"Мы детектируем все! И даже немножко больше!" - Страница 2 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Online Solutions

"Мы детектируем все! И даже немножко больше!"

Recommended Posts

Matias

1. Я прекрасно знаю об этом. Но полно пользователей, которые слепо жмут Далее. Я же стараюсь пользоваться программами, инсталляторы которые начинены всякими дополнительными приблудами, только в самом крайнем случае. Если же речь идет о программе, имеющей отношение к безопасности, у меня пропадает всякое желание использовать программу. Безопасность и потенциально нежелательное ПО (к коему и относится Бар) - вещи несовместимые.

2. Я сразу снял упомянутую мной галку. А вы не могли бы сказать, какие именно данные пересылаются на сервер вашей компании?Нет ли среди них таких, что могли бы прямо или косвенно позволить идентифицировать пользователя? А то на англоязычных форумах полно пользователей, использующих в качестве логина Windows имя и фамилию. Видимо, у них нет фантазии.Что касается меня, то я никогда не указываю никаких персональных данных при установке Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Online Solutions
1. Я прекрасно знаю об этом. Но полно пользователей, которые слепо жмут Далее. Я же стараюсь пользоваться программами, инсталляторы которые начинены всякими дополнительными приблудами, только в самом крайнем случае. Если же речь идет о программе, имеющей отношение к безопасности, у меня пропадает всякое желание использовать программу. Безопасность и потенциально нежелательное ПО (к коему и относится Бар) - вещи несовместимые.

Те, кто жмут далее, имеют возможность деинсталлировать этот бар в дальнейшем, если он им не нужен.

И если кто-то вслепую идет по пешеходному переходу, не обращая внимания на светофор, то, наверно, светофор не очень ответственнен за судьбу такого горе-пешехода. Возможность отказаться есть. Причем она не спрятана куда-то, она не "не работает неправильно", как делают некоторые. Она четко и ясно задекларирована, под нее выделен целый отдельный экран на этапе установки.

И еще раз повторю, для Вас, как человека с такими взглядами, есть возможность использовать Portable-версию, которая помимо прочего, в принципе не требует никакой установки: распаковали и используете сразу же. (А так же существует англоязычная версия установщика, где так же нет никаких баров; кроме прочего, используя OSAM, при первом же сканировании, можно бар удалить самим же OSAM'ом, если в этом есть необходимость).

Кстати, просто для информации (сейчас это не очень важно): имея столь жесткую (неоправданно жесткую) позицию по бару, вы сами делаете компании хуже, т.е. лишаете ее возможности выпускать бесплатный для пользователя продукт (т.е. и для вас в том числе, человека, который может снять галку или использовать другой установщик). При этом это ни какой-то AskToolbar или еще что-то, который ворует трафик 404 и другие вещи. Сейчас это не принципиально, но просто имейте в виду, что эта категоричная позиция не столь корректна в дальней перспективе.

2. Я сразу снял упомянутую мной галку. А вы не могли бы сказать, какие именно данные пересылаются на сервер вашей компании?Нет ли среди них таких, что могли бы прямо или косвенно позволить идентифицировать пользователя? А то на англоязычных форумах полно пользователей, использующих в качестве логина Windows имя и фамилию. Видимо, у них нет фантазии.Что касается меня, то я никогда не указываю никаких персональных данных при установке Windows.

Вы несовсем верно понимаете эту галку и зря ее сняли (хотя если вы ни при каких условиях не готовы отсылать ничего - тогда по делу). Все данные, которые отсылаются, указаны в окнах отсылки. Более того, можно выбрать информацию по каким файлам отсылать. Отсылается: путь и имя файла, как именно он прописан в реестре (если реестровый объект), хэш файла, размер, дополнительные атрибуты (они все видны в GUI). В более новых версиях пути к файлам нормализуются и анонимизируются насколько это возможно технически.

Даже если бы вы или кто-то другой использовал был пустой пароль или пароль 123 - нам это ни коим образом неважно, и от этого ничего не зависит.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Спасибо за пояснение. Вы, очевидно, не совсем меня поняли.

1. Я прекрасно понимаю, что пароли никуда не отсылаются. Когда я задавал вопрос, то имел в виду не пароли, а персональные данные (см. содержимое экспортированного раздела реестра)

Windows Registry Editor Version 5.00                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]      "RegisteredOwner"="Matias"

Как видно, у меня в качестве имени пользователя указан никнейм. Я всегда так поступаю. Однако многие указывают здесь свои полные ФИО. Впрочем, это их проблемы.

2. Я никогда не скрывал своего отрицательного отношения к любым довескам к бесплатному ПО. Замечу, что я не одинок в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Online Solutions
Спасибо за пояснение. Вы, очевидно, не совсем меня поняли.

