在局域网查找中毒电脑.docVIP

在局域网查找中毒电脑/arp 病毒清除 在局域网查找中毒电脑！！第一步骤: 找一台服务器(首先你要保证这台机器没有任何的病毒),然后建一个文件夹名为病毒,然后把这个文件夹开一下共享,名为:bd$. 要开所有权限.可读可写..第二个步骤:随便找几个100K以下的.EXE文件放进这个病毒这个文件夹里面.以可以新建几个空的文本文档，然后把文件扩展名改成exe第三个步骤:用工具查看哪台机器连了你这边机器的bd$这个共享文件夹的,哪台连接了,哪台就有病毒..而且你的病毒文件夹里面的.EXE文件已经被感染了..用这个办法找到了许多中毒的机器,然后再加以防范,也找到了不少的病毒的样本,嘿嘿.,... 大家给我往死里顶..哈哈....开这样的共享 bd$ 顾客不可能自己跑进来,,只有病毒自己会跑进来,一进来,肯定就有病毒. 而且比较局部网哪台机器中毒,也非常好查,看看哪台机器连了你这个共享,哪台肯定中毒了.直接去GHOST就行了ARP欺骗攻击的包处理办法通用的处理流程1。先保证网络正常运行方法一：编辑一个***.bat文件内容如下：arp.exe s***.***.***.***(gw ip) ************(gw mac address)end让网络用户点击就可以了！办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]MAC:=arp s ***.***.***.*** ********** gw ip and gw mac address然后保存成Reg文件以后在每个客户端上点击导入注册表。前言：今年算是ARP和LOGO1病毒对网吧的危害最大，在前期我们一般采用双向梆定的方法即可解决但是ARP变种 出现日期大概在10月份，大家也许还在为网关掉线还以为是电信的问题还烦恼吧，其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C现在的这个ARP变种病毒更是厉害，我把自己遇到过的情况说给大家听听，如果大家有这些情况，不好意思“恭喜你”你中大奖了，呵呵~~先了解ARP变种病毒的特性吧:一:破坏你的ARP双向绑定批出理二:中毒机器改变成代理服务器又叫代理路由三:改变路由的网关MAC地址和internat网关的MAC地址一样病毒发作情况：现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网网关，改变了它的原理，这点实在佩服直接攻击您的路由的什么地址你知道吗？哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线，一会儿是几台几台的掉线。而且中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了ARP没有掉线，那说明你中了最新的变种，你只要重启了那台中了ARP病毒的电脑，那么受到ARP攻击的机子就会全部掉线内网的网关不掉包，而外网的IP和DNS狂掉，这点也是ARP变种的出现的情况，请大家留意。我在最后会公布解决的案例和相关补丁，请大家看完全文可能对你有帮助哦，不要急着下~呵呵~该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。??? 一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：??? C:\WINNT\system32arp -a??? ??? Interface: 93 on Interface 0x1000003??? Internet Address Physical Address Type??? 00-50-da-8a-62-2c dynamic??? 3 00-11-2f-43-81-8b dynamic??? 4 00-50-da-8a-62-2c dynamic??? 5 00-05-5d-ff-a8-87 dynamic??? 00 00-50-ba-fa-59-fe dynamic??? ??? 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为4的MAC地址，的实际MAC地址为00-02-ba-0b-04-32，我们可以判定4实际上为有病毒的机器，它伪造了的MAC地址。??? ??? 二、在4上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：??? C: