Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Скачать
Обзор F.A.Q. Обновления (46) Отзывы (4) История Обсуждение
Ошибочку нашел, лог с моего компьютера:

>>> "C:\Users\Alex_User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Opera.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe" =>> --user-agent="Mozilla/5.0 (compatible; MSIE 9.0; Linux; Trident/5.0)"]
>>> "C:\Users\Alex_User\Documents\PORTABLE\link\Opera.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe" =>> --user-agent="Mozilla/5.0 (compatible; MSIE 9.0; Linux; Trident/5.0)"]
- "C:\Users\Alex_User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Start Tor Browser.lnk" -> ["C:\Users\Alex_Admin\Documents\PORTABLE\TOR\Tor Browser\Browser\firefox.exe"]
- "C:\Users\Alex_User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera 31.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe"]
- "C:\Users\Alex_User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe"]
- "C:\Users\Alex_User\Desktop\Opera 31.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe"]
- "C:\Users\Alex_User\Desktop\Opera.lnk" -> ["C:\Users\Alex_Admin\AppData\Local\Programs\Opera\launcher.exe"]
- "C:\Users\Alex_User\Desktop\Start Tor Browser.lnk" -> ["C:\Users\Alex_Admin\Documents\PORTABLE\TOR\Tor Browser\Browser\firefox.exe"]
- "C:\Users\Alex_User\Documents\PORTABLE\TOR\Tor Browser\Start Tor Browser.lnk" -> ["C:\Users\Alex_Admin\Documents\PORTABLE\TOR\Tor Browser\Browser\firefox.exe"]
Нажмите для раскрытия...

Проверяются ярлыки у юзера Alex_User, а обьекты ищутся в Alex_Admin - и их-то там как раз и нет
 
В смысле, объект ярлыка неверно раскрылся?
Кстати, первая строчка - в какую секцию лога попала?
 
Последнее редактирование:
Это все отсутствующие объекты. Правильно должно быть так:

>>> "C:\Users\Alex_User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Opera.lnk" -> ["C:\Users\Alex_User\AppData\Local\Programs\Opera\launcher.exe" =>> --user-agent="Mozilla/5.0 (compatible; MSIE 9.0; Linux; Trident/5.0)"]
Нажмите для раскрытия...
 
Скинь, пожалуйста, заархивированный ярлык мне.
 
Это потому что программа запущена от имени Alex_Admin и встречается такой косяк
 
Goinf - Kaspersky Lab Forum
Ярлык Хрома с другим названием оказался в правильном месте с высоким риском, а ярлыки Ослика и Опера почему-то в низком :)
 
thyrex, спасибо. Подумаем.
На счет Хрома, он ссылается на батники, поэтому высокий риск. Здесь не вижу ошибки.
Вообще-то пометки перед ярлыками - это всего лишь подсказка.
Это не отменяет обязанность хелпера просматривать лог и давать на лечение только нужные.
Ярлыки Ослика и Оперы попали в лог, а значит утилита свою задачу выполнила.

Еще одна ошибка, отсутствие команд карантина ярлыков (есть только те, что видны были в AVZ).
Анализировать нечего.
 
Dragokas, Здравствуйте!
В логе две строчки на один ярлык, которой верить?
Код: 
>>> [h]       "C:\Documents and Settings\Gleb\Рабочий стол\Ярлыки\Yandex.lnk"          -> ["C:\Documents and Settings\Gleb\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe"]
>>> [MASK][s] "C:\Documents and Settings\Gleb\Рабочий стол\Ярлыки\Yаndех.lnk"    -> ["C:\Documents and Settings\Gleb\Application Data\Browsers\exe.resworb.bat"]
 
В редакторе с подсветкой, например, AkelPad, все сразу заметно.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Глобальное обновление

Новое обновление направлено на улучшение читаемости лога.

