我的电脑现在已经中了ARP欺骗木马程序!有谁知道该怎么把木马删除啊??非常紧急!

arp

欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正常运行。感染此木马的计算机试图通过“

arp

欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、

ie

浏览器频繁出错以及一些常用软件出现故障等问题。目前，已知传奇游戏的“传奇

2

冰橙子

1.14

”和“及时雨

pk

破解版”两种外挂存在着这种木马。此木马的手工查杀比较困难，用户可以通过检查系统进程表和

arp

表进行感染判断和处理，具体过程和方法如下：一

.

用户检查和处理“

arp

欺骗”木马的方法

1

．检查本机的“

arp

欺骗”木马染毒进程

同时按住键盘上的“

ctrl

”和“

alt

”键再按“

del

”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“

mir0.dat

”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2

．检查网内感染“

arp

欺骗”木马染毒的计算机

在“开始”

-

“程序”

-

“附件”菜单下调出“命令提示符”。输入并执行以下命令：

ipconfig

记录网关

ip

地址，即“

default

gateway

”对应的值，例如“

192.168.8.123”。再输入并执行以下命令：

arp

–a

在“

internet

address

”下找到上步记录的网关

ip

地址，记录其对应的物理地址，即“

physical

address

”值，例如“

00-e0-fc-3e-13-b4

”，将该值报告给网络中心。在网络正常时这就是网关的正确物理地址，在网络受“

arp

欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部

ip

地址，然后再查

arp

表。如果有一个

ip

对应的物理地址与网关的相同，那么这个

ip

地址和物理地址就是中毒计算机的

ip

地址和网卡物理地址。

二

解决“

arp

欺骗”木马的方法

1.设置

arp

表避免“

arp

欺骗”木马影响的方法

本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上述介绍的方法确定正确的网关

ip

地址和网关物理地址，然后在

“命令提示符”窗口中输入并执行以下命令：

arp

–s

网关ip

网关mac地址

如：arp

-s

192.168.8.123

00-e0-fc-3e-13-b4

也可将此命令写入一个".bat"文件并放在"启动"中，使得系统每次启动就生效。2.将系统重新启动到安全模式，查找以下三个文件：kb4813541.log、loadhw.exe、

msitinit.dll，并将其删除，重新启动计算机即可。

由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C！这就是一个简单的ARP欺骗。

ARP欺骗现象表现为：

例如：主机A想要和主机B通信，主机A会查找本地arp表，找到主机B的mac地址，然后进行传输。如果主机A没有找到主机B的mac地址，那么主机A就会发送一个arp广播包，主机B收到这个ARP广播包后，回复主机A它的mac地址。然后主机A就会在本地arp缓存表里，生成主机B的ip和mac地址信息。（该表现默认会保存300秒）

ARP欺骗如何解决：

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

关于ARP欺骗的具体原理请看我收集的资料ARP欺骗的原理 如果用户发现以上疑似情况，可以通过如下 *** 作进行诊断：

点击“开始”按钮->选择“运行”->输入“arp –d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

注：arp -d命令用于清除并重建本机arp表。arp –d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。

2、被害者：(1)绑定网关mac地址。具体方法如下：

1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。

(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

AntiArp软件会在提示框内出现病毒主机的MAC地址 第一招：使用Sniffer抓包

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送

ARP　Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

第二招：使用arp -a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp -a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。