Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Обнаружен эксплойт скрытого канала в ICMP-пакете , Что делать?

1
RSS
 
ValkiriyaIriya
ValkiriyaIriya
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.09.2012
Размещено 25.09.2012 13:22:40
Доброго времени суток!
НОД32 выдает постоянно при загрузке:
25.09.2012 2:19:16 Обнаружен эксплойт скрытого канала в ICMP-пакете 192.168.0.102 87.248.122.122 ICMP
25.09.2012 2:19:08 Обнаружен эксплойт скрытого канала в ICMP-пакете 192.168.0.102 87.248.112.181 ICMP
эти адреса постоянно светятя в файле журнала файервола.
Проверяла ДРвебом, Нортоном Секьерити, Malwarebytes Anti-Malware все безрезультатно.
Ссылки на логи UVS и AVZ4 прилагаю:
http://rghost.ru/private/40563445/51719d97be7dad4130c51cb43c053d91
http://rghost.ru/40563456
Если можно, то просьба: объяснить ситуацию в режиме "для чайников";).

Заранее благодарна, Ирина
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 25.09.2012 13:35:37
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.76 BETA9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 6DDF334C6406CC869C68C14B9DF6CAB0 2180712
bl 01907300EB52206B06FACB9608F369A9 625816
bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
delref HTTP://INTERNET.YANDEX.RU/
delref HTTP://RU.ASK.COM/?L=DIS&O=15187
delref HTTP://RU.MSN.COM/?OCID=OIE9HP
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
delall F:\AUTORUN.INF
delall L:\AUTORUN.INF
delall M:\AUTORUN.INF
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
ValkiriyaIriya
ValkiriyaIriya
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.09.2012
Размещено 25.09.2012 15:29:46
сделано:
http://rghost.ru/private/40565395/e09bbea064e87c3b84fd459e9bab86d9
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.09.2012 15:32:14
Что с проблемой?
 
ValkiriyaIriya
ValkiriyaIriya
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.09.2012
Размещено 25.09.2012 15:50:39
Перегрузила компьютер еще раз, вроде файрвол больше не ругается!!! Спасибо!

Вторая проблема связана с програмкой Antiplagiat ReportViewer 3.0, скачиваемой с сайта http://www.antiplagiat.ru/index.aspx?doc=reportviewer.
НОД32 не дает ее закачивать, а если закачать принудительно, то он ее удаляет.
Запись из файла журнала:
25.09.2012 14:52:40 Фильтр HTTP файл http://www.antiplagiat.ru/Data/AntiplagiatReportViewer.exe модифицированный MSIL/Packed.PvLogNetProtector.A потенциально нежелательная программа ZALMAN\Irina Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.
Программка нужна для чтения отчетов в офлайне, качается с сайта разработчика.
Что можно с этим сделать?
Спасибо
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 25.09.2012 15:56:27
ValkiriyaIriya, либо отключить детектирование потенциально нежелательного ПО, либо добавить папку, куда скачиваете и куда устанавливаете программу в исключения.
ESET Technical Support
 
ValkiriyaIriya
ValkiriyaIriya
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.09.2012
Размещено 25.09.2012 16:03:57
Спасибо! Поищу как это делать.

РС. Только вопрос еще и в том: на сколько эта программа безопасна! Поскольку, если нет, то, видимо, лучше и не делать исключение.
Изменено: ValkiriyaIriya - 25.09.2012 16:05:31
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 25.09.2012 16:11:03
Потенциально нежелательные приложения не всегда являются вредоносными, однако могут негативно повлиять на производительность компьютера. Обычно для установки таких приложений запрашивается согласие пользователя. После их установки поведение системы изменяется (по сравнению с тем, как она вела себя до установки этих приложений). Наиболее заметные изменения перечислены далее.

· Открываются новые окна, которые не появлялись ранее (всплывающие окна, реклама).

· Активируются и выполняются скрытые процессы.

· Повышается уровень потребления системных ресурсов.

· Появляются изменения в результатах поиска.

· Приложение обменивается данными с удаленными серверами.
ESET Technical Support
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.09.2012 16:11:09
Программа может и безопасна, но упакована криптором которые используют хакеры.
Создал запрос по программе в вирлаб.
Пока выполните вот это
http://forum.esetnod32.ru/forum9/topic3998/
 
ValkiriyaIriya
ValkiriyaIriya
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 25.09.2012
Размещено 25.09.2012 17:12:33
Спасибо! Все выполнено. Проверка плагина прошла успешно, ошибок и нареканий нет.

РС. Однако в отдельных случаях у меня стояли более поздние версии программ. Особо это касается Адобовских.
 
1
Читают тему