OSAM: Autorun Manager v1.0.0.4088

Около месяца назад мы выпустили первую публичную бета-версию менеджера автозапуска с функцией anti-rootkit (поиск скрытых записей в реестре). Нам очень важно мнение пользователей и security-сообщества о программе.

Программу можно скачать здесь (http://www.online-solutions.ru/ru/downloads.php). Обратите внимание на предупреждение о системных библиотеках.

Описание ниже:

Менеджер автозапуска "OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php)" (Online Solutions Autorun Manager (http://www.online-solutions.ru/ru/osam_autorun_manager.php)) является мощным и надежным инструментом для контроля за "чистотой" автоматически загружающихся или запускающихся в определенных условиях (без ведома пользователя) программ и компонентов.

С помощью менеджера "OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php)" можно сразу же, сделав всего лишь один клик мышью, получить полную и достоверную информацию обо всех компонентах, которые стартуют вместе с системой и тем или иным образом могут влиять на ее функции.

Практически все типы вредоносных программ, встречающихся последние 7-10 лет, используют различные механизмы для "закрепления" на зараженной системе пользователя. Все это вы сможете увидеть и проконтролировать, а самое главное - обезвредить без чьей-либо посторонней помощи, воспользовавшись этим продуктом.

http://www.online-solutions.ru/common/images/osam/osam_scr01_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr01.gif) http://www.online-solutions.ru/common/images/osam/osam_scr02_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr02.gif) http://www.online-solutions.ru/common/images/osam/osam_scr03_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr03.gif)

Наиболее остро стоящая проблема безопасности компьютеров пользователей - руткиты (rootkits). Это вредоносное ПО, которое интегрируется в систему на "низком" уровне и прячет себя со всеми признаками своего присутствия. Зачастую пользователь даже не в курсе, что за его системой установлен контроль злоумышленниками. Но это не страшно: производится ли скрытый запуск драйвера руткита или речь о других скрытых ключах - любой из этих вариантов автозапуска будет обнаружен менеджером "OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php)".

Современные вредоносные программы таких типов как Adware, Spyware, SpamBots и др. не удаляются полноценно существующими на рынке антивирусными решениями. Либо после такого "успешного" лечения у пользователя вообще не работает Интернет и локальная сеть или другие компоненты системы. Пользователь остается в беспомощном положении - один на один со своей проблемой. Менеджер "OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php)" легко решит эту проблему!

http://www.online-solutions.ru/common/images/osam/osam_scr04_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr04.gif) http://www.online-solutions.ru/common/images/osam/osam_scr05_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr05.gif) http://www.online-solutions.ru/common/images/osam/osam_scr06_100.jpg (http://www.online-solutions.ru/common/images/osam/osam_scr06.gif)

Вирус заблокировал доступ к ключу реестра или файлу? Любыми другими средствами никак не удается их удалить? Менеджер "OSAM (http://www.online-solutions.ru/ru/osam_autorun_manager.php)" справится и с этой задачей*.

А в случае, если пользователь испытывает затруднения, он может воспользоваться несколькими функциями, чтобы прибегнуть к помощи сторонних специалистов (например, на нашем форуме) - сохранение полного отчета о его системе (все автозагрузки), сохранение полного "слепка" данных об автозагрузках (абсолютно в том же виде, как это присутствует на системе пользователя).

Функциональные возможности:

- поддержка практически всех известных способов автоматической загрузки через системный реестр или специальные каталоги;
- автоматическое определение "особенностей" настроек конкретной системы пользователя;
- проверка цифровых подписей файлов;
- цветовое выделение статусов файлов для быстрого и наглядного восприятия;
- фильтрация по статусам обнаруженных объектов;
- поиск по маскам, используя любой из параметров, во всех режимах отображения;
- вывод дополнительной информации для каждого типа объекта;
- вывод полной информации о файлах, проверка их наличия и возможности доступа к ним;
- временное отключение объектов реестра или файлов без создания каких-либо дополнительных ключей или подпапок;
- генерация файла отчета двух видов (текстовый и html*) со всей информацией об автозагрузке.

Уникальные возможности:

- противодействие руткитам (rootkits) путем обнаружения скрытых ключей и записей в реестре, благодаря технологии прямого разбора данных реестра без использования системных функций ОС;
- полноценная поддержка удаления и восстановления LSP-фильтров (Layered Service Provider) с перестройкой цепочки провайдеров;
- поддержка NSP-провайдеров (Namespace Provider) с перестройкой цепочки провайдеров*.

