LE SITE D'ORIGINE : http://www.online-solutions.ru/en/osam_ ... anager.php
Mais ce n'est pas son unique fonction car il permet également de détecter et éradiquer les malwares et rootkits
C'est donc un outil qui va vous permettre tout comme HijackThis, de virer les clés et processus liés aux infections (sous Vista il faut démarrer le programme avec les droits administrateurs) en mettant en avant grace à des codes couleurs, tout ce qu'il a trouvé qui est repertorié ou non, détecté dans les clés et pas sur le disque etc
Après analyse (qui prend en compte celle des malwares) si vous souhaitez procéder à nouveau, il faut cliquer sur "Start" pour re-démarrer l'analyse des malwares
Lors d'une infection cette procédure est simplifiée car l'outil incorporé met en avant l'infection trouvée
La procédure à suivre est meme donnée dans le forum pour VUNDO
http://forum.online-solutions.ru/viewtopic.php?t=129
Dans le cas d'une infection ne pas oublier de cocher cette case des "settings" si l'on veut procéder à l'effacement :
Il faut bien garder en mémoire que comme tous les autres outils similaires, ce ne sont QUE les proccesses lancés au démarrage qui apparaissent et non pas ceux qui sont lancés par un autre processus à l'issue (cas de certaines infections)
Voice que ce que dit la Sté editrice "Online Solutions" (qui existe depuis 2006)
""OSAM" (Online Solutions Autorun Manager) est un outil puissant et fiable pour le contrôler les composants et les applications qui sont automatiquement chargées ou lancées, sous certaines conditions, par l'utilisateur avec ou sans son consentement.
"OSAM" fournit un moyen simple en un seul clic moyen d'obtenir des informations détaillées sur les composants qui sont gérés automatiquement au démarrage du système et qui peuvent potentiellement affecter son fonctionnement."
VOICI CE QUE LE PROGRAMME PROPOSE :
___________________________________________________________________________
Functional capabilities:
* support of virtually all known methods of automatic loading using the system
registry or special folders;
* automatic detection of the peculiarities of settings on specific user systems;
* validation of digital file signatures;
* color marking of file statuses for better comprehension;
* filtering by statuses of detected objects;
* search by masks using any parameter in any display mode;
* output of additional information for any object type;
* output of detailed file information, validation of file existence and
accessibility;
* temporary disablement of registry objects or files without creating additional
keys or subfolders;
* generation of two types of report files (text and HTML*) with all autoload
information.
Unique capabilities:
* protection against rootkits by detecting hidden registry keys and records using
the method of direct registry data analysis (without using OS functions);
* comprehensive support of LSP (Layered Service Providers) filters deletion and
recovery with rearrangement of the providers chain;
* support of namespace providers (NSP) with rearrangement of the providers chain*.
Advantages:
* a completely free application!
* grouping by file objects enables you to quickly find all links to a specific
automatically loaded file;
* regular updates of the methodological database after the analysis of
in-the-wild malicious software;
* full Unicode support (any national characters, filenames and registry data);
* support of visual themes (skins) for users who do care how their favorite
software looks.
