ARP病毒攻击技术分析与防御

10

2008-12-12 10:32

近一段时间以来，政务网部分用户受到一种名为"ARP欺骗木马程序（病毒）"的攻击（ARP是"Address Resolution Protocol""地址解析协议"的缩写），极大地影响了政务网用户的正常使用，给整个政务网的安全带来严重的隐患。     一、故障现象     通常上网计算机的网关设为192.168.X.254,这个地址是核心交换机(三层交换机)的IP地址。将网关改为路由器的IP地址192.168.X.253后可正常上网。     病毒发作时其症状表现为计算机网络连接正常，却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致政务网用户上网不稳定，时断时通。     中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网。     计算机重新启动后短时间内可以上网，稍过一会儿就出现只有网络连接，但打不开网页的现象。     二、ARP 欺骗病毒原理分析     在局域网中，一个主机要和另一个主机进行直接通信，除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？就是通过地址解析协议获得的。所谓"地址解析"就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址（即第二层物理地址）的。在局域网中，网络中实际传输的是"帧"，帧里面是有目标主机的MAC地址的。     每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。在DOS窗口输入命令arp -a 可以看到如下所示的对应关系。   C:/Documents and Settings/Administrator>arp -a   Internet Address     Physical Address     Type     192.168.1.1       aa-aa-aa-aa-aa-aa     dynamic   主机A     192.168.1.2       bb-bb-bb-bb-bb-bb     dynamic   主机B     192.168.1.3       cc-cc-cc-cc-cc-cc     dynamic   主机C     192.168.1.4       dd-dd-dd-dd-dd-dd     dynamic   主机D     Internet Address 指IP地址，Physical Address 指物理地址，type 指类型。     通过以上示例可以看出IP地址为192.16.16.1的IP地址对应的物理地址 (即MAC地址)为aa-aa-aa-aa-aa-aa，其类型为动态。     我们以主机A（192.168.1.1）向主机B（192.168.1.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是"FF.FF.FF.FF.FF.FF"，这表示向同一网段内的所有主机发出这样的询问： "192.168.1.2的MAC地址是什么？"网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应： "192.168.1.2的MAC地址是bb-bb-bb-bb-bb-bb"。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。     从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了 DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，欺骗成功。     ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包，是对ARP高速缓存机制的攻击。     攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。当攻击者大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。     三、定位ARP攻击源头     1．通过NBTSCAN（下载地址：http：//www.ale.gov.cn/15/03.jsp?tid=20061123202911786807709）查找病毒主机,关闭所有二层交换机，将管理员的计算机接在核心交换机上，此时管理员的计算机可正常上网。Ping三层交换机的地址(即在dos窗口下输入命令ping 172.16.X.254),查看172.16.X.254的MAC地址（即在dos窗口下输入命令arp -a），并记下来，通过三层交换机IP地址得到三层交换机 真实的MAC地址。可用同样的方法得到路由器真实MAC地址。其中X是各单位分配到的IP地址段。 　　打开所有二层交换机，在ARP病毒攻击时所有计算机都表现为有网络连接，但打不开网页。此时在dos窗口下输入命令arp -a，查看网关的IP地址和MAC地址对应关系，与上次得到的真实MAC地址对比，如果不相同，此次获得的MAC地址即为病毒主机的MAC地址。     使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，可以找到病毒主机的IP、机器名和MAC地址。找到病毒机器IP地址后，再通过网络开通时登记的IP地址找到病毒主机。     命令："nbtscan -r 192.168.X.0/24"（搜索整个192.168.X.0/24网段, 即192.168.X.1-192.168.X.254）输出结果第一列是IP地址，最后一列是MAC地址。其中X是各单位分配到的IP地址段。     NBTSCAN的使用范例：     假设查找一台MAC地址为"000d870d585f"的病毒主机。     1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:盘下。     2）在Windows开始-运行-打开，输入cmd（windows98输入"command"），在出现的DOS窗口中输入：C:/ >btscan -r 192.168.X.0/24（这里需要根据用户实际网段输入），回车。     3）通过查询IP--MAC对应表，查出"000d870d585f"的病毒主机的IP地址。     通过上述方法，我们就能够快速的找到病毒源，确认其机器名和IP地址。     2、通过AntiArpSniffer3.1查询病毒主机     下载软件AntiArpSniffer3.1（下载地址：http：//www.ale.gov.cn/15/03.jsp?tid=20061123203055213902983），解压后点击AntiArpSniffer.exe运行该软件，点击获取MAC，再点追捕攻击者。     四．防御方法     1、在PC上绑定路由器的IP和MAC地址。     在c:/（C盘根目录）下创建或修改autoexec.bat文件，加入如下命令：     arp -d     arp -s 192.168.X.254 00-22-aa-00-22-aa     autoexec.bat放在C盘根目录下，每次开机后会自动执行。arp -d 删除ARP缓存表中的所有条目，arp -s 192.168.X.254　00-22-aa-00-22-aa　静态绑定网关IP地址与MAC地址。使用时将网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。     2、通过AntiArpSniffer3.1防御     下载软件AntiArpSniffer3.1，解压后点击AntiArpSniffer.exe运行该软件，点击获取MAC，再点击自动保护,我目前就有这款软件,想要的可以QQ或者EMAIL联系我.

