Форум esetnod32.ru [тема: Обнаружена атака путем подделки записей кэша ARP] http://forum.esetnod32.ru Новое в теме Обнаружена атака путем подделки записей кэша ARP форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 21 Apr 2026 11:47:01 +0300 Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Marcus Wofford

" TNod User & Password Finder "
В связи с нарушением Лицензионного соглашения с компанией ESET тема будет закрыта.
Обратитесь за помощью на другой форум !
06.01.2019 13:44:00, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105417/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105417/ Sun, 06 Jan 2019 13:44:00 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Здравствуйте. Аналогичная с господами проблема с алертом нода на подделку кэша. В малвари все в карантине. Отчеты uVS и мальвари есть.
Жду ответа. Спасибо.
МАЛВАРЬ.txt
PINEAPPLE_2019-01-06_12-39-57.7z
06.01.2019 13:10:38, Marcus Wofford.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105416/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105416/ Sun, 06 Jan 2019 13:10:38 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Костя Кузнецов

1) В Malwarebytes всё найденное удалите ( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
12.12.2018 08:59:54, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105189/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105189/ Wed, 12 Dec 2018 08:59:54 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Все также выскакивает сообщение. Логи полной проверки Malwarebytes прилагаю. Также высвечивается "в сети обнаружены идентичные айпи".
логи.txt
12.12.2018 05:03:25, Костя Кузнецов.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105187/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105187/ Wed, 12 Dec 2018 05:03:25 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Костя Кузнецов


Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


====code==== 
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref HTTP://OVGORSKIY.RU
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1409894671&FROM=COR&UID=TOSHIBAXDT01ACA050_83N0VYMTSXX83N0VYMTSX&Q={SEARCHTERMS}
delref %SystemDrive%\PROGRAMDATA\NVIDIA\DISPLAYSESSIONCONTAINER%D.LOG
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\KONDAKOV\APPDATA\LOCAL\TEMP\ST60FB.TMP\UNINSTALL.EXE
delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\ИНСТАЛЯТОР\INSTALLAPK\INSTALLAPK.EXE
delref %SystemDrive%\USERS\KONDAKOV\DESKTOP\TALKINGPIERRE-THE-PARROT-V1.APK
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER\ESHELLCTX64.DLL
delref D:\AUTORUN.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %SystemRoot%\GDRV.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EWUSBMDM.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\NVCUVENC.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref D:\CHECKVER.OCX
delref D:\DRIVE~1A.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\NVCUVENC.DLL
delref G:\SETUP.EXE
delref F:\AUTORUN.EXE
delref {A996E48C-D3DC-4244-89F7-AFA33EC60679}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540001}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553541111}\[CLSID]
apply
=============

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
11.12.2018 08:11:23, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105170/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105170/ Tue, 11 Dec 2018 08:11:23 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделал анализ системы через программу uVS и вот, что вышло.
VNIMI004_2018-12-11_10-05-30.7z
11.12.2018 06:39:20, Костя Кузнецов.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message105168/ http://forum.esetnod32.ru/messages/forum4/topic11998/message105168/ Tue, 11 Dec 2018 06:39:20 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.

====quote====
Любовь Гранкина написал:
Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделала анализ системы через программу uVS и вот, что вышло.
=============
Tor browser используете? сами ставили?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\TEMP\CHROME_BITS_4140_24942\1.4.8.970_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref F:\PROGRAM\ROCKETDOCK\ROCKETDOCK.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\FILERECOVERY.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\UNINSTALL.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref F:\PROGRAM\AIMP3\AIMP3.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
19.08.2017 16:24:56, santy.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message100174/ http://forum.esetnod32.ru/messages/forum4/topic11998/message100174/ Sat, 19 Aug 2017 16:24:56 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделала анализ системы через программу uVS и вот, что вышло.
PC_2017-08-18_13-17-50.TXT
18.08.2017 11:49:56, Любовь Гранкина.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message100156/ http://forum.esetnod32.ru/messages/forum4/topic11998/message100156/ Fri, 18 Aug 2017 11:49:56 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
спасибо, разобрался, удалено все
10.04.2017 08:38:36, Марк Евстафенко.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message98382/ http://forum.esetnod32.ru/messages/forum4/topic11998/message98382/ Mon, 10 Apr 2017 08:38:36 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Марк,
выполните скрипт в uVS,
только предварительно обновите uVS до актуальной версии.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_606\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4E05EE5C786D4C8141AF5D4C5C5654C364FE00F5D17DC384FBB9262D735D37A215A8253BDCA881D8678135F9FE 21 Win32/MediaMagnet.D [ESET-NOD32]

addsgn 71007B11114E40FF57F0BE3820EC168C79AEF4318DDEE0877A3C2CBD50D6714CCACC18A8C1559D492B80849F461649FAF683CC76311DB5182D77A42FC70622FA 8 Win32/Adware.Dorrible

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\DORRIBLE\RIBBLE\D.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

