Атака путем подделки записей кэша ARP - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 28.07.2016 17:31:41

Здравствуйте! Примерно недели две как начало выскакивать,обнаружена атака путем подделки записей кэша arp,а иногда, что в сети обнаружены идентичные ip адреса.Роутером не пользуюсь.Че делать не знаю, просканировал UVS, хэлп плиз!

Прикрепленные файлы

EDRENA-MONSTR_2016-07-28_17-10-24.rar (674.37 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.07.2016 21:11:24

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://XTREME.WS/ delref %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\ASK-SEARCH.XML del %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\ASK-SEARCH.XML delref %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML del %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML delref HTTP://MAIL.RU/ delref HTTP://WWW.GOOGLE.COM/ ;------------------------------------------------------------- deltmp delnfr restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://XTREME.WS/

delref %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\ASK-SEARCH.XML
del %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\ASK-SEARCH.XML

delref %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML
del %SystemDrive%\USERS\ГЂВЂГЂВҐГЂВЈГЂВЁГЂВЅГЂВЁГ‘ВЃГ‘В‚Г‘ВЂГЂВ°Г‘В‚ГЂВЅГ‘ВЂ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PLWDOP9M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref HTTP://MAIL.RU/
delref HTTP://WWW.GOOGLE.COM/
;-------------------------------------------------------------

deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 28.07.2016 22:21:10

Пока ничего не изменилось,через несколько минут,после подключения инета, фаерволл так же ругается

Прикрепленные файлы

edrenatb.txt (1.4 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.07.2016 22:26:59

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 28.07.2016 23:04:17

Логи Farbar

http://muonium.rgho.st/private/8jnvzJQRh/ec79f0632c7d48851ef985f4ff236bbf

http://muonium.rgho.st/private/6b9VgtbnN/b1a4e605c147272f182ee1bec18edfa6

и лог Adwcleaner

Прикрепленные файлы

AdwCleaner[C1].txt (3.26 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.07.2016 23:23:15

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
Task: {0CB929E2-B291-4C15-98AD-52D4CE23AF27} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {739E57A7-9CC9-4EB5-8738-294D61F98C1B} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION Task: {A7D86775-95EE-4ADD-94A4-91255DB8C492} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {E4B18EDD-92DF-4C4D-9B07-191FDD377F4B} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION FF Keyword.URL: hxxp://webalta.ru/search?from=FF&q= FF Extension: ВКонтакте.ру Downloader - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\plwdop9m.default\extensions\[email protected] [2016-01-10] CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.824\_platform_specific\win_x86\widevinecdmadapter.dll => No File EmptyTemp: Reboot:

Код

  


Task: {0CB929E2-B291-4C15-98AD-52D4CE23AF27} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {739E57A7-9CC9-4EB5-8738-294D61F98C1B} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {A7D86775-95EE-4ADD-94A4-91255DB8C492} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {E4B18EDD-92DF-4C4D-9B07-191FDD377F4B} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
FF Keyword.URL: hxxp://webalta.ru/search?from=FF&q=
FF Extension: ВКонтакте.ру Downloader - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\plwdop9m.default\extensions\[email protected] [2016-01-10]
CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.824\_platform_specific\win_x86\widevinecdmadapter.dll => No File
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 29.07.2016 00:07:26

Лог

Прикрепленные файлы

Fixlog.txt (4.34 КБ)

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 29.07.2016 01:10:57

Не часто,но все равно появляется,что обнаружена атака путем подделки записей кэша arp.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.07.2016 05:20:49

пробуйте установить актуальную версию ESS. Version: 9.0.386.1
https://www.eset.com/int/home/smart-security/#download
http://download.eset.com/download/win/ess/ess_nt64_rus.exe

Изменено: santy - 29.07.2016 05:21:54

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 28.07.2016

Размещено 29.07.2016 18:17:16

Установил новую версию,стала блокировать эти атаки.Благодарю!

[ Закрыто ] Атака путем подделки записей кэша ARP