# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  ARP_SCAN

## Alexshow

Здравствуйте!

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

Правила оформления запроса о помощи.

----------


## Alexshow

Выполнил

----------


## olejah

*virusinfo_cure.zip*  - это карантин, уберите пожалуйста из вложений, нужен лог *virusinfo_syscure.zip*

----------


## Alexshow

готово

----------


## Alexshow

Со страху вытер все..... добавляю

----------


## olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ *в безопасном режиме* - 



```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\00.exe','');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\06.exe','');
 QuarantineFile('C:\WINDOWS\system32\08.exe','');
 QuarantineFile('C:\WINDOWS\system32\22.exe','');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\67.exe','');
 QuarantineFile('C:\WINDOWS\system32\68.exe','');
 QuarantineFile('C:\WINDOWS\system32\75.exe','');
 QuarantineFile('C:\WINDOWS\system32\80.exe','');
 QuarantineFile('C:\WINDOWS\system32\85.exe','');
 QuarantineFile('C:\WINDOWS\system32\87.exe','');      
 DeleteFile('C:\WINDOWS\system32\87.exe');  
 DeleteFile('C:\WINDOWS\system32\85.exe');  
 DeleteFile('C:\WINDOWS\system32\80.exe');  
 DeleteFile('C:\WINDOWS\system32\75.exe');  
 DeleteFile('C:\WINDOWS\system32\68.exe');  
 DeleteFile('C:\WINDOWS\system32\67.exe');  
 DeleteFile('C:\WINDOWS\system32\32.exe');  
 DeleteFile('C:\WINDOWS\system32\22.exe');  
 DeleteFile('C:\WINDOWS\system32\08.exe');  
 DeleteFile('C:\WINDOWS\system32\06.exe');     
 DeleteFile('C:\WINDOWS\system32\04.exe');  
 DeleteFile('C:\WINDOWS\system32\00.exe');         
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\*.exe','');   
 QuarantineFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe','');   
 DeleteFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe');  
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\0[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[2].exe');     
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\i[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W34XA32Z\i[1].exe');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y5WD4VG7\3[1].exe');              
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.
```

     После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт



```
begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.
```

     Пришлите файл *quarantine.zip*  из папки AVZ по ссылке *Прислать запрошенный карантин* над первым сообщением этой темы.

 - Повторите логи АВЗ и лог hijackthis

----------


## polword

+ Сделайте лог MBAM

----------


## Alexshow

После завершения всех требуемых процедур, фаервол попросил обновить базу сигнатур.... высылаю логи следом карантин

----------


## Alexshow

Файл сохранён как	100810_231436_quarantine_4c61a51c479e4.zip
Размер файла	19729816
MD5	4a9125a409c1b0f14df6bf270078a324

*Добавлено через 1 минуту*

Выполняю МВАМ, вышлю по окончании сканирования без удалений

*Добавлено через 10 минут*




> Выполните скрипт в АВЗ в безопасном режиме -


Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно?

----------


## olejah

> Сканирование запущено в 30.07.2010 12:13:33


 Зачем нам старые логи?

*Добавлено через 46 секунд*




> Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно?


 Просто повторите скрипт в безопасном режиме и приложите новые логи после этого.

----------


## Alexshow

Извините, я не понимаю, что значит в БЕЗОПАСНОМ РЕЖИМЕ?

*Добавлено через 1 минуту*

и я выслал логи после проведения процедур и перезапуска системы.....

*Добавлено через 15 минут*

Возможно я -Нуб (значение: чел, который ниче не шарит в чем-либо.
происхождение: Англ. сленг noob, искаж от newbie — новичок, неопытный.
синонимы: ламер, лол, тупой.)
Но я выполнил все согласно порядка указанного в сообщении:
1. Отключил восстановление
2. Выключил сеть
3. выключил НОД, АВАСТ, ОУТПОСТ,
4. Выполнил скрипт
5. перезагрузился компьютер сам
6.Выполнил скрипт
7. выполнил скрипт сбора информации
8. Выполнил  hijackthis.log
9. Выполняю МВАМ
Что в этом порядке не правильно????
Безопасный режим в моем понимании -это в при запуске машины нажать клавишу F8, выбрать безопасный режим....
Что мне сейчас выполнить, готов получить команду

----------


## Alexshow

МВАМ готов, он нашел только кейгены для загруженных игр и программ, распознав их как ТРОЯНы, но это не так....
Каковы дальнейшие действия?

----------


## Alexshow

ВСЕ ПОНЯЛ, ищу новые логи не понял куда они делись

----------


## Alexshow

Итак! Снова Здравствуйте!
Я Понял свою ошибку.
Есть проблема :

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться? 
прикладываю новые логи.

----------


## thyrex

Ничего необычного в логах не видно. Что с проблемой?

----------


## Alexshow

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
http://clip2net.com/page/m0/7224143

*Добавлено через 31 секунду*

Что это?

*Добавлено через 3 минуты*

Картинка не у дачная последняя колонка  ARP_SCAN

----------


## Alexshow

Друзья!
Про меня не забыли?
Повторяю вопрос:
Фаервол ловит и блокирует ARP_SCAN   c адреса     IP 0.0.0.0
Что это? Надо ли  этого боятся и как защититься?
С Уважением Алексей

----------


## antanta

*Alexshow*, Ежели ловит и блокирует, то можно особо не напрягаться. Если включить паранойю, то: 
1) какой файер?
2) логи в студию
3) поставьте сниффер. Желательно на шлюз, если это возможно организовать. Например iris http://www.eeye.com/Products/Iris-Ne...-Analyzer.aspx  Триального периода должно хватить. Его показания будут также интересны.
4) Нет ли у вашего провайдера услуги телевещания овер ip?
5) ... нет, сперва логи

----------


## Alexshow

1. Фаерволл Аутпост ПРО 7.0
2. Логи в чуть выше
3. Сделаю попытку поставить
4. Есть, но  мой дом пока не подключен
5. Логи чего????

*Добавлено через 17 минут*

В каком виде выложить лог IRIS?

----------


## antanta

*Alexshow*, у меня не получилось открыть ссылку "выше". 
Логи iris интересно посмотреть. Хотя бы скриншот. У триальной версии, кажется, проблемы с полноценными логами. Хотя, могу ошибаться.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexshow

IRIS не оправдал надежд, для меня абсолютно бестолковый, более того нарушил работу XP, пришлось сносить, при этом он долго сопротивлялся....
СНЕС под чистую, теперь буду слушать только хелперов, уж прости "antanta"

*Добавлено через 2 минуты*

В любом случае спасибо за попытку помочь....

----------


## antanta

*Alexshow*, :Shocked:   Поскольку на моем нотике давно истек триал, а таблэтку искать не хочу, я ставлю его прямо на клиентские машины. То есть, делал это много раз, и без всяких последствий. Примите извинения. Об обидах с моей стороны не может быть и речи.

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *41*В ходе лечения обнаружены вредоносные программы:
 c:\windows\system32\23.exe - *Trojan.Win32.Buzus.exev* ( DrWEB: Trojan.Spambot.9106, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Trojan-gen )

----------