;-------------------------------------------------------------

deltmp

;---------command-block---------
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref F:\SISETUP.EXE
delref F:\LG_PC_PROGRAMS.EXE
delref {00000000-0000-0000-0000-000000000000}\[CLSID]
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ДРУГВОКРУГ\DRUGVOKRUG.EXE
apply

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
10.04.2017 06:12:38, santy.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message98381/ http://forum.esetnod32.ru/messages/forum4/topic11998/message98381/ Mon, 10 Apr 2017 06:12:38 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
прикрепляю архив
MKZD-KLEVER2_2017-04-07_12-27-09.7z
07.04.2017 12:48:30, Марк Евстафенко.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message98360/ http://forum.esetnod32.ru/messages/forum4/topic11998/message98360/ Fri, 07 Apr 2017 12:48:30 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Евгений Подколзин,скорее всего,не стоит. Если проблема повторится, сообщите, с каких ip идёт "атака".
16.03.2016 16:00:00, Валентин Поляков.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message92163/ http://forum.esetnod32.ru/messages/forum4/topic11998/message92163/ Wed, 16 Mar 2016 16:00:00 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Добрый вечер! Была похожая проблема. надеюсь на помощь.
Утром открыл ноут, и Eset сообщил, что В сети обнаружены идентичные IP-адреса и заблокировал интернет. Я, подумав, что это глюк, нажал кнопку разблокировать. Стало появляться сообщение, что Обнаружена атака путем подделки записей кэша. Я быстро убрал исключение и интернет остался заблокированным. Вечером все внезапно прошло.
Компьютер подключен напрямую (кабель). Никаких WiFi дома нет.
Что делать? Надо ли беспокоиться?
03.03.2016 23:15:48, Евгений Подколзин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message92018/ http://forum.esetnod32.ru/messages/forum4/topic11998/message92018/ Thu, 03 Mar 2016 23:15:48 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Спасибо вам за помощь :) :oops:
17.05.2015 02:52:32, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85335/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85335/ Sun, 17 May 2015 02:52:32 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Ну здесь адрес явно нормальный, так что проще будет просто добавить его в исключение.
16.05.2015 06:39:37, zloyDi.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85307/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85307/ Sat, 16 May 2015 06:39:37 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Простите за тупость. но нашел причину.я совсем забыл про телевизор который тоже подключен к WiFi роутеру. По проводу у телевизора получаеться IP 192.168.1.93. Если же подключиться по WiFi то IP становиться 192.168.1.22 (как раз тот самый злополучный IP, который ESS настрыно блокирует). Стоит выключить телевизор или поменять способ подключения с WiFi на провод, по атака прекращаеться.

IP адрес WiFi роутера:       192.168.1.1.
IP андроид устройства:      192.168.1.6.
IP компьютера:                  192.168.1.242.
IP телевизора по проводу: 192.168.1.93   МАК адрес  СС:2D:8C:11:5C:9F
IP телевизора по WiFi:       192.168.1.22   МАК адрес   94:44:44:ЕС:48:8F    

Получаеться, что при подключении по проводу в роутере регестрируется один IP 192.168.1.93 и соответственно один МАК адрес  СС:2D:8C:11:5C:9F. Так как в этот момент работает только проводной интернет, а WiFi находится в выключеном состоянии.

При подключении по WiFi  в роутере регестрируется 2 якобы телевизора с одинаковыми IP адресами, но разными МАК адресами (вот как это выглядит в роутере): 192.168.1.22   МАК адрес  СС:2D:8C:11:5C:9F
                                                                                                                                                                                                                                                        192.168.1.22   МАК адрес   94:44:44:ЕС:48:8F
Это я так понял потому что одновременно работает WiFi и подключен провод к телевизору. Как это исправить пока не разобрался.

Понимаю это уже не важа забота, но все таки может вы подскажите как исправить ( кроме как в ESS добавить данный IP адрес в список исключений)?

Ха ранее спасибо вам :)И извините, что отнял столько времени у Вас :oops:








 
16.05.2015 01:05:29, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85300/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85300/ Sat, 16 May 2015 01:05:29 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
А где этот лог сохраниться? Где его искать?
16.05.2015 00:31:46, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85299/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85299/ Sat, 16 May 2015 00:31:46 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.

====quote====
Алексей Аношкин написал:
Это все?
=============

не...

Открываем окно антивируса - жмем кнопку F5 - появится дерево настроек. Переходим в раздел Сеть - Персональный файервол - IDS и расширенные параметры
- Устранение проблем - ставим галочки.
Регистрировать все заблокированные соединения.
Включить расширенное ведение журнала PCAP.

Воспроизвести проблему.

