Перейти к содержанию

[РЕШЕНО] AVZ 4.46 поддержка оказывается ли?


Рекомендуемые сообщения

Опубликовано

Добрый день.

Во избежание возможно напрасной траты своего времени на подготовку отчетов, установку различного иного ПО и проверки ,а также времени отвечающего заранее поинтересуюсь как таковой возможностью поддержки и расшифровки логов, полученных еще прежней версией 4.46 AVZ, когда продукт еще не был под ЛК, и которая не была так урезана как 5я и более поздние. Если да, готов выполнять все условия по шагам.

Опубликовано

Здравствуйте!

 

26 минут назад, fuzzy сказал:

которая не была так урезана как 5я и более поздние

Вы ошибаетесь. В последних версиях добавлено (а не урезано) очень много.

Выполните Порядок оформления запроса о помощи. В Autologger как раз и входит актуальная версия AVZ.

Не забудьте описать словами в чём состоит проблема.

Опубликовано

@fuzzy, вы видимо судите по версиям, которые выкладываются на портале техподдержки ЛК. Это действительно урезанные версии, сделанные именно для задач техподдержки.

Утилита развивается, но, с некоторых пор не выкладывается в публичный доступ.

Опубликовано
29 минут назад, andrew75 сказал:

@fuzzy, вы видимо судите по версиям, которые выкладываются на портале техподдержки ЛК. Это действительно урезанные версии, сделанные именно для задач техподдержки.

Утилита развивается, но, с некоторых пор не выкладывается в публичный доступ.

Именно так. Я не в курсе где брать не в публичном доступе. Я сужу по: 1) информации на сайте Зайцева Олега, который очевидно больше не поддерживается им, на письмо мое  на указанную там  почту обратной связи мне нет до сих пор. Там все замерло на 4.46, которой располагаю и чей лог хочу понять, сколь там все серьезно (вроде ничего не выявлено в плане вирусов, но раздел именно RootKit пестрит) 2) на раздел оф. сайта ЛК ,где опубликована ссылка на версию 5 ,в которой куцее меню и лог вообще не выводит проверки RootKit. А именно по этому у меня и вопрос собственно. 3) собственно пару лет назад был именно ту пост с аналогичным ,значит была поддержка от сообщества : 

 

Также я прежде обращался на ТП ЛК, но они , несмотря на то ,что сперва признались ,что данный сайт и форум "их", отказали тем не менее в поддержке бесплатных продуктов. 

44 минуты назад, Sandor сказал:

Здравствуйте!

 

Вы ошибаетесь. В последних версиях добавлено (а не урезано) очень много.

Выполните Порядок оформления запроса о помощи. В Autologger как раз и входит актуальная версия AVZ.

Не забудьте описать словами в чём состоит проблема.

А, вот этого не знал, что входит. Значит, попробую. Буду формировать пакет данных

Опубликовано

Также последнюю версию можете скачать на сайте SafeZone.

Опубликовано
3 часа назад, Sandor сказал:

Также последнюю версию можете скачать на сайте SafeZone.

Спасибо! Полагаю, если вы рекомендуете этот ресурс, значит можно оттуда скачивать безбоязненно.

Уже начал подготовку к сбору всего необходимого. 

P/S/ Пользуясь случаем небольшой оффтоп. Я в настройках форума не нашел такого ,чтобы уведомления на почту о появлении новых постов/ответов в отслеживаемой теме приходили более оперативно, т.е. с каждым новым таковым. Мне вот до сих пор с самого начала, как я стал ТС, ничего на почту не пришло, хотя выставлена радиобаттон самая верхняя...

 

Опубликовано
6 часов назад, fuzzy сказал:

Зайцева Олега, который очевидно больше не поддерживается им, на письмо мое  на указанную там  почту обратной связи мне нет

Попробуйте написать здесь в ЛС @Zaitsev Oleg

 

5 минут назад, fuzzy сказал:

Мне вот до сих пор с самого начала, как я стал ТС, ничего на почту не пришло, хотя выставлена радиобаттон самая верхняя...

А вы точно подписались на саму тему в правом верхнем углу?
image.thumb.png.e6d3f07ad1b37c1ec68033c9f392ff9c.png

Если да, тогда проверьте папку СПАМ в почтовом ящике и попробуйте еще раз подписаться и посмотреть какой параметр был выбран.
image.png.ef7c5fd2be5f1a7714485a55805044f5.png

Опубликовано
39 минут назад, Friend сказал:

Попробуйте написать здесь в ЛС @Zaitsev Oleg

 

А вы точно подписались на саму тему в правом верхнем углу?
image.thumb.png.e6d3f07ad1b37c1ec68033c9f392ff9c.png

Если да, тогда проверьте папку СПАМ в почтовом ящике и попробуйте еще раз подписаться и посмотреть какой параметр был выбран.
image.png.ef7c5fd2be5f1a7714485a55805044f5.png

Ну коль скоро я уже зарегился на этом форуме, то писать Олегу вроде как масло масляное. Уж буду здесь тогда выяснять :)

Да,стоит в правом вехнем углу чекбокс на плашке 'Вы подписаны' и более того в левом нижнем углу взведен переключатель  'Уведомлять меня об ответах'. А в вашем скрине именно так и выставлена верхняя опция как наиболее подходящая по частоте. В спаме ничего нет, это у меня явно жирным всплывёт ,привлекая внимание как новое непрочитанное.

Я вот еще 2 нюанса хочу  сообщить перед непосредственным запуском autologger.

