В принципе на русском прога не нужна,потому что и на английском там вполне понятно.
Был случай с одним компом,который мне как-то попался.AVZ никакой скрипт не мог вирус не то,что в карантин взять,убить не в силах был.А Осамом я быстро ликвидировал вирус.А ведь над тем вирусом потел не только я и хелперы тоже.Не могу тот момент никак забыть.Одним словом везде свои преимущества.
Comodo Internet Security
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
A как он взаимодействует со штатным антивирусом, к примеру с тем же KIS?
Под "чисткой" я имею ввиду хотя бы восстановление настроек системы (изменённых зловредами) - конкретные пункты можно посмотреть в AVZ: Файл - Восстановление системы.Сообщение от Online Solutions
GHETTO/STREET WORKOUT
Понятно. Тогда верно друг друга поняли.
Наиболее критичные вещи (например, ассоциации) восстанавливаются автоматически при удалении вирусов, которые имеют к этому вопросу отношение. То же самое с удалением вредоносных программ из LSP (автоматически перестраиваются цепочки провайдеров). Про другие вещи сказал выше (до этого).
Добавлено через 5 минут
Планируется. Но конкретную дату, к сожалению, не назову.
Спасибо!
Добавлено через 8 минут
Никак. Они друг с другом никак не взаимодействуют и друг на друга не реагируют. OSAM может только помочь KIS/KAV удалить те вирусы, с которыми он не справляется (защищающие друг друга, с самозащитой и т.п.) или еще не находит (нет в базах). Например, как в этом случае с WinNT32, WinNT64 ("Mutant").
Последний раз редактировалось Online Solutions; 22.09.2009 в 21:52. Причина: Добавлено
Не подскажете какой там Касперский?Например, как в этом случае с WinNT32, WinNT64 ("Mutant")
Тема старая (август 2008 года), думаю и Касперский соответствующий времени темы. Я не большой специалист по датам и версиям Касперского, может кто-то по виду окон может определить (там есть скриншоты). 7-ая версия, наверно? (не меньше - точно).Не подскажете какой там Касперский?
У меня возникло несколько предложений по OSAM:
1) Добавить проверку CRC при запуске программы, и при обнаружение что файл osam.exe изменён выводить предупреждение пользователю о наличие в системе файлового вируса.
Естественно в логах тоже добавить соответствующий пункт.
2) Добавить мастер поиска и устранения проблем, который сканировал бы систему и выводил список рекомендуемых для исправления проблем, например:
- разрешён автозапуск (со сменных носителей, с HDD, с сетевых дисков)
- модифицирован файл hosts
- заблокирован редактор реестра (диспетчер задач)
- изменены настройки загрузки в SafeMode
- и т.д.
Чтобы пользователь просто мог поставить галочки на конкретных пунктах в списке и решить свои проблемы.
3) Добавить контроль автозагрузки зловреда путём самокопирования в корень диска C и создания авторана.
Что вы думаете об этом?
Последний раз редактировалось Ingener; 23.09.2009 в 09:03.
GHETTO/STREET WORKOUT
А я скачал переносную версию, он там че то долго искал и потом выдал список. Обнаружил драйвер от одной программы, которой у меня давно нет - удалил. Правда дальше изучить прогу не было времени. Седня еще гляну
Клуб любителей Symantec - http://symantecclub.ru/
Я всё гоняю OSAM на различных зловредах на виртуалке и заметил следующую недоработку - рассмотрим её на примере new2.exe: http://www.virustotal.com/ru/analisi...98d-1253745248
А именно данный зловред вносит следующие изменения в системе:
Вот как это будет выглядить в OSAM:Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe tftp.nfo beforegllav
Если пофиксить эти строки в OSAM останется следующее:Код:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" C:\Windows\system32\tftp.nfo File found, but it contains no detailed information "Shell" beforegllav File not found
Тушку зловреда выслал вам на [email protected]Код:F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
Архив: virus.zip
Пароль: virus
Последний раз редактировалось Ingener; 24.09.2009 в 02:56.
GHETTO/STREET WORKOUT
Спасибо.
Но если речь идет о файле system.ini, то он актуален только на системах Windows 9x, а на NT-based операционных системах он не используется. (OSAM не предназначен для Windows 9x, как устаревших ОС).
Добавлено через 1 час 1 минуту
Советую ознакомиться с принципами работы онлайн-сканера и подробным описанием статусов (на русском языке
Последний раз редактировалось Online Solutions; 24.09.2009 в 14:01. Причина: Добавлено
Вы не совсем правильно меня поняли - у меня на виртуалке Vista стоит.
Речь идёт о ключе запуска Explorer:
Зловред вносит туда следующие изменения:Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe"
После лечения OSAM будет:Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe rundll32.exe tftp.nfo beforegllav"
К чему это приведёт думаю понятно.Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe rundll32.exe"
Т.е. OSAM почему то забыл удалить из значения параметра лишнюю запись rundll32.exe
GHETTO/STREET WORKOUT
Эта проблема известна (связана она только с разбором параметра "Shell" и с одной его особенностью). Перед релизом v5.0 исправить ее не успели, к сожалению.