Будет создан лог для анализа. Отправить его для анализа на адрес support@esetnod32.ru

Спасибо.
15.05.2015 09:57:00, zloyDi.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85265/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85265/ Fri, 15 May 2015 09:57:00 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Это все? :(
14.05.2015 21:26:26, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85247/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85247/ Thu, 14 May 2015 21:26:26 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Программой малваребайт проверял позавчера, в тот же день все что было найдено удалил и комп перезагрузился. Сегодня еще раз проверил (все чисто, ни чего не выявилось).
Прикрепляю файлы проверки программами  АдвКлинере и FRST. Все что было найдено программой
АдвКлинере (кроме указанных папок) я очистил.
AdwCleaner[S0].txt
Addition.txt
FRST.txt
13.05.2015 00:11:45, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85181/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85181/ Wed, 13 May 2015 00:11:45 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
удалите все найденное в малваребайт,
перегрузите систему

далее,

сделайте проверку в АдвКлинере

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html
12.05.2015 05:48:06, santy.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85115/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85115/ Tue, 12 May 2015 05:48:06 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Начну по порядку.
При первом запуске скрипта вроде все нормально, но потом на удалении программ выполнение скрипта зависло. Ждал минут десять результат не изменился. Пришлось принудительно остановить и запустить заного скрипт. ( Соответственно ни все программы за первый раз удалились, которые предлогалось удалить).
Запустив второй раз все прошло успешно, программы удалились и компьютер ушел на релог.
ВОПРОС: можно ли считать такое выполнение удачным ( я имею ввиду со второго раза)?

Следующий момент. Почему пришлось удалять программы которыми пользуюсь не первый год. Например: Guard Mail.ru, Ace Stream Media Player, Яндес браузер, Mc Afee, Элементы яндекса для браузеров? И можно ли их заного установить теперь?

Вот результаты проверки .malwarebytes. Удалил все что нашлось подозрительного.

Но продолжается регестрироваться атака таже самая :( с IP 192.168.1.22
Проверка_MBAM_HOME_12.05.2015.txt
12.05.2015 00:42:39, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85112/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85112/ Tue, 12 May 2015 00:42:39 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

====code==== 
;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.URL
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\AMIGO\APPLICATION\32.0.1700.1003\DELEGATE_EXECUTE.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
delall %SystemDrive%\USERS\LEX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref HTTPS://RU-BETA.4GAME.COM/LINEAGE2/?APP-CLIENT=V2
exec C:\Users\Lex\AppData\Roaming\ACEStream\Uninstall.exe
exec32 "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
exec32 "C:\Program Files (x86)\Mail.Ru\SputnikOpera\opera-sputnik.exe" uninstall
exec "C:\Program Files\McAfee Security Scan\uninstall.exe"
exec32 "C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe"
exec32 C:\Program Files\GridinSoft Trojan Killer\uninst.exe
exec32 MsiExec.exe /I{BFE6D377-F558-4E95-A062-673941B9BA5A}
exec "C:\Users\Lex\AppData\Local\Yandex\YandexBrowser\Application\40.0.2214.3645\Installer\setup.exe" --uninstall
exec32 MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
exec C:\Users\Lex\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
exec32 MsiExec.exe /X{A23F7A83-FD74-4B39-B7D5-CCD3737A894F}
exec32 MsiExec.exe /X{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}
deltmp
delnfr
restart
============= И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
11.05.2015 17:12:54, zloyDi.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85104/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85104/ Mon, 11 May 2015 17:12:54 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Все сделал. Вот архив.
Правда при скачке с указанного сайта NOD ругался и блокировал скачку :(
LEX-PC_2015-05-11_02-57-10.rar
11.05.2015 03:15:56, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85074/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85074/ Mon, 11 May 2015 03:15:56 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Для начала
http://forum.esetnod32.ru/forum9/topic683/
10.05.2015 14:20:57, zloyDi.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85058/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85058/ Sun, 10 May 2015 14:20:57 +0300 Установка и настройка антивируса Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP Обнаружена атака путем подделки записей кэша ARP в форуме Установка и настройка антивируса.
Здравствуйте. У меня проблема. Надеюсь на вашу помощь. У меня компьютер подключен к интернету через Wi Fi роутер ASUS (кабелем). Раньше был интернет МТС и все было отлично, но вот стоило переподключиться на ДомРу, как сразу стала появляться табличка с надписью: Обнаружена атака путем подделки записей кэша ARP 192.168.1.22.
Это из журнала файервол:
 
ВРЕМЯ                      СОБЫТИЕ                                                                              ИСТОЧНИК     ОБЪЕКТ            ПРОТОКОЛ
09.05.2015 0:55:35    Обнаружена атака путем подделки записей кэша ARP    192.168.1.22    192.168.1.242    ARP  
IP роутера 192.168.1.1          IP компьютера 192.168.1.242
Появляется примерно 2 раза в минуту. Что делать? В чем причина?
09.05.2015 21:59:06, Алексей Аношкин.]]> http://forum.esetnod32.ru/messages/forum4/topic11998/message85040/ http://forum.esetnod32.ru/messages/forum4/topic11998/message85040/ Sat, 09 May 2015 21:59:06 +0300 Установка и настройка антивируса