Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Скачать
Обзор F.A.Q. Обновления (46) Отзывы (4) История Обсуждение
/debug /heavy

Также, см. файл Errors.log (если присутствует).

bboymig написал(а):
Программа не запускается. Версия самая последняя.
Нажмите для раскрытия...
Если не запустилась, тут 2 варианта:
- что-то блокирует, антивирус например.
- упала, тогда собираем дамп, инструкция есть в конце FAQ.
 
Еще раз внимательно просмотрел. Программа висит в процессах, но видимо она не может считать ключи, которые я задаю. Сейчас попробовал сделать через символ "-" вместо "/" и заработало. Сейчас тестирую. О результате отпишусь.

P.S. Да с ключем "-" все работает. С ключем "/" запускает в обычном режиме.
 
Последнее редактирование:
Здравствуйте, а есть ли функционал «обновить базу» и сигнатурную проверка , чёрных и белых списки . Так как , она выдаёт очень много ложных срабатываний .
Когда , запускаю автологгер , увидел там отчёт и показывает много ложных срабатываний .
 
Последнее редактирование модератором:
wumbo12 написал(а):
Здравствуйте, а есть ли функционал «обновить базу» и сигнатурную проверка , чёрных и белых списки . Так как , она выдаёт очень много ложных срабатываний .
Когда , запускаю автологгер , увидел там отчёт и показывает много ложных срабатываний .
Нажмите для раскрытия...
1) Такого функционала нет.
2) Ложных срабатываний также по сути нет ибо утилита никакие вердикты не выдаёт и ничего не лечит. Она лишь даёт некоторые рекомендации для облегчения работы хелпера (того кто будет анализировать лог и решать, что делать дальше с ярлыками).
 
Пожалуйста реализовывать функционал , чтобы они больше не отображались ложным срабатыванием. Где список чистый не угрожающий ПК, файлы чист и подписано.
Чтобы хелпер вынес какие-то вердикт для дальнейшего развития и обнаружение. Если это утилита больше не развивается , зачем это добавил в автологгер в 2020 года? Уже прошел 3 года без изменений.
Предложение бы реализовывать , чтобы она развивалась утилита с обнволением.
 
Последнее редактирование модератором:
wumbo12 написал(а):
Пожалуйста реализовывать функционал , чтобы они больше не отображались ложным срабатыванием. Где список чистый не угрожающий ПК, файлы чист и подписано.
Чтобы хелпер вынес какие-то вердикт для дальнейшего развития и обнаружение. Если это утилита больше не развивается , зачем это добавил в автологгер в 2020 года? Уже прошел 3 года без изменений.
Предложение бы реализовывать , чтобы она развивалась утилита с обнволением.
Нажмите для раскрытия...
@wumbo12, дайте денег, будем развивать дальше.
Вы не понимаете принцип работы утилиты.
Она работает по принципу противоположному тому, как работают антивирусы. Почитайте описание утилиты HiJackThis на github. Здесь применимы +- всё те же постулаты: чёрных списков нет вообще (это не совсем правда, но можно считать, что их нет). Есть только белые списки. Соответственно, все, что не белое, априори выносится в лог для конечного вынесения вердикта хелпером. А "чтобы хелпер вынес вердикт", для этого ему нужно быть хелпером, или как минимум иметь мозг и минимальное понимание в сфере поиска вредоносов. Эта утилита не предназначена для обычных юзеров уровня: нажать кнопку "Сделать всё хорошо".
По этой причине, обновления не требуются. Утилита актуальна всегда.
Было желание кое-что поправить, но с текущей ситуацией на Украине, постоянными отключениями света, и не очень хорошей финансовой ситуацией, это откладывается далеко до следующих времён.
 
Понятно ..Обсудим это позже.
 
Последнее редактирование модератором:
Dragokas написал(а):
Зачем долго ждать. Сделайте донат в 100$, готов сделать небольшие правки прямо сейчас.
Нажмите для раскрытия...
Cейчас пока нет наличии. Война повлияло на экономику. Говорю, же нету работы чтобы вносить.
 
