突然发现局域网中的计算机都中了毒,在百度上搜索了一圈,发现下面的方法可以处理。
----------------------------------------------------------------
昨天下午,电脑突然访问所有的网站,瑞星监控都跳出发现Trojan.DL.JS.Small.lha的病毒提示,所有网页上都显示有错误,且都会连到http://878772.cn/arp.htm这个网页,C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files会出现arp.htm,vip.htm,CAOPIZ2J.htm,1023960.js这几个文件。一会儿同事们也都跑过来说访问网站总是跳出病毒提示。哈哈,公司有电脑中arp病毒了。
处理对策:
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定在每台电脑的MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC (例如网关的ip是192.168.1.1 网关的Mac是08-10-17-ac-ab-7a 在cmd下运行 arp -s 192.168.1.1 08-10-17-ac-ab-7a )
但需要说明的是,手工绑定在关机后重新开机后就会失效,需要再绑定。所以我们可以把 arp –s 网关IP 网关MAC 做成一个批处理文件,然后把他放在启动菜单项里,这样每开机就会自动运行了。
找到感染ARP 病毒的机器,在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑,也就是被感染ARP 病毒的机器。更新杀毒软件杀毒,操作系统打补钉。
解压后运行ARP保护神2.1中的ARP.EXE
ARP病毒专杀工具
系统补钉下载地址:
