实战ARP 私人心得 真正的APR病毒处理方案
发表时间:2023-07-11 来源:明辉站整理相关软件相关文章人气:
[摘要]操作系统:WINDOWS2000 与 WINDOWS XP- 畅通网络 因为有我.g+W!Q4c0z0J 防毒软件:NORTON 10.0企业版, 个人认为这些杀毒软件争对ARP病毒真的是毫无办法...
操作系统:WINDOWS2000 与 WINDOWS XP- 畅通网络 因为有我.g+W!Q4c0z0J
防毒软件:NORTON 10.0企业版, 个人认为这些杀毒软件争对ARP病毒真的是毫无办法。
1S#o/J5W,v([+C7\bbs.54master.com上网方式:WINGATE 代理上网网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术!D1e+}-w6h#Z(p6_"w4y
感染范围:公司局域网内可以上网的电脑
2m N/E&O3P3m'I.R)W- 畅通网络 因为有我病毒类型:ARP病毒
5p&A'O.V#?9^2g5v$b我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!病毒文件:8N/@5V,t:w,F
0q$k5w(E!}6Kbbs.54master.com
cmdbcs.exe网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术;}3?2T8J%D*_#h/o
- 畅通网络 因为有我,}*k&}"\#P cmdbcs.dll
(A,?9x1v.v$o {6B"N(T1f!_- 畅通网络 因为有我 j$a:P1R)E:C!Y5\8n,C网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术genprotect.exe
&H,t-c.P,m.N&o我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!bbs.54master.com#d2 %^9O%j9y packet.dll
6Z.H0e(f!d%~ t3g- 畅通网络 因为有我网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术1{,c5l*J"r5I7F+v:@" wanpacket.dll
7r&})x/l(obbs.54master.com3u$R;U"b%Z9H#G.]-E)r7j6z2Y
:j3w9j'c5x.k l5E(s7ybbs.54master.comwpcap.dll
我是网管论坛4\7O-W5N2Q/H9^9D
*a7E1k8h'@4e$U6w:S;Gbbs.54master.comaddrns*.dll
bbs.54master.com)w#I(j-w1y's
&C,m0}:x/q/F网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术qdshm.dll
/`3A-Y#E,{*L我是网管论坛 *f)}$P$I M2w9{;@- 畅通网络 因为有我addrmshecp.cfg
我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!%B$M(O4P:i:V
- 畅通网络 因为有我3\;c m1{+Z;D p,^&E&T addrzthelp.dll
我是网管论坛#[,d6c8H$d7B.Z)F
4[9P+u&E#k+K"s addrzthelp.cfg
2x7l,u0n9i网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术- 畅通网络 因为有我#A1`3^6D&@5N#q'a wpcap.dll
%n)t4A0G!]1E#G:A5V- 畅通网络 因为有我 +a'{2k0\.~$X!U1y%q我是网管论坛addreghelp.cfg
,`5m:A7t4z5e/h v)}'y.h
等等。 网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术"].?)V9H:@
在WINDOWS,WINNT,SYSTEM32文件夹下与上述文件相近日期时间的所有文件。 大部分都是隐藏属性的文件。
+P"a;y.{,h.G'M#e3n我是网管论坛- 畅通网络 因为有我3h;{5g'r1o$w9V
ARP感染过程:
;c0j-g'i/s%?我是网管论坛首先一台WINXP电脑, 在上网时无意中感染了ARP病毒, 然后通过发IP地址冲突包, 感染其它的电脑, 导致其它的电脑通过特殊的端口, 在后台, 从特殊的服务器上下载ARP病毒(我公司是从这个站点下载病毒的:WWW.52XMM.CN)。 最后在网络上ARP表中产生很多的相同的IP地址, 主要是与网关相同的IP但MAC不同, 从而导致网络PING网关断续续。 7x%\5l5f9w;^7k,U*]4k
&B7s9v#Y(W;T!E7y- 畅通网络 因为有我&o6D-C8?&d, x
$a&T#?!J2?- 下面我来总结我们公司三位工程师用了一天的时间研究(上午9:00-晚上20:00)争对ARP病毒的发现到消灭ARP病毒的全过程。 现精简如下:网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术;x)h+r)K(\2Z