[=========================================================================]
(((((( Прочие ярлыки ))))))
===========================================================================

[_____________ Подозрительные ( >>> ВЫСОКИЙ риск <<< ) _________________]

- "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ShareX.lnk" -> ["C:\Program Files\ShareX\ShareX.exe" =>> -silent]

[___________________ Подозрительные ( низкий риск ) ____________________]

-[script] "C:\Users\Admin\Desktop\Google Drive.lnk" -> ["C:\Program Files\Google\Drive File Stream\launch.bat"] -> @echo off¶ ¶ rem Launcher script for GoogleDriveFS.exe that looks up the latest¶ rem GoogleDriveFS.exe and runs it with the same arguments as the script.¶ rem Convenient to use as a target for Windows shortcuts.¶ ¶ rem Use '!' instead of '%' for variable names.¶ setlocal EnableDelayedExpansion¶ ¶ se (1468 байт.) (cp: 20127) (MD5:7C989944F741077C6170A8E0FF0043B8)
-[script] "C:\Users\Admin\Desktop\Google Docs.lnk" -> ["C:\Program Files\Google\Drive File Stream\launch.bat" =>> -open_gdocs_root] -> @echo off¶ ¶ rem Launcher script for GoogleDriveFS.exe that looks up the latest¶ rem GoogleDriveFS.exe and runs it with the same arguments as the script.¶ rem Convenient to use as a target for Windows shortcuts.¶ ¶ rem Use '!' instead of '%' for variable names.¶ setlocal EnableDelayedExpansion¶ ¶ se (1468 байт.) (cp: 20127) (MD5:7C989944F741077C6170A8E0FF0043B8)
-[script] "C:\Users\Admin\Desktop\Google Sheets.lnk" -> ["C:\Program Files\Google\Drive File Stream\launch.bat" =>> -open_gsheets_root] -> @echo off¶ ¶ rem Launcher script for GoogleDriveFS.exe that looks up the latest¶ rem GoogleDriveFS.exe and runs it with the same arguments as the script.¶ rem Convenient to use as a target for Windows shortcuts.¶ ¶ rem Use '!' instead of '%' for variable names.¶ setlocal EnableDelayedExpansion¶ ¶ se (1468 байт.) (cp: 20127) (MD5:7C989944F741077C6170A8E0FF0043B8)
-[script] "C:\Users\Admin\Desktop\Google Slides.lnk" -> ["C:\Program Files\Google\Drive File Stream\launch.bat" =>> -open_gslides_root] -> @echo off¶ ¶ rem Launcher script for GoogleDriveFS.exe that looks up the latest¶ rem GoogleDriveFS.exe and runs it with the same arguments as the script.¶ rem Convenient to use as a target for Windows shortcuts.¶ ¶ rem Use '!' instead of '%' for variable names.¶ setlocal EnableDelayedExpansion¶ ¶ se (1468 байт.) (cp: 20127) (MD5:7C989944F741077C6170A8E0FF0043B8)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo\AVZ - распаковать карантин.lnk" -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ - распаковать карантин.cmd"] -> @echo off¶ SetLocal EnableExtensions EnableDelayedExpansion¶ chcp 866 >nul¶ ¶ set AppVersion=1.22¶ ¶ title AVZ DeQuarantine Script ver. %AppVersion%¶ set "args=%~1"¶ ¶ :: >>>>> НрёЄЁющъш <<<<<¶ ¶ :: чэрчхэшя + / -¶ ¶ :: ПхЁхчряшёытрЄь яряъє яЁш Ёрёяръютъх схч яЁхфєяЁхцфхэшя?¶ set OverWrite=+¶ ¶ (19237 байт.) (cp: 1252) (MD5:309A48C79B51D1101C3B45ACA8C24667)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\AVZ DeQuarantine.lnk" -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ - распаковать карантин.cmd"] -> @echo off¶ SetLocal EnableExtensions EnableDelayedExpansion¶ chcp 866 >nul¶ ¶ set AppVersion=1.22¶ ¶ title AVZ DeQuarantine Script ver. %AppVersion%¶ set "args=%~1"¶ ¶ :: >>>>> НрёЄЁющъш <<<<<¶ ¶ :: чэрчхэшя + / -¶ ¶ :: ПхЁхчряшёытрЄь яряъє яЁш Ёрёяръютъх схч яЁхфєяЁхцфхэшя?¶ set OverWrite=+¶ ¶ (19237 байт.) (cp: 1252) (MD5:309A48C79B51D1101C3B45ACA8C24667)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\Удалить AVZ DeQuarantine.lnk" -> ["C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs"] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:A15CB5D35F0D448E1237518D8E045E0A)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\quarantine.zip - Создать ассоциацию.lnk" -> ["C:\Windows\system32\wscript.exe" =>> "C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs" AssocInstall] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:A15CB5D35F0D448E1237518D8E045E0A)
-[script] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AVZ DeQuarantine\quarantine.zip - Удалить ассоциацию.lnk" -> ["C:\Windows\system32\wscript.exe" =>> "C:\Users\Admin\AppData\Roaming\AVZ DeQuarantine\AVZ DeQuarantine (Установщик).vbs" AssocUnInstall] -> ' Установщик скрипта "AVZ DeQuarantine"¶ ¶ Option Explicit¶ Dim oShell, oFSO, curPath, AppData, SendTo, InstFolder, AppLink, AppName, AppPath, oFile, oTS, str, StartMenuPrograms, SysRoot, bTwice, DefVerb, DefProgID, UserChoiceHash¶ Dim StartMenuLink_1, StartMenuLink_2, StartMenuLink_3, StartMenuLink (21759 байт.) (cp: 1252) (MD5:A15CB5D35F0D448E1237518D8E045E0A)

