实战ARP 私人心得真正的APR病毒处理方案1

[摘要]操作系统：WINDOWS2000 与 WINDOWS XP- 畅通网络因为有我.g+W!Q4c0z0J 防毒软件：NORTON 10.0企业版，个人认为这些杀毒软件争对ARP病毒真的是毫无办法。 1S#o/J5W,v([+C7\bbs.54master.com上网方式：WINGATE ...

操作系统：WINDOWS2000 与 WINDOWS XP- 畅通网络因为有我.g+W!Q4c0z0J

防毒软件：NORTON 10.0企业版，个人认为这些杀毒软件争对ARP病毒真的是毫无办法。

1S#o/J5W,v([+C7\bbs.54master.com上网方式：WINGATE 代理上网网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术!D1e+}-w6h#Z(p6_"w4y

感染范围：公司局域网内可以上网的电脑

病毒类型：ARP病毒

病毒文件：8N/@5V,t:w,F

0q$k5w(E!}6Kbbs.54master.comcmdbcs.exe网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术;}3?2T8J%D*_#h/o

- 畅通网络因为有我,}*k&}"\#P

cmdbcs.dll

genprotect.exe

bbs.54master.com#d2 %^9O%j9y

packet.dll

网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术1{,c5l*J"r5I7F+v:@"

wanpacket.dll

7r&})x/l(obbs.54master.com3u$R;U"b%Z9H#G.]-E)r7j6z2Y

:j3w9j'c5x.k l5E(s7ybbs.54master.comwpcap.dll我是网管论坛4\7O-W5N2Q/H9^9D

*a7E1k8h'@4e$U6w:S;Gbbs.54master.comaddrns*.dllbbs.54master.com)w#I(j-w1y's

qdshm.dll

/`3A-Y#E,{*L我是网管论坛

addrmshecp.cfg我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！%B$M(O4P:i:V

- 畅通网络因为有我3\;c m1{+Z;D p,^&E&T

addrzthelp.dll我是网管论坛#[,d6c8H$d7B.Z)F

4[9P+u&E#k+K"s

addrzthelp.cfg

- 畅通网络因为有我#A1`3^6D&@5N#q'a

wpcap.dll

+a'{2k0\.~$X!U1y%q我是网管论坛addreghelp.cfg,`5m:A7t4z5e/h v)}'y.h

等等。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术"].?)V9H:@

在WINDOWS,WINNT,SYSTEM32文件夹下与上述文件相近日期时间的所有文件。大部分都是隐藏属性的文件。

+P"a;y.{,h.G'M#e3n我是网管论坛- 畅通网络因为有我3h;{5g'r1o$w9V

ARP感染过程：

;c0j-g'i/s%?我是网管论坛首先一台WINXP电脑，在上网时无意中感染了ARP病毒，然后通过发IP地址冲突包，感染其它的电脑，导致其它的电脑通过特殊的端口，在后台，从特殊的服务器上下载ARP病毒(我公司是从这个站点下载病毒的：WWW.52XMM.CN)。最后在网络上ARP表中产生很多的相同的IP地址，主要是与网关相同的IP但MAC不同，从而导致网络PING网关断续续。 7x%\5l5f9w;^7k,U*]4k

&B7s9v#Y(W;T!E7y- 畅通网络因为有我&o6D-C8?&d, x

$a&T#?!J2?- 下面我来总结我们公司三位工程师用了一天的时间研究（上午9：00-晚上20：00）争对ARP病毒的发现到消灭ARP病毒的全过程。现精简如下：网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术;x)h+r)K(\2Z

)Z*e.E4]"u"o+a8Q0]1M我是网管论坛前提：有一份网卡MAC地址、IP地址与电脑编号的对照表（希望每一位企业与网吧网络技术人员在维护网络时必备的参照表），方便发现故障机可以最快的速度断开它的连接。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术 R6e0o8d0S"M$m0g

网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术7W:Q.a8G7}3Q*\:

