OSAM v5.0 - теперь находит и удаляет руткиты, скрывающие свои файлы!

В принципе на русском прога не нужна,потому что и на английском там вполне понятно.
Был случай с одним компом,который мне как-то попался.AVZ никакой скрипт не мог вирус не то,что в карантин взять,убить не в силах был.А Осамом я быстро ликвидировал вирус.А ведь над тем вирусом потел не только я и хелперы тоже.Не могу тот момент никак забыть.Одним словом везде свои преимущества.

A как он взаимодействует со штатным антивирусом, к примеру с тем же KIS?

[QUOTE='Online Solutions;472771']Обновлено: Кстати, а что именно Вы имели в виду под "чисткой"? Возможно, мы просто о разных вещах говорим.[/QUOTE]
Под "чисткой" я имею ввиду хотя бы восстановление настроек системы (изменённых зловредами) - конкретные пункты можно посмотреть в AVZ: Файл - Восстановление системы.

[QUOTE=Ingener;472838]Под "чисткой" я имею ввиду хотя бы восстановление настроек системы (изменённых зловредами) - конкретные пункты можно посмотреть в AVZ: Файл - Восстановление системы.[/QUOTE]
Понятно. Тогда верно друг друга поняли.
Наиболее критичные вещи (например, ассоциации) восстанавливаются автоматически при удалении вирусов, которые имеют к этому вопросу отношение. То же самое с удалением вредоносных программ из LSP (автоматически перестраиваются цепочки провайдеров). Про другие вещи сказал выше (до этого).

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=senyak;472784]А на русском не планируется.[/quote]
Планируется. Но конкретную дату, к сожалению, не назову.

[QUOTE=senyak;472784]Интересная программа....[/QUOTE]
Спасибо! :beer:

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[QUOTE=SDA;472811]A как он взаимодействует со штатным антивирусом, к примеру с тем же KIS?[/QUOTE]
Никак. Они друг с другом никак не взаимодействуют и друг на друга не реагируют. [b]OSAM[/b] может только [i]помочь[/i] KIS/KAV удалить те вирусы, с которыми он не справляется (защищающие друг друга, с самозащитой и т.п.) или еще не находит (нет в базах). Например, как [url=http://forum.online-solutions.ru/viewtopic.php?t=131]в этом случае с WinNT32, WinNT64 ("Mutant")[/url]. 8)

[QUOTE]Например, как в этом случае с WinNT32, WinNT64 ("Mutant")[/QUOTE]

Не подскажете какой там Касперский? :)

[QUOTE=Гриша;472963]Не подскажете какой там Касперский? :)[/QUOTE]
Тема старая (август 2008 года), думаю и Касперский соответствующий времени темы. Я не большой специалист по датам и версиям Касперского, может кто-то по виду окон может определить (там есть скриншоты). 7-ая версия, наверно? (не меньше - точно).

У меня возникло несколько предложений по [B]OSAM[/B]:
1) Добавить проверку CRC при запуске программы, и при обнаружение что файл osam.exe изменён выводить предупреждение пользователю о наличие в системе файлового вируса.
Естественно в логах тоже добавить соответствующий пункт.
2) Добавить мастер поиска и устранения проблем, который сканировал бы систему и выводил список рекомендуемых для исправления проблем, например:
- разрешён автозапуск (со сменных носителей, с HDD, с сетевых дисков)
- модифицирован файл hosts
- заблокирован редактор реестра (диспетчер задач)
- изменены настройки загрузки в SafeMode
- и т.д.
Чтобы пользователь просто мог поставить галочки на конкретных пунктах в списке и решить свои проблемы.
3) Добавить контроль автозагрузки зловреда путём самокопирования в корень диска C и создания авторана.
Что вы думаете об этом?

А я скачал переносную версию, он там че то долго искал и потом выдал список. Обнаружил драйвер от одной программы, которой у меня давно нет - удалил. Правда дальше изучить прогу не было времени. Седня еще гляну

Я всё гоняю [B]OSAM[/B] на различных зловредах на виртуалке и заметил следующую недоработку - рассмотрим её на примере new2.exe: [url]http://www.virustotal.com/ru/analisis/b0f15e9ceef683b29804d9e3456205aaea2cd382418d4b0e9ca11f8306b6598d-1253745248[/url]
А именно данный зловред вносит следующие изменения в системе:
[CODE]F2 - REG:system.ini: Shell=explorer.exe rundll32.exe tftp.nfo beforegllav[/CODE]
Вот как это будет выглядить в [B]OSAM[/B]:
[CODE]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" C:\Windows\system32\tftp.nfo File found, but it contains no detailed information
"Shell" beforegllav File not found[/CODE]
Если пофиксить эти строки в [B]OSAM[/B] останется следующее:
[CODE]F2 - REG:system.ini: Shell=explorer.exe rundll32.exe[/CODE]
Тушку зловреда выслал вам на [email][email protected][/email]
Архив: virus.zip
Пароль: virus

Спасибо.