[_________________________ Цель не существует __________________________]
Нажмите для раскрытия...

Ложное срабатывание.
 
wumbo12 написал(а):
Ложное срабатывание.
Нажмите для раскрытия...
1) Как уже неоднократно вам писалось, перед тем как писать в тему как писать в тему ресурса свои замечания изучите что это. У этой утилите не может быть ложных срабатываний в традиционном смысле ибо она ничего не лечит. Она только выводит список. А решение что из этого лечить принимает человек.
2) В данном списке она вообще ничего не предлагает лечить. Всё отработало корректно.
Так что перечитайте ещё раз описание утилиты.
 
regist написал(а):
1) Как уже неоднократно вам писалось, перед тем как писать в тему как писать в тему ресурса свои замечания изучите что это. У этой утилите не может быть ложных срабатываний в традиционном смысле ибо она ничего не лечит. Она только выводит список. А решение что из этого лечить принимает человек.
2) В данном списке она вообще ничего не предлагает лечить. Всё отработало корректно.
Так что перечитайте ещё раз описание утилиты.
Нажмите для раскрытия...
Гугл -доверенная зона , вам известна? Это Google Drive с официального источника, программа такая . Вы считаете не доверенным?
Sharex - программа доверенная для обмен скриншот ( посмотрите в интернете ).
AVZ de quarantine - тоже считаешь вредоносным? ( из safezone.cc)

Лучше бы эти списки попали в доверенную базу , чтобы она больше не попались в базу.
 
@wumbo12 если вы хоть немного вникните хотя бы в
AVZ de quarantine - тоже считаешь вредоносным? ( из safezone.cc)
Нажмите для раскрытия...
То поймёте, что там для каждой системы батник будет отличаться. Так как рандомный батник добавлять в базу? Просто поверить по названию, что там именно он, а не вирус под таким именем?
А потом если брать и все программы со всего интернета добавлять в базы, то программа будет весить в сотни раз больше.
И именно потому что утилита таки своим "умом" сообразила, что это всё-таки не опасные файлы, она не стала их рекомендовать к лечению.
И вам уже не раз писали, что все эти программы работают по другому принципу. Это вам не антивирус где надо постоянно обновлять базы вирусных сигнатур.

А ярлык запускающий какой-то батник по умолчанию считается подозрительным. И не важно что именно в нём, надо предупредить об этом хелпера и уже он будет принимать решение. Так что всё тут корректно.
 
Все понял , это программа лишнее для осмотр , какие бывают запускающие LNK , батники скорее всего . Исследовательская - ярлыки , не антивирус... Это лог как сборщик.
 
