ClearLNK - удаление параметров запуска у ярлыков 2.9.0.18

[thyrex]

Спрошу здесь: анимашка http://dragokas.16mb.com/Safe/move.gif то есть, то нет. В связи с чем проблема?

 

[Dragokas]

Привет !
Про этот сервер можно забыть.

Все перенесено на dragokas.com
Анимашка находится по адресу: http://dragokas.com/tools/move.gif

 

[Dragokas]

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Исправление ошибок

2.7.0.1 Beta
[баг*] Программа почти всегда предупреждала, что "Такие ярлыки уже проходили лечение".
[баг*] Необходимось в файловом редиректоре проверялась по папке Windows вместо Windows\System32.
[баг*] Создавался пустой Errors.log по завершению работы из-за чего также появлялась ошибка редиректора.
[баг*] Лог ошибок затирал основной лог, в результате чего оставалась только шапка.
[баг] Часть ярлыков с дописками вида "копия (2)..." не опознавались как браузерные.
[база] Пополнена база браузеров.
*...

Узнать больше об этом обновлении...

 

[Dragokas]

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Правка бага

2.7.0.2
[баг] Дублированный замаскированный ярлык удалялся и тут же восстанавливался проходя через процедуру лечения.

Узнать больше об этом обновлении...

 

[SNS-amigo]

Скачал, опробую при случае. Один из предыдущих (не запомнил какой) чудил с ярлыками, толи не находил, толи это тот баг, что ты описал.
Постараюсь все записывать, а то через день уже забуду.

 

[Dragokas]

SNS-amigo, можно и сразу сюда писать.
Я обратил внимание на отчет, потому как Северный запросил повторный лог FarBar-ом, за что ему спасибо.
А то так бы и висел баг. Если бы кто-то сообщил раньше, я бы сразу исправил.
Часто пользователи не выкладывают отчет клинера, поэтому тяжело следить за правильностью работы новых версий.

 

[thyrex]

http://virusinfo.info/showthread.php?t=175842
Странно отработала утилита, судя по логу в сообщении №8

 

[regist]

Странно отработала утилита, судя по логу в сообщении №8

и что там странного? Я ничего странного не заметил.

 

[thyrex]

Т.е. это норма?

[ OK ] "c:\users\nata\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\Internet Explorer.LNK" [ "C:\Users\nata\AppData\Roaming\Browsers\exe.erolpxei.bat" ] (ОК)
[ OK ] "c:\users\nata\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\Mozilla Firefox.LNK" [ "C:\Users\nata\AppData\Roaming\Browsers\exe.xoferif.bat" ] (ОК)

 

[Dragokas]

thyrex, спасибо.
Там хитрый ярлык (без подробностей). Вероятность повторения невелика.
Внесу защиту завтра.

 

[regist]

Т.е. это норма?

нет, не заметил.
А ещё не понятно, почему вы оставляете у пользователя вирусы типа Trojan-Clicker.BAT.Agent.an. Если предварительно заразу удалили бы утилита отработала бы нормально.

 

[Dragokas]

regist, конкретно этого пути к батнику по логам скорее всего не было видно. Это ClearLNK его нашел
Там причина бага была не в тушке, а части алгоритма, которую мы не можем разглашать.

 

[Dragokas]

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Правка алгоритма

Внесены некоторые правки в логику лечения.
Вернул вывод методов лечения (только для префиксов [OK]).
Улучшения форматирования лога.

Узнать больше об этом обновлении...

 

[Dragokas]

thyrex, не обижайся. regist он всегда такой.
На счет ошибки, технически клинер сделал все правильно. Ошибки не было. Это мой недочет.
Для браузерных ярлыков никаких особенностей вроде предварительного удаления тушки не требуется.
Это актуально только для прочих ярлыков, которые ссылаются на вредоносное ПО.

 

[Кирилл]

Dragokas, зацени такой ярлык,проверь будет ли правильно читаться:

C:^Users^Юзер^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk

С помощью авз его в скрипт вставить невозможно.
Хз как путь у него читался...сам ярлык поймать не смог,но ссылка на него вот такая...

爱奇艺PPS影音.lnk

Проблема в этих знаках: авз их не воспринимает.

 

[Dragokas]

Koza Nozdri, перевод клинера на юникодный интерфейс в ближайших планах. Пока доступно взаимодействие только с Check Browsers' LNK, который отображает имена дополнительно в формате 8.3.

 

[Severnyj]

Вот снова на батник переписал путь http://www.cyberforum.ru/viruses/thread1364665.html#post7165012

 

[Dragokas]

Чтобы вылечить ярлык, на то должна быть причина. Критериев много. В данном случае:

Метод RN - это Reason: No.
Значит, что клинер посчитал, что не было причин считать цель вредоносной (только аргумент, который и был успешно очищен).
В этом случае общая рекомендация особенно для не-браузерных ярлыков - сначала удалять тушку, а затем давать клинер (причина лечения будет - отсутствие цели).
Для автоматического внесения батников в скрипты AVZ можно воспользоваться AVZ Script Helper.

В виду популярности этого способа модификации ярлыков
мы подумаем над необходимостью определения вредоносности скриптов автоматически.
Тем не менее, схожие скрипты бывает весьма сложно отличить от вполне легитимных.

 

[Dragokas]

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Алгоритм

2.7.0.4
[алгоритм] Изменены приоритеты логики лечения браузерных ярлыков.
[базы] Внесен браузер Vivaldi
[баг] Исправлен незначительный баз с регуляркой разбора лога.
[отчет] В статистику добавлено общее кол-во обработанных объектов.

Узнать больше об этом обновлении...

 

[Dragokas]

Пользователь Dragokas обновил ресурс ClearLNK - удаление параметров запуска у ярлыков новой записью:

Пополнение баз

2.7.0.5
[база] Добавлен браузер Comodo Chromium Secure
[Совместимость] Добавлена совместимость с Windows 10.

Узнать больше об этом обновлении...