(局域网arp欺骗解决办法.docVIP

网关欺骗之网上解决方法 2009-5-11 12:31:20 ARP网关欺骗 By? zhangyun 发表于 2006-10-31 10:31:38? 网文解决办法如下：　　近期，一种新型的“ arp 欺骗”木马病毒正在网中扩散，严重影响了网络的正常运行。感染此木马的计算机试图通过“ arp 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、 ie 浏览器频繁出错以及一些常用软件出现故障等问题。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 pk 破解版”两种外挂存在着这种木马。木马的手工查杀比较困难，用户可以通过检查系统进程表和 arp 表进行感染判断和处理，具体过程和方法如下：　　一 . 用户检查和处理“ arp 欺骗”木马的方法 　　1 ．检查本机的“ arp 欺骗”木马染毒进程 　　同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。如果有，则说明已经中毒。　　2 ．检查网内感染“ arp 欺骗”木马染毒的计算机　　在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令： ipconfig ，记录网关 ip 地址，即“ default gateway ”对应的值，例如“ ”。再输入并执行以下命令： arp –a ， 在“ internet address ”下找到上步记录的网关 ip 地址，记录其对应的物理地址，即“ physical address ”值，例如“ 00-e0-fc-3e-13-b4 ”，将该值报告给网络中心。在网络正常时这就是网关的正确物理地址，在网络受“ arp 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。 　　也可以扫描本子网内的全部 ip 地址，然后再查 arp 表。如果有一个 ip 对应的物理地址与网关的相同，那么这个 ip 地址和物理地址就是中毒计算机的 ip 地址和网卡物理地址。 　　二 解决“ arp 欺骗”木马的方法　　1.在进程中如果有“vktserv”进程，右键点击此进程后选择“结束进程”，然后在c:\windows\system32路径找到vktserv.exe文件删除，在“控制面板”-“管理工具”-“服务”中，找到vktserv服务禁用，重起机器。　　2.设置 arp 表避免“ arp 欺骗”木马影响的方法 　　本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上述介绍的方法确定正确的网关 ip 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：arp –s 网关ip 网关mac地址， 如：arp -s 00-e0-fc-3e-13-b4 ；也可将此命令写入一个.bat文件并放在启动中，使得系统每次启动就生效。下载地址：ARP病毒免疫批处理补丁　　3.打ARP病毒免疫补丁 　下载地址： ARP病毒免疫补丁　　4.下载瑞星杀毒软件杀毒和瑞星防火墙2006版　下载地址： 瑞星杀毒软件 瑞星防火墙2006 --------------------------------------------------------------------------今天朋友单位的局网7、8台电脑出现这样的情况PING网关时断时续，PING别的机器正常，换上自带的笔记本则完全没问题，而且几台系统还原了，还是老样子，如果是一台电脑有问题那可能是网卡的问题了，现在多台电脑这样，应该不是网卡的问题怀疑局网中有网络ARP类型的木马，因为系统既然还原了，在别的染毒电脑上有记录的只有网卡的MAC，而且PING别的机器是好的，因ARP病毒在更改ARP缓存中的网关MAC，所以叫朋友通过注册表换了网卡的MAC，此时PING网关完全正常。基本确定了是ARP欺骗类型的木马，不断在更改他所记录的MAC地址网卡缓存内的网关MAC，所以时断时通。就叫朋友用ARP -S绑定出问题几台电脑的正确网关MAC。此时电脑都正常了。 还有一个关键问题没查出来，那就是此病毒的根在哪，哪台电脑在不停发包？这个办法是这样的在出问题的电脑上用ARP -A命令查看网关对应的MAC，情况应该是这样，有时网关IP对应的是正确的MAC，有时是病毒根电脑的MAC，这样就好办了，把病毒电脑的MAC记下来。用SNIFFER PRO的局域网扫描IP+MAC功能扫描 整个局域网，一一对应的IP -MAC列表就出来了，一比较就知道哪台电脑出问题了。 找到那台电脑，病毒如下：G_Server2.0.exeokserver.exeVKTServ.exewin