@wumbo12, ну, во-первых, 1-й пост, читаем, что есть детект этой утилиты и как он помечается в логе.
Во-вторых, рекомендуемые для ознакомления статьи по теме:
www.safezone.cc

Классификация ярлыков Windows и виды их заражения

Классификация ярлыков Windows и виды их заражения Автор: Dragokas В современном мире угроз для эффективного выявления следов вредоносного ПО консультант должен представлять себе, какими бывают способы заражения, связанные с эксплуатацией ярлыков Windows, а также разновидности самих ярлыков...
www.safezone.cc www.safezone.cc
www.safezone.cc

Анализ особых видов заражений с помощью Check Browsers’ LNK

____________ Это дополнение в виде 2-й части статьи: Классификация ярлыков Windows и виды их заражения Право на перепубликацию оставляю за собой. (прим. ред. – изначальную статью по причинам секретности мы сократили, поэтому название темы может слегка не совпадать с ее содержанием)...
www.safezone.cc www.safezone.cc

Google добавить можно, но только если там редкие обновления, и эта фича популярна.
У меня по-другому: где-то раз в год запускается робот, который собираёт всё из тем лечения и делает сравнительный анализ в разрезе версии ОС, откуда я выношу вердикт, вносить как статическое исключение или нет. Скоро уже да, действительно надо его пнуть.
 
Dragokas написал(а):
@wumbo12, ну, во-первых, 1-й пост, читаем, что есть детект этой утилиты и как он помечается в логе.
Во-вторых, рекомендуемые для ознакомления статьи по теме:
www.safezone.cc

Классификация ярлыков Windows и виды их заражения

Классификация ярлыков Windows и виды их заражения Автор: Dragokas В современном мире угроз для эффективного выявления следов вредоносного ПО консультант должен представлять себе, какими бывают способы заражения, связанные с эксплуатацией ярлыков Windows, а также разновидности самих ярлыков...
www.safezone.cc www.safezone.cc
www.safezone.cc

Анализ особых видов заражений с помощью Check Browsers’ LNK

____________ Это дополнение в виде 2-й части статьи: Классификация ярлыков Windows и виды их заражения Право на перепубликацию оставляю за собой. (прим. ред. – изначальную статью по причинам секретности мы сократили, поэтому название темы может слегка не совпадать с ее содержанием)...
www.safezone.cc www.safezone.cc

Google добавить можно, но только если там редкие обновления, и эта фича популярна.
У меня по-другому: где-то раз в год запускается робот, который собираёт всё из тем лечения и делает сравнительный анализ в разрезе версии ОС, откуда я выношу вердикт, вносить как статическое исключение или нет. Скоро уже да, действительно надо его пнуть.
Нажмите для раскрытия...
Мне не известно , когда вам удобно.
Лишь , можно было добавить VT сканирование пр ссылку lnk , если она не угроза - можно считать [Доверенная lnk ,bat ] . Добавить re-scan VT.

Если какие это угроза , при сканирование VT эти lnk , со re-scan - если будет считать [Угроза lnk , bat ]
Выдаются хэши и VT цифр -какие вендоры детектят - можно лечить и убирать lnk из системы.


Это позволяет вам сэкономит на обнаружение.
 
Последнее редактирование модератором:
wumbo12 написал(а):
Лишь , можно было добавить VT сканирование пр ссылку lnk , если она не угроза - можно считать [Доверенная lnk ,bat ] . Добавить re-scan VT.
Нажмите для раскрытия...
В половине случаев там будет как раз ложное срабатывание.
А в другой половине, наоборот не сможет обнаружить угрозы.

И утилита заточена на скорость и работу без интернета.
 
Dragokas написал(а):
В половине случаев там будет как раз ложное срабатывание.
А в другой половине, наоборот не сможет обнаружить угрозы.

И утилита заточена на скорость и работу без интернета.
Нажмите для раскрытия...
Эх, я думал половина своя оффлайн (своя база ) и половина интернет соединение с другим вендор известный и популярный движок.
 
Утилита работает на совершенно иных принципах и самодостаточна.
От учёта репутации известных вендоров, она только пропустит заражение.
В этом и отличие от классических антивирусов, видеть то, что другие не могут.
 

Похожие темы

akok
  • Закрыта
Как подготовить лог Check Browsers' LNK
Ответы
0
Просмотры
4K
akok
akok
Dragokas
Анализ особых видов заражений с помощью Check Browsers’ LNK
Ответы
0
Просмотры
5K
Dragokas
Dragokas
Dragokas
[C#] Digital signature check
Ответы
13
Просмотры
1K
ChatGPT
ChatGPT
Назад
Сверху Снизу