Обнаружена уязвимость в скрытом канале ICMP - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 14.03.2013

Размещено 14.03.2013 02:34:12

При оптимизации интернет-соединения через Auslogics ESS выдал шесть сообщений об обнаружении уязвимости в скрытом канале ICMP. С поощью программы uVS сделал образ автозапуска : http://zalil.ru/34345103 Помогите, пожалуйста, выполнить далнейшие шаги по лечению компьтера. Заранее благодарен.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2013 06:13:03

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАДИМ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr delref HTTP://RUSHEN.WS/ restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАДИМ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
delref HTTP://RUSHEN.WS/
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.03.2013

Размещено 14.03.2013 13:23:41

После сканирования Malwarebytes выдал вот такой документ: http://zalil.ru/34346147 (скрипт еще не выполнял)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2013 13:34:24

вначале выполните скрипт, затем сканирование в мбам

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.03.2013

Размещено 14.03.2013 14:15:25

Выполнил скрипт, перезагрузился. Malwarebytes выдает все то же сообщение: http://zalil.ru/34346211 Теперь при загрузке страниц в браузере сначала выдается ошибка : "соединение было принудительно прервано". Но после перезагрузки страницы, все нормально открывается. При оптимизации интернет-соединения через Auslogics Internet Optimizer появились предепреждения:
источник объект протокол
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 2.21.199.214 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 23.52.17.55 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 98.138.253.109 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 77.88.21.3 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 217.69.141.22 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 74.125.132.106 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 2.21.199.214 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 23.52.17.55 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 98.138.253.109 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 87.250.250.203 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 217.69.141.22 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 74.209.160.12 ICMP
Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.5.154 173.194.67.147 ICMP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2013 17:24:35

удалите найденное в мбам,
далее,
сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.03.2013

Размещено 14.03.2013 18:54:38

Найденное мбам удалил. Вот результаты AdvCleaner: AdwCleaner[R1].txt (14.5 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2013 18:56:15

удалите найденное в AdwCleaner по кнопке Delete
с автоперезагрузкой

пишем результат

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 14.03.2013

Размещено 14.03.2013 19:27:31

Теперь повылазили другие IP адреса, при оптимизации через Auslogics Internet Optimizer.

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 2.23.151.214 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 23.53.33.55 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 87.248.112.181 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 93.158.134.203 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 217.69.141.21 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 74.209.160.12 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 173.194.71.104 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 2.23.151.214 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 23.53.33.55 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 87.248.122.122 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 77.88.21.3 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 217.69.141.21 ICMP

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 74.209.160.12 ICMP
Вот последний файл из AdwCleaner:

Обнаружена уязвимость скрытого канала в ICMP-пакете 95.179.97.151 173.194.71.147 ICMP
AdwCleaner[S1].txt (15.08 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.03.2013 19:36:06

Вопрос 1, зачем Вы используете оптимизацию?
Вопрос 2, проблема возникает только после оптимизации?
Если да, то рекомендую задать вопрос производителю программы Auslogics Internet Optimizer, что такого делает программа, что после "оптимизации" происходит
срабатывание файервола?
Как вариант внести адрес 95.179.97.151 Вашего провайдера в исключения персонального файервола, но только после предоставления ответа по вопросу 2 от компании Auslogics

Изменено: zloyDi - 14.03.2013 19:36:34

Обнаружена уязвимость в скрытом канале ICMP , При оптимизации интернет соединения вылезло шесть предупреждений.