Преимущества:

- абсолютно бесплатное приложение!
- группировка по файловым объектам позволяет сразу же найти все ссылки на автоматическую загрузку какого-либо конкретного файла;
- полная поддержка unicode (любых национальных символов, имен файлов и записей в реестре);
- постоянное пополнение информации о возможных способах автозагрузки, посредством анализа "дикого" (in-the-wild) вредоносного ПО;
- поддержка визуальных тем (skins) для тех пользователей, кому не безразлично, как именно выглядит их любимая программа.

Online Solutions, меня всё-таки интересует несколько подробное разъяснение, сводится ли обнаружение руткитов к "двойному сканированию". :)

Подтверждаю: это замечательная программа. По крайней мере, Autoruns у меня вытеснил.

Из темы на Вирусинфо: (http://virusinfo.info/showthread.php?t=13474)
Цитата:
- Думаю бесплатно до первого релиза смотрите * :
*- доступно только в зарегистрированной версии (условия могут измениться в ближайшее время)

- На самом деле смысл этой фразы немного другой (хотя согласна, что звучит слишком двусмысленно). Эта программа - один из модулей OSPD
(другой программы этой компании). И если говорить грубо, то Autorun Manager просто оттуда "выдрали", из-за чего некоторые функции, к сожалению, остались недоступными (для примера, обратите внимание на меню по правой кнопки мыши: Move file to quarantine; Scan by antivirus...). Но по сути перенос ряда реализованных функций предполагается сделать в ближайшее время (конечно, не "Scan by antivirus", а конкретно тех, что помечены *).
Поэтому и написано, что условия могут и измениться (но именно в бесплатную сторону, а не в платную, как бы странно это не было).

Добрый вечер!

меня всё-таки интересует несколько подробное разъяснение, сводится ли обнаружение руткитов к "двойному сканированию". »
Да. Только не стоит понимать слова "двойное сканирование" в прямом смысле. Это просто название технологии. Технология обнаружения скрытых записей заключается в следующем: сравниваются два варианта сканирования:
- через функции операционной системы (ОС)
- и без использования функций ОС (прямой разбор системного реестра).
В случае нахождения каких-то отличий, запись считается скрытой.
Технические детали реализации являются know-how. :-)

сравниваются два варианта сканирования
Понятно, спасибо.
Но если отличия есть по недосмотру разработчика легального компонента, который и не думал о сокрытыи, или по какой-нибудь другой причине, - эти записи и тогда будут считаться (преднамеренно) скрытыми? В частности, здесь (http://forum.sysinternals.com/printer_friendly_posts.asp?TID=11089) (версия для печати) указывали, что в разряд скрытых попали драйверы от МС...

Из незначительных минусов:
программа создает очень много временных файлов.
Запускала программу раз 6 - несколько сотен файлов tmp после нее осталось.
Также - всё-таки программа не из разряда "нажми раз-два", и без меню, только с кнопками, как-то как без рук...

Профессиональный разбор сабжа (http://www.rootkits.ru/viewtopic.php?id=322)

Отличная программа.
генерация файла отчета двух видов (текстовый и html*) со всей информацией об автозагрузке. »
Это будет в следующих релизах? Есть запись в log, что в общем тоже не плохо )

Накопившиеся от разных программ и уже ненужные дополнения к Проводнику и другим меня достали, и сегодня проводил генеральную чистку OSAM-ой, потому что эти расширения и модули все сидели в автозапуске (некоторые не то что без спроса, но и без нужды и скрытно от пользователя).

Выявился один несущественный недостаток - очевидно из-за того, что программа конечнего вида пока не обрела. В частности: расширение-DLL от File Menu Tools. Из автозапуска убрал, из CLSID - тоже, файл удалил. Но программа пишет, что "файл найден, но детали недоступны" (что на желтом фоне). Путь к нему тот, который и вёл прямой дорогой. Но файла ведь нет? В Деталях указано: Raw Registry Parameter - HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,{C1B2C38F-3DCA-4E3D-BC34-D5B87B636543} - вот такого ключа в реестре нет. Значит, RAW, но в итоге ошибка.
То же самое в отношении uxtuneup.dll (оказалось, TuneUp вешает свой дизайн-сервис на Svchost). Файла нет, в реестре нет, но есть Raw Registry Parameter, которого в реестре глазами не видно, - и в результате OSAM говорит, что файл на диске имеется.

И ещё одно - желательно наличие быстрого пойска, с помощью которого можно было бы сразу отыскать, имеется ли в автозагрузке интересующийся файл - в т. ч. и по частичному совпадению в имени. С существующим инструментом я как-то не до конца разобрался.

Надеюсь, эти замечания будут полезны - программа в самом деле очень нравится.

Но если отличия есть по недосмотру разработчика легального компонента, который и не думал о сокрытыи, или по какой-нибудь другой причине, - эти записи и тогда будут считаться (преднамеренно) скрытыми? В частности, здесь (версия для печати) указывали, что в разряд скрытых попали драйверы от МС... »
Отличий такого плана быть не может. То есть здесь идет речь именно о том, что на одном "уровне" доступа к данным эти данные видны и их удается получить (не используя штатных функций OS), а на другом "уровне" (более простом, используя стандартные функции) - эти данные не видны. Это 100% скрытие и ничем другим являться не может.

По тому линку, что Вы привели, к сожалению, не смог найти то, на что Вы хотели сослаться. Но, подозреваю, что Вы перепутали два статуса: "hidden record (rootkit activity)" и "file not found" (посмотрите подсказку по цветам в 'легенде' сбоку экрана; либо подробнее прочитайте на сайте Saule: описание Online Solutions Autorun Manager - OSAM (http://www.saule-spb.ru/library/osam.html).

Первый статус обозначает, что запись в реестре скрыта. Это точно руткит. Второй статус касается самих файлов. Он всего лишь означает, что при попытке считать информацию о файле (версию, производителя и т.п.), оказалось, что такого файла не существует. Запись в реестре есть, а файла, на который эта запись ссылается - нет. Чисто теоретически, конечно, это может свидетельствовать о рутките, который прячет файлы. Но в 99% случаев - это просто обычная ситуация, когда файла действительно нет на диске. И переживать по этому поводу не стоит совершенно. По этому поводу введем более подробные разъяснения (записал: OSPD-2499).

Есть небольшая проблема с определением статуса как "file not found" в разделе драйверов, но это только касается тех записей, где путь определен как "system32\drivers\имя-файла"; эта ошибка будет исправлена (OSPD-2191).

Из незначительных минусов:
программа создает очень много временных файлов.
Запускала программу раз 6 - несколько сотен файлов tmp после нее осталось.
Об этой проблеме мы в курсе, она будет решена (OSPD-2179).
Как над нами уже пошутили: "Зато вы можете воспользоваться бесплатной программой 'OSPC: Privacy Cleaner (http://www.online-solutions.ru/ospc_privacy_cleaner.php)' для удаления временных файлов".
Также - всё-таки программа не из разряда "нажми раз-два", и без меню, только с кнопками, как-то как без рук... »
Про это уже отвечал, будем совершенствовать usability.

Отличная программа.
Спасибо за Ваш отзыв! Нам они очень важны.

генерация файла отчета двух видов (текстовый и html*) со всей информацией об автозагрузке.Это будет в следующих релизах? Есть запись в log, что в общем тоже не плохо ) »
Да. Это будет доступно в следующем публичном релизе. Осталось подождать совсем немного.

Добрый день!

Уважаемый, Erekle, спасибо за Ваши сообщения, они нам очень ценны! Мы хотели бы пригласить Вас на наш форум (http://forum.online-solutions.ru), так как это уже вопросы, касающиеся технической поддержки. Все эти вопросы можно задать там и таким образом получить на них ответы гораздо быстрее. :up

Выявился один несущественный недостаток - очевидно из-за того, что программа конечнего вида пока не обрела. В частности: расширение-DLL от File Menu Tools. Из автозапуска убрал, из CLSID - тоже, файл удалил. Но программа пишет, что "файл найден, но детали недоступны" (что на желтом фоне). Путь к нему тот, который и вёл прямой дорогой. Но файла ведь нет? В Деталях указано: Raw Registry Parameter - HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,{C1B2C38F-3DCA-4E3D-BC34-D5B87B636543} - вот такого ключа в реестре нет. Значит, RAW, но в итоге ошибка.
То же самое в отношении uxtuneup.dll (оказалось, TuneUp вешает свой дизайн-сервис на Svchost). Файла нет, в реестре нет, но есть Raw Registry Parameter, которого в реестре глазами не видно, - и в результате OSAM говорит, что файл на диске имеется. »
На самом деле это всего лишь отключенные элементы, которые при необходимости можно восстановить так же, как отключили - просто вернув на место галочку и нажав Apply. Поле Raw Registry содержит в себе данные о том, где данный объект находится (если он отмечен как включенный) или находился (если рядом с ним галочка снята) в реестре.

