы опять поставят такой плагин. Мы конечно можем отвечать, что на самом safezone нету вирусов, но если подобным образом замаскируют ссылку на другой сайт, то за него отвечать не можем. И если даже на тот момент когда оставляли ссылку в посте (и она была проверена модераторами) сайт был чист, то не факт, что вирус на другом сайте не появится позже или его не взломают.
+ Подобные ярлыки в логе попадаются редко.

 

[SNS-amigo]

safensoft можно добавить в базу, видно просто не попадается (или редко попадалось) в логах. После установки вашего софта такие ярлыки появляются?

Нет, конечно. Это всего лишь мои закладки в браузере IE. Все три.


Про активацию ссылок, я конечно знаю, не даром ж 15 лет с сайтами и малварью работаю...
Но последний абзац меня убедил. Больше вопросов не имею.

 

[Dragokas]

Сравнение работы Check Browser's LNK (ver.1.1.0.35) с похожими утилитами.
Мне попался на глаза Shortcut Cleaner by Lawrence Abrams (Grinler) ver 1.3.4.

Итак, сравнение логов:

Спойлер: Shortcut Cleaner

Shortcut Cleaner 1.3.4 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2015 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
http://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 7 Ultimate Service Pack 1
Program started at: 03/06/2015 11:05:29 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\Alex\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\Alex\Desktop

  * Shortcut Cleaned: Internet Explorer (http).lnk => C:\Users\Alex\Desktop\bad.bat http://qvo6.com

  * Shortcut Cleaned: Internet Explorer (qvo).lnk => C:\Program Files (x86)\Internet Explorer\iexplore.exe http://qvo6.com


2 bad shortcuts found.

Program finished at: 03/06/2015 11:05:30 PM
Execution time: 0 hours(s), 0 minute(s), and 1 seconds(s)

Спойлер: Check Browsers' LNK

Check Browsers' LNK  by Alex Dragokas & regist                        ver. 1.1.0.35 Beta

OS:       x64 Windows 7 Ultimate. Service Pack: 1
Time:     06.03.2015 - 23:02
Language: OS: ru-RU (0x419). Display: en-US (0x409). Non-Unicode: ru-RU (0x419)
IsAdmin:  Yes
User:     Alex

=========================================================================
              ((((((        BROWSER shortcuts        ))))))             
=========================================================================

__________________________  With arguments  _____________________________

>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\Internet Exploror.lnk"     -> ["C:\Program Files\Internet Explorer\iexplore.exe"  => Привет я вирус :)]

__________________  Suspicious ( >>> HIGH risk <<< )  ___________________

>>>  "C:\Users\Alex\Desktop\kitai LNK\ИНТЕРНЕТ БРАУЗЕР PHOENIX.lnk"    -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [h][script] "C:\Users\Alex\Desktop\Internet Explorer (http).lnk"   -> ["C:\Users\Alex\Desktop\bad.bat"  => hxxp://qvo6.com] -> start "" hxxp://qvo6.com/ (MD5:1583CDD54F4CD6A3D78B10712618B540)
>>> [script][MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Intеrnet Eхplorеr (2).lnk"        -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.erolpxei.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"] -> Hello Lamer ! - hxxps://ru.best-repack.net/hi-hi/Lamer/¶  (MD5:B5B7511962ACD863FD18B3ED45138627)
>>> [script][MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Intеrnet Eхplorеr.lnk"  -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.erolpxei.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"] -> Hello Lamer ! - hxxps://ru.best-repack.net/hi-hi/Lamer/¶  (MD5:B5B7511962ACD863FD18B3ED45138627)
>>> [script][MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Intеrnеt Ехрlorеr.lnk"  -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.erolpxei.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"] -> Hello Lamer ! - hxxps://ru.best-repack.net/hi-hi/Lamer/¶  (MD5:B5B7511962ACD863FD18B3ED45138627)
>>> [script][MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Lаunсh Internet Еxplorer Brоwsеr.lnk"       -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.erolpxei.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"] -> Hello Lamer ! - hxxps://ru.best-repack.net/hi-hi/Lamer/¶  (MD5:B5B7511962ACD863FD18B3ED45138627)
>>> [h][HTTP] "C:\Users\Alex\Desktop\Internet Explorer (http) (2).lnk"           -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  => hxxp://gogo.com/]
>>> [h][HTTP] "C:\Users\Alex\Desktop\Internet Explorer (qvo).lnk"      -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  => hxxp://qvo6.com]
>>> [*.URL] "C:\Users\Alex\Desktop\KITAIL~1\I_LIKE~1.LNK" ("C:\Users\Alex\Desktop\kitai LNK\I_Like_China(搜狐影音高清热播影视剧)_and_Opera.lnk")        -> ["C:\PROGRA~1\CA8F~1\3CBF~1.URL" ("C:\Program Files\搜狐影音\高清热播影视剧.url")  => hxxp://Аргмент.ярлыка.COM] -> hxxp://yambler.net/?goroskop=1
>>> [*.URL] "C:\Users\Alex\Desktop\Запустить обозреватель Internet Explorer.lnk"           -> ["H:\_AVZ\Наши разработки\Check Browsers LNK\VirusLNK\ua-cdma.info.url"] -> javascript:document.forms[0].submit();

