[ Закрыто ] Обнаружена атака путем подделки записей кэша ARP , Обнаружена атака путем подделки записей кэша ARP

RSS

Сообщений: 8

Баллов: 4

Регистрация: 09.05.2015

Размещено 09.05.2015 21:59:06

Здравствуйте. У меня проблема. Надеюсь на вашу помощь. У меня компьютер подключен к интернету через Wi Fi роутер ASUS (кабелем). Раньше был интернет МТС и все было отлично, но вот стоило переподключиться на ДомРу, как сразу стала появляться табличка с надписью: Обнаружена атака путем подделки записей кэша ARP 192.168.1.22.
Это из журнала файервол:

ВРЕМЯ СОБЫТИЕ ИСТОЧНИК ОБЪЕКТ ПРОТОКОЛ
09.05.2015 0:55:35 Обнаружена атака путем подделки записей кэша ARP 192.168.1.22 192.168.1.242 ARP
IP роутера 192.168.1.1 IP компьютера 192.168.1.242
Появляется примерно 2 раза в минуту. Что делать? В чем причина?

Ответы

Пред. 1 2 3

Сообщений: 2

Баллов: 1

Регистрация: 11.12.2018

Размещено 11.12.2018 06:39:20

Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделал анализ системы через программу uVS и вот, что вышло.

Прикрепленные файлы

VNIMI004_2018-12-11_10-05-30.7z (672.97 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.12.2018 08:11:23

Костя Кузнецов

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp restart ;---------command-block--------- delref HTTP://OVGORSKIY.RU delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1409894671&FROM=COR&UID=TOSHIBAXDT01ACA050_83N0VYMTSXX83N0VYMTSX&Q={SEARCHTERMS} delref %SystemDrive%\PROGRAMDATA\NVIDIA\DISPLAYSESSIONCONTAINER%D.LOG delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\USERS\KONDAKOV\APPDATA\LOCAL\TEMP\ST60FB.TMP\UNINSTALL.EXE delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\ИНСТАЛЯТОР\INSTALLAPK\INSTALLAPK.EXE delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\TALKINGPIERRE-THE-PARROT-V1.APK delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER\ESHELLCTX64.DLL delref D:\AUTORUN.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\DRIVERS\EWUSBNET.SYS delref %SystemRoot%\GDRV.SYS delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS delref %Sys32%\DRIVERS\EWUSBMDM.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %Sys32%\NVCUVENC.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref D:\CHECKVER.OCX delref D:\DRIVE~1A.OCX delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\NVCUVENC.DLL delref G:\SETUP.EXE delref F:\AUTORUN.EXE delref {A996E48C-D3DC-4244-89F7-AFA33EC60679}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540001}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553541111}\[CLSID] apply

Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref HTTP://OVGORSKIY.RU
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1409894671&FROM=COR&UID=TOSHIBAXDT01ACA050_83N0VYMTSXX83N0VYMTSX&Q={SEARCHTERMS}
delref %SystemDrive%\PROGRAMDATA\NVIDIA\DISPLAYSESSIONCONTAINER%D.LOG
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\KONDAKOV\APPDATA\LOCAL\TEMP\ST60FB.TMP\UNINSTALL.EXE
delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\ИНСТАЛЯТОР\INSTALLAPK\INSTALLAPK.EXE
delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\TALKINGPIERRE-THE-PARROT-V1.APK
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER\ESHELLCTX64.DLL
delref D:\AUTORUN.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EWUSBMDM.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\NVCUVENC.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref D:\CHECKVER.OCX
delref D:\DRIVE~1A.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\NVCUVENC.DLL
delref G:\SETUP.EXE
delref F:\AUTORUN.EXE
delref {A996E48C-D3DC-4244-89F7-AFA33EC60679}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540001}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553541111}\[CLSID]
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 2

Баллов: 1

Регистрация: 11.12.2018

Размещено 12.12.2018 05:03:25

Все также выскакивает сообщение. Логи полной проверки Malwarebytes прилагаю. Также высвечивается "в сети обнаружены идентичные айпи".

Прикрепленные файлы

логи.txt (11.63 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.12.2018 08:59:54

Костя Кузнецов

1) В Malwarebytes всё найденное удалите ( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 1

Регистрация: 06.01.2019

Размещено 06.01.2019 13:10:38

Здравствуйте. Аналогичная с господами проблема с алертом нода на подделку кэша. В малвари все в карантине. Отчеты uVS и мальвари есть.
Жду ответа. Спасибо.

Прикрепленные файлы

PINEAPPLE_2019-01-06_12-39-57.7z (683.03 КБ)
МАЛВАРЬ.txt (9.98 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.01.2019 13:44:00

Marcus Wofford

" TNod User & Password Finder "
В связи с нарушением Лицензионного соглашения с компанией ESET тема будет закрыта.
Обратитесь за помощью на другой форум !

Пред. 1 2 3