遭遇一种ARP病毒
各位高手:
symantec antivirus查杀不了,每个一段时间对外发送ARP欺骗数据包,导致网络阻塞,被攻击的电脑报IP地址冲突!
病毒隐藏很深,查看线程发现不了它,使用ICEWORD看线程软件时病毒不让其运行,后更改ICEWORD可执行文件名
后运行成功,使用ICEWORD后二次运行时又运行不了。目前只好安装ARP防火墙个人版先抵挡着!
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-05-17 13:04:21
诊断平台: Microsoft Windows 2000 Service Pack 4
IE版本: Internet Explorer V6.0.2800.1106 Build:62800.1106
计算机物理内存: 2GB - 当前可用内存: 2GB
100 - 未知 - Process: VRVEDP_M.EXE [] - C:\WINNT\system32\VrvEdp_m.exe
100 - 未知 - Process: Vrvsafec.exe [edpsafec] - C:\WINNT\system32\Vrvsafec.exe
100 - 未知 - Process: vrvrf_c.exe [] - C:\WINNT\system32\vrvrf_c.exe
100 - 未知 - Process: AntiArp.exe [] - C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe
100 - 未知 - Process: vrvarp.exe [] - C:\WINNT\system32\vrvarp.exe
R0 - 未知 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer=76.40.17.2:808
O4 - 未知 - HKLM\..\Run: [AntiARPStandalone] [] C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe
O9 - 未知 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O22 - 未知 - Filename Extention: .txt - "C:\Program Files\UltraEdit\uedit32.exe" "%1"
O23 - 未知 - Service: MSSQLSERVER [MSSQLSERVER] - d:\PROGRA~1\MICROS~1\MSSQL\binn\sqlservr.exe - (not running)
O23 - 未知 - Service: NMSSvc [Intel(R) NIC Management Service.] - C:\WINNT\System32\NMSSvc.exe - (running)
O23 - 未知 - Service: oad [Visibroker Activation Daemon] - C:\PROGRA~1\Borland\vbroker\bin\oad.exe - (not running)
O23 - 未知 - Service: osagent [VisiBroker Smart Agent] - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe - (not running)
O23 - 未知 - Service: SQLSERVERAGENT [SQLSERVERAGENT] - d:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe -i MSSQLSERVER - (not running)
O23 - 未知 - Service: TrkSvr [保存文件在域中卷之间移动的信息。] - C:\WINNT\system32\services.exe - (not running)
O23 - 未知 - Service: VRVWatchServer [VRVWatchServer] - "C:\WINNT\system32\WatchClient.exe" -service - (running)
=======================================
100 - 安全 - Process: SMSS.EXE [该进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINNT\System32\smss.exe
100 - 安全 - Process: CSRSS.EXE [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINNT\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512,512 Windows=On SubSystemType=Windows ServerDll=ba
100 - 安全 - Process: WINLOGON.EXE [windows nt用户登陆程序。] - C:\WINNT\system32\winlogon.exe
100 - 安全 - Process: SERVICES.EXE [用于管理windows服务系统进程。] - C:\WINNT\system32\services.exe
100 - 安全 - Process: LSASS.EXE [本地安全权限服务控制windows安全机制。] - C:\WINNT\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost -k rpcss
100 - 安全 - Process: ccSetMgr.exe [Symantec公司网络安全套装的一部分。] - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
100 - 安全 - Process: ccEvtMgr.exe [Norton Internet Security网络安全套装的一部分,该进程会同反病毒与防火墙程序同时安装。] - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
100 - 安全 - Process: msdtc.exe [microsoft distributed transaction coordinator控制多个服务器的传输,被安装在microsoft personal web server和microsoft sql server。] - C:\WINNT\System32\msdtc.exe
