تالار پشتیبانی شرکت نرم‌افزاری امن‌پرداز

ارسال شده: **شنبه ژانویه 24, 2015 9:15 pm**

حدود 15 روز پیش بود که نسخه امنیت پیشرفته من به نسخه جدید آپدیت شد و در همان اولین اسکن متوجه شدم فایل oem.exe که ظاهرا مربوط به کرک ویندوز من است به عنوان فایل آلوده شناسایی می شود و به ناچار این فایل را دز لیست استثنائات قرار دادم که خب دیگر مشکلی نبود و تا امروز بعد از ده ها اسکن سیستم هیچ مشکلی وجود نداشت.

اما امروز که سیستم را اسکن کردم در هنگام اسکن متوجه شدم اسکنر این فایل(حاضر در استثنائات) را به عنوان آلوده شناسایی کرده و آن را قرنطینه کرده است!

تصویر زیر را ببینید>>

فایل ضمیمه oem.jpg دیگر موجود نیست

این نکته را اضافه کنم که شاید در تصویر مشخص نیست که این فایل هم از اسکنر و هم گارد استثنا شده است.

کاری خاصی هم در این مدت با آنتی ویروس صورت نگرفته جز اینکه بارها و بارها اسکن های مختلف با تغییر وضعیت بین دو گزینه>> اسکن تمام فایل ها - و اسکن هوشمند فایل ها جابجا شده است.
ممکن است با تغییر این گزینه در تنظیمات، آنتی ویروس فراموش کرده باشد که در لیست استثنائات آدرس فایلی وجود دارد؟
چرا فراموش کرده؟

جالب اینکه هنوز این فایل در استثنائات است و در همین زمان، این فایل به قرنطینه(توسط اسکنر) منتقل شده.

ارسال شده: **شنبه ژانویه 24, 2015 10:46 pm**

به نظر میرسد اشکالی در معماری اولیه نرم افزار وجود دارد که وقتی مدام بین اسکن های مختلف(کامل و سریع و انتخابی) ، با تنظیمات مختلف(اسکن تمام فایل ها-اسکن هوشمند فایل ها) جابجا می شوید نرم افزار بعضی تنظیمات را فراموش میکند.

ارسال شده: **شنبه ژانویه 24, 2015 11:15 pm**

به نظر میرسد اشکالی در معماری اولیه نرم افزار وجود دارد که وقتی مدام بین اسکن های مختلف(کامل و سریع و انتخابی) ، با تنظیمات مختلف(اسکن تمام فایل ها-اسکن هوشمند فایل ها) جابجا می شوید نرم افزار بعضی تنظیمات را فراموش میکند.

ارسال شده: **یک‌شنبه ژانویه 25, 2015 11:11 am**

سلام

خاطرتون هست پویش رو از چه طریقی شروع کرده بودین؟ یعنی کلیک راست روی درایو سی، یا پویش کامل، یا پویش سفارشی که توش درایو سی انتخاب شده باشه مثلا؟
این حالت رو می‌خوام دقیقا توی شرکت بازتولید کنم تا بتونم دقیق‌تر بررسی کنم. فکر کنم به طور قطع در نسخه بعدی این مشکل حل بشه.
فعلا این فایل رو اگر با محتوا، و یا با نام بدافزار استثنا کنید دیگه به مشکل نمی‌خورید.

ارسال شده: **یک‌شنبه ژانویه 25, 2015 1:40 pm**

سلام. بله اگر اشتباه نکنم من پویش را از طریق custom scan و انتخاب درایو c شروع کردم. و شاید اولین بار بود این نوع اسکن را میزدم. علت اینکه مدام بین تنظیمات اسکن کل فایل ها و یا حالت اسکن هوشمند و بین اسکن هایی از نوع کامل و سریع جابجا می شوم هم اینست که قبلا خطاهای هنگام اسکن را بعد از اینگونه دستکاری ها میدیدم که خوشبختانه در ورژن جدید تا بحال خطایی در هنگام اسکن(مثل غیب شدن صفحه) ندیده ام.
البته نمیدانم به کار شما می آید یا خیر اما متاسفانه یادم نیست اسکن کل فایل ها تیک خورده بود یا اسکن هوشمند اما با احتمال بسیار بالا می گویم که مدل اسکن custom scan و برای اولین بار از این مدل بود.
در اسکن کامل و سریع اصلا به این فایل استثنا شده گیر نمی داد.