Если Вы хотите избавиться от "отключенных" записей совсем (чтобы они не отображались в списке), то закройте программу и удалите файл "\Data\osamdata.bin" (здесь хранятся данные об отключенных ключах реестра) и каталог "\FileStorage\" внутри каталога "\Data\" (в FileStorage хранятся файлы). Удалять нужно и то, и другое. Что-то одно - нельзя.

В ближайшем релизе будет сделана функция удаления отключенных записей через интерфейс программы.

И ещё одно - желательно наличие быстрого пойска, с помощью которого можно было бы сразу отыскать, имеется ли в автозагрузке интересующийся файл - в т. ч. и по частичному совпадению в имени. С существующим инструментом я как-то не до конца разобрался.
Надеюсь, эти замечания будут полезны - программа в самом деле очень нравится. »
Поиск вызывается кнопкой "Search" в toolbar (верхнее меню), либо комбинацией клавиш "Ctrl+F". Там есть возможность поиска по имени файла. Искать нужно либо по всем разделам, либо по текущему. В имени файла можно использовать маски (например, "ux?uneu*"). Так же не забывайте об отличной функции - "группировка по файлам" (кнопка "Group by full path" в верхнем меню). В этом случае по выбранному Вами файлу будет указана вся информация о том, где он прописан в автозапуске (все ключи реестра и все файловые каталоги).

Добрый вечер!

Вышло долгожданное обновление OSAM: Autorun Manager - v1.0.0.5974 (http://www.online-solutions.ru/ru/osam_autorun_manager.php). Очень кратко об изменениях по сравнению с предыдущей версией:
введена система фильтров, позволяющая быстро и удобно анализировать только те компоненты автозагрузки, которые интересны в данный момент или вызывают наибольшее подозрение (например, изначально анализировать только заблокированные файлы, скрытые записи и т. п.);
новая функция: частичное обновление - чтобы не пересканировать все области автозагрузки, можно обновить информацию по отдельной группе, что значительно экономит время;
появилась возможность удаления ранее отключенных элементов одним кликом мыши (удаление из внутреннего хранилища);
доступен для использования html-лог;
добавлено несколько новых способов автозагрузки (внимание: в ближайшее время будет добавлено еще несколько);
исправлен ряд ошибок в "двойном-сканировании", противодействующем руткитам (rootkits) на уровне ядра (RING0);
улучшен алгоритм поиска скрытых ключей на уровне приложений (RING3);
исправлены ошибки в обработке (анализе данных) некоторых ключей;
значительные улучшения в детальной информации о записях в реестре и файлах - теперь гораздо больше информации, которая позволяет судить о записях (дата добавления записи в реестр, тип загрузки драйвера/сервиса, его текущий статус - запущен или нет, дата отключения записи и т. п.);
улучшена система поиска в автозагрузке;
улучшен интерфейс ("легенда", настройки, подписи для кнопок на toolbar), что добавило привлекательности программе;
реализована поддержка Windows v2000 (полнофункциональная работа, как и на других ОС линейки NT).

Скачать OSAM: Autorun Manager v1.0.0.5974 можно здесь (http://www.online-solutions.ru/ru/osam_autorun_manager.php). Расчитываем на ваши отзывы!

Добрый вечер!

Вышла новая версия, в которой учтено большинство ваших пожеланий. Подробности здесь (http://forum.oszone.net/showthread.php?p=774999).

Спасибо! Всё замечательно. Особо -
дата добавления записи в реестр, тип загрузки драйвера/сервиса, его текущий статус - запущен или нет, дата отключения записи и т. п

"Жить стало лучше, жить стало веселее!" :)

Online Solutions
Зачем создавать новую тему для описания обновленного продукта, если есть тема по самому продукту? :moderator
Так количество тем бысто зашкалит все мыслимые рамки и "в них черт ногу сломит"... Я объединил обе темы. Надеюсь при следующем обновлении новой темы снова не появится..., а то :moderator ;)

Добрый вечер!

Хочу сообщить об очередном обновлении. Пока очень кратко, более подробное описание будет позже.

Новые функции:
- удаление "трудных" объектов с использованием ситемного драйвера (предыдущая бета);
- добавлен онлайн сканер, которым вы сразу же можете проверить свою автозагрузку на наличие вредоносных программ и вирусов!

Скачать OSAM: Autorun Manager v1.0.0.6759 можно здесь (http://www.online-solutions.ru/ru/downloads.php). Расчитываем на ваши отзывы!

Добрый вечер!

