Здравствуйте!

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться?

Правила оформления запроса о помощи. (http://virusinfo.info/pravila.html)

Выполнил

virusinfo_cure.zip - это карантин, уберите пожалуйста из вложений, нужен лог virusinfo_syscure.zip

готово

Со страху вытер все..... добавляю

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление (http://virusinfo.info/showthread.php?t=4905)

Выполните скрипт в АВЗ (http://virusinfo.info/showthread.php?t=7239) в безопасном режиме -


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\22.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\*.exe','');
QuarantineFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\0[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[2].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\i[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W34XA32Z\i[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y5WD4VG7\3[1].exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи АВЗ и лог hijackthis

+ Сделайте лог MBAM (http://virusinfo.info/showthread.php?t=53070)

После завершения всех требуемых процедур, фаервол попросил обновить базу сигнатур.... высылаю логи следом карантин

Файл сохранён как 100810_231436_quarantine_4c61a51c479e4.zip
Размер файла 19729816
MD5 4a9125a409c1b0f14df6bf270078a324

Добавлено через 1 минуту

Выполняю МВАМ, вышлю по окончании сканирования без удалений

Добавлено через 10 минут


Выполните скрипт в АВЗ в безопасном режиме -
Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно?

Сканирование запущено в 30.07.2010 12:13:33 Зачем нам старые логи?

Добавлено через 46 секунд


Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно? Просто повторите скрипт в безопасном режиме и приложите новые логи после этого.

Извините, я не понимаю, что значит в БЕЗОПАСНОМ РЕЖИМЕ?

Добавлено через 1 минуту

и я выслал логи после проведения процедур и перезапуска системы.....

Добавлено через 15 минут

Возможно я -Нуб (значение: чел, который ниче не шарит в чем-либо.
происхождение: Англ. сленг noob, искаж от newbie — новичок, неопытный.
синонимы: ламер, лол, тупой.)
Но я выполнил все согласно порядка указанного в сообщении:
1. Отключил восстановление
2. Выключил сеть
3. выключил НОД, АВАСТ, ОУТПОСТ,
4. Выполнил скрипт
5. перезагрузился компьютер сам
6.Выполнил скрипт
7. выполнил скрипт сбора информации
8. Выполнил hijackthis.log
9. Выполняю МВАМ
Что в этом порядке не правильно????
Безопасный режим в моем понимании -это в при запуске машины нажать клавишу F8, выбрать безопасный режим....
Что мне сейчас выполнить, готов получить команду

МВАМ готов, он нашел только кейгены для загруженных игр и программ, распознав их как ТРОЯНы, но это не так....
Каковы дальнейшие действия?

ВСЕ ПОНЯЛ, ищу новые логи не понял куда они делись

Итак! Снова Здравствуйте!
Я Понял свою ошибку.
Есть проблема :

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться?
прикладываю новые логи.

Ничего необычного в логах не видно. Что с проблемой?

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
http://clip2net.com/page/m0/7224143

Добавлено через 31 секунду

Что это?

Добавлено через 3 минуты

Картинка не у дачная последняя колонка ARP_SCAN

Друзья!
Про меня не забыли?
Повторяю вопрос:
Фаервол ловит и блокирует ARP_SCAN c адреса IP 0.0.0.0
Что это? Надо ли этого боятся и как защититься?
С Уважением Алексей

Alexshow, Ежели ловит и блокирует, то можно особо не напрягаться. Если включить паранойю, то:
1) какой файер?
2) логи в студию
3) поставьте сниффер. Желательно на шлюз, если это возможно организовать. Например iris http://www.eeye.com/Products/Iris-Network-Traffic-Analyzer.aspx Триального периода должно хватить. Его показания будут также интересны.
4) Нет ли у вашего провайдера услуги телевещания овер ip?
5) ... нет, сперва логи

1. Фаерволл Аутпост ПРО 7.0
2. Логи в чуть выше
3. Сделаю попытку поставить
4. Есть, но мой дом пока не подключен
5. Логи чего????

Добавлено через 17 минут

В каком виде выложить лог IRIS?

Alexshow, у меня не получилось открыть ссылку "выше".
Логи iris интересно посмотреть. Хотя бы скриншот. У триальной версии, кажется, проблемы с полноценными логами. Хотя, могу ошибаться.

IRIS не оправдал надежд, для меня абсолютно бестолковый, более того нарушил работу XP, пришлось сносить, при этом он долго сопротивлялся....
СНЕС под чистую, теперь буду слушать только хелперов, уж прости "antanta"

Добавлено через 2 минуты

В любом случае спасибо за попытку помочь....

Alexshow,:O Поскольку на моем нотике давно истек триал, а таблэтку искать не хочу, я ставлю его прямо на клиентские машины. То есть, делал это много раз, и без всяких последствий. Примите извинения. Об обидах с моей стороны не может быть и речи.

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 41
В ходе лечения обнаружены вредоносные программы:

c:\windows\system32\23.exe - Trojan.Win32.Buzus.exev ( DrWEB: Trojan.Spambot.9106, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Trojan-gen )