[РЕШЕНО] AVZ 4.46 поддержка оказывается ли?

[fuzzy]

Добрый день.

Во избежание возможно напрасной траты своего времени на подготовку отчетов, установку различного иного ПО и проверки ,а также времени отвечающего заранее поинтересуюсь как таковой возможностью поддержки и расшифровки логов, полученных еще прежней версией 4.46 AVZ, когда продукт еще не был под ЛК, и которая не была так урезана как 5я и более поздние. Если да, готов выполнять все условия по шагам.

[Sandor]

Здравствуйте!

 

26 минут назад, fuzzy сказал:

которая не была так урезана как 5я и более поздние

Вы ошибаетесь. В последних версиях добавлено (а не урезано) очень много.

Выполните Порядок оформления запроса о помощи. В Autologger как раз и входит актуальная версия AVZ.

Не забудьте описать словами в чём состоит проблема.

[andrew75]

@fuzzy, вы видимо судите по версиям, которые выкладываются на портале техподдержки ЛК. Это действительно урезанные версии, сделанные именно для задач техподдержки.

Утилита развивается, но, с некоторых пор не выкладывается в публичный доступ.

[fuzzy]

29 минут назад, andrew75 сказал:

@fuzzy, вы видимо судите по версиям, которые выкладываются на портале техподдержки ЛК. Это действительно урезанные версии, сделанные именно для задач техподдержки.

Утилита развивается, но, с некоторых пор не выкладывается в публичный доступ.

Именно так. Я не в курсе где брать не в публичном доступе. Я сужу по: 1) информации на сайте Зайцева Олега, который очевидно больше не поддерживается им, на письмо мое  на указанную там  почту обратной связи мне нет до сих пор. Там все замерло на 4.46, которой располагаю и чей лог хочу понять, сколь там все серьезно (вроде ничего не выявлено в плане вирусов, но раздел именно RootKit пестрит) 2) на раздел оф. сайта ЛК ,где опубликована ссылка на версию 5 ,в которой куцее меню и лог вообще не выводит проверки RootKit. А именно по этому у меня и вопрос собственно. 3) собственно пару лет назад был именно ту пост с аналогичным ,значит была поддержка от сообщества : 

 

Также я прежде обращался на ТП ЛК, но они , несмотря на то ,что сперва признались ,что данный сайт и форум "их", отказали тем не менее в поддержке бесплатных продуктов. 

44 минуты назад, Sandor сказал:

Здравствуйте!

 

Вы ошибаетесь. В последних версиях добавлено (а не урезано) очень много.

Выполните Порядок оформления запроса о помощи. В Autologger как раз и входит актуальная версия AVZ.

Не забудьте описать словами в чём состоит проблема.

А, вот этого не знал, что входит. Значит, попробую. Буду формировать пакет данных

[Sandor]

Также последнюю версию можете скачать на сайте SafeZone.

[fuzzy]

3 часа назад, Sandor сказал:

Также последнюю версию можете скачать на сайте SafeZone.

Спасибо! Полагаю, если вы рекомендуете этот ресурс, значит можно оттуда скачивать безбоязненно.

Уже начал подготовку к сбору всего необходимого. 

P/S/ Пользуясь случаем небольшой оффтоп. Я в настройках форума не нашел такого ,чтобы уведомления на почту о появлении новых постов/ответов в отслеживаемой теме приходили более оперативно, т.е. с каждым новым таковым. Мне вот до сих пор с самого начала, как я стал ТС, ничего на почту не пришло, хотя выставлена радиобаттон самая верхняя...

 

[Friend]

6 часов назад, fuzzy сказал:

Зайцева Олега, который очевидно больше не поддерживается им, на письмо мое  на указанную там  почту обратной связи мне нет

Попробуйте написать здесь в ЛС @Zaitsev Oleg

 

5 минут назад, fuzzy сказал:

Мне вот до сих пор с самого начала, как я стал ТС, ничего на почту не пришло, хотя выставлена радиобаттон самая верхняя...

А вы точно подписались на саму тему в правом верхнем углу?

Если да, тогда проверьте папку СПАМ в почтовом ящике и попробуйте еще раз подписаться и посмотреть какой параметр был выбран.

[fuzzy]

39 минут назад, Friend сказал:

Попробуйте написать здесь в ЛС @Zaitsev Oleg

 

А вы точно подписались на саму тему в правом верхнем углу?

Если да, тогда проверьте папку СПАМ в почтовом ящике и попробуйте еще раз подписаться и посмотреть какой параметр был выбран.

Ну коль скоро я уже зарегился на этом форуме, то писать Олегу вроде как масло масляное. Уж буду здесь тогда выяснять

Да,стоит в правом вехнем углу чекбокс на плашке 'Вы подписаны' и более того в левом нижнем углу взведен переключатель  'Уведомлять меня об ответах'. А в вашем скрине именно так и выставлена верхняя опция как наиболее подходящая по частоте. В спаме ничего нет, это у меня явно жирным всплывёт ,привлекая внимание как новое непрочитанное.

Я вот еще 2 нюанса хочу  сообщить перед непосредственным запуском autologger.