___________________________________________________________________________
A noter qu'il existe une version PORTABLE pour clé USB
1) INSTALLATION
Installation complète : http://www.online-solutions.ru/files/en ... anager.msi
Installation portable : http://www.online-solutions.ru/files/os ... rtable.rar
Si l'on choisit l'installlation personnalisée on note que le programme installera les librairies C++, si besoin est, nécessaires à son exécution
On notera l'ouverture du navigateur qui s'effectue sur le site :
http://www.online-solutions.ru/en/osam_ ... anager.php
Le site permet d'avoir quelques détails sur la présentation de l'outil,les procédures, etc etc le tout accompagné de copies d'écrans (en anglais)
C'est le seul appel externe auquel il est procédé (le programme ne vous demandera pas non plus l'installation de programmes tiers type toolbars etc)
2) UTILISATION
Après installation il suffit de cliquer sur l'icone du programme qui est apparu sur le bureau, puis sur "Next" et la procédure d'analyse étape par étape commence :
Au lancement, le programme scanne le disque de tout ce qui est lancé au démarrage, analyse tous les services, programmes et également la base de registre (normal) de ce qu'il peut trouver
Voici ce qui est analysé :
GROUP CONTROL PANEL OBJECTS
Path:%SystemRoo%\System32
Path:HKLM\Software\Microsoft\Windows\CurrentVersion\ControlPanel\Cpls
GROUP DRIVERS
Path:HKLM\SYSTEM\CurrentControlSet\Services
GROUP EXPLORER
Path:HKLM\SOFTWARE\Microsoft\ActiveSetup\Installed Components
Path:HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
Path:HKLM\Sofware\Classes\Protocols\Handler
Path:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExcuteHooks
Path:HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extension\Approuved
GROUP INTERNET EXPLORER
Path:HKLM\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
Path:HKLM\Software\Microsoft\Internet Explorer\Extensions
Path:HKLM\Software\Microsoft\Internet Explorer\Toolbar\
Path:HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
GROUP LOGON
Path:%AllUsersProfile%\Menu Demarrer\Programmes\Démarrage
Path:%UserProfile%\Menu Démarrer\Programmes\Démarrage
Path:HKLM\Software\Microsoft\Windows\CurrentVersion\Run
GROUP SERVICES
Path:HKLM\SYSTEM\CurrentControlSet\Services
GROUP WINLOGON
Path:HKCU\Control Panel\IOProcs
Une fois ceci terminé, on se retrouve devant l'écran suivant.(je conseille de cocher la case "Show full path")
Evidemment, vu la complexité et le nombre de programmes existants on aura droit obligatoirement à ce type de fenetre :
L'étape suivante montre les "inconnus"
Si on choisit d'envoyer les fichiers "inconnus", le tout est envoyé (POST) vers une adresse aux USA (et pas un obscur serveur du RBN :-) encapsulé, et encodé.
SEULES les données inconnues partent (vérification effectuée) sur la base du nom de fichier, sa place, et signature (et non le programme lui-même)
Cela permettra aux programmeurs de mettre à jour leur base.
3) DESCRIPTION DES FENETRES
Plusieurs possibilités d'affichage via les boutons du haut ("expand all" permet d'avoir une vue d'ensemble très complète)
Chaque entrée via un clic droit donne les informations suivantes :
Copier le texte
Copier la clé de registre
Copier le nom de fichier
Démarrer ou terminer le programme
Accéder directement à la clé de registre
Accéder directement au fichier sur le disque
Ouvrir automatiquement le web brower pour aller chercher la clé de registre sur Google
Ouvrir automatiquement le web brower pour aller chercher le nom de fichier sur Google
Faire scanner le fichier par le "online malware" (dont je ne sais l'efficacité)
Toutes les entrées trouvées peuvent faire l'objet d'une colorisation dont l'explicatif est donné
et
On peut générer un log sous différents formats :
que l'on pourra envoyer en cas de doutes sur le forum de discussions :
http://forum.online-solutions.ru/viewforum.php?f=9
4) CONCLUSION
Est ce l'outil ultime ? Non. Il est dans la lignée de ce que l'on peut trouver dans cette classe d'outils (HijakThis, les outils de SysInternals etc) mais il a l'avantage de coupler un outil de détection des malwares/rootkit au programme et de présenter sous une autre forme ce qu'il a trouvé.
Les plus (en dehors de ce qui précède) :
- Une version portable
- Un forum d'aide et de bon niveau
Les moins :
- Pas d'indication de la dangerosité (mais c'est le propre de tout ces types de programmes comme avec HijackThis) sur le fait d'effacer certaines clés liées à des fichiers qui ne sont pas présents sur le disque (il y en a) comme :
- Aucune indication sur l'aspect "malwares" (mise à jour, ce qui peut etre détecté en dehors des rootkits, lesquel ? etc etc) mais vu le fonctionnement, aucune base mise à jour n'est nécessaire hormis celle qui permet d'identifier les processus, car l'outil permet de scanner là ou les malwares/rootkits s'installent.
.