ARP病毒清除方法

转载 2007年10月08日 22:53:00
原贴:http://www.szmoka.cn/bbs/redirect.php?fid=24&tid=1597&goto=nextnewset

ARP病毒清除方法

ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。
按以下顺序删除病毒组件  

1) 删除 ”病毒组件释放者”
%windows%/SYSTEM32/LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%/System32/drivers/npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%/System32/drivers/npf.sys

3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%/System32/msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头

主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。



[ 本帖最后由 蓝天 于 2007-6-26 11:27 编辑 ]



 附件: 您所在的用户组无法下载或查看附件 

有关lpk.dll病毒的清除方法

lpk.dll病毒是常见的病毒,感染之后很难清除,它会在整个系统中到处放置他的副本,同时有多种方式相互照应,必须全部清除才能清理干净。 以下为我试过的大致的清理步骤: 1. 打开我的电脑,在工具,文件...
  • pendle
  • pendle
  • 2013年12月10日 00:16
  • 29239

杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )

杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 ) 无意中在网上看到的,描述通俗易懂,基本全是基础知识,权当了解吧。 =============...
  • leolewin
  • leolewin
  • 2015年08月21日 20:41
  • 2071

最近在校园内发现暴风一号病毒(俗称1kb病毒),普及一下查杀和修复的方法

近日经常去打印店打印资料,有一天却发现,U盘出问题了。Excuses me?我的资料全在U盘里呢!尝试用360扫描U盘把病毒删了,但是数据依然没恢复过来。 经百度后得知,这个病毒叫暴风一号,俗称1k...
  • Lulu11235813
  • Lulu11235813
  • 2016年10月10日 16:27
  • 8921

ARP病毒清除方法

  • 2012年11月19日 22:10
  • 35KB
  • 下载

教你检测自己电脑中的ARP病毒的方法

  • 2013年01月26日 10:58
  • 54KB
  • 下载

用抓包的方法解决ARP病毒欺骗攻击

  最近网络中有主机频繁断线,刚刚开始还比较正常,但是一段时间后就出现断线情况,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了。最初怀疑是否是物理上的错误,总之从最容易下手的东西开始检查...
  • setsunhouse
  • setsunhouse
  • 2011年03月16日 20:31
  • 122

用抓包的方法解决ARP病毒欺骗攻击

最近网络中有主机频繁断线,刚刚开始还比较正常,但是一段时间后就出现断线情况,有时很快恢复,但是有时要长达好几分钟啊,这样对工作影响太大了。最初怀疑是否是物理上的错误,总之从最容易下手的东西开始检查,检...
  • u013468790
  • u013468790
  • 2014年02月28日 15:08
  • 642

用命令行方法查找ARP地址欺骗病毒

  • 2009年05月01日 18:43
  • 23KB
  • 下载

用命令行方法查找ARP地址欺骗病毒

  • 2009年10月24日 23:52
  • 1KB
  • 下载

ARP病毒发起欺骗攻击解决方法.php

  • 2008年12月15日 12:08
  • 43KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ARP病毒清除方法
举报原因:
原因补充:

(最多只允许输入30个字)