局域网始终有ARP病毒,MPKrnl.exe怎么也杀不干净
最近1个多礼拜,公司局域网一直受这个ARP病毒困扰,中毒机器频繁出现。
1.中病毒的电脑,会冒充网关进行ARP进行欺骗,攻击别的电脑,其他机器的瑞星防火墙频繁报警,
报警详细内容2008-11-01 16:10:34, 收到ARP欺骗包;IP地址:192.168.1.1;原MAC:0-f-e2-4b-××。××
冲突MAC:0-1e-ec-e-××-××;规则名称:;
类似报警3-4秒出现一次。与网关冲突的机器,瑞星被退出,无法重新打开,甚至出现瑞星,杀毒等字样的窗口马上就被关闭。
2.利用SRENG,发现跟网关冲突的机器多出很多红色启动项,为7-8位随机名称,删除不掉,同时有镜像劫持,
3.很多电脑在C。D。E。F根目录下,会出现setup.exe,14K左右,MPKrnl.exe。20K左右,启动选项中发现update.dll,Krnlmsgproc.dll.mpkrnl.dll
其中收拾干净的电脑,还会出现setup.exe与MPKrnl.exe,删除了会再次出现,貌似通过别的电脑又传播过来的,
4.利用其他木马专杀工具,会杀出几十个木马病毒,基本上都是×xxxxxx.dll
附件是在局域网一台中毒机器上的提取的病毒文件,setup.exe .MPKrnl.exe,autoexec.bat,请各位大侠帮忙看看是什么病毒,怎么预防。十分感谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)
