瑞星卡卡安全论坛

最近1个多礼拜，公司局域网一直受这个ARP病毒困扰，中毒机器频繁出现。

1.中病毒的电脑，会冒充网关进行ARP进行欺骗，攻击别的电脑，其他机器的瑞星防火墙频繁报警，


报警详细内容2008-11-01 16:10:34, 收到ARP欺骗包;IP地址:192.168.1.1;原MAC:0-f-e2-4b-××。××
冲突MAC:0-1e-ec-e-××－××;规则名称:;


类似报警3－4秒出现一次。与网关冲突的机器，瑞星被退出，无法重新打开，甚至出现瑞星，杀毒等字样的窗口马上就被关闭。


2.利用SRENG，发现跟网关冲突的机器多出很多红色启动项，为7－8位随机名称，删除不掉，同时有镜像劫持，



3.很多电脑在C。D。E。F根目录下，会出现setup.exe，14K左右，MPKrnl.exe。20K左右，启动选项中发现update.dll，Krnlmsgproc.dll.mpkrnl.dll
其中收拾干净的电脑，还会出现setup.exe与MPKrnl.exe，删除了会再次出现，貌似通过别的电脑又传播过来的，


4.利用其他木马专杀工具，会杀出几十个木马病毒，基本上都是×xxxxxx.dll


附件是在局域网一台中毒机器上的提取的病毒文件，setup.exe  .MPKrnl.exe，autoexec.bat，请各位大侠帮忙看看是什么病毒，怎么预防。十分感谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)

附件: yang.rar

病毒名称是：M.P.K.r.n.L ，大家别看成MPKML了。

把ARP病毒的样本传我 一份好吗？ 我从来没碰到过那病毒 想研究一下 我的邮箱nodiscard@vip.qq.com

MPKrnl.exe 报
Suspicious file
New Malware.b
但观察操作只修改了
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\\Seed
Setup.exe是XPSP25.1.2600.2180版本的svchost.exe



防范的话，勤打补丁，设置好防火墙

感谢天云兄弟百忙之中的解答，今天早上来，又发现了新问题，我的机器也差点中招了。
1.  开机，瑞星防火墙提示，MPKrnl要访问网络。
访问地址：local:1100==>202.96.69.38:53[域名解析]
动作：UDP Send(发送UDP数据)
经过查询，在C盘根目录下出现mpkrnl.exe
注：202.96.69.38为辽宁地区的DNS，但是：53应该是端口。是不是DNS出问题，中病毒了？

 附件: 您所在的用户组无法下载或查看附件

我点击查看模块列表
出现下面情况

 附件: 您所在的用户组无法下载或查看附件




电脑出现下面错误对话框

 附件: 您所在的用户组无法下载或查看附件





电脑的瑞星杀毒被关闭，其他安全软件也被关闭，但是瑞星防火墙还在，郁闷～又多一台中毒机器。

用SRENG扫描，发现多出下面启动项

 附件: 您所在的用户组无法下载或查看附件

补打系统补丁：ms08-067
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

说明我没观察完，看楼主的图，这个东西还有服务
伪装迅雷的木马
楼主按楼上所说尽快上传扫描报告

下来看看

病毒确实很顽固，清理不干净，我一联网就从网上下载病毒，早上瑞星防火墙提示，要从116.252.185.15进行WEB访问，我拒绝了，上网查了一下116.252.185.15，诺顿，金山，都有扫描报告。应该是一个木马下载站。


下图是360顽固木马专杀查出的病毒

 附件: 您所在的用户组无法下载或查看附件


下图是网页防漏的提示：始终清除不干净。

 附件: 您所在的用户组无法下载或查看附件


附件的TXT文档是SRENG的扫描日志，请大家帮忙看看，打字期间，瑞星又被干掉了。哎～

附件: 新建 文本文档.txt

在路由器里发现一些问题。在路由器的动态ARP列表中，
有很多外部IP地址，60.21.209.xx, 这些IP的网卡地址都是00-E0-FC-2A-7A-2E，
这个网卡地址不是公司内部的。

 附件: 您所在的用户组无法下载或查看附件

您所提供的样本已经入库

[VNC Server / winvnc][Stopped/Auto Start]
  <"C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service><RealVNC Ltd.>

楼主这VNC是自己装的吗？不是的话，在SRENG-启动项目-服务-WIN32服务应用程序中设置为DISABLED


可疑文件如下
c:\window\system32\5102a80.sys
c:\window\system32\ca99d57.sys
c:\window\system32\cdcd.sys
c:\window\system32\VICHW00.SYS
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fixfinal2.dll
上传到www.virustotal.com检查

将可疑的使用XDELBOX删除
使用XDelBox删除文件：(XDelBox，点击后进原创

软件下载)
使用说明：删除时复制所有要删除文件的路径，删除时复制所有要删除文件的路径，
在待删除文件列表里点击右键---从剪贴板导入不检查路径，
导入后在要删除文件上点击右键---立刻重启删除，电脑会重启进入DOS界面进
行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
注意，删除服务和驱动最后一个对话框选择“否”


然后到SRENG-启动项目-服务-驱动程序中
按照检测结果进行删除
[ca99d57 / ca99d57][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\ca99d57.sys><N/A>
[Cdsys / Cdsys][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\cdcd.sys><N/A>
[5102a80 / 5102a80][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\5102a80.sys><N/A>

然后配置好防火墙

1、文件名：MPKrnl.exe
病毒名：Worm.Win32.Agent.aaa

2、文件名：Setup.exe
不是病毒

3、文件名：AUTOEXEC.BAT
不是病毒

您所上报的病毒文件将在瑞星2008的20.69.30版本(瑞星2009的21.02.30版本)中处理解决。

回天云，工作需要，VNC是我自己装的。

感谢版主和瑞星工程师的热心帮助。目前局域网病毒已经得到控制，再次感谢！

在别的机器上发现,病毒会在WINNT或WINDOWS文件夹内生成三个DLL文件，分别是MPKrnl、MP4Krnl、MKMKrnl    提取到样本，我会上传到论坛来。

真的是很麻烦哦

我也是有这样的情况，不知道怎么办

什么情况？

我的也出现了这个问题

qwwwwwwwwwwwwwwwwwwwwqeeeeeeeeeee:kaka4: :kaka4:

先装了arp防火墙再杀，否则永远杀不完
用瑞星10版的话arp默认关闭的，需要手动打开

看一下 希望有帮助