1) Он там судя по дисклеймеру сразу какие-то свои скрипты начнет выполнять и я немного опасаюсь ,не зная, что именно будет делаться, как бы не была нарушена работоспособность очень нужных мне и работающих на постоянку утилит PuntoSwitcher от Яндекса (переключатель клавиатуры, работающий, в принципе, как своеобразный keylogger), и XMouseButtonControl - это полезная утилита маппер клавиш мыши для быстрых ежедневных манипуляций в сочетании клавиш Windows. Я лишь предполагаю ,что то ,что меня собственно единственно волнует в логах AVZ в секции RooTKit (а-ля "функция... перехвачена...") и ради разъяснения чего я сюда пришел за помощью, может являться следствием установки этого ПО. Мои опасения беспочвенны?

2) Тоже насчет предварительных действий шага 2 правил. Никакого стороннего по отношению к MS Windows 10 x64 антивируса не установлено. Работал штатный брандмауэр и нативный FW. Несмотря на то, что в настройках безопасности ОС я, будучи под админской учеткой, его и Defender остановил, в службах сервисы “Брэндмауэр защитника Windows” и “Основная служба Microsoft Defender” остаются активными и запущенными, своей остановки не допуская. Идти далее на запуск autologger с таким статус-кво?

 

 

B вот еще новости последних минут. Я к тому, что возможно и не стоит мне все поготавливать... Судите сами и поясните мне  ,как такое возможно.

Ради интереса запустил свежескачанную по ссылке выше AVZ 5.99, действительно она полная. Запустил в той же самой совокупности режимов настроек ,что и ранее 4.46, которая, напомню вызвала мои вопросы вот этим в своем логе:

 

1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7743E794->75924550
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->7743E7C7->75924580
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76C37272->75926F70
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76C38199->7697D8F0
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7033D14A->702ADE90
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7033D179->702AE210
 

Каково же было мое удивление ,когда запущенная 5.99 в этом же месте показала:

 

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
 

Как эти результаты интерпретировать и как они между собой коррелируются? Замечу, что в обоих случаях базы были обновлены до актуальных. 

 

 

Опубликовано
14 часов назад, fuzzy сказал:

Мои опасения беспочвенны?

Да. Автологер только собирает информацию и никаких изменений в систему не вносит.

 

14 часов назад, fuzzy сказал:

Идти далее на запуск autologger с таким статус-кво?

Да.

 

14 часов назад, fuzzy сказал:

Как эти результаты интерпретировать и как они между собой коррелируются?

Что именно вас смущает? Перехваты существуют как вредные, так и полезные.

Опубликовано

Спасибо. 

3) Что смущает? Во-первых, то, что с разницей в несколько минут одна пишет про них ,другая нет. В итоге не совсем ясно, а стоит ли мне вообще дальше что-либо проверять, запускать, возможно выявлять или даже лечить, если более новая версия ничего подозрительного не находит якобы.

Во-вторых, насчет вредные или полезные (в контексте именно 4.46, поскольку 5.99 формально молчит об их выявлении)  - вот именно это как раз и хотелось выяснить. Если полезные, то и лечить как бы не надо. Или  я не прав?

Опубликовано

Если хотите научиться читать логи AVZ, пройдите обучение (не сочтите за грубость).

В этом разделе производится лечение систем от вредоносных программ, а мы постепенно уходим в сторону от тематики.

 

6 минут назад, fuzzy сказал:

стоит ли мне вообще дальше что-либо проверять

Это зависит от того, подозреваете ли вы заражение системы. Если же просто "непонятные" строки в логе устаревшей программы, то действительно, дальше проверять не стоит.

Опубликовано

Спасибо. Я стараюсь придерживаться тематики и своего вопроса, ради которого пришел на форум, зарегистрировался.

Совершенно откровенно: я не хочу учиться читать логи, это не моя цель. Если нужно ,я  обращусь сюда к профессионалам. И скромно буду надеяться на помощь.

У меня совершенно утилитарная цель в моменте. Я объясню еще раз. Я ранее приводил ссылку на этот форум двухлетней давности, на которую я в поиске яндекса наткнулся, и там была аналогичная ситуация описана. Я резонно подумал, что и мне стоит обратиться с тем же и туда же, коль скоро лог практически одинаков в части секции RootKit

Насколько я понимаю ,прежде чем начать лечение надо констатировать ,что есть в принципе заражение и есть объект для лечения. Вот это я и хотел прежде с помощью вас выяснить. Правда, тогда в 2023 никто так вопрос ТСу не ставил, сразу было предложена проверка. Не имеет никакого значения, что именно "я что-то подозреваю", ибо я не специалист и ничего в этом не смыслю ,особенно в интерпретации логов. Но если я вас правильно понял, то стоит доверять только более новой программе и если в ее логах все чисто

18 часов назад, fuzzy сказал:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text

, то и успокоиться и закрыть тему. Так?

Опубликовано

Чтобы понять заражена ли система не нужно обладать способностями анализировать логи. Как правило, это проявляется внешне - работа системы замедлилась, усиленная работа вентиляторов, много посторонней рекламы в браузерах, подменяется буфер обмена и т.д. и т.п.

Если же ничего подобного не наблюдаете, действительно беспокоиться не о чём.

Да, устаревшая утилита не видит всего в современной системе и наоборот, "видит" то, чего на самом деле нет.

Опубликовано

Ясно ,ничего из описанного нет. Просто я предполагал ,что зловреды могут быть изобретательнее и не выдавать себя явно и банально. Ладно, наверное, тогда завершу на этом.

Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Yann
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • KL FC Bot
      Автор KL FC Bot
      Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
      Поддержка passkeys в системах управления identity
      Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
      Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
      Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
      А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
      В Google Workspace и Google Cloud есть полная поддержка passkeys.
      Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
       
      View the full article
    • DrRybkin
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
×
×
  • Создать...