Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Установка и настройка антивируса

[ Закрыто ] Обнаружена атака путем подделки записей кэша ARP , Обнаружена атака путем подделки записей кэша ARP

1 2 3 След.
RSS
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 09.05.2015 21:59:06
Здравствуйте. У меня проблема. Надеюсь на вашу помощь. У меня компьютер подключен к интернету через Wi Fi роутер ASUS (кабелем). Раньше был интернет МТС и все было отлично, но вот стоило переподключиться на ДомРу, как сразу стала появляться табличка с надписью: Обнаружена атака путем подделки записей кэша ARP 192.168.1.22.
Это из журнала файервол:
 
ВРЕМЯ                      СОБЫТИЕ                                                                              ИСТОЧНИК     ОБЪЕКТ            ПРОТОКОЛ
09.05.2015 0:55:35    Обнаружена атака путем подделки записей кэша ARP    192.168.1.22    192.168.1.242    ARP  
IP роутера 192.168.1.1          IP компьютера 192.168.1.242
Появляется примерно 2 раза в минуту. Что делать? В чем причина?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 10.05.2015 14:20:57
Для начала
http://forum.esetnod32.ru/forum9/topic683/
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 11.05.2015 03:15:56
Все сделал. Вот архив.
Правда при скачке с указанного сайта NOD ругался и блокировал скачку :(
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 11.05.2015 17:12:54
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.URL
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\AMIGO\APPLICATION\32.0.1700.1003\DELEGATE_EXECUTE.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref HTTPS://RU-BETA.4GAME.COM/LINEAGE2/?APP-CLIENT=V2
exec C:\Users\Lex\AppData\Roaming\ACEStream\Uninstall.exe
exec32 "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
exec32 "C:\Program Files (x86)\Mail.Ru\SputnikOpera\opera-sputnik.exe" uninstall
exec "C:\Program Files\McAfee Security Scan\uninstall.exe"
exec32 "C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe"
exec32 C:\Program Files\GridinSoft Trojan Killer\uninst.exe
exec32 MsiExec.exe /I{BFE6D377-F558-4E95-A062-673941B9BA5A}
exec "C:\Users\Lex\AppData\Local\Yandex\YandexBrowser\Application\40.0.2214.3645\Installer\setup.exe" --uninstall
exec32 MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
exec C:\Users\Lex\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
exec32 MsiExec.exe /X{A23F7A83-FD74-4B39-B7D5-CCD3737A894F}
exec32 MsiExec.exe /X{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 12.05.2015 00:42:39
Начну по порядку.
При первом запуске скрипта вроде все нормально, но потом на удалении программ выполнение скрипта зависло. Ждал минут десять результат не изменился. Пришлось принудительно остановить и запустить заного скрипт. ( Соответственно ни все программы за первый раз удалились, которые предлогалось удалить).
Запустив второй раз все прошло успешно, программы удалились и компьютер ушел на релог.
ВОПРОС: можно ли считать такое выполнение удачным ( я имею ввиду со второго раза)?

Следующий момент. Почему пришлось удалять программы которыми пользуюсь не первый год. Например: Guard Mail.ru, Ace Stream Media Player, Яндес браузер, Mc Afee, Элементы яндекса для браузеров? И можно ли их заного установить теперь?

Вот результаты проверки .malwarebytes. Удалил все что нашлось подозрительного.

Но продолжается регестрироваться атака таже самая :( с IP 192.168.1.22
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.05.2015 05:48:06
удалите все найденное в малваребайт,
перегрузите систему

далее,

сделайте проверку в АдвКлинере

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html
[ Как создать образ автозапуска? ]
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 13.05.2015 00:11:45
Программой малваребайт проверял позавчера, в тот же день все что было найдено удалил и комп перезагрузился. Сегодня еще раз проверил (все чисто, ни чего не выявилось).
Прикрепляю файлы проверки программами  АдвКлинере и FRST. Все что было найдено программой
АдвКлинере (кроме указанных папок) я очистил.
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 14.05.2015 21:26:26
Это все? :(
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 15.05.2015 09:57:00
Цитата
Алексей Аношкин написал:
Это все?

не...

Открываем окно антивируса - жмем кнопку F5 - появится дерево настроек. Переходим в раздел Сеть - Персональный файервол - IDS и расширенные параметры
- Устранение проблем - ставим галочки.
Регистрировать все заблокированные соединения.
Включить расширенное ведение журнала PCAP.

Воспроизвести проблему.

Будет создан лог для анализа. Отправить его для анализа на адрес [email protected]

Спасибо.
 
Алексей Аношкин
Алексей Аношкин
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 09.05.2015
Размещено 16.05.2015 00:31:46
А где этот лог сохраниться? Где его искать?
 
1 2 3 След.
Читают тему