Сетевая атака

Здравствуйте. С сегодняшнего дня антивирус Касперского стал выдавать сообщение о блокировании сетевой атаки. Вот это сообщение..

11.03.2019 19.10.29;Сетевая атака DoS.Win.ICMP.BadCheckSum заблокирована.;"ICMP от 18.26.0.158Атакующий компьютер не был заблокирован, так как его IP-адрес может быть поддельным.";ICMP;18.26.0.158;03/11/2019 19:10:29.

Все бы ничего, но это сообщение уже появилось дважды за день. В сети наводил справки-проблема эта не нова. Помогите разобраться. Что это-действительно сетевая атака или возможный глюк, как считают некоторые самого антивируса. Логи сканирования прилагаю. Ну и заодно хотелось бы услышать ваше заключение о зараженности или нет системы.

Уважаемый(ая) [B]Bester007[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Уточните пожалуйста, у Вас прямой доступ в интернет?

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
[/CODE]


- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.

P.S. Указанные сообщиния могут появляться, если у Вас прямой интернет(кабель от интернет провайдера подключается напрямую к ПК минуя роутер и т.п.) и не закрыты порты и разрешено получение ICMP-пакетов.

Здравствуйте. У меня кабельный интернет, роутера нет. Указанную строку профиксил. Запрошенный лог прилагаю. По поводу портов и их отключении подскажите-я в этом профан...

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Выполнено

Необходим также файл FRST.txt

готово

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\system32\nvspcap64.dll
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
ContextMenuHandlers6: [_Movavivc11] -> {1C604495-4D32-476e-8D7E-FBF50F6C80BF} => -> No File
AlternateDataStreams: C:\ProgramData\Temp:55B41E6A [140]
AlternateDataStreams: C:\Users\Все пользователи\Temp:55B41E6A [140]
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

выполнено. В логе упоминается файл nvspcap64.dll. Он устанавливается вместе с GeForce Experience. До недавнего времени эта прога обновлялась нормально, но в один прекрасный день после очередного обновления и перезагрузки компа на экране начало выскакивать окно с уведомлением про ошибку, связанную с этим файлом. С помощью проги DLL-Files.com Client подобрал и установил другой файл nvspcap64.dll. Окно с ошибкой перестало выскакивать. Увы, служба поддержки "зеленых (видео)карточек" не слишком охоча на диалог, а этот метод подмены практикуется и что интересно жалуются на подобное большинство владельцев именно gtx 660, эта же карточка стоит и у меня. Возможно потом выпустят фикс...

У указанного файла отсутсвовала цифровая подпись, вообще рекомендуется связываться с тех. поддержкой вашей видеокарты, а не использования сторонних ресурсов для решения проблемы, так как в большенстве случае на непроверенных сайтах файлы могут содержать различный вредоносный код.

Пройдите в панель управления далее Windows Firewall и посмотрите если он у Вас активный? Если нет, то вам необходимо его включить и убедиться, что правила указывающие на прием ICMP пакетов выключены.

Здравствуйте. Вчерашний день прошел без эксцессов. Касперский справился со своей задачей и надеюсь так будет и впредь... Кабель тянется к дому, а затем по квартирам идет разводка. Сетевое размещение у меня настроено на общественную сеть. Возможно имеется какой зараженный комп в зоне локальной сети, а его владелец даже не подозревает про это? В любом случае, сейчас он себя никак не проявляет. Я так понимаю, что нужно отключить все правила для входящих (скрин1) и исходящих(скрин2) подключений пакетов icmpv6 и icmpv4? Обязательно так сделаю, но прежде я хотел бы пообщаться со своим провайдером на предмет качества приема сигнала и возможно потребуется инструментарий, входящий в эти пакеты такой как ping, к примеру... Каковы будут следующие рекомендации после этого шага и заражена ли моя система?

Здравствуйте,

Все правила отключать не нужно, расматривать необходимо только входящие, исходщие не трогайте, а то лишитесь интернета. Касаемо ping по запросу провайдера можете включить на время, а так он не нужен.

В логах ничего плохого не было найдено, поэтому каких-либо дальнейших рекомендации нет.

Спасибо за сотрудничество). Тему можно считать закрытой.

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.