100 - 安全 - Process: awhost32.exe [赛门铁克相关软件的一部分。] - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
100 - 安全 - Process: DefWatch.exe [norton anti-virus扫描你的文件和email以检查病毒。] - C:\Program Files\Symantec AntiVirus\DefWatch.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\System32\svchost.exe -k netsvcs
100 - 安全 - Process: LLSSRV.EXE [windows自带的许可证日志记录服务。] - C:\WINNT\System32\llssrv.exe
100 - 安全 - Process: NMSSvc.Exe [网卡驱动程序。] - C:\WINNT\System32\NMSSvc.exe
100 - 安全 - Process: SavRoam.exe [赛门铁克公司出品的防病毒软件的相关程序。] - C:\Program Files\Symantec AntiVirus\SavRoam.exe
100 - 安全 - Process: mstask.exe [windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。] - C:\WINNT\system32\MSTask.exe
100 - 安全 - Process: Rtvscan.exe [norton anti-virus用以扫描你的文件和email中的病毒。] - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
100 - 安全 - Process: WatchClient.exe [北信源出品的内网安全管理软件。] - C:\WINNT\system32\WatchClient.exe
100 - 安全 - Process: WinMgmt.exe [windows management service透过windows management instrumentation data (wmi)技术处理来自应用客户端的请求。] - C:\WINNT\System32\WBEM\WinMgmt.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost.exe -k wugroup
100 - 安全 - Process: dfssvc.exe [管理分布于局域网或广域网的逻辑卷的程序。] - C:\WINNT\system32\Dfssvc.exe
100 - 安全 - Process: mssearch.exe [microsoft sql server全文搜索服务相关程序。] - C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\System32\svchost.exe -k tapisrv
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINNT\Explorer.EXE
100 - 安全 - Process: VPTray.exe [norton antivirus ce企业版杀毒软件的系统托盘。] - C:\PROGRA~1\SYMANT~1\VPTray.exe
100 - 安全 - Process: ServUTray.exe [一款名为serv-u的ftp服务器软件。] - C:\Program Files\Serv-U\ServUTray.exe
100 - 安全 - Process: sqlmangr.exe [sql server服务管理器软件。] - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
100 - 安全 - Process: conime.exe [console ime ime输入法控制台软件。] - C:\WINNT\system32\conime.exe
100 - 安全 - Process: CTFMON.EXE [office xp输入法图标。] - C:\WINNT\system32\ctfmon.exe
100 - 安全 - Process: ServUDaemon.exe [ftp服务器软件serv-u的主程序。] - C:\Program Files\Serv-U\ServUDaemon.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\system32\blank.htm
O3 - 安全 - Toolbar: (电台(&R)) - [是Windows Media Player播放器ActiveX控制相关文件。] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 安全 - HKLM\..\Run: [IMSCMig] [微软拼音输入法安装工具。 ] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 安全 - HKLM\..\Run: [ccApp] [诺顿杀毒或诺顿防火墙客户端软件] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 安全 - HKLM\..\Run: [vptray] [诺顿在任务栏显示病毒防护盾牌图标的程序] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - 安全 - HKLM\..\Run: [DAEMON Tools-1033] [虚拟光驱软件] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] ctfmon.exe
O4 - 安全 - HKCU\..\Run: [ServUTrayIcon] [一款ftp服务器软件相关程序。] C:\Program Files\Serv-U\ServUTray.exe
O4 - 安全 - Startup folder: [服务管理器.lnk] [windows的服务管理器。] C:\Documents and Settings\All Users\「开始」菜单\程序\启动\服务管理器.lnk
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - 安全 - Extra button: 电台(HKLM) - C:\WINNT\web\related.htm