)Z*e.E4]"u"o+a8Q0]1M我是网管论坛前提:有一份网卡MAC地址、IP地址与电脑编号的对照表(希望每一位企业与网吧网络技术人员在维护网络时必备的参照表), 方便发现故障机可以最快的速度断开它的连接。 网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术 R6e0o8d0S"M$m0g
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术7W:Q.a8G7}3Q*\:
第一步:发现中毒机器并隔离它
- 畅通网络 因为有我:j%f*w1a.`9C
如果你发现在局域网内的电脑经常上不到网, PING网关则丢包严重, 或者根本PING不通, 则在局域网内肯定有APR相关的病毒存在, 简单的查看方法是在CMD命令提示下:输入 arp –a 命令查看有没有相同的IP地址, 如有则用 arp –d 命令清除ARP地址表, 就可以上网了, 但病毒还存在网络中, 还会继续发作, 另外这种方法并不能显示所有中毒电脑的MAC地址。
%{6C,m3R'q/B+a%c#w;t我的方法是:在自己电脑上安装网络执法官 v2.88企业版, 用于监控局域网内有没有相同IP地址, 主要监控网关的IP就可以了。 如发现有与网关相同的IP, 则对照MAC地址清单, 找到非网关的MAC地址电脑, 将它的网络断开, 以免感染其它的电脑。 我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!6k-q2Y:O$p7K
- 畅通网络 因为有我9g+v+L;b!C%b5s
第二步:清除ARP病毒文件及删除注册表启动项
,k!B-N)q2?*K$T网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术我是网管论坛$l3` }#U4[0W(h,I$]
首先进入安全模式, 手动删除WINDOWS、WINNT、SYSTEM32文件夹下的所有病毒文件(上面有描述)。 有个别DLL类型的文件不能直接删除, 必须将它的扩展文件改为BAK(也可以是其它非DLL、EXE、COM类型), 再进入注册表删除相关启动项, 然后重新进入安全模式再删除它。 我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!3z;Q.O9t/~
&C;M:M1L;]%{7D,A/g/Y我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!第三步:安装最新版360安全卫士, 清除木马, 流氓软件, 恶意插件
及
修复IE我是网管论坛/{0{"F"z,M%@8k&@(R.[/W:j:g
因为ARP病毒还有些相关的信息存放在IE里面, 一定要清除, 否则一段时间后(大概5分钟), 只要你连接上INTERNET,又会继续感染。
.c C;}9{'N(N2y个人感觉360功能比较全面, 并且是免费的, 特推荐使用它。 在感染病毒的电脑上, 安装好360安全卫士, 然后查杀木马及清理恶评系统插件, 最后再修复IE。 网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术3f3S+x7y'G$n1W&t"[*Y
我是网管论坛"C)g1M,B9]
第四步:运行ARP(TSC)专杀工具#N G6];}3f
因这个专杀工具是一个过时的工具(最新的ARP病毒变种为2006-8-24), 网上找了N个都是相同的, 还没有发现比它更新的工具。 在这里运行它主要是防止有些老的及忘记删的ARP病毒。
$w3F6x5R'O%q4{9W我是网管论坛运行它也只是过过场而己。 到此, ARP病毒己经从本机清除干净。 3\)]0F.V&h)M3F
我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!3}2I%K-_;Z1f
第五步:运行WINSOCKFIX.EXEbbs.54master.com5?6v-Z'?8H6R:}
这步主要争对有些电脑删除ARP病毒后, 造成无法上网及收发邮件的解决方法。 运行完后, 这台电脑的IP、网关、DNS都要重新设置。 我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!*E/b9H&n3\'_.a
1p-W*T*G2c8Z我是网管论坛第六步:防止以后再中ARP病毒我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!"W;Z L-E4H5k
跟据需要打上360 ARP防火墙。 及禁止所有电脑访问, 这些电脑中毒后, 后台所访问的网址, 肯定要一个个仔细去查找(适用于代理上网的网络, 我公司禁用的网址为WWW.52XMM.CN)。 电脑中所有的漏洞与补丁都要打上, 可以通过360的修复漏洞功能。
3p4W&d7}1h$^3`网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术)[8i#F:p+H&]'v g
今天上网查了下原来网上很多电脑中ARP病毒, 都是从这个网址下载的。
0^2z#K$l&u)o我是网管论坛, 企业网管的天堂, 网吧网管的乐园。 网管软件下载、网管教程下载。 中国最大的网管交流论坛!- 畅通网络 因为有我$~*T&K }5u4r0t
我是网管论坛&I4N,_4v,o8j!H
哎, 发了两个多小时时间终于写完了。 喝杯茶去。 。 。 。 。 。 。 。 。 ARP联盟:
http://www.arpun.com
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。