您的位置:程序门 -> 硬件使用 -> 网络设计与维护



初学者碰到arp病毒,请教如何处理


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


初学者碰到arp病毒,请教如何处理[已结贴,结贴人:bioslmc]
发表于:2007-06-16 11:53:41 楼主
公司是通过hb-2204路由器上网,最近中了arp病毒,一直处理不干净。中毒情况如下:执行arp   -a命令发现路由器ip对应的mac地址是某一台客户机,对那台客户机重装后,发现又中了,网络时常掉线,发进很多有问题的机子中启动项有以下这些进程(mydata.exe     nwizdh.exe     nwiztlbb.dll     nwiztlbb.exe     nwiztlbu.dll     nwiztlbu.exe     ztinetzt.dll   ztinetzt.exe     ),也有logo_     rundl132   等进程。
在安全模式下进注册表删了这些启动项重启很多又自动生成了,请问各位有何办法把这些病毒杀干净?   目前没有防火墙,一个路由器,通过固定ip上网,如果要对网络改良也请给个建议!
发表于:2007-06-16 11:58:041楼 得分:0
在线上等,请各位帮忙!
发表于:2007-06-16 22:33:582楼 得分:60
通过固定ip上网?你说的是客户端电脑不?如果电脑不太多,那做个mac-ip的双向绑定吧,一劳永逸的解决问题。
发表于:2007-06-17 14:32:403楼 得分:0
风清云淡,谢谢你
固定ip是说公司用的是电信固定ip拨号上网方式,你说的双向绑定是在路由器上实现吗?现在公司没有防火墙,你是否可以推荐一款多功能实用的路由器给我,内置高级防火墙功能,再添设一个服务器用来安装网络版杀毒软件,这样管理可行吗?谢谢!

附:如何给你加分,在哪设置?
发表于:2007-06-18 16:03:504楼 得分:0
双向绑定一般指的是在三层交换机或者路由器上来做。如果添设了服务器,你可以安装windows   2003   isa   server   2004来做防火墙,路由器的功能,如果你熟悉unix/linux系统也可以用他们来做。还有一个办法,如果你们单位不需要共享资源,可以用vlan来隔离用户。另外现在有那种防止arp攻击的小软件,但是我感觉他们效果不理想,但你可以找一个用试一下。给分点击”管理“,然后就可以给分了~~~~~~
发表于:2007-06-18 19:30:145楼 得分:0
谢谢风清云淡,你那有arp专杀工具吗?我上网找了几个都杀不干净,而且有几台电脑是刚重安了一两天后又中了同样的病毒。

你说的添设服务器,那是添设代理服务器吗?就是局域网内的所有电脑共享代理服务器上网,所有权限由代理服务器设定?是这样吗?

好像是要结帖才能做相关管理。谢谢!
发表于:2007-07-27 09:29:366楼 得分:0
arp病毒防治方法  

 
症状:整个网络内经常有电脑会出现突然不能上网,过一段时间又能上网,反复掉线的现象。而且更改ip后就立刻可以上网,但过段时间又不行。

解决方案有三种:
一、临时应急型,可暂时解决不能上网的问题,而不是彻底清除病毒:只需使用windows系统自带的arp命令即可完成。方法如下:点击开始,运行,输入“arp   -s   网关地址   网关mac地址”,这样即可使网关地址与真正的网关mac地址绑定,使得局域网内病毒主机无法再进行干扰!但问题是此方法在计算机重启后自动失效,想再次使用必须重复上述操作。或是直接更改电脑ip地址,我是通过修改ip地址使得黄洪波的电脑暂时能正常使用oa。
二、单机应急处理型,使用专门杀毒软件完全处理该电脑故障。
arp病毒专杀工具:http://bbs.gdei.edu.cn/attachment/mon_0609/tsc.rar
1、趋势科技arp病毒专杀工具,不管是否有中毒,请务必下载下来杀一杀。
下载后解压缩,运行包内tsc.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、arp病毒专杀防御工具antiarp
下载地址:http://www.xdowns.com/soft/1/78/2006/soft_32177.html
∷软件简介∷   防护arp攻击软件最终版-antiarp安全软件
使用方法:
1、填入网关ip地址,点击[获取网关地址]将会显示出网关的mac地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现这种欺骗提示,这说明攻击者发送了对于此种欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的mac地址,利用mac地址扫描器可以找出ip   对应的mac地址.
2、ip地址冲突
如频繁的出现ip地址冲突,这说明攻击者频繁发送arp欺骗数据包,才会出现ip冲突的警告,利用anti   arp   sniffer可以防止此类攻击。
3、您需要知道冲突的mac地址,windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[tcpip]---双击事件可以看到显示地址发生冲突,并记录了该mac地址,请复制该mac地址并填入anti   arp   sniffer的本地mac地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使m地址生效请禁用本地网卡然后再启用网卡,在cmd命令行中输入ipconfig   /all,查看当前mac地址是否与本地mac地址输入框中的地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认mac地址,请点击[恢复默认],为了使地址生效请禁用本地网卡然后再启用网卡
三、一劳永逸型,在交换机内进行ip地址与mac地址绑定,可以解决所有电脑的该问题且以后再不会侵犯。但是以后这些电脑一旦更换ip或是网卡即无法上网。
详细参见:
http://blog.sina.com.cn/u/4c8e70970100097q
http://blog.sina.com.cn/u/4ca1f6b0010008rn

 

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击