 

sulf8510 2008-12-12 10:32 真是搞死人了。后来我外地一个朋友来了帮我搞定~~ ARP这个病毒厉害是厉害.,但是他唯一的问题就是必须调用系统里的npptools.dll文件...网络执法官一类的软件也用这个...如果你把这个DLL文件删除了..之后随便弄个DLL改名为npptools.dll然后NTFS分区格式把权限都弄掉...如果是FAT格式弄个只毒就OK了.`~` 然后再加个开机P处理... @echo off :::::::::::::::::::::::::::::::::::::::::::::::::::: ::     本机以及网关IP和MAC地址绑定批处理程序             :: ::   说明：此方法治标不治本，要想根本解决ARP请         :: :: 采用路由和本机实现双向绑定，程序编写QQ：457514 :: :::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::读取本机Mac地址 if exist ipconfig.txt del ipconfig.txt ipconfig /all 〉ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt 〉phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M :::::::::读取本机ip地址 if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt 〉IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I :::::::::绑定本机IP地址和MAC地址 arp -s %IP% %Mac% :::::::::读取网关地址 if exist GateIP.txt del GateIP.txt find "Default Gateway" ipconfig.txt 〉GateIP.txt for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G :::::::::读取网关Mac地址 if exist GateMac.txt del GateMac.txt arp -a %GateIP% 〉GateMac.txt for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H :::::::::绑定网关Mac和IP arp -s 192.168.0.1 00-17-16-00-88-ad (注释:改为你真实的网关地址和网关的MAC地址) exit     把以上红字,和括号里的注释删掉..存为BAT文件，加在组策略的启动里... 保证可以杜绝ARP病毒.并不影响系统正常运行..任何单机绑定都是徒劳的. 另外现在大部分网页都带ARP病毒文件,后台自动下载.我见过最多的执行程序名就是uprar.exe...这个就是个ARP病毒的执行程序.很多网站都带,,但是最多的还是*****以及小说网站,希望能绑到大家~~ 把附件后缀名改成BAT就OK了~~

 