Но если речь идет о файле system.ini, то он актуален только на системах Windows 9x, а на NT-based операционных системах он [b]не используется[/b]. ([b]OSAM[/b] не предназначен для Windows 9x, как устаревших ОС).

[size="1"][color="#666686"][B][I]Добавлено через 1 час 1 минуту[/I][/B][/color][/size]

[QUOTE=senyak;473195]А я скачал переносную версию, он там че то долго искал и потом выдал список. Обнаружил драйвер от одной программы, которой у меня давно нет - удалил. Правда дальше изучить прогу не было времени. Седня еще гляну[/QUOTE]
Советую ознакомиться с [URL="http://forum.online-solutions.ru/viewtopic.php?t=97"]принципами работы онлайн-сканера[/URL] и [URL="http://forum.online-solutions.ru/viewtopic.php?t=141"]подробным описанием статусов[/URL] (на русском языке :)), чтобы знать как наиболее эффективно его использоать. :beer:

[QUOTE='Online Solutions;473792']Но если речь идет о файле system.ini, то он актуален только на системах Windows 9x, а на NT-based операционных системах он не используется. (OSAM не предназначен для Windows 9x, как устаревших ОС).[/QUOTE]
Вы не совсем правильно меня поняли - у меня на виртуалке Vista стоит.
Речь идёт о ключе запуска Explorer:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"[/CODE]
Зловред вносит туда следующие изменения:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe rundll32.exe tftp.nfo beforegllav"[/CODE]
После лечения [B]OSAM[/B] будет:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe rundll32.exe"[/CODE]
К чему это приведёт думаю понятно.
Т.е. [B]OSAM[/B] почему то забыл удалить из значения параметра лишнюю запись rundll32.exe

[QUOTE=Ingener;473837]После лечения [B]OSAM[/B] будет:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe rundll32.exe"[/CODE]
К чему это приведёт думаю понятно.
Т.е. [B]OSAM[/B] почему то забыл удалить из значения параметра лишнюю запись rundll32.exe[/QUOTE]
Эта проблема известна (связана она [B]только[/B] с разбором параметра "Shell" и с одной его особенностью). Перед релизом v5.0 исправить ее не успели, к сожалению. :(

Если не будет удалена эта запись, ничего страшного не произойдет. Просто "мусор", который, конечно, нужно чистить. На данный момент как решение - можно просто еще раз произвести удаление, но уже записи о запуске [B]rundll32.exe[/B].

Именно по поводу этой проблемы я Вам в своем первом сообщении сказал спасибо. :)

[QUOTE='Online Solutions;473848']Если не будет удалена эта запись, ничего страшного не произойдет.[/QUOTE]
Простой пользователь может испугаться увидев чёрный рабочий стол (так как explorer.exe не будет запущен) - и может получить моральную травму :)
Для продвинутого пользователя поправить это конечно дело 5 сек.

[QUOTE=Ingener;473851]Простой пользователь может испугаться увидев чёрный рабочий стол (так как explorer.exe не будет запущен) - и может получить моральную травму :)
Для продвинутого пользователя поправить это конечно дело 5 сек.[/QUOTE]
Таких последствий не будет.

Запустится explorer.exe, а так же rundll32.exe без параметров. Последний сразу же выйдет, так как делать ему нечего. Пользователь вообще ничего не заметит. И даже не узнает ни о каком "мусоре".

То есть все будет работать нормально.

P.S. Кстати, Вы точно v5.0 используете (от 19 сентября)?

[QUOTE='Online Solutions;473857']Таких последствий не будет.[/QUOTE]
Такие последствия я наблюдал у себя на виртуальной машине - причём перепроверял всё по несколько раз... Мне ещё раз проверить или может ваши тестёры это проверят?

[QUOTE='Online Solutions;473857']P.S. Кстати, Вы точно v5.0 используете (от 19 сентября)?[/QUOTE]
Я использую:
Версия файла: 5.0.11922.0
Версия продукта: 5.0.11926.0

[QUOTE=Ingener;473859]Такие последствия я наблюдал у себя на виртуальной машине - причём перепроверял всё по несколько раз... Мне ещё раз проверить или может ваши тестёры это проверят?[/quote]
Мы проверили на всякий случай на практике (перед тем как отвечать). Теоретически не должно проявляться таких проблем. На практике - так же не проявилось. (Тестовая Windows XP SP1, хотя значения это иметь не должно). Удаляли без драйвера, хотя и это влиять не должно.

[QUOTE=Ingener;473859]Я использую:
Версия файла: 5.0.11922.0
Версия продукта: 5.0.11926.0[/QUOTE]
Да, последняя версия.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Ingener;473108]У меня возникло несколько предложений по [B]OSAM[/B]:
1) Добавить проверку CRC при запуске программы, и при обнаружение что файл osam.exe изменён выводить предупреждение пользователю о наличие в системе файлового вируса.[/QUOTE]
В этом прямой необходимости, думаю, нет. (По крайней мере, я ее объективно сейчас не вижу). Если вирус активен на системе, то он заражает и системные файлы (которые показывает [B]OSAM[/B]), и файлы в автозагрузке. Соответственно, он будет выявлен при сканировании через онлайн-сканер (статус "Infected", см. [URL="http://forum.online-solutions.ru/viewtopic.php?t=141"]подробнее о статусах[/URL]).

[QUOTE=Ingener;473108]Естественно в логах тоже добавить соответствующий пункт.
2) Добавить мастер поиска и устранения проблем, который сканировал бы систему и выводил список рекомендуемых для исправления проблем, например:
- разрешён автозапуск (со сменных носителей, с HDD, с сетевых дисков)
- модифицирован файл hosts
- заблокирован редактор реестра (диспетчер задач)
- изменены настройки загрузки в SafeMode
- и т.д.
Чтобы пользователь просто мог поставить галочки на конкретных пунктах в списке и решить свои проблемы.[/QUOTE]
Это хорошее предложение, спасибо. Мы думали изначально о подобных вещах, но сконцентрировались на реализации более технических аспектов поиска и удаления. Поэтому пока этого нет. :) :( С продолжением развития [B]OSAM[/B] постараемся понемного добавлять и такие возможности.

[QUOTE=Ingener;473108]3) Добавить контроль автозагрузки зловреда путём самокопирования в корень диска C и создания авторана.
Что вы думаете об этом?[/QUOTE]
"Авторана" = autorun.inf или что? Если последнего - то он в списке на добавление среди еще нескольких десятков ключей в реестре. :D Дату большого обновления по ключам (объектам автозапуска) назвать пока не могу.

Решил ещё протестировать как [B]OSAM[/B] восстанавливает стандартный ключ запуска проводника:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"[/CODE]
Тестирование проводилось на примере Trojan-Dropper.Win32.Smser.ed (Kaspersky) - одним из его действий является внесение следующих изменений:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"[/CODE]
Вот как это выглядит в [B]OSAM[/B]:
[CODE]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" C:\Windows\svvghost.exe File found, but it contains no detailed information [/CODE]
Вот что останется после лечения [B]OSAM[/B]:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=""[/CODE]
Коментировать что будет после перезагрузки думаю не нужно.
И при повторном сканирование [B]OSAM[/B] эту ошибку не находит.
Нужно добавить функцию восстановления стандартного ключа запуска проводника!!!
Тушку зловреда выслал вам на [email][email protected][/email]
Архив: Trojan-Dropper.Win32.Smser.ed.zip
Пароль: virus

[QUOTE=Ingener;474917]Решил ещё протестировать как [B]OSAM[/B] восстанавливает стандартный ключ запуска проводника:
[...]
Коментировать что будет после перезагрузки думаю не нужно.
Нужно добавить функцию восстановления стандартного ключа запуска проводника!!![/QUOTE]
Спасибо за замечание, конечно. Но хочу все-таки обратить Ваше внимание на последний абзац этого сообщения:
[URL]http://virusinfo.info/showpost.php?p=472771&postcount=19[/URL]
и первый абзац этого сообщения:
[URL]http://virusinfo.info/showpost.php?p=472888&postcount=24[/URL]

Пока какие-то подобные вещи не реализованы, мы стараемся вставлять в комментарии к результатам [b]OMS[/b] ([b]Online Malware Scanner[/b]) текстовые рекомандации или ссылки на рекомендации по корректному удалению/восстановлению там, где это может потребоваться.

[QUOTE=Ingener;474917]Тушку зловреда выслал вам на [EMAIL="[email protected]"][email protected][/EMAIL]
Архив: Trojan-Dropper.Win32.Smser.ed.zip
Пароль: virus[/QUOTE]
Спасибо!

Следует иметь в виду, что в русскую версию установщика OSAM встроена панель инструментов Яндекса. Причем галочка, предлагающая установить эту панель, стоит по умолчанию. На мой взгляд, встраивание подобных довесков в программы, которые позиционируются разработчиками как инструменты безопасности, недопустимо. Я, разумеется сразу убрал галочку, поскольку внимательно отношусь к установке любого ПО.

Если кто-то будет использовать OSAM, необходимо иметь в виду следующее:
1. Как я писал, в русскую версию установщика OSAM встроен Яндекс Бар. Видимо, русская версия установщика сделана специально для того, чтобы позволить компании заработать некоторую сумму денег за счет не слишком внимательных пользователей. Сама программа по непонятным причинам до сих пор не поддерживает руский язык. Поэтому лучше использовать [URL=http://www2.online-solutions.ru/ru/download_file.php?p=65579]портативную версию OSAM[/URL], поскольку в ней нет лишних довесков.
2. Как писал на AM официальный представитель Online Solutions, некоторые антивирусы ошибочно детектируют файлы программы как вредоносные. Поэтому лучше внести всю папку с программой в список исключений антивируса.