__________________________  Cloud storages  _____________________________

- "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk"           -> ["C:\Users\Alex\Dropbox"] ( folder )
- "C:\Users\Alex\Links\Dropbox.lnk"      -> ["C:\Users\Alex\Dropbox"] ( folder )
- "C:\Users\Alex\Links\Яндекс.Диск.lnk"  -> ["C:\Users\Alex\YandexDisk"] ( folder )

_______________________  Target does not exist  _________________________

>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Оpеrа.lnk"  -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.rehcnual.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Орera (2).lnk"        -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.rehcnual.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\quarantine (2)\2014-12-28\Unpacked\Орera.lnk"  -> ["C:\Users\Alex\AppData\Roaming\Browsers\exe.rehcnual.bat"  => "hxxp://10kanal.org/?src=hp2&subid1=dec"]
>>>  "C:\Users\Alex\Desktop\Internet Explorer.lnk"           -> ["C:\Users\Alex\Desktop\RSITx64112.exe"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Gооglе Сhrоmе (3).lnk"      -> ["C:\Program Files (x86)\Google\chrome.bat"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Gооglе Сhrоmе.lnk"          -> ["C:\Program Files (x86)\Google\chrome.bat"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr (2).lnk"  -> ["C:\iexplore.bat"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr (5).lnk"  -> ["C:\iexplore.bat"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Моzillа Firеfох.lnk"        -> ["C:\firefox.bat"]
>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Оpеrа.lnk"        -> ["C:\opera.bat"]
>>>  "C:\Users\Alex\Desktop\kitai LNK\opera - q.lnk"         -> ["C:\Users\Alex\Desktop\quarantine (2)\2014-12-28\Unpacked\exe.erolpxei.bat"]
>>>  "C:\Users\Alex\Desktop\ShortCuts\quarantine sz\2014-11-12\Unpacked\Google Chrome (3).lnk"       -> ["C:\Program Files\Google\Chrome\Application\chrome.exe"  => --load-extension="C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}\0.8"]
>>>  "C:\Users\Alex\Desktop\ShortCuts\quarantine sz\2014-11-12\Unpacked\Google Chrome.lnk"           -> ["C:\Program Files\Google\Chrome\Application\chrome.exe"  => --load-extension="C:\Program Files\Common Files\{21F0E466-68C8-4EFF-A28B-C52CFFDCACEA}\0.8"]
>>>  "C:\Users\Alex\Desktop\ShortCuts\quarantine sz\2014-11-12\Unpacked\Удалить Google Chrome.lnk"   -> ["C:\Users\Alex\AppData\Local\Google\Chrome\Application\13.0.782.107\Installer\setup.exe"  =>  --uninstall]
>>> [modified][MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr (3).lnk"  -> ["C:\iexplore.bat"]
>>> [modified][MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr (4).lnk"  -> ["C:\iexplore.bat"]
>>> [modified][MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"   -> ["C:\iexplore.bat"]
>>> [modified][MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Intеrnеt Ехplоrеr.lnk"      -> ["C:\iexplore.bat"]
>>> [modified][MASK] "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"           -> ["C:\iexplore.bat"]
- "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk"    -> ["C:\Users\Alex\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe"  => /upload]
- "C:\Users\Alex\Desktop\kitai LNK\Скриншоты в Яндекс.Диске.lnk"       -> ["C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskScreenshotEditor.exe"]

