Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Атака путем подделки записей кэша ARP

1 2 След.
RSS
 
Дмитрий Семавин
Дмитрий Семавин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.09.2016
Размещено 02.09.2016 23:02:38
Здравствуйте, антивирус начал постоянно уведомлять об ARP-атаке и одинаковых ip. Недавно переехал в общежитие и пользуюсь местным wifi. Также на днях стал использовать VPN. Не знаю, связано ли это или нет.

Логи FRST:
http://rgho.st/private/8jX9srCXh/b568c5ef26c095f614b074a147622735
http://rgho.st/private/7NkTlXpVD/4938aca5881b604d27ffd1bcc0924cf5

Лог Malwarebyte:
Лог Malwarebyte.txt (1.2 КБ)

Лог AwdCleaner
AdwCleaner[S0].txt (2.04 КБ)  
Изменено: Дмитрий Семавин - 02.09.2016 23:11:36
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 02.09.2016 23:23:04
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  


HKU\S-1-5-21-1768540551-2911780387-4068404210-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.cwer.ws
HKU\S-1-5-21-1768540551-2911780387-4068404210-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.cwer.ws
HKU\S-1-5-21-1768540551-2911780387-4068404210-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.cwer.ws
HKU\S-1-5-21-1768540551-2911780387-4068404210-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.cwer.ws
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Вероятнее всего дело в вашей сети.
Логи чистые.
Можно ещё образ автозапуска в uVS посмотреть.
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: RP55 RP55 - 02.09.2016 23:23:48
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 02.09.2016 23:26:18
Также прочтите: http://forum.esetnod32.ru/forum9/topic5130/
 
Дмитрий Семавин
Дмитрий Семавин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.09.2016
Размещено 02.09.2016 23:49:52
Fixlog.txt (2.23 КБ)
Образ автозапуска:
DMITRY-ПК_2016-09-02_23-36-40.7z (626.95 КБ)

В уведомлении антивирус пишет "компьютер в сети отправляет вредоносный трафик". Когда наводишь мышкой на слово "компьютер", он показывает IP. Это нормально, что он совпадает с шлюзом IPv4?
Изменено: Дмитрий Семавин - 03.09.2016 00:06:10
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.09.2016 00:09:06
Чисто.

1) Программу Malwarebytes - удалите.

2) Вы устанавливали программы для работы с сетью:

C:\PROGRAM FILES\TAP-WINDOWS

rem Add a new TAP virtual ethernet adapter

Файл создан: 01.09.2016 в 21:21:14
---------

C:\PROGRAM FILES\OPENVPN
OpenVPN Service
Файл создан: 23.08.2016 в 17:34:38
----------
Так, что...
 
Дмитрий Семавин
Дмитрий Семавин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.09.2016
Размещено 03.09.2016 00:13:15
Я немного не понял. Удалить эти программы?
Я ими уже не пользуюсь, просто создал сеть VPN, без программ
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.09.2016 00:19:05
Удалять, или нет программы решать вам.
Раз они не нужны - можно удалить.
 
Дмитрий Семавин
Дмитрий Семавин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.09.2016
Размещено 03.09.2016 00:22:05
А как быть с самой проблемой ARP-атак? Они мне сильно скорость интернета режут. Единственной, что смог, так это отключить уведомления о них
Изменено: Дмитрий Семавин - 03.09.2016 00:23:45
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.09.2016 00:29:39
А, что можно сделать ?
На работу сети вы повлиять не можете...
Сама система чиста.
Антивирус работает в штатном режиме - если есть атака он её блокирует.
- Удалите лишнее программное обеспечение которое может влиять на работу антивируса.
- Смотрите, что ещё можно настроить по выше данной ссылке.
 
Дмитрий Семавин
Дмитрий Семавин
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 02.09.2016
Размещено 03.09.2016 00:33:27
Хорошо, спасибо за помощь
 
1 2 След.
Читают тему