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O18 - 安全 - Protocol: OFFICE 相关 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O23 - 安全 - Service: awhost32 [Symantec pcAnywhere远程控制相关程序,用于进行产品设置。] - C:\Program Files\Symantec\pcAnywhere\awhost32.exe - (running)
O23 - 安全 - Service: ccEvtMgr [诺顿防病毒软件相关程序。] - "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe" - (running)
O23 - 安全 - Service: ccPwdSvc [诺顿防病毒软件相关程序。] - "C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe" - (not running)
O23 - 安全 - Service: ccSetMgr [诺顿防病毒软件相关程序。] - "C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe" - (running)
O23 - 安全 - Service: DefWatch [诺顿防毒软件相关程序。] - "C:\Program Files\Symantec AntiVirus\DefWatch.exe" - (running)
O23 - 安全 - Service: Fax [微软Microsoft传真服务相关程序,该服务允许用户创建和发送传真到微软Office组件中。] - C:\WINNT\system32\faxsvc.exe - (not running)
O23 - 安全 - Service: MSSQLServerADHelper [Mssqlserveradhelper 服务。] - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe - (not running)
O23 - 安全 - Service: NtFrs [在多个服务器间维护文件目录内容的文件同步。] - C:\WINNT\system32\ntfrs.exe - (not running)
O23 - 安全 - Service: SavRoam [诺顿防毒软件相关程序] - "C:\Program Files\Symantec AntiVirus\SavRoam.exe" - (running)
O23 - 安全 - Service: SNDSrvc [诺顿防毒软件相关程序。] - "C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe" - (not running)
O23 - 安全 - Service: SPBBCSvc [诺顿防毒软件相关程序。] - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe - (not running)
O23 - 安全 - Service: Symantec AntiVirus [诺顿防毒软件相关程序。] - "C:\Program Files\Symantec AntiVirus\Rtvscan.exe" - (running)
=======================================
O40 - winlogon.exe - Symantec Corporation - C:\WINNT\system32\awgina.dll - pcAnywhere Authentication Interface - abf9e8f1c254161289d50de31f2a6e66
O40 - winlogon.exe - edp - C:\WINNT\system32\vrvhook.dll - edphookNt - bc1e8ba46f09a90cc91f62ae971983a1
O40 - winlogon.exe - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\AWHK32.dll - Keyboard Support Functions - 2ea8196a6f047758cddfacb8774fa066
O40 - svchost.exe - edp - C:\WINNT\system32\vrvhook.dll - edphookNt - bc1e8ba46f09a90cc91f62ae971983a1
O40 - svchost.exe - edp - C:\WINNT\system32\vrvhook.dll - edphookNt - bc1e8ba46f09a90cc91f62ae971983a1
O40 - svchost.exe - edp - C:\WINNT\system32\vrvhook.dll - edphookNt - bc1e8ba46f09a90cc91f62ae971983a1
O40 - Explorer.EXE - edp - C:\WINNT\system32\VrvHook.dll - edphookNt - bc1e8ba46f09a90cc91f62ae971983a1
O40 - Explorer.EXE - - C:\WINNT\system32\VrvKeyBoard.dll - hodll DLL - 898b516547f2f02ad7734dca7c597470
O40 - Explorer.EXE - Microsoft Corporation - C:\WINNT\system32\MSVCR71.dll - Microsoft? C Runtime Library - 86f1895ae8c5e8b17d99ece768a70732
O40 - Explorer.EXE - Microsoft Corporation - C:\WINNT\system32\msimtf.dll - Active IMM Server DLL - fc26e7d6c528326c9d0d4b1730d5db08
O40 - Explorer.EXE - - C:\Program Files\UltraEdit\ue32ctmn.dll - 界面扩充功能 DLL - 514bbfe2878694fb4ef7eef01c191f1e