Если не будет удалена эта запись, ничего страшного не произойдет. Просто "мусор", который, конечно, нужно чистить. На данный момент как решение - можно просто еще раз произвести удаление, но уже записи о запуске rundll32.exe.
Именно по поводу этой проблемы я Вам в своем первом сообщении сказал спасибо.
Простой пользователь может испугаться увидев чёрный рабочий стол (так как explorer.exe не будет запущен) - и может получить моральную травму
Для продвинутого пользователя поправить это конечно дело 5 сек.
GHETTO/STREET WORKOUT
Таких последствий не будет.Простой пользователь может испугаться увидев чёрный рабочий стол (так как explorer.exe не будет запущен) - и может получить моральную травму
Для продвинутого пользователя поправить это конечно дело 5 сек.
Запустится explorer.exe, а так же rundll32.exe без параметров. Последний сразу же выйдет, так как делать ему нечего. Пользователь вообще ничего не заметит. И даже не узнает ни о каком "мусоре".
То есть все будет работать нормально.
P.S. Кстати, Вы точно v5.0 используете (от 19 сентября)?
Такие последствия я наблюдал у себя на виртуальной машине - причём перепроверял всё по несколько раз... Мне ещё раз проверить или может ваши тестёры это проверят?
Я использую:
Версия файла: 5.0.11922.0
Версия продукта: 5.0.11926.0
GHETTO/STREET WORKOUT
Мы проверили на всякий случай на практике (перед тем как отвечать). Теоретически не должно проявляться таких проблем. На практике - так же не проявилось. (Тестовая Windows XP SP1, хотя значения это иметь не должно). Удаляли без драйвера, хотя и это влиять не должно.
Да, последняя версия.
Добавлено через 1 минуту
В этом прямой необходимости, думаю, нет. (По крайней мере, я ее объективно сейчас не вижу). Если вирус активен на системе, то он заражает и системные файлы (которые показывает OSAM), и файлы в автозагрузке. Соответственно, он будет выявлен при сканировании через онлайн-сканер (статус "Infected", см. подробнее о статусах).
Это хорошее предложение, спасибо. Мы думали изначально о подобных вещах, но сконцентрировались на реализации более технических аспектов поиска и удаления. Поэтому пока этого нет.С продолжением развития OSAM постараемся понемного добавлять и такие возможности.
"Авторана" = autorun.inf или что? Если последнего - то он в списке на добавление среди еще нескольких десятков ключей в реестре.Дату большого обновления по ключам (объектам автозапуска) назвать пока не могу.
Последний раз редактировалось Online Solutions; 24.09.2009 в 15:32. Причина: Добавлено
Решил ещё протестировать как OSAM восстанавливает стандартный ключ запуска проводника:
Тестирование проводилось на примере Trojan-Dropper.Win32.Smser.ed (Kaspersky) - одним из его действий является внесение следующих изменений:Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe"
Вот как это выглядит в OSAM:Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="C:\Windows\svvghost.exe"
Вот что останется после лечения OSAM:Код:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" C:\Windows\svvghost.exe File found, but it contains no detailed information
Коментировать что будет после перезагрузки думаю не нужно.Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=""
И при повторном сканирование OSAM эту ошибку не находит.
Нужно добавить функцию восстановления стандартного ключа запуска проводника!!!
Тушку зловреда выслал вам на [email protected]
Архив: Trojan-Dropper.Win32.Smser.ed.zip
Пароль: virus
Последний раз редактировалось Ingener; 26.09.2009 в 22:31.
GHETTO/STREET WORKOUT
Спасибо за замечание, конечно. Но хочу все-таки обратить Ваше внимание на последний абзац этого сообщения:
http://virusinfo.info/showpost.php?p...1&postcount=19
и первый абзац этого сообщения:
http://virusinfo.info/showpost.php?p...8&postcount=24
Пока какие-то подобные вещи не реализованы, мы стараемся вставлять в комментарии к результатам OMS (Online Malware Scanner) текстовые рекомандации или ссылки на рекомендации по корректному удалению/восстановлению там, где это может потребоваться.
Спасибо!
Следует иметь в виду, что в русскую версию установщика OSAM встроена панель инструментов Яндекса. Причем галочка, предлагающая установить эту панель, стоит по умолчанию. На мой взгляд, встраивание подобных довесков в программы, которые позиционируются разработчиками как инструменты безопасности, недопустимо. Я, разумеется сразу убрал галочку, поскольку внимательно отношусь к установке любого ПО.
Просьба обращаться на "вы".
Если кто-то будет использовать OSAM, необходимо иметь в виду следующее:
1. Как я писал, в русскую версию установщика OSAM встроен Яндекс Бар. Видимо, русская версия установщика сделана специально для того, чтобы позволить компании заработать некоторую сумму денег за счет не слишком внимательных пользователей. Сама программа по непонятным причинам до сих пор не поддерживает руский язык. Поэтому лучше использовать портативную версию OSAM, поскольку в ней нет лишних довесков.
2. Как писал на AM официальный представитель Online Solutions, некоторые антивирусы ошибочно детектируют файлы программы как вредоносные. Поэтому лучше внести всю папку с программой в список исключений антивируса.
Просьба обращаться на "вы".
Ваши права в разделе
Ответить с цитированием
