APR病毒的解决方法,以前发过几个,今天看到一个不错的,就转了过来。
操作系统:WINDOWS2000 与 WINDOWS XP
防毒软件:NORTON 10.0企业版,个人认为这些杀毒软件争对ARP病毒真的是毫无办法。
上网方式:WINGATE 代理上网
感染范围:公司局域网内可以上网的电脑
病毒类型:ARP病毒
病毒文件:
cmdbcs.exe
cmdbcs.dll
genprotect.exe
packet.dll
wanpacket.dll
wpcap.dll
addrns*.dll
qdshm.dll
addrmshecp.cfg
addrzthelp.dll
addrzthelp.cfg
wpcap.dll
addreghelp.cfg
等等。
在WINDOWS,WINNT,SYSTEM32文件夹下与上述文件相近日期时间的所有文件。大部分都是隐藏属性的文件。
ARP感染过程:
首先一台WINXP电脑,在上网时无意中感染了ARP病毒,然后通过发IP地址冲突包,感染其它的电脑,导致其它的电脑通过特殊的端口,在后台,从特殊的服务器上下载ARP病毒。最后在网络上ARP表中产生很多的相同的IP地址,主要是与网关相同的IP但MAC不同,从而导致网络PING网关断续续。
下面我来总结我们公司三位工程师用了一天的时间研究(上午9:00-晚上20:00)争对ARP病毒的发现到消灭ARP病毒的全过程。现精简如下:
前提:有一份网卡MAC地址、IP地址与电脑编号的对照表(希望每一位企业与网吧网络技术人员在维护网络时必备的参照表),方便发现故障机可以最快的速度断开它的连接。
第一步:发现中毒机器并隔离它
如果你发现在局域网内的电脑经常上不到网,PING网关则丢包严重,或者根本PING不通,则在局域网内肯定有APR相关的病毒存在,简单的查看方法是在CMD命令提示下:输入 arp –a 命令查看有没有相同的IP地址,如有则用 arp –d 命令清除ARP地址表,就可以上网了,但病毒还存在网络中,还会继续发作,另外这种方法并不能显示所有中毒电脑的MAC地址。
我的方法是:在自己电脑上安装网络执法官 v2.88企业版,用于监控局域网内有没有相同IP地址,主要监控网关的IP就可以了。如发现有与网关相同的IP,则对照MAC地址清单,找到非网关的MAC地址电脑,将它的网络断开,以免感染其它的电脑。
第二步:清除ARP病毒文件及删除注册表启动项
首先进入安全模式,手动删除WINDOWS、WINNT、SYSTEM32文件夹下的所有病毒文件(上面有描述)。有个别DLL类型的文件不能直接删除,必须将它的扩展文件改为BAK(也可以是其它非DLL、EXE、COM类型),再进入注册表删除相关启动项,然后重新进入安全模式再删除它。
第三步:安装最新版360安全卫士,清除木马,流氓软件,恶意插件 及 修复IE
因为ARP病毒还有些相关的信息存放在IE里面,一定要清除,否则一段时间后(大概5分钟),只要你连接上INTERNET,又会继续感染。
个人感觉360功能比较全面,并且是免费的,特推荐使用它。在感染病毒的电脑上,安装好360安全卫士,然后查杀木马及清理恶评系统插件,最后再修复IE。
第四步:运行ARP(TSC)专杀工具
因这个专杀工具是一个过时的工具(最新的ARP病毒变种为2006-8-24),网上找了N个都是相同的,还没有发现比它更新的工具。在这里运行它主要是防止有些老的及忘记删的ARP病毒。
运行它也只是过过场而己。到此,ARP病毒己经从本机清除干净。
第五步:运行WINSOCKFIX.EXE
这步主要争对有些电脑删除ARP病毒后,造成无法上网及收发邮件的解决方法。运行完后,这台电脑的IP、网关、DNS都要重新设置。
第六步:防止以后再中ARP病毒
跟据需要打上360 ARP防火墙。及禁止所有电脑访问,这些电脑中毒后,后台所访问的网址,肯定要一个个仔细去查找。电脑中所有的漏洞与补丁都要打上,可以通过360的修复漏洞功能。