=========================================================================
               ((((((       Other shortcuts       ))))))               
=========================================================================

__________________  Suspicious ( >>> HIGH risk <<< )  ___________________

>>> [script] "C:\Users\Alex\Desktop\Hello world.lnk"         -> ["C:\Users\Alex\Desktop\silent.bat"] -> start hxxp://ru.best-repack.net¶  (MD5:59F5630F3EA9DEFB2827FB59075D9F6F)

______________________  Suspicious ( low risk )  ________________________

>>> [script] "C:\Users\Alex\Desktop\kitai LNK\diary.bat - Shortcut.lnk"          -> ["C:\Program Files\diary.bat"] -> start "" /I /B /D"C:\PROGRA~1\Yandex\PUNTOS~1\" "C:\PROGRA~1\Yandex\PUNTOS~1\diary.exe" -- "hxxp://kopsearch.ru"¶  (MD5:DC29DA6022F656A372125F2987A38AC0)
-[script] "C:\Users\Alex\AppData\Roaming\iTripoli\AdminScriptEditor\MRU\130575844531382893.lnk"      -> ["C:\ProgramData\chocolatey\lib\Opera.24.0.1558.64\tools\chocolateyInstall.ps1"] -> UTF8: п»ї$packageName = 'Opera'¶ $version = '24.0.1558.64'¶ $fileType = 'exe'¶ $installArgs = '/install /silent /launchopera 0 /setdefaultbrowser 0'¶ $url = 'hxxp://get.geo.opera.com/pub/opera/desktop/24.0.1558.64/win/Opera_24.0.1558.64_Setup.exe'¶ ¶ try {¶ ¶   $regPathModifierArray = @('Wow6432Node (877 bytes.) (MD5:E8D44A717EADD3B4E9F4820EAE82BBD3)
-[script] "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\Check Digital Signature.lnk"       -> ["P:\Программы_Systematic\Системные\SysinternalsSuite2012\CheckSign.cmd"] -> @Echo off¶ SetLocal EnableExtensions¶ "p:\Программы_Systematic\Системные\SysinternalsSuite2012\sigcheck.exe" -a -h -i -r "%~fs1"¶ pause>NUL (MD5:77AABE140C65243E738CBD136F12D373)
-[script] "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\Strings.lnk"   -> ["P:\Программы_Systematic\Системные\SysinternalsSuite2012\Strings.cmd"] -> @echo off¶ setlocal enableextensions¶ "p:\Программы_Systematic\Системные\SysinternalsSuite2012\strings.exe" -q "%~fs1"¶ pause (MD5:40168BD9A8096B91FC9FB359F09A83FF)
-[script] "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\Ярлык - анализ.lnk"      -> ["H:\_AVZ\Наши разработки\ClearLNK-OLD\Link_Struct\LNK_Struct\lnk_parser\Ярлык - анализ.cmd"] -> @echo off¶ SetLocal EnableExtensions¶ lnk_parser_cmd.exe -r "%~fs1"¶ pause (MD5:58B4A53F2024FFBE6646C7C7EC41C8B2)
-[MINER][script] "C:\Users\Alex\Desktop\ShortCuts\BitCoin\K7x32_liteguardian.com.lnk"      -> ["H:\_BitCoin\pools\liteguardian.com\start_K7x32.cmd"] -> start "" "%~dp0x64\cudaminer.exe" --no-autotune -d 0 -i 0 -l K7x32 -C 1 -m 1 -o stratum+tcp://eu-2.liteguardian.com:3333 -O Diskretor.1:x¶  (MD5:45549C3DCAB79E9A5AD9FB41AF0D0AED)
-[CMD] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Log Parser 2.2\Log Parser 2.2.lnk"      -> ["C:\Windows\SysWOW64\cmd.exe"  => /k "C:\Program Files (x86)\Log Parser 2.2\LogParser.exe"]