Изменения: 2.0.0.13 beta - 2.1.0.2

Основные:
[очистка] Удалена проверка ЭЦП, ключ -sign, отображение информации об авторе PE EXE.
[очистка] Отключено сбрасывание атрибута ReadOnly у ярлыков.
[новое] В секцию "Другие файлы и атрибуты" введена подсекция "С атрибутом "Только для чтения"".
[новое] Введена подсекция "Избранное" в секцию "Интернет-ярлыки".
[новое] Добавлено определение портативных браузеров.
[новое]...
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Последнее редактирование:
FAQ обновлен.
Добавлены рекомендации по созданию и сбору креш-дампа на ОС Windows XP, а также других ОС (в случае, если программа запущена не из AutoLogger).
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновление

2.1.0.3 - 2.1.0.4 (Public)
Заменен парсер URL.
[баг] Устранены 2 варианта ложного срабатывания на признак модификации ярлыков (спасибо shestale и regist).
[баг] Исправлена ошибка при сравнении на соответствие заголовку LNK (для систем с подмененной кодовой страницей) (Спасибо regist и Melave за тесты)
Слегка почищен / уменьшен лог, отладка.
Дополнены случаи, когда отсутствует ассоциация браузера по-умолчанию.
Добавлено опознавание для ассоциаций браузеров, установленных в директорию не...
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Уважаемые хелперы!

Пожалуйста, не забывайте брать в карантин батники, а также содержимое папки с батниками и ярлыки, которые на них ссылаются.
(специально для написания таких скриптов в помощь даже был обновлен AVZ LNK Script Helper).
Сейчас это используется для разработки умного анализатора вредоносных скриптов.
Ни один карантин не проходит мимо, не говоря уже о статистике.

Также не стесняйтесь брать ярлыки, особенно с пометками [modified]. Я понимаю, что в ближайшее время их было много,
но благодаря Вашей помощи в новой версии, которая выпущена, это исправлено.

О ложных срабатываниях тоже говорите, как угодно, и любым видом связи. Логи просматриваем, но самим всё охватить сложно.
Где можно, исправим, где спорно, сами понимаете.

Спасибо.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

2.1.0.5
Добавлены подсекции "Игры Microsoft" и "Другие протоколы".
Завершен реверсинг формата FTP Shell item; внедрено в парсер LNK.
Убран баг с определением размера ярлыка в 0 байт, если он поврежден.
Нажмите для раскрытия...

Узнать больше об этом обновлении...
 
Приветствую, а что значит содержит только знаки NUL ?


Пример лога
Код: 
_____________  Подозрительные ( >>> ВЫСОКИЙ риск <<< )  _________________

- "C:\Users\Admin\Desktop\Crysis.lnk"   (содержит только знаки NUL)
- "C:\Users\MrAlex\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Uninstall Programs.lnk"         (содержит только знаки NUL)
- "C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Uninstall Programs.lnk"          (содержит только знаки NUL)
- "C:\Users\Public\Desktop\Crysis 2 - Maximum Edition.lnk"  (содержит только знаки NUL)
- "C:\Users\Public\Desktop\Crysis 3.Digital Deluxe.v 1.3.0.0.lnk"     (содержит только знаки NUL)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk"  (содержит только знаки NUL)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects CC.lnk"       (содержит только знаки NUL)
 
vavun, это испорченные ярлыки. В файле только символы с ASCII кодом 0x00.
Обычно из-за кривых инсталляторов, также последствий работы вредоносного ПО, бывает из-за перехватов антивируса (в этом случае файл на самом деле может быть целым, но вылечить для профилактики все же стоит, особенно если рядом в логе есть и вредоносные записи).
 
Последнее редактирование:

Похожие темы

akok
  • Закрыта
Как подготовить лог Check Browsers' LNK
Ответы
0
Просмотры
4K
akok
akok
Dragokas
Анализ особых видов заражений с помощью Check Browsers’ LNK
Ответы
0
Просмотры
5K
Dragokas
Dragokas
Dragokas
[C#] Digital signature check
Ответы
13
Просмотры
1K
ChatGPT
ChatGPT
Назад
Сверху Снизу