ارسال شده: **یک‌شنبه ژانویه 25, 2015 2:15 pm**

باز هم سلام و خیلی خیلی ممنون.
مشکل رو دقیقا فهمیدم. الان در دست بررسی هستش و قطعا تو نسخه بعدی حل میشه. فعلا برای این‌که مشکلی پیش نیاد همون گزینه استثنا از طریق محتوا یا نام بدافزار رو برای این مورد توصیه می‌کنم.

ارسال شده: **یک‌شنبه ژانویه 25, 2015 3:06 pm**

سلام. خواهش میکنم

حالا دارید اینقدر زحمت میکشید این مشکل را هم بررسی کنید که از قدیم ظاهرا باقی مانده است>>

نوشته های جناب آقای نفیسی

[quote]سلام
صحبت شما درست است و مشکلی در نگهبان وجود دارد که در شرایط زیر رخ می‌دهد:
۱- نگهبان روی درجه حساسیت کمتر تنظیم شده باشد.
۲- نگهبان با یک فایل مواجه شود که در درجه حساسیت کم، مشکوک تشخیص داده نمی‌شود و آن را پویش کرده و سالم تشخیص دهد.
۳- تنظیم نگهبان تغییر کرده و درجه حساسیت بالا برده شود.
۴- نگهبان مجددا با فایل قبلی مواجه شود که در درجه حساسیت بالا، مشکوک تشخیص داده می‌شود.
در این حالت نگهبان به علت مکانیزم کش موجود در آن، همان پاسخ قبلی «سالم» را برای فایل بازمی‌گرداند و آن را با تنظیم جدید (حساسیت بالا) پویش مجدد نمی‌کند.
این مشکل در مورد تعامل نگهبان و موتور هوش مصنوعی وجود دارد. [/QUOTE]

ارسال شده: **یک‌شنبه ژانویه 25, 2015 3:14 pm**

چشم حتما! البته این مسئله که گفتین یه کم حلش زمان‌بر هست ولی ما تمام تلاشمون رو می‌کنیم حتما.
راستی، اون فایل oem.exe رو هم اگر برای ما بفرستین که بررسی کنیم اگر واقعا بدافزار نیست و فقط کرک هستش، امضاها رو اصلاح کنیم که دردسر شما کمتر بشه.

ارسال شده: **یک‌شنبه ژانویه 25, 2015 3:37 pm**

[quote="shayanoh"]چشم حتما! البته این مسئله که گفتین یه کم حلش زمان‌بر هست ولی ما تمام تلاشمون رو می‌کنیم حتما.
راستی، اون فایل oem.exe رو هم اگر برای ما بفرستین که بررسی کنیم اگر واقعا بدافزار نیست و فقط کرک هستش، امضاها رو اصلاح کنیم که دردسر شما کمتر بشه.[/QUOTE]

من از برنامه نویسی و کامپیوتر سر در نمیارم اما به شما قول میدم معماری اولیه پادویش رو آدمهایی فوق العاده باهوش اما بسیار بسیار سر به هوا!!! انجام دادن!!!!(شوخی کردم)، من خودم هم جوون بودم! دبیرستانی بودم همینطور بودم! معلم میگفت کی میتونه این مسئله رو حل کنه ، من اول از همه حل میکردم اما بعدش که میگفت آفرین آفرین خیلی خوب بود حالا یه بار برای بچه ها توضیح بده چکار کردی؟!!!! من خودم یادم نمیومد دوباره از اول بگم چکار کردم!!!!!!!

