Panda Antivirus erkennt "Smart ARP" Angriff. Was tun, bzw. was ist das?
 

Hi,
wie ihr sicher dem Titel entnehmen könnt, zeigt Panda Antivirus seit geraumer Zeit solche Angriffe an. Hier:www.directupload.net/file/d/3734/ih73xbow_png.htm
Ich weiß nicht was das ist.. Die MAC-Adresse stammt vom Router und der TV-Box. Habe TV-Box abgekapselt, Router jetzt aber nicht. Habe bei der Swisscom (meinem Provider) angerufen und als ich ihm mein Problem geschildert habe, meint er: Alle PCs platt machen... Das ist keine Lösung. Weil die Angriffe kommen ja ganz eindeutlich NICHT wenn ich mich zum Beispiel mit meinem Hotspot verbinde. (Über den ich auch das hier tippe). Deshalb liegt es nicht am PC, es liegt am Router oder irgendwas da. Dann meinte er: "Das kann nicht infiziert werden weil er gar keinen Speicher hat wo sowas reingeht"... Die Internetbox hat Speicher, und zwar ne Menge. xDDD.

Die Fragen:

1. Was ist Smart ARP, weiß das jemand von euch? Und nein es liegt nicht an meinem PC...wie gesagt mit anderen Netzwerken passiert das nicht. Habe auch schon alle möglichen Antivirus Programme drüberlaufen lassen. Übrigens muss ich mal sagen das Maleware Bytes der letzte Schrott ist. Hat 1 Trojaner nicht erkannt und PUPs auch nicht. Panda Antivirus hat das alles entfernt, und mit dem Cloud Scan hat sich dann die Sache Maleware etc. für meinen PC entgültig erledigt. Hole mir morgen die Vollversion ^^.

2. Wie kann ich mich davor schützen/ den Router "desinfizieren"?

Hi,

Das ist Schwachsinn. Es sollte (langsam aber sicher ;)) bekannt sein, dass kein Virenscanner alles findet. Es könnte ja auch ein Fehlalarm von Panda gewesen sein.

Setze den Router auf Werkseinstellung zurück, wie das funktioniert kannst du entsprechend für deinen googlen. Oder du teilst mir mit, welchen Router du hast.

Den Router auf Werkseinstellungen zurückzusetzen hat nichts gebracht. Ich habe derzeit die sogenannte "Internetbox" von Swisscom.

und nein es war kein Fehlalarm ^^

OK, zeig mal das Log von Panda zum Trojaner und den PUPs.

Hab ich doch. Oben der directupload link

Das ist aber weder eine Logdatei noch hat Panda was in seine Q verfrachtet.

Das ist wohl mit SMART ARP Angriff gemeint: https://de.wikipedia.org/wiki/ARP-Spoofing

Mehr Infos, Screenshots oder Logs (z.B. mit FRST was hier regelmäßig zum Einsatz kommt) wären hilfreich. Könnte wirklich ein Fehlalarm sein oder was ganz böses.:glaskugel:

Ja und wo finde ich Logs? xD das reicht doch oder.
Es ist ein Smart ARP Angriff, was soll ich dazu noch sagen ^^. Ich habe einen erweiterten Cloud Scan bereits gemacht, nichts gefunden auf meinem PC...

Also erstmal handelt es sich hier primär um ein netzwerktechnisches Problem, also etwas, das nur bedingt mit deinem PC zu tun hat, und so wie das hier aussieht ist das zu 95% ein Fehlalarm.

Zweitens: Ist der PC mit WLAN oder LAN verbunden? Welche anderen Geräte sind in deinem Netzwerk?

Wie soll eine MAC Adresse zweimal im selben Netzwerk vorkommen, ohne dass da Mac Spoofing oder eine vergleichbare Technik, aus welchem Grund auch immer angewandt wird.

Router suggerieren schonmal eine MAC eines im Netzwerk befindlichen Gerätes, wenn es Verbindungsprobleme gibt, aber das ist recht ungewöhnlich.


Find mal die betroffene IP Adresse, die hinter dem Angriff stecken soll.
Dann mach weiter:

• Klick auf Windows/Start
• Gib im Suchfeld folgendes ein: cmd
• Wähle die Eingabeaufforderung und starte sie als als Administrator
• Führe folgendes aus:
  
  Code:

  ---

  tracert www.google.de >%userprofile%\Desktop\trace.txt

  ---

Auf deinem Desktop sollte nach einer Weile eine Datei namens trace.txt sein, poste deren Inhalt bitte hier:
Bitte poste dein Ergebnis zwischen Code-Tags

Wenn ein Log zu lange ist, teile ihn bitte auf mehrere Antworten.

Ist gar nicht mal so lang.
Und übrigens: Es waren 2 verschiedene MAC-Adressen ^^.

