aidetiantang

最近以来，很多单位都发现ARP病毒泛滥，导致局域网故障，偶曾亲自处理过3例，全部手工清理，未重做系统。。。现把个人经验分享给大家。当然，偶处理的也不一定对，也希望我们大家一起研究、探讨，共同建设一个安全稳定的网络环境。。 j!b?x2_  

oPWS  
    需要用到的软件： |c9)hWdAQ  
    1、ARP防火墙单机版 v4.x(原名:Anti ARP Sniffer) F)Y@WS  
          ARP防火墙网络版 V3.0.0.1 *;sBjMsBh  
        下载地址 ：http://www.antiarp.com/download.htm n/IbL\U  
    2、局域网查看工具(LanSee) QA.Fms  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=1234 RW3m  
          局域网助手(LanHelper) v1.5.0 @4Jpu =0  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=970 ''<^/PY  
      3、恶意软件清理助手 Y83Kc K  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=1562 W( ,IJf(  
      4、Windows清理助手 z|2v41i\  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=1561 rT'%vHU3  
      5、System Repair Engineer (SREng) u\uLn>}+  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=1537 Ol4U=jYy  
      6、360安全卫士 >SHlt o  
          http://10.161.163.100/Soft/ShowSoft.asp?SoftID=1563 ,Tp"BR\V  
      建议将上述软件下载后，放在移动硬盘或者U盘中备用。。。。 q7jF ~  
So&k"  
具体操作步骤如下： |-& I WWl  
    1、首先在局域网内任何一台机器上安装ARP防火墙软件，单机版和网络版都无所谓，目的是检测局域网内的ARP病毒源。运行arp防火墙后，软件会自动拦截ARP攻击，同时会提供ARP攻击者的MAC地址和IP地址，个别的无法显示IP地址，这时候就需要用到局域网查看工具或者局域网助手了。通过这2个软件（可以任意选，推荐用局域网助手），可以通过攻击者的MAC地址，查出攻击者的IP和机器名。有这这些资料，自然就可以查找出中毒的ARP机器了。（如果通过这些信息还查不出机器，只能说明网管的工作不到位了。） oo~' +  
    2、找到ARP病毒源后，立即拔掉该计算机网线，重新启动计算机。如果能进入安全模式最好。如果不能，无所谓了。进入系统后，首先启动任务管理器，查看系统进程，至于那些进程是异常的，不能一句话说清楚了，只能凭个人经验去判断，然后结束它。 jcgw4\8  
    3、插入你的移动硬盘或者U盘，运行System Repair Engineer (SREng)软件，这个软件能自动检测开机自动加载的异常东东，并通过颜色等提示给你，很简单，同时还提供了各种系统修复功能，建议大家逐项看看。当然，主要是检查注册表启动栏目，删除异常的启动加载项目，如果你不敢确认是否可以删除，建议备份一下，进入注册表执行备份就行了。 ]Zd|nl  
      4、分别执行“恶意软件清理助手”和“Windows清理助手”，来检测系统内是否有恶意软件，自然ARP也会被查为恶意或者木马软件，然后选择清理，值得一提的是，“恶意软件清理助手”也具有检测注册表开机加载项目，因此如果System Repair Engineer (SREng)软件不能运行的情况下，这个就有用了。当然，个别恶意软件是无法一次清理干净，所以大家可以清理一次后，重新启动计算机，再次运行上述2个软件，再次查杀一遍。 E,*DcNV7  
      5、打开我的电脑，或者资源管理器，点击“查看”或者“工具”菜单，选择“文件夹选项”，再选择“查看”项目，取消“隐藏受保护的操作系统文件夹（推荐）”前面的对号，再选择“显示所有文件和文件夹”（多数机器中毒后无法“显示所有文件和文件夹”，这时需要手工修改注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下面的CheckedValue，将0改成1，关闭注册表，在设置“显示所有文件和文件夹”即可）。做好上述设置后，用资源管理器，分别检查如下目录： m#F\}#%jkb  
2000系统：c:\winnt、c:\winnt\system32 hWs,>*
Ut  
XP系统：c:\windows、c:\windows\system32 &$c\n~ze^  
    查看方式选择详细资料，并按照时间排序，检查文件夹内最近时间的文件，如病毒发作时间左右，一般都是2007年4-6月左右，这要看这机器什么时候中毒的。一般病毒文件都伪装成系统文件，如扩展名为.exe或者.DLL。而且都被设置了隐藏、系统等属性，防止你删除。这些文件你可以通过比较文件创建时间就可以段性。（偶个人经验，上述几个目录中，如果有2007年以后的.exe或者.com等可执行文件，90%以上都是病毒或者木马、恶意软件等，而.dll等文件就不好判断，需要个人经验了。）对于这些异常的文件，删除！ *Rq*X2`  
      6、再检查c:\winnt\tasks或者C:\WINDOWS\Tasks目录下，是否有计划任务，一般恶意软件也会自动添加一个定时任务，删除他。 &yU4NKj  
      7、安装360安全卫士，当然，因为个别机器中毒，也会导致无法安装360安全卫士，不过一般经过上述查杀后，可以安装了。装了360安全卫士后，再用360安全卫士清理一下流氓软件，并通过全面修复功能，检查开机启动项目、系统服务等，360安全卫士一般会给出一些建议，对于新手还是有点帮助的。 X_r48w  
      8、安装杀毒软件，目前电力系统几乎都是诺顿网络版，虽然个人认为不太好用，不过毕竟是统一部署的，所以还是安装了吧。再检查XP系统的网络防火墙是否打开，中毒后的机器多数防火墙都被关闭了。启动网络防火墙。 ombk
U1  
      9、强烈建议各单位网关搭建WSUS服务器，为本单位的计算机配置自动更新系统补丁，这将为你们减轻很多工作量！！！！ F7n))(  
Tp2<wWBS  
      最后，重新启动计算机，接上网线，试试吧！ ) OUzPY  
      祝大家好运！！！

ld51668

我上次用双向绑定解决了朋友局域中了ARP的问题。

czczczczcz

楼主这贴发的及时啊～我们这里最近ARP肆虐，正好看看

caiares

引用:

原帖由 ld51668 于 2007-12-19 09:17 发表
我上次用双向绑定解决了朋友局域中了ARP的问题。

怎样"双向绑定",请告知具体操作

yangkking

这篇文章太好了，解决了我的大问题，感谢楼主的辛苦工作，发扬光大

wivis

anti arp使用时间有限制，现在改用dr.com arp防火墙了，其实这些也不用，根据arp病毒的原理，把网关arp表设置为静态保存就可以，步骤：
新建一个.bat文件，添入下面内容：
@echo off
arp -d
arp -s 网关ip  网关mac地址

然后将这个文件加入到启动里面，这样每次电脑启动话会自动的设置网关arp了