sulf8510 2008-12-12 10:32 ARP应该是一直以来捆绕着众多网管朋友的一个难题，我在工作中也经常遇到，也因此搜集了很多关于ARP方面的资料跟防御工具，希望对朋友们有些帮助。 （先给朋友们提供一个基本的思路： 局域网防止ARP，双向绑定就够了，然后在注册表禁止一些软件比如网络执法官的运行等，就可以了。 提供一个思路把，客户机开机的批处理(记住批处理的名字不可以为ARP.bat) 一.@echo off arp -d arp -s 192.168.*.*(网关 IP) 00-00-00-00-00-00(网关 mac) exit 二.@echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 三. 禁止响应ICMP路由通告报文   “ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被*****、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。   修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine/System/CurrentControlSet/Services/TCPIP/Paramters/Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery”?REG_DWORD型的值修改为0（0为禁止响应ICMP路由通告报文，2为允许响应ICMP路由通告报文）。修改完成后退出注册表编辑器，重新启动计算机即可。 四.用我做好的那个ARP FOR XP，运行下就可以了，这个是禁止别人使用扫描或者嗅探软件的 原理是禁止安装WINPCAP。 五.再在注册表里面把OK.EXE PP 讯雷等禁止使用 六.不可忽略了网吧内的 服务器的ARP的防御，服务器建议用AntiArpSniffer 七.在路由器绑定局域网内所有机器的IP与MAC地址，如果路由不带IP与MAC扫描功能的话开启局域网所有的机器，用欣向ARP工具扫描出局域网所有机器的IP与对应的MAC地址，保存扫描的信息，然后登陆路由器添加所有的IP与MAC绑定） 一.ARP协议概述： P数据包常通过以太网发送。以太网设备并不识别32位IP地址：它们是以48位以太网地址传输以太网数据包的。因此，IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol，ARP)就是用来确定这些映象的协议。 ARP工作时，送出一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权，那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己，然后它就可以扮演某些机器，或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上， ARP映射可以用固件，并且具有自动抑制协议达到防止干扰的目的 二.ARP的工作原理:以太网设备比如网卡都有自己全球唯一的MAC地址，它们是以MAC地址来传输以太网数据包的，但是它们却识别不了我们IP包中的IP地址，所以我们在以太网中进行IP通信的时候就需要一个协议来建立IP地址与MAC地址的对应关系，以使IP数据包能发到一个确定的地方去。这就是ARP(Address Resolution Protocol，地址解析协议)。 讲到此处，我们可以在命令行窗口中，输入 arp –a 来看一下效果，类似于这样的条目 210.118.45.100   00-0b-5f-e6-c5-d7   dynamic 就是我们电脑里存储的关于IP地址与MAC地址的对应关系，dynamic表示是临时存储在ARP缓存中的条目，过一段时间就会超时被删除(xp/2003系统是2分钟)。 这样一来，比如我们的电脑要和一台机器比如210.118.45.1通信的时候，它会首先去检查arp缓存，查找是否有对应的arp条目，如果没有，它就会给这个以太网络发ARP请求包广播询问210.118.45.1的对应MAC地址，当然，网络中每台电脑都会收到这个请求包，但是它们发现210.118.45.1并非自己，就不会做出相应，而210.118.45.1就会给我们的电脑回复一个ARP应答包，告诉我们它的MAC地址是xx-xx-xx-xx-xx-xx,于是我们电脑的ARP缓存就会相应刷新,多了这么一条： 210.118.45.1   xx-xx-xx-xx-xx-xx   dynamic 为什么要有这么一个ARP缓存呢，试想一下如果没有缓存，我们每发一个IP包都要发个广播查询地址，岂不是又浪费带宽又浪费资源？ 而且我们的网络设备是无法识别ARP包的真伪的，如果我们按照ARP的格式来发送数据包，只要信息有效计算机就会根据包中的内容做相应的反应 三.ARP攻击的原理 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。 A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。 中了ARP后的一些现象： 1：能PING通网内其它客户机，但PING不通路由，上不了网（连接到INTERNET)。 2：能PING通网内其它客户机，同样PING不通路由，但能上网（能连接到INTERNET）。 3：当中毒的机器向网关路由发出请求时，网关路由的ARP缓存还未到刷新时间，网关路由内的ARP缓存表中保存的是客户机还未中毒前的MAC地址。而这个MAC地址，与客户机当前请求的MAC（被病毒修改过）不一致，客户机的连接请求被网关拒绝。即发生与网关断流。 4：当中毒的源头机器向局域网发出假MAC广播时，网关路由也接收到了此消息，并将这些假MAC地址与其IP相对应，并建立新的ARP缓存。导致客户机与服务器断开连接。 四.ARP解决思路 1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。 在网关路由上对客户机使用静态MAC绑定。ROUTE OS软路由的用户可以参照相关教程，或是在IP--->ARP列表中一一选中对应项目单击右键选择“MAKE STATIC”命令，创建静态对应项。 用防火墙封堵常见病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下载 3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、管理员定期轮询，检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 10：在客户机上进行网关IP及其MAC静态绑定，并修改导入如下注册表：   （A）禁止ICMP重定向报文   ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。   修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine/System/CurrentControlSet/Services/TCPIP/Paramters”分支，在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0（0为禁止ICMP的重定向报文）即可。   （B）禁止响应ICMP路由通告报文   “ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被*****、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。   修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_Machine/System/CurrentControlSet/Services/TCPIP/Paramters/Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery 用到的软件: AntiArpSniffer3. ARPfo XP ARPpoliceSetup ARP保护神 ARP监控软件 arp每隔1秒自动静态导入 网卡与MAC绑定器 欣全向ARP工具 请大家到网上搜索下载

 

sulf8510 2008-12-12 10:33 现在频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.现在我给大家讲一下现在很流行的一种木马.<传奇网吧*****>.基本上东北地区的网吧都被这一木马弄的身心疲惫.但是现在有解决的方法了. 中病毒特征: 网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线. 木马分析 : 传奇*****木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码. 木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了. 解决办法:守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的IP段设置和你内网的IP段一样.比如说:你的内网IP是192.168.1.1------192.168.1.254你的设置时也要设置192.168.1.1------192.168.1.254.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧*****)要是不知道路由器的MAC地址,在路由器的设置界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在安全模式下查杀(这是瑞星反病毒专家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经验.在卸后第三天病毒还会死灰复燃,我想可能是注册表里还有他的隐藏文件.在观查几天后正常就可以卸载掉了. 注:还原精灵和冰点对网吧传奇*****木马不起做用.(传奇*****木马不会感染局域网.不要用硬盘对克,对克跟本不起任何做用.而且还会感染到母盘上.切记!) 最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策) 下面是传奇网吧*****木马的文件: 文件名：     文件路径：           病毒名： a.exe>>b.exe   c:/windows/system32     Trojan.psw.lmir.jbg 235780.dll   c:/windows/           Trojan.psw.