_______________________  Target does not exist  _________________________

>>>  "C:\Users\Alex\AppData\Roaming\iTripoli\AdminScriptEditor\MRU\130502611074783280.lnk"           -> ["C:\Users\Alex\Local Disk (C).lnk\AdminScriptEditor\untitled.vbs"]
>>>  "C:\Users\Alex\AppData\Roaming\iTripoli\AdminScriptEditor\MRU\130502667811118413.lnk"           -> ["C:\Users\Alex\Desktop\CSI_ExtractMSIGUIDAndIcons\CSI_ExtractMSIGUIDAndIcons.vbs"]
>>>  "C:\Users\Alex\AppData\Roaming\iTripoli\AdminScriptEditor\MRU\130527589523467154.lnk"           -> ["H:\_AVZ\Наши разработки\ClearLNK\1.3\ClearLNK.vbs"]
>>>  "C:\Users\Alex\AppData\Roaming\iTripoli\AdminScriptEditor\MRU\130527590915226758.lnk"           -> ["C:\Users\Alex\Desktop\_Статьи CMD\Compatiblity Layer ---\GetCLayers.vbs"]
>>>  "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\ALF - пофиксить лог AVZ.lnk"  -> ["C:\Users\Alex\Desktop\AVZ Logs Fixer_1.9\AVZ Logs Fixer.vbs"]
>>>  "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\SendTo\Подписать ЭЦП Alex Dragokas.lnk"        -> ["H:\_VBA\_Dragokas\Цифровая подпись\SignME.cmd"]
>>>  "C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\G.lnk"        -> ["C:\Program Files (x86)\Google\chrome.bat"]
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\Бонус.lnk"        -> ["C:\Program Files\Microsoft Office\Bonus"]
- "C:\Users\Alex\Desktop\ShortCuts\010 Editor.lnk"           -> ["C:\Program Files (x86)\010 Editor\010Editor.exe"]

=========================================================================
         ((((((        Other files and attributes       ))))))         
=========================================================================

__________________________  Hidden shortcuts  ___________________________

>>> [h] "C:\Users\Alex\Desktop\Internet Explorer (legit).lnk"          -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"] (hidden attribute)
-[h][s] "C:\Users\Alex\Desktop\Время запуска.txt - Shortcut.lnk"       -> ["C:\Users\Alex\Desktop\Время запуска.txt"] (hidden attribute) (system attribute)

_____________________ >>>  With browser names  <<< ______________________

!!! [MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\My Super Firefоx.exe"     (1461320 bytes.)   (MD5: 526D711BBAB6D306EBF2735671726E7D)   (Author: Artem Izmaylov)   (Signature: available)
!!! [MASK] "C:\Users\Alex\AppData\Local\Microsoft\Start Menu\Programs\Startup\Вoйти в Интeрнeт 2inf.net.exe"     (0 bytes.)   (MD5: D41D8CD98F00B204E9800998ECF8427E)   (Author: No information)   (Signature: NOT available)

__________________________   "Start menu"   _____________________________

- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\AIMP3.exe"     (1461320 bytes.)   (MD5: 526D711BBAB6D306EBF2735671726E7D)   (Author: Artem Izmaylov)   (Signature: available)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\Check Browsers LNK_mod.exe"     (352056 bytes.)   (MD5: 428B726E6C30971B4E584CC2FEF794E0)   (Author: Alex Dragokas)   (Signature: available)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip\Check Browsers LNK_unsigned.exe"     (348160 bytes.)   (MD5: 559B0FB379286A223022CA0DE031ACE2)   (Author: Alex Dragokas)   (Signature: NOT available)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiHidden\Не открывать проводник после лечения флешки.cmd"     (551 bytes.)   (MD5: 52DB1B0413898B65C6B3C537A14AE13F)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiHidden\Удалить AntiHidden.vbs"     (10744 bytes.)   (MD5: A1559FA2873474996004B98D21162CD1)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENSLAVED Odyssey to the West Premium Edition\Uninstall ENSLAVED"     (0 bytes.)   (MD5: D41D8CD98F00B204E9800998ECF8427E)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Visual Basic 6.0\Microsoft Visual Basic 6.0 Tools\MSCREATE.DIR"     (0 bytes.)   (MD5: D41D8CD98F00B204E9800998ECF8427E)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Visual Basic 6.0\MSCREATE.DIR"     (0 bytes.)   (MD5: D41D8CD98F00B204E9800998ECF8427E)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegJump MOD\Удалить RegJump MOD.vbs"     (13497 bytes.)   (MD5: 916163E1D155D9E1F5D448F460989CE0)