حالا از داستان جوونیامون بگذریم>>>

این فایل oem داستان جالبی داره که سعی میکنم همین الان براتون بفرستم.
اما داستانش چیه؟
من از این نسخه های به نام ویندوز اورجینال که 120 -130 تومن(البته قیمت الان باید حدود 80-90 تومان باشد) در بازار قیمت داره از یکی از دوستان هدیه گرفتم!!(در بازار کامپیوتر پایتخت و بازار و رضا و... به اسم ویندوزهای اورجینال بفروش میرسه) که سعی میکنم تصویر جعبه رو براتون ارسال کنم و نمیدونم از این کرک پاکستانی ها بود چی بود!!! و من چون همیشه آپدیت های مایکروسافت رو دریافت میکردم و ویندوز 7 از کار نمی افتاد فکر کردم شاید واقعا یک نسخه oem واقعی هست.
اما بعد از مدتی متوجه شدم بعضی آنتی ویروس های خارجی به این فایل مشکوک هستند و مثلا از بین 50 آنتی ویروس جهانی 15 تا این فایل را بدافزار تشخیص میدهند.
من این فایل را در همین فروم قرار دادم و جناب نفیسی فرمودند کرک ویندوز شماست!(که من به این مطلب پی بردم که اصلا ویندوزم یک ویندوز oem نیست و کرک است احتمالا!!!!)
باز هم فایل را برای امن پرداز ارسال کردم تا بررسی کنند چون خیلی مشکوک بود(تعداد آنتی ویروس های جهانی زیادی بودند که به آن گیر داده بودند)
و جدیدا به نظر میرسد خانه تکانی کرده اید!!! و آن لیست چند میلیارد فایلی!!! ارسال شده را بررسی کرده اید و این فایل هم برخلاف تصور من و البته استاد گرامی جناب آقای نفیسی ، در نسخه جدید پادویش آلوده تشخیص داده میشود!!
که خوشحال میشوم من را هم از نادانی نجات دهید که بالاخره این فایل که ظاهرا کرک ویندوز من بوده(تصور میکردم ویندوزم اورجینال باشد!!!) بدافزار است یا تشخیص اشتباه آنتی ویروس ها و جدیدا پادویش است؟
این هم تصویر این ویندوز کذایی!!! برای افراد کنجکاو!
http://upload7.ir/preview.php?user=&fil ... d16d82.jpg

این هم فایل اصلی که البته فشرده و رمزگذاری نکردم چون فکر نمی کنم نیاز باشد>>
http://s4.picofile.com/file/8166141884/OEM.EXE.html

ارسال شده: **دوشنبه ژانویه 26, 2015 9:29 am**

سلام

البته تشخیص شما درباره نویسندگان پادویش را نه می‌توانم تایید کنم نه تکذیب.

ولی در مورد این مساله باید بگم که این مورد اخیرتان گیر معماری نیست (به عکس موضوع قبلی)، و صرفا یک مساله ساده است: اگر در تصویری که فرستادید دقت کنید در ابتدای مسیر فایل C:\\Windows\system32 خورده است (دقت کنید که اولین \ تکرار شده است) و به علت وجود همین یک کاراکتر اضافی، لیست استثنائات شما با این مسیر تطبیق پیدا نکرده است. علت اینکه همکارمان هم استثنا برحسب محتوا را پیشنهاد دادند همین بوده است.
اما این اتفاق (کاراکتر اضافی) کی رخ می‌دهد؟ فقط وقتی از داخل پنجره ضدویروس، پویش سفارشی را انتخاب کنید که روی مسیر ریشه یک درایو انجام شود. (یعنی مثلا با پویش با کلیک راست روی درایو؛ یا با پویش یک شاخه رخ نمی‌دهد) و تنها تاثیر آنهم در مورد لیست استثنائات است و احتمالا به همین علت در تست‌ها نیز مشخص نشده بود.

-------------------------------

فایل OEM هم مجددا بررسی شد و مشخص شد که به جز کرک کردن ویندوز، فعالیت‌های آن سالم هستند.
با توجه به سیاست شرکت که عدم گرفتن برنامه‌های کرک غیرویروسی می‌باشد از لیست بدافزارها پاک شده و در بروزرسانی بعدی دیگر گرفته نخواهد شد.

با تشکر

تالار پشتیبانی شرکت نرم‌افزاری امن‌پرداز

یک اتفاق عجیب در نسخه امنیت پیشرفته

یک اتفاق عجیب در نسخه امنیت پیشرفته