Der PC ist mit WLAN verbunden und Geräte sind immer so 5 drin.

Das ist nicht vollständig, du darfst die Datei auf dem Desktop erst öffnen, wenn der Prozess in CMD durchgelaufen ist, also du wieder eine Zeile zum schreiben bekommst.

Bitte wiederholen.

Wie ich mir gedacht habe. Alles ISP (Bluewin) uund Google. Also Fehlalarm. Aber warte mal was der Experte meint (BurningIce).:pfeiff:

Bin auch (noch) nur Schüler hier ;)

Also an der Route ist absolut nichts auffälliges.

Zu welchem Gerät gehört jetzt die MAC, die Panda hier beanstandet? Und welche IP hat dieses Gerät lokal in deinem Netzwerk?

Dann schau mal auf deinem Router, ob alle angeschlossenen Geräte in deinem Netzwerk auch da so hingehören. Hast du zudem fixe IPs vergeben, oder denkt der Router sich immer was neues aus?

Welche Anzahl und Typ von Geräten befinden sich im Netzwerk? (z.B. 1mal Desktop Win 8 per Kabel; 2 mal Notebook Win7, meine Mikrowelle und zwei iPhones per WLAN...)

Btw: serialshub.com :pfui:

@burningice, vllt könnte ein arp -a in der cmd Aufschluss bringen

1. Pandaantivirus beanstandet die MAC-Adresse des Routers. Und ich weiß nicht was "lokale IP" ist ._.


2. Ja eig. schon, es zeigt 4 WLAN Geräte an und 1 Ethernet. Beim Interface zeigt es aber eig. nur 2 oder so an :confused: .

3. WTF, deine Mikrowelle? xDD also: Eig. nur mein PC, manchmal auch 2 andere PCs. dann manchmal noch IPhone und IPod. Wie schaue ich nach OHNE dieses Webinterface oder wie auch immer das heißt nach, welche Geräte genau drinne sind? ^-^

Mit lokale IP-Adresse meint burningice die IP-Adresse, die dem Netzwerkadapter in deinem Rechner zugewiesen ist. Das ist mit Sicherheit irgendeine aus dem Bereich 192.168.1.0/24

Mach wir mal weiter:

• Klick auf Windows/Start
• Gib im Suchfeld folgendes ein: cmd
• Wähle die Eingabeaufforderung und starte sie als als Administrator
• Führe folgendes aus:
  
  Code:

  ---

  arp -a >>%userprofile%\Desktop\infos.txt
ipconfig /all >>%userprofile%\Desktop\infos.txt

  ---

Auf deinem Desktop sollte nach einer Weile eine Datei namens infos.txt sein, poste deren Inhalt bitte hier:
Bitte poste dein Ergebnis zwischen Code-Tags

Schau mal auf deinen Router und vergleich die auf dem Aufkleber angegebne MAC-Adresse mit der, die arp dir unter Windows ausgespruckt hat ( 38-aa-3c-4e-1c-ca )

Hast du einen Samsung Router?

Hi,
auf dem Router ist keinerlei Aufkleber.
Ich habe derzeit eine "Internetbox" von Swisscom.
(Der Name ist "Internetbox")

"Beschreibung. . . . . . . . . . . : Anchorfree HSS VPN Adapter"

Ich sehe, da ist der VPN Hotspotshield installiert. Seit einiger Zeit recht dubios und mit fragwürdiger Zusatzsoftware, die man nicht abwählen kann !

Ich lasse jede Woche Adwcleaner laufen. Hat Hotspotshield entfernt. Habs also nicht mehr drauf.

Oha, daher also das "merkwürdige" Subnetz mit der ungewöhnlichen 43 im dritten Oktett :wtf:

Lösch mal bitte die infos.txt auf dem Desktop und wiederhol den Schritt in meiner Antwort #17

Wozu? ^^
es wird ja wohl das gleiche rauskommen.
Meine Frage ist hier: Wie kann ich diesen Hotspot Shield irgendwas entfernen

HSS VPN wird als Systemtreiber (Netzwerkadapter) installiert. Es sollte sich über die Systemsteuerung entfernen lassen.

Ja, die Frage ist nur wo? :D. Könntest du mir eine genauere Anleitung geben? Ich finde nichts.

Systemsteuerung / Programme und Funktionen

Der Ort wo jede andere installierte Software auch entfernt wird!

oder ggf. im Gerätemanager.

Bei mir ist da nichts ...
Auch im Gerätemanager finde ich nullkommanichts.

Dann sei doch mal so gütig und mach die infos.txt neu. Dann sieht man auch ob der shice da nun noch uftaucht oder nocht.

Wird Smart ARP eigentlich noch gemeldet?