=========================================================================
                 ((((((      Internet shortcuts       ))))))           
=========================================================================

>>> [MASK] "C:\Users\Alex\Desktop\kitai LNK\Internet Exploror.url"  ->                              hxxp://vvv.315619.com/?a120702
>>>  "C:\Users\Alex\Desktop\ShortCuts\quarantine sz\2014-11-12\Unpacked\Mobogenie.url"  ->          hxxp://vvv.voga360.com
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENSLAVED Odyssey to the West Premium Edition\Visit the website.url"  ->        hxxp://enslaved.uk.namcobandaigames.eu/
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Futuremark\3DMark Vantage\Online\YouGamers Website.url"  ->     hxxp://vvv.yougamers.com
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LAV Filters\Visit LAV Filters Home Page.url"  -> hxxp://1f0.de/
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LAV Filters\Visit LAV Filters on Doom9.url"  ->  hxxp://forum.doom9.org/showthread.php?t=156191
- "C:\Users\Alex\AppData\Local\PlayFree Browser\Games\alex_gordon-lp_ru\play.url"  ->               hxxp://games.playfree.org/ru/play.html?utm_source=gs_ru&utm_medium=newtab
- "C:\Users\Alex\AppData\Local\PlayFree Browser\Games\alex_gordon-lp_ru\website.url"  ->            hxxp://games.playfree.org/ru/?utm_source=gs_ru&utm_medium=gamebutton
- "C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Miranda IM Final Pack\Форум поддержки Miranda IM Final Pack.url"  ->           hxxp://miranda-planet.com/forum/index.php?showtopic=7578
- "C:\Users\Alex\Desktop\kitai LNK\Mobogenie.url.url"  ->             javascript:document.forms[0].submit();
- "C:\Users\Alex\Desktop\kitai LNK\НтИЛ№ҐіЗ ИИСЄТ»ХЅ.url"  ->         hxxp://vvv.1666.com/goto/xiaoxin_tubiao?a120702
- "C:\Users\Alex\Desktop\kitai LNK\ґуМмК№Ц®ЅЈ.url"  ->                hxxp://g.qqq937.com/s/1/683/20418.html?uid=514084??a120702
- "C:\Users\Alex\Desktop\ShortCuts\FTP\FTP_LAMM_178.url"  ->          ftp://(personal data)@178.77.68.110
- "C:\Users\Alex\Desktop\ShortCuts\FTP\FTP_Safezone.url"  ->          ftp://(personal data)@ftp.safezone.cc/
- "C:\Users\Alex\Desktop\ShortCuts\Soft\FixWin\FixWin\FixWin HomePage.URL"  ->                      hxxp://vvv.thewindowsclub.com/repair-fix-windows-7-vista-problems-with-fixwin-utility
- "C:\Users\Alex\Desktop\ShortCuts\Soft\Registry\NastroykiXP\NastroykiXP\Links1\Главное меню\Loner-XP - официальный сайт.url"  ->      hxxp://lonerd.dreamprogs.net/
- "C:\Users\Alex\Desktop\ShortCuts\Soft\Registry\NastroykiXP\NastroykiXP\Links1\Главное меню\Скачать Софт и Игры.url"  ->              hxxp://dreamprogs.net/
- "C:\Users\Alex\Desktop\ShortCuts\Soft\Registry\NastroykiXP\NastroykiXP\Links2\Избранное\DreamProgs.Net Скачать Софт и Игры.url"  ->  hxxp://dreamprogs.net/
- "C:\Users\Alex\Desktop\ShortCuts\Soft\Registry\NastroykiXP\NastroykiXP\Links2\Избранное\Loner-XP - официальный сайт сборки.url"  ->  hxxp://lonerd.dreamprogs.net/
- "C:\Users\Alex\Favorites\Links\Почта.url"  ->                       hxxp://mail.yandex.ru/?win=100&clid=1993851
- "C:\Users\Alex\Favorites\Links\Яндекс.url"  ->                      hxxp://vvv.yandex.ru/?win=100&clid=1993851
- "C:\Users\Alex\FAVORI~1\C-YOUT~1.URL" ("C:\Users\Alex\Favorites\▶ французcкий салат нежность рецепты - YouTube.url")  ->             hxxps://vvv.youtube.com/watch?v=GxygHmVcB3w

_____________________ Statistics ____________________

Threats found:      42
Removed attrib. RO: 1 from 1
Start mode:         Normal
Time spent:         3 sec. (search: 2 sec.)
Folders processed:  15419
Files processed:    60158 (shortcuts: 811)

Profiles:
C:\Users\Default
C:\Users\Public
C:\ProgramData
C:\Users\Alex
C:\Users\A Alex
C:\Users\Test
C:\Users\Гость
C:\Users\Unknown
_____________________________ End of Log ________________________________
_____________________________ Debug Info ________________________________
- The shortcut is damaged: "C:\Users\Alex\Desktop\3_Работа\Розклад\КМБ\КМБ - Ярлык.lnk" (the header is not LNK type) Header=0x1F8B0800000000000003D558DF6FA34610FE577C5CE480CE (1162 bytes)
- The shortcut is damaged: "C:\Users\Alex\Desktop\AIMP3-with Header.lnk" (48 bytes)
- 06.03.2015 23:02:42 - Parser.GetTargetShellLinkW - #70 (Access denied.) Permission denied. LastDllError = 0. File:  C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Yаndех (2).lnk
- 06.03.2015 23:02:42 - Parser.GetTargetShellLinkW - #70 (Access denied.) Permission denied. LastDllError = 0. File:  C:\Users\Alex\Desktop\kitai LNK\141221_193033_quarantine_5496e799ec837\2014-12-21\Unpacked\Yаndех.lnk
__________________________ End of debugging _____________________________CRC32: 9CAA9C64

Из плюсов Shortcut Cleaner-a:
- очень быстрая скорость сканирования за счет просмотра только конкретных путей и только текущего пользователя.
- судя из описания - зачистка зловредных записей в реестре.
- автоматическое лечение (понятно, что не для всех хелперов это плюс)

Из минусов:
- заточена под поиск hijacker только определенных заразных сайтов и не факт, что утиль сможет справится, если они что-то подправят.
- не может бороться с неизвестными ей дописками сайтов
- за счет скорости работы пропускает множество ярлыков, в т.ч. папок быстрого доступа других пользователей.
- не проверяет ярлыки .URL
- не умеет исправлять ярлыки, ссылающиеся на батники
- не умеет исправлять ярлыки, защищенные атрибутом RO, не снимает атрибуты S, H.
...(дальше уже просто лень писать)

 

[Dragokas]

Сегодня Check Browsers' LNK и ClearLNK официально опубликованы в каталоге программ ToolsLib.net
https://toolslib.net/downloads/viewcategories/22-anti-adware/

 

[Dragokas]

Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Перевод, баги

1.1.0.36
[интерфейс] Добавлена французская локализация (спасибо Fr33tux (fr33tux.org)).
[интерфейс] Добавлены ключи командной строки -Lang XX для форсированного переключения языка интерфейса, где XX - это язык RU, EN или FR.
Альтернативно, можно переименовать файл программы в "Check Browsers LNK_EN.exe", _RU или _FR.
[анализ] Ярлыки легального софта, который создает их похожими на модифицированные, снова выводятся в лог.
[анализ] Исправлено ложное срабатывание на модифицированные ярлыки (другой случай с Wow64).
[баг]...

Узнать больше об этом обновлении...