Check Browsers' LNK by Dragokas & regist

Check Browsers' LNK by Dragokas & regist 2.2.0.42

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,814
Реакции
6,593
Пользователь Dragokas разместил новый ресурс:

Check Browsers' LNK by Dragokas & regist - Проверка ярлыков браузеров на наличие вредоносных ссылок.

Использование:
1) Временно отключить антивирус.
2) Запустить файл Check Browsers LNK.exe
3) Дождитесь завершения...* В конце откроется папка с отчетом,
который следует выложить в теме, где Вам оказывают помощь.

*Внимание: проверка может длится от 3 сек. до 3 минут*
в зависимости от скорости работы жесткого диска и установленного антивируса.

_______________
Назначение:
Программа проверяет обычные (*.LNK) и интернет (*.URL) ярлыки
на наличие...

Узнать больше об этом ресурсе...
 
Спасибо.
Боялись больше навредить, чем помочь.
Нужно было свести к минимуму возможность ложных срабатываний.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.4 Beta
Пополнение баз.
Ключ --aggressive теперь не игнорирует MSI ярлыки с целью "продукт не установлен".
К шаблонам проверок добавлены расширения скриптов PowerShell (*.ps1)
К шаблонам текстовых расширений добавлены xml|csv.
Исправлена ошибка при обработке нескольких ключей командной строки. Формат для -savelog изменился:
-savelog .
-savelog "путь к папке, куда сохранить отчет"
Проверка корректности ввода ключей.
Вывод MD5 хеша скриптов bat|cmd|ps1|vbs|js.
Чтение содержимого батников...

Узнать больше об этом обновлении...
 
Мне почему-то казалось, что было на vbs... Было переделано просто на vba?
Про работает "как часы" подтверждаю. Время отображает корректно:
Каких-то глюков не замечено.

Есть одно мини-неудобство - битдефендер вашу утилиту считает хеуром (ну, и все кто на его двиге тоже).
 
Мне почему-то казалось, что было на vbs
на VBS была другая утилита - ClearLNK, но давно переписана, многое переделано и улучшено и сильно поумнела.
Есть одно мини-неудобство - битдефендер вашу утилиту считает хеуром (ну, и все кто на его двиге тоже).
есть такое, увы ответ на письмо в вирлаб надо ждать несколько недель, а соответственно и снятия фолса. Со временем детект будет снят.
 
Раз через раз при компиляции одного и того же кода эвристик BitDefender-а то показывает подозрение, то нет.
Мы будем только рады, если другие пользователи отправят отчет о ложном срабатывании (выбрав "False Positive"): через эту форму.
На данный момент в базу BitDefender добавляются исключения только по хешу.
Цифровая подпись для них не имеет решающего значения, а программ White-Listing, как других аверов у них нет.
 
Это не проблема. Мы пробовали легитимную подпись, но на результат анализа это не повлияло.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.12 Beta
Отключил снятие галочек RO у стандартных ярлыков Windows 8 / 8.1, на которых они всегда стоят по-умолчанию.

1.1.0.11 Beta
Фикс, когда не снимался прочерк у ярлыков с HTTP из секции "Цель не существует".

1.1.0.10 Beta
Пополнение баз.

1.1.0.9 Beta
Если ярлыки признаны чистыми, но имели атрибут ReadOnly, они проверяются по белому списку стандартных ярлыков Windows 8.

1.1.0.8 Beta
К списку "для лечения" добавлены ярлыки секции "цель не найдена", если имеют в аругменте WEB-адрес....

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Цель съемного накопителя

1.1.0.13 Beta
Если цель находится на съемном накопителе, ее чтение не производится, а ярлык будет попадать в секцию "цель не найдена" с пометкой "(цель на съемном ус-ве: <Тип устройства REMOVABLE/REMOTE/CDROM/RAMDISK>)".

Узнать больше об этом обновлении...
 
А это что он нашёл ? win tp (10)
Код:
_________________________  Цель не существует  __________________________

- "C:\Users\Eugene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TrayItem.{7820AE76-23E3-4229-82C1-E41CB67D5B9C}.lnk"
-> ["C:\{F38BF404-1D43-42F2-9305-67DE0B28FC23}\explorer.exe"]
 
Последнее редактирование:
Добрый вечер, Phoenix !

Это GUID папки %windir% -> KnownFolderID.
Он неправильно прописан в ярлыке, поэтому ярлык нерабочий.
Должно быть примерно так: "::{F38BF404-1D43-42F2-9305-67DE0B28FC23}\explorer.exe"
Но вручную сменить цель, используя данный синтаксис нельзя.
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.16 Beta
Правила: модифицированные из секции "цель не существует" - лечим всегда, кроме случаев, когда цель на съемном диске (НО, при дописках лечим даже в этом случае).
Если скрипт пустой - в примечании будет указано "( 0 байт )".
https протокол признавать небезопасным.
Замена https -> hxxps в отчете всегда.

1.1.0.15 Beta
Пополнение баз
Отладочная информация - теперь больше данных в строке с ошибкой (например, на каком файле произошла).

1.1.0.14 Beta
Пополнение баз
Убрал исключение из...

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Префикс CMD

1.1.0.17
Если запуск цели через cmd.exe и в аргументах нет скрипта, будет указан префикс [CMD] вместо [script].
Powershell.exe добавлен к списку скриптовых процессоров.
Добавлен ключ -openLogFile - в конце анализа открывает сам отчет вместо папки с ним.

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

Работа FTP восстановлена.

1.1.0.19
Добавлено распознавание имен копий ярлыков для браузеров, детектирование которых по части имени запрещено.
Если в пути к ярлыку / цели окажется один из символов \/:*?"<>|, путь будет переведен в формат 8.3.
Фраза "цель на съемном устройстве: NO_ROOT_DIR" заменена на "цель на съемном устройстве: ОТКЛЮЧЕНО"

Узнать больше об этом обновлении...
 
По причине ложных срабатываний антивирусов, которые появляются уже после выпуска обновлений,
вводится практика задержки выпуска версий до момента снятия детектов, а также откаты версий.

Ближайший откат (к версии 1.1.0.18) запланирован на 13.11.2014 23:59 (GMT +2.00)
(детектирование снято.)
 
Последнее редактирование:
Пользователь Dragokas обновил ресурс Check Browsers' LNK by Dragokas & regist новой записью:

Обновления

1.1.0.20 Beta
Постанализ: "для лечения" помечаются также ярлыки, имеющие общие признаки с зараженными.
Сортировка секций по признаку "для лечения".
Фикс: утечка памяти в функции рассчета хеша при блокировке файла антивирусом.
Выравнивание отчета для интернет-ярлыков (экспериментально).

Узнать больше об этом обновлении...
 
Назад
Сверху Снизу