第一步：发现中毒机器并隔离它 - 畅通网络因为有我:j%f*w1a.`9C

如果你发现在局域网内的电脑经常上不到网， PING网关则丢包严重，或者根本PING不通，则在局域网内肯定有APR相关的病毒存在，简单的查看方法是在CMD命令提示下：输入 arp –a 命令查看有没有相同的IP地址，如有则用 arp –d 命令清除ARP地址表，就可以上网了，但病毒还存在网络中，还会继续发作，另外这种方法并不能显示所有中毒电脑的MAC地址。

%{6C,m3R'q/B+a%c#w;t我的方法是：在自己电脑上安装网络执法官 v2.88企业版，用于监控局域网内有没有相同IP地址，主要监控网关的IP就可以了。如发现有与网关相同的IP，则对照MAC地址清单，找到非网关的MAC地址电脑，将它的网络断开，以免感染其它的电脑。我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！6k-q2Y:O$p7K

- 畅通网络因为有我9g+v+L;b!C%b5s

第二步：清除ARP病毒文件及删除注册表启动项

我是网管论坛$l3` }#U4[0W(h,I$]

首先进入安全模式，手动删除WINDOWS、WINNT、SYSTEM32文件夹下的所有病毒文件（上面有描述）。有个别DLL类型的文件不能直接删除，必须将它的扩展文件改为BAK（也可以是其它非DLL、EXE、COM类型），再进入注册表删除相关启动项，然后重新进入安全模式再删除它。我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！3z;Q.O9t/~

第三步：安装最新版360安全卫士，清除木马，流氓软件，恶意插件及修复IE我是网管论坛/{0{"F"z,M%@8k&@(R.[/W:j:g

因为ARP病毒还有些相关的信息存放在IE里面，一定要清除，否则一段时间后（大概5分钟），只要你连接上INTERNET,又会继续感染。

.c C;}9{'N(N2y个人感觉360功能比较全面，并且是免费的，特推荐使用它。在感染病毒的电脑上，安装好360安全卫士，然后查杀木马及清理恶评系统插件，最后再修复IE。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术3f3S+x7y'G$n1W&t"[*Y

我是网管论坛"C)g1M,B9]

第四步：运行ARP（TSC）专杀工具#N G6];}3f

因这个专杀工具是一个过时的工具（最新的ARP病毒变种为2006-8-24），网上找了N个都是相同的，还没有发现比它更新的工具。在这里运行它主要是防止有些老的及忘记删的ARP病毒。

$w3F6x5R'O%q4{9W我是网管论坛运行它也只是过过场而己。到此， ARP病毒己经从本机清除干净。 3\)]0F.V&h)M3F

我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！3}2I%K-_;Z1f

第五步：运行WINSOCKFIX.EXEbbs.54master.com5?6v-Z'?8H6R:}

这步主要争对有些电脑删除ARP病毒后，造成无法上网及收发邮件的解决方法。运行完后，这台电脑的IP、网关、DNS都要重新设置。我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！*E/b9H&n3\'_.a

1p-W*T*G2c8Z我是网管论坛第六步：防止以后再中ARP病毒我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！"W;Z L-E4H5k

跟据需要打上360 ARP防火墙。及禁止所有电脑访问，这些电脑中毒后，后台所访问的网址，肯定要一个个仔细去查找（适用于代理上网的网络，我公司禁用的网址为WWW.52XMM.CN）。电脑中所有的漏洞与补丁都要打上，可以通过360的修复漏洞功能。

)[8i#F:p+H&]'v g

今天上网查了下原来网上很多电脑中ARP病毒，都是从这个网址下载的。

- 畅通网络因为有我$~*T&K }5u4r0t

我是网管论坛&I4N,_4v,o8j!H

哎，发了两个多小时时间终于写完了。喝杯茶去。。。。。。。。。 ARP联盟:

http://www.arpun.com

上面是电脑上网安全的一些基础常识，学习了安全知识，几乎可以让你免费电脑中毒的烦扰。

……

标签:实战ARP 私人心得真正的APR病毒处理方案

实战ARP 私人心得 真正的APR病毒处理方案

实战ARP 私人心得真正的APR病毒处理方案