Обнаружен эксплойт скрытого канала в ICMP-пакете [NOD32]
Доброго времени суток! Проблемы следующие:
1. Журнал фаерволла NOD32 пестрит сообщениями(все в огромных количествах):
- неверная контрольная сумма пакета ethernet
- Обнаружен эксплойт скрытого канала в ICMP-пакете
- Обнаружена атака DNS cache poisoning
- Обнаружена атака ARP cache poisoning
несколько раз проскакивало:
- В сети обнаружен идентичный IP адрес
2. Компьютер не грузится в безопасном режиме:
При попытке загрузки в safe mode доходит до экрана выбора пользователя, успеваю нажать на пользователя и приблизительно через 7-10 секунд компьютер перезагружается.
3. Переодически отваливается интернет. Причем иногда бывает так, что одно приложение нормально работает с сетью, другое вообще не подключается.
Например:google chrome не может открыть google.com, но при этом IE открывает без проблем, в то же самое время chrome может открыть ya.ru а google.com грузиться не будет.
Очень надеюсь на вашу помощь!
P.S. Делал всё по инструкции, но не понял одного момента: у меня при первом сканировании AVZ получились логи одного размера, при втором другого, какие выкладывать? Решил что второго сканирования, если нужны первого, то их тоже сохранил. Да, и syscure не появился в логах.
Последний раз редактировалось Spinorog; 15.11.2010 в 17:48.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Как я понял, это мой комп ломиться кого-то атаковать и пойзонить, потому, что в графе источник вроде везде стоит мой внутренний IP, а в графе объект либо модем, либо в случае ICMP удаленный IP. Посмотрел whois'ом - один из аресов майкрософт, другой какой-то godaddy.com, третий вообще левый.
ip адреса:
217.195.25.72
207.46.19.254
173.201.20.143
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог полного сканирования МВАМ
Как только начал работать MBAM у Eset в журнале появилось 2 записи:
Код:
20.11.2010 20:36:58 Защита в режиме реального времени файл C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll Win32/Spy.Ursnif.A вирус очистка невозможна NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.
20.11.2010 20:36:58 Защита в режиме реального времени файл C:\System Volume Information\_restore{F37ECA42-49CF-48E7-BEF7-7A8D0F803DBA}\RP1\A0004091.dll Win32/Spy.Ursnif.A вирус очистка невозможна NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.
Безопаска не грузится...Всё так, как описывал в первом посте. Последнее ARP cache poisoning в журнале появлялось 19.11. При этом вырубался интернет. С тех пор тихо... Правда, до 19 было 16. Не знаю, устранилась ли проблема - возможно затишье перед бурей...
Выяснил, что ошибки с пакетами ethernet появляются только при включённом uTorrent. Но ARP не связан с ним.
На всякий случай кусок лога(странно, что источник - модем):
В процессе сканирования Gmer'ом в какой-то момент компьютер начал безбожно тормозить. Загрузка ЦП стабильно держалась на 56%. Грузил её процесс System... Потом, через какое-то время вылез синий экран и перезагрузка... Сканировал в это время папку Users.
Сейчас буду пробовать еще раз просканировать...
Лог Gmer пока не удалось сделать... Компьютер для работы нужен, а во время скана невозможно делать ничего. Попробую на ночь оставить.
Поставил Agnitum Outpost. Интересные логи. В секунду порядка 3-4 заблокированных пакетов. Все с разный IP, но все на один и тот же порт, порт, который использует торрент, притом что сам торрент выключен. Вообще с моего непросвещенного взгляда похоже на какую-то атаку.
Посмотрел на ноутбук, который через тот же роутер работает, только через wifi, там в логах eset почти каждый день появлятся: обнаружена атака: сканирование портов и TCP флад-атака. Что это вообще может значить?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: