PDA

Просмотр полной версии : ARP_SCAN



Alexshow
10.08.2010, 22:09
Здравствуйте!

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться?

olejah
10.08.2010, 22:13
Правила оформления запроса о помощи. (http://virusinfo.info/pravila.html)

Alexshow
10.08.2010, 22:28
Выполнил

olejah
10.08.2010, 22:32
virusinfo_cure.zip - это карантин, уберите пожалуйста из вложений, нужен лог virusinfo_syscure.zip

Alexshow
10.08.2010, 22:37
готово

Alexshow
10.08.2010, 22:42
Со страху вытер все..... добавляю

olejah
10.08.2010, 22:50
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление (http://virusinfo.info/showthread.php?t=4905)

Выполните скрипт в АВЗ (http://virusinfo.info/showthread.php?t=7239) в безопасном режиме -


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('C:\WINDOWS\system32\04.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('C:\WINDOWS\system32\08.exe','');
QuarantineFile('C:\WINDOWS\system32\22.exe','');
QuarantineFile('C:\WINDOWS\system32\32.exe','');
QuarantineFile('C:\WINDOWS\system32\67.exe','');
QuarantineFile('C:\WINDOWS\system32\68.exe','');
QuarantineFile('C:\WINDOWS\system32\75.exe','');
QuarantineFile('C:\WINDOWS\system32\80.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\87.exe','');
DeleteFile('C:\WINDOWS\system32\87.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\75.exe');
DeleteFile('C:\WINDOWS\system32\68.exe');
DeleteFile('C:\WINDOWS\system32\67.exe');
DeleteFile('C:\WINDOWS\system32\32.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\08.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\04.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\*.exe','');
QuarantineFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe','');
DeleteFile('C:\Documents and Settings\Alexshow\Application Data\ltzqai.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\0[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\3[2].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\83GV8JYP\i[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W34XA32Z\i[1].exe');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Y5WD4VG7\3[1].exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи АВЗ и лог hijackthis

polword
10.08.2010, 22:52
+ Сделайте лог MBAM (http://virusinfo.info/showthread.php?t=53070)

Alexshow
10.08.2010, 23:12
После завершения всех требуемых процедур, фаервол попросил обновить базу сигнатур.... высылаю логи следом карантин

Alexshow
10.08.2010, 23:27
Файл сохранён как 100810_231436_quarantine_4c61a51c479e4.zip
Размер файла 19729816
MD5 4a9125a409c1b0f14df6bf270078a324

Добавлено через 1 минуту

Выполняю МВАМ, вышлю по окончании сканирования без удалений

Добавлено через 10 минут


Выполните скрипт в АВЗ в безопасном режиме -
Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно?

olejah
10.08.2010, 23:28
Сканирование запущено в 30.07.2010 12:13:33 Зачем нам старые логи?

Добавлено через 46 секунд


Только сейчас обратил внимание на словосочетание БЕЗОПАСНЫЙ РЕЖИМ, а я сделал все прямо в окнах, это не правильно? Просто повторите скрипт в безопасном режиме и приложите новые логи после этого.

Alexshow
10.08.2010, 23:47
Извините, я не понимаю, что значит в БЕЗОПАСНОМ РЕЖИМЕ?

Добавлено через 1 минуту

и я выслал логи после проведения процедур и перезапуска системы.....

Добавлено через 15 минут

Возможно я -Нуб (значение: чел, который ниче не шарит в чем-либо.
происхождение: Англ. сленг noob, искаж от newbie — новичок, неопытный.
синонимы: ламер, лол, тупой.)
Но я выполнил все согласно порядка указанного в сообщении:
1. Отключил восстановление
2. Выключил сеть
3. выключил НОД, АВАСТ, ОУТПОСТ,
4. Выполнил скрипт
5. перезагрузился компьютер сам
6.Выполнил скрипт
7. выполнил скрипт сбора информации
8. Выполнил hijackthis.log
9. Выполняю МВАМ
Что в этом порядке не правильно????
Безопасный режим в моем понимании -это в при запуске машины нажать клавишу F8, выбрать безопасный режим....
Что мне сейчас выполнить, готов получить команду

Alexshow
11.08.2010, 00:05
МВАМ готов, он нашел только кейгены для загруженных игр и программ, распознав их как ТРОЯНы, но это не так....
Каковы дальнейшие действия?

Alexshow
11.08.2010, 00:29
ВСЕ ПОНЯЛ, ищу новые логи не понял куда они делись

Alexshow
11.08.2010, 01:14
Итак! Снова Здравствуйте!
Я Понял свою ошибку.
Есть проблема :

Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
Попытался получить информацию в и-нте..... Сканирование сети с систем Линокс и т.д.
Что это, и как бороться?
прикладываю новые логи.

thyrex
11.08.2010, 01:20
Ничего необычного в логах не видно. Что с проблемой?

Alexshow
11.08.2010, 01:33
Фаервол ловит и блокирует ARP_SCAN c IP 0.0.0.0
http://clip2net.com/page/m0/7224143

Добавлено через 31 секунду

Что это?

Добавлено через 3 минуты

Картинка не у дачная последняя колонка ARP_SCAN

Alexshow
11.08.2010, 19:12
Друзья!
Про меня не забыли?
Повторяю вопрос:
Фаервол ловит и блокирует ARP_SCAN c адреса IP 0.0.0.0
Что это? Надо ли этого боятся и как защититься?
С Уважением Алексей

antanta
13.08.2010, 20:40
Alexshow, Ежели ловит и блокирует, то можно особо не напрягаться. Если включить паранойю, то:
1) какой файер?
2) логи в студию
3) поставьте сниффер. Желательно на шлюз, если это возможно организовать. Например iris http://www.eeye.com/Products/Iris-Network-Traffic-Analyzer.aspx Триального периода должно хватить. Его показания будут также интересны.
4) Нет ли у вашего провайдера услуги телевещания овер ip?
5) ... нет, сперва логи

Alexshow
14.08.2010, 11:37
1. Фаерволл Аутпост ПРО 7.0
2. Логи в чуть выше
3. Сделаю попытку поставить
4. Есть, но мой дом пока не подключен
5. Логи чего????

Добавлено через 17 минут

В каком виде выложить лог IRIS?

antanta
14.08.2010, 23:35
Alexshow, у меня не получилось открыть ссылку "выше".
Логи iris интересно посмотреть. Хотя бы скриншот. У триальной версии, кажется, проблемы с полноценными логами. Хотя, могу ошибаться.

Alexshow
14.08.2010, 23:57
IRIS не оправдал надежд, для меня абсолютно бестолковый, более того нарушил работу XP, пришлось сносить, при этом он долго сопротивлялся....
СНЕС под чистую, теперь буду слушать только хелперов, уж прости "antanta"

Добавлено через 2 минуты

В любом случае спасибо за попытку помочь....

antanta
16.08.2010, 09:47
Alexshow,:O Поскольку на моем нотике давно истек триал, а таблэтку искать не хочу, я ставлю его прямо на клиентские машины. То есть, делал это много раз, и без всяких последствий. Примите извинения. Об обидах с моей стороны не может быть и речи.

CyberHelper
17.08.2010, 09:47
Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 41
В ходе лечения обнаружены вредоносные программы:

c:\windows\system32\23.exe - Trojan.Win32.Buzus.exev ( DrWEB: Trojan.Spambot.9106, BitDefender: Gen:Variant.Inject.2, AVAST4: Win32:Trojan-gen )