1) Он там судя по дисклеймеру сразу какие-то свои скрипты начнет выполнять и я немного опасаюсь ,не зная, что именно будет делаться, как бы не была нарушена работоспособность очень нужных мне и работающих на постоянку утилит PuntoSwitcher от Яндекса (переключатель клавиатуры, работающий, в принципе, как своеобразный keylogger), и XMouseButtonControl - это полезная утилита маппер клавиш мыши для быстрых ежедневных манипуляций в сочетании клавиш Windows. Я лишь предполагаю ,что то ,что меня собственно единственно волнует в логах AVZ в секции RooTKit (а-ля "функция... перехвачена...") и ради разъяснения чего я сюда пришел за помощью, может являться следствием установки этого ПО. Мои опасения беспочвенны?

2) Тоже насчет предварительных действий шага 2 правил. Никакого стороннего по отношению к MS Windows 10 x64 антивируса не установлено. Работал штатный брандмауэр и нативный FW. Несмотря на то, что в настройках безопасности ОС я, будучи под админской учеткой, его и Defender остановил, в службах сервисы “Брэндмауэр защитника Windows” и “Основная служба Microsoft Defender” остаются активными и запущенными, своей остановки не допуская. Идти далее на запуск autologger с таким статус-кво?

 

 

B вот еще новости последних минут. Я к тому, что возможно и не стоит мне все поготавливать... Судите сами и поясните мне  ,как такое возможно.

Ради интереса запустил свежескачанную по ссылке выше AVZ 5.99, действительно она полная. Запустил в той же самой совокупности режимов настроек ,что и ранее 4.46, которая, напомню вызвала мои вопросы вот этим в своем логе:

 

1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->7743E794->75924550
Функция kernel32.dll:ReadConsoleInputExW (1134) перехвачена, метод ProcAddressHijack.GetProcAddress ->7743E7C7->75924580
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76C37272->75926F70
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76C38199->7697D8F0
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7033D14A->702ADE90
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7033D179->702AE210
 

Каково же было мое удивление ,когда запущенная 5.99 в этом же месте показала:

 

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
 

Как эти результаты интерпретировать и как они между собой коррелируются? Замечу, что в обоих случаях базы были обновлены до актуальных. 

 

 

[Sandor]

14 часов назад, fuzzy сказал:

Мои опасения беспочвенны?

Да. Автологер только собирает информацию и никаких изменений в систему не вносит.

 

14 часов назад, fuzzy сказал:

Идти далее на запуск autologger с таким статус-кво?

Да.

 

14 часов назад, fuzzy сказал:

Как эти результаты интерпретировать и как они между собой коррелируются?

Что именно вас смущает? Перехваты существуют как вредные, так и полезные.

[fuzzy]

Спасибо. 

3) Что смущает? Во-первых, то, что с разницей в несколько минут одна пишет про них ,другая нет. В итоге не совсем ясно, а стоит ли мне вообще дальше что-либо проверять, запускать, возможно выявлять или даже лечить, если более новая версия ничего подозрительного не находит якобы.

Во-вторых, насчет вредные или полезные (в контексте именно 4.46, поскольку 5.99 формально молчит об их выявлении)  - вот именно это как раз и хотелось выяснить. Если полезные, то и лечить как бы не надо. Или  я не прав?

[Sandor]

Если хотите научиться читать логи AVZ, пройдите обучение (не сочтите за грубость).

В этом разделе производится лечение систем от вредоносных программ, а мы постепенно уходим в сторону от тематики.

 

6 минут назад, fuzzy сказал:

стоит ли мне вообще дальше что-либо проверять

Это зависит от того, подозреваете ли вы заражение системы. Если же просто "непонятные" строки в логе устаревшей программы, то действительно, дальше проверять не стоит.

[fuzzy]

Спасибо. Я стараюсь придерживаться тематики и своего вопроса, ради которого пришел на форум, зарегистрировался.

Совершенно откровенно: я не хочу учиться читать логи, это не моя цель. Если нужно ,я  обращусь сюда к профессионалам. И скромно буду надеяться на помощь.

У меня совершенно утилитарная цель в моменте. Я объясню еще раз. Я ранее приводил ссылку на этот форум двухлетней давности, на которую я в поиске яндекса наткнулся, и там была аналогичная ситуация описана. Я резонно подумал, что и мне стоит обратиться с тем же и туда же, коль скоро лог практически одинаков в части секции RootKit

Насколько я понимаю ,прежде чем начать лечение надо констатировать ,что есть в принципе заражение и есть объект для лечения. Вот это я и хотел прежде с помощью вас выяснить. Правда, тогда в 2023 никто так вопрос ТСу не ставил, сразу было предложена проверка. Не имеет никакого значения, что именно "я что-то подозреваю", ибо я не специалист и ничего в этом не смыслю ,особенно в интерпретации логов. Но если я вас правильно понял, то стоит доверять только более новой программе и если в ее логах все чисто

18 часов назад, fuzzy сказал:

1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text

, то и успокоиться и закрыть тему. Так?

[Sandor]

Чтобы понять заражена ли система не нужно обладать способностями анализировать логи. Как правило, это проявляется внешне - работа системы замедлилась, усиленная работа вентиляторов, много посторонней рекламы в браузерах, подменяется буфер обмена и т.д. и т.п.

Если же ничего подобного не наблюдаете, действительно беспокоиться не о чём.

Да, устаревшая утилита не видит всего в современной системе и наоборот, "видит" то, чего на самом деле нет.

[fuzzy]

Ясно ,ничего из описанного нет. Просто я предполагал ,что зловреды могут быть изобретательнее и не выдавать себя явно и банально. Ладно, наверное, тогда завершу на этом.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".