1. Я прекрасно понимаю, что пароли никуда не отсылаются. Когда я задавал вопрос, то имел в виду не пароли, а персональные данные (см. содержимое экспортированного раздела реестра). Как видно, у меня в качестве имени пользователя указан никнейм. Я всегда так поступаю. Однако многие указывают здесь свои полные ФИО. Впрочем, это их проблемы.

То, что вы скинули - это не имя пользователя, а имя, на кого зарегистриван Windows. Эти данные мы даже не анализируем.

В новых версиях путь до профиля выглядит как %UserProfile%

2. Я никогда не скрывал своего отрицательного отношения к любым довескам к бесплатному ПО. Замечу, что я не одинок в этом.

Могу отметить лишь, что позиция недальновидная, потому что тем самым вы пытаетесь сами себя же лишить продуктов (бесплатных), которые могли бы иметь (бесплатно). Но это полностью ваше право иметь такую позицию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

1. Простите, я оговорился. Конечно, имеется ввиду регистрационная информация.

2. Мою "недальновидную" позицию полностью разделяют многие, в том числе MS MVP Вадим Стеркин. Вот ссылка на одну из его статей, как раз посвященную всяким довескам к бесплатному ПО.

Откуда берутся нежелательные программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
В новых версиях путь до профиля выглядит как %UserProfile%

Я заметил. Очень разумный шаг.

тем самым вы пытаетесь сами себя же лишить продуктов (бесплатных), которые могли бы иметь (бесплатно).

Вы опять не так меня поняли. Я использую несколько бесплатных программ, инсталляторы которых начинены различными довесками, но всегда снимаю галочки, чтобы эти довески не устанавливались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Раз уж эта тема посвящена ложным срабатываниям антивирусов на компоненты OSAM, задам такой вопрос. На другом форуме наткнулся на пост, к которому был приложен скриншот антивируса, удалившего один из файлов программы. Разумеется, это был один из примеров ложного срабатывания, которым и посвящена тема. Название файла - 00008a90.exe. Что это за файл и к чему может привести его удаление?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
C:\Users\myachin>rename "C:\Users\myachin\Desktop\KTS Codes - Copy.txt" 00008a90.exe

У меня это файл с кодами активации тестовых версий КТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
это файл с кодами активации тестовых версий КТС.

Файл, несомненно, относится к OSAM, поскольку на скриншоте указано не только его имя, но и путь

C:\Programs/OSAM/osam.exe/00008a90.exe

Если бы это был кейген, я бы не стал задавать такой вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Залей на VT, в общем. А то ты мой сарказм не уловил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Залей на VT

Я не могу этого сделать, поскольку OSAM не установлен у меня на ПК. Я же написал, что обнаружил скриншот AV (предположительно, McAfee) на другом форуме. Он был приаттачен к посту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Слышал звон?

Ну как можно по скриншоту какого-то непонятного файла в непонятно чьей системе делать предположении о каком-то поведении какого-го защитного ПО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Online Solutions
Слышал звон?

Ну как можно по скриншоту какого-то непонятного файла в непонятно чьей системе делать предположении о каком-то поведении какого-го защитного ПО?

Я могу дать только эту ссылку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Слышал звон?

Ну как можно по скриншоту какого-то непонятного файла в непонятно чьей системе

Вот этот скриншот. Там четко указан путь к удаленному файлу.

Alert.gif

post-5613-1348649758_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Вот этот скриншот. Там четко указан путь к удаленному файлу.
Ну как можно по скриншоту какого-то непонятного файла в непонятно чьей системе делать предположении о каком-то поведении какого-го защитного ПО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Online Solutions
Вот этот скриншот. Там четко указан путь к удаленному файлу.

Ссылка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

На скриншоте четко видно, что удаленный файл является одним из компонентов OSAM. Вот путь к файлу, вердикт антивируса и действие (удаление)

C:\Programs/OSAM/osam.exe/00008a90.exe - New Win.32 Deleted because this detection isn't cleanable

Вот я и спрашиваю, что это за файл и к чему может привести его удаление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Хотелось бы заметить, что насмешки некоторых участников (Umnik и Online Solutions) меня абсолютно не волнуют. Я просто не обращаю на них внимания.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Online Solutions, предупреждение. Придерживайтесь правил форума. Не следует оскорблять других участников дискуссии, даже если вам не нравится их точка зрения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Вохвращаюсь к вопросу о ложняках. Файл OSAM.exe и сейчас детектируется на VT (2/43) как вредоносный. Вот результат проверки. Ложняки выдали TotalDefense и TrendMicroHouseCall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Причем общаться со всеми этими .....антивирусами бесполезно.

Странное заявление для официального представителя компании, которая позиционирует себя как разработчик решений в области информационной безопасности. Может, я чего-то не понимаю, но мне кажется, что для такой компании налаживание контакта с ведущими производителями другого защитного ПО должно быть задачей первостепенной важности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×