Позволю себе запостить два наших пресс-релиза (там более подробно изложена суть функциональных возможностей). Правда, с большим опозданием. Но лучше поздно, чем никогда. :-)

-------------------------------

09 мая 2008 года, в День Победы, вышла новая версия OSAM: Autorun Manager v1.0.0.6426 (http://www.online-solutions.ru/ru/osam_autorun_manager.php). В этой версии основным изменением является добавление новой функции, очень важной в борьбе и победе над вредоносными программами. Реализовано удаление "неудаляемых" объектов с помощью мощного средства - системного драйвера.

Если на файле или ключе реестра установлены "запрещающие" права или сняты права доступа вообще, и такой объект не удается удалить ни одним другим средством - OSAM прекрасно справится с этим.

Если объект реестра или файл скрыты с помощью руткита (rootkit) или заблокированы вредоносной программой (malware) - это тоже не помеха новой версии OSAM. После перезагрузки эти объекты окажутся отключенными.

Драйвер стартует на наиболее раннем этапе загрузки операционной системы и начинает работать сразу же, как только появляется доступ к файловой системе и реестру. Поэтому OSAM имеет возможность работать с системными объектами еще до инициализации любого вредоносного кода.

Скачать OSAM: Autorun Manager v1.0.0.6426 можно здесь (http://www.online-solutions.ru/ru/osam_autorun_manager.php). Расчитываем на ваши отзывы!

Вместе победим вредоносное ПО!

-------------------------------

03 июня 2008 года вышла новая версия OSAM: Autorun Manager v1.0.0.6759 (http://www.online-solutions.ru/ru/osam_autorun_manager.php). Произошли революционные изменения! В эту версию добавлен модуль - Online Malware Scanner (http://www.online-solutions.ru/ru/osam_autorun_manager.php) (OMS (http://www.online-solutions.ru/ru/osam_autorun_manager.php)). Теперь с помощью онлайн-сканера любой пользователь может за пару минут проверить на наличие вредоносных программ (malware) и руткитов (rootkits) свой компьютер. Проверяются только те компоненты системы, которые действительно загружаются автоматически при старте операционной системы или входе пользователя.

В главном окне программы, в списке загружаемых компонентов, у каждого из них специальной иконкой отображается уровень опасности. С помощью него пользователю гораздо проще принять решение о необходимости загрузки какого-либо из объектов на его компьютере. Вредоносные программы отмечаются ярко-красным цветом, а в детализированной информации выводится время последнего обновления информации по этому объекту, его название и комментарий (почему он внесен в список вредоносных).

Крупное обновление онлайн-базы производится раз в сутки (кроме праздничных дней). Мы работаем над уменьшением периода между обновлениями базы. Кроме того, в течение рабочего дня наши специалисты работают с базой, и эти изменения вступают в силу в реальном времени.

Скачать OSAM: Autorun Manager v1.0.0.6759 можно здесь (http://www.online-solutions.ru/ru/osam_autorun_manager.php). Расчитываем на ваши отзывы!

P.S. В следующей версии уровень доверия статуса "Checked" будет изменен с 90% на 5-10% по внутренним причинам, которые будут объяснены в момент релиза (кратко: новые статусы). Примите это во внимание уже сейчас.

Отлично.
Интересует, по каким базам производится сканирование Malware Scanner. Т.е. базы нескольких антивирусов, одного или еще что?
Неактивна вкладка "Delete" и "Quarantine". Там не предусмотрено удаление через спец. драйвер? Так должно быть?
Как инсталлировать этот драйвер?
Ну и когда можно будет потестить основной продукт -- firewall.

Интересует, по каким базам производится сканирование Malware Scanner. Т.е. базы нескольких антивирусов, одного или еще что?
Мы используем свои наработки в области определения вредоносного ПО. Кроме того, базу в реальном времени периодически пополняют наши аналитики, некоторые сторонние helper'ы и бета-тестеры, обладающие необходимым опытом, знаниями и возможностями. Они корректируют существующие записи, добавляют новые.
Неактивна вкладка "Delete" и "Quarantine". Там не предусмотрено удаление через спец. драйвер? Так должно быть? Как инсталлировать этот драйвер?
Эти кнопки пока недоступны, это нормально. Но это никак не сказывается на удалении через драйвер. Оно работает. Чтобы удалить через драйвер, нужно включить соответствующую опцию. Плюс, собственно, должна произойти какая-то проблема из разряда "не могу удалить", чтобы активизировался драйвер. Режим "удалить принудительно через драйвер" пока только в планах.
Ну и когда можно будет потестить основной продукт -- firewall. »
О сроках появления тестовых релизов будет объявлено на сайте.