O40 - Explorer.EXE - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\AWHK32.dll - Keyboard Support Functions - 2ea8196a6f047758cddfacb8774fa066
=======================================
O41 - AntiArpNdisProt - NDIS User mode I/O Driver - C:\WINNT\system32\drivers\AntiArpNdisProt.sys - (running) - NDIS User mode I/O Driver - Windows (R) 2000 DDK provider - 5ba500977641728b26ebefa1873be730
O41 - awlegacy - pcAnywhere Legacy Driver - C:\WINNT\system32\drivers\AWLEGACY.sys - (running) - pcAnywhere Legacy Driver - Symantec Corporation - f7e75c620a04963c9a53c3b47da80405
O41 - AW_HOST - pcAnywhere Host Driver for Windows 2000 - C:\WINNT\system32\drivers\AW_HOST5.sys - (running) - pcAnywhere Host Driver for Windows 2000 - Symantec Corporation - ca5f2eb69105a4db4f5ced1a9a2ad69c
O41 - dac2w2k - Mylex Disk Array Controller Driver (32-bit) - C:\WINNT\system32\drivers\dac2w2k.sys - (running) - Mylex Disk Array Controller Driver (32-bit) - IBM Corporation - 94dea57ba0a7c9273eac98e83ab2112f
O41 - NPF - NPF Driver - TME extensions - C:\WINNT\system32\drivers\npf.sys - (running) - NPF Driver - TME extensions - Politecnico di Torino - f498c5c3399a60933196fc215ef074f9
O41 - VRVFW - 北信源网络防火墙 - C:\WINNT\system32\VrvFw.sys - (running) - 北信源网络防火墙 - 北信源 - 86321c715b25462dda1a7316c46d4e4f
O41 - xAntiArp - Sample NDIS 4.0 Intermediate Miniport Driver - C:\WINNT\system32\drivers\xAntiArp.sys - (running) - Sample NDIS 4.0 Intermediate Miniport Driver - Windows (R) 2000 DDK provider - 441ca2791760d6ee54d293cf06100e42
O41 - NMSCFG - Intel(R) NIC Management Service Configuration Driver - C:\WINNT\system32\drivers\NMSCFG.SYS - (running) - Intel(R) NIC Management Service Configuration Driver - Intel Corporation - 779480003e802ab157dcc9c432129475
=======================================
360Safe.exe=3.2.1.1002
AntiAdwa.dll=3.2.0.1001
AntiEng.dll=3.0.2.2000
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
操作历史报告:
----------查杀恶意软件历史----------
2007-05-14 16:55
查杀恶意软件 - 百度超级搜霸 - 危险 - C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\因特网搜索.lnk
=======================================
goldsun #2发表于 2007-5-17 13:39
沉的好快呀!
凉水冰凉 #3发表于 2007-5-17 13:40
找到病毒文件 用文件粉碎机粉碎他
尤金·卡巴斯基 #4发表于 2007-5-17 13:46
在论坛搜索ARP病毒专杀,我已经发过这个病毒专杀的。
goldsun #5发表于 2007-5-17 14:01
版主能不能给个连接!
尤金·卡巴斯基 #6发表于 2007-5-17 14:03
下载地址:http://www.pc100.net.cn/Soft/UploadSoft/TSC.rar
goldsun #7发表于 2007-5-17 14:13
这个趋势科技出的专杀工具,俺用了,查不出来,结果是count(0),现在ARP SNIFFER继续报对外攻击!晕了!
goldsun #8发表于 2007-5-17 16:58
再一次顶起来!
goldsun #9发表于 2007-5-17 21:54
看来真是碰上超级病毒了!
baijian_8d #10发表于 2007-5-17 22:06
C:\WINNT\system32\vrvhook.dll
c:\WINNT\system32\VrvKeyBoard.dll
这都是北信源的相关文件吗?如果不是,把其删掉.
建议卸载诺顿,诺顿比较差。
goldsun #11发表于 2007-5-18 08:52
是北信源的文件,现在仍然没有找到病毒的线程!真郁闷!
robocatxp #12发表于 2007-11-30 08:15
因为vrvarp.exe这个文件的功能是用来对其他机器做阻断用的,阻断的原理也是使用的ARP欺骗,防火墙只要拦截到这种攻击就会制止你向别人电脑发送欺骗。
就是说网络管理员开启了北信源监控程序中的未注册阻断功能,服务器端调用你的机器向其他机器做出阻断,阻断的原理就是ARP欺骗原理实现的,ANTIARP是只要拦截到对外攻击就给予制止。
如果你想关闭此进程,在任务管理器关闭此进程后在WINDOWS\SYSTEM32\下删除VRVARP即可。
