电脑局网中了ARP病毒,一点疑惑请指教
家里4台电脑,主机中了ARP病毒;现在其他三台电脑都重分区重做系统了,现在连接完网线正常上网了。但是主机里面有好多资料,不舍得重分区重做呀,可朋友说如果不那样的话万一还有...
家里4台电脑,主机中了ARP病毒;现在其他三台电脑都重分区重做系统了,现在连接完网线正常上网了。但是主机里面有好多资料,不舍得重分区重做呀,可朋友说如果不那样的话万一还有病毒整个网络又瘫痪了,偶是个电脑小白,请教下大家主机应该怎么弄?有专杀的软件没?或者用其他办法把资料转移可以么?比如移动硬盘什么的。谢谢大家了,请帮我想想办法吧!
展开
7个回答
展开全部
中ARP病毒一般修改MAC地址,这也就造成你即使装上了彩影ARP防火墙也无济于事的原因。但是,解决起来就简单了。请楼主耐心看完:(1)还原系统,立即装上彩影ARP防火墙,局域网内所有机器全部安装ARP防火墙。并进行查杀病毒,当然也可以按下面提到的方法查杀。(2)重装系统后
a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。
b、使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径 指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感 染病毒的电脑和手工处理病毒,比较困难。
c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。
(3)使用Sniffer抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送 ARP Request请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。
(4)使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
(5)使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
(6)编辑一个***.bat文件内容如下:
arp.exe s**.**.**.**(网关ip) ************(网关MAC地址)end
让网络用户点击就可以了!
(7)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MAC"="arp s网关IP地址网关MAC地址"
然后保存成Reg文件以后在每个客户端上点击导入注册表
以上方法可以综合使用,楼主内心点定可以解决问题。手疼...分来...谢谢
a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。
b、使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径 指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感 染病毒的电脑和手工处理病毒,比较困难。
c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。
(3)使用Sniffer抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送 ARP Request请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。
(4)使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
(5)使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
(6)编辑一个***.bat文件内容如下:
arp.exe s**.**.**.**(网关ip) ************(网关MAC地址)end
让网络用户点击就可以了!
(7)Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"MAC"="arp s网关IP地址网关MAC地址"
然后保存成Reg文件以后在每个客户端上点击导入注册表
以上方法可以综合使用,楼主内心点定可以解决问题。手疼...分来...谢谢
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
2013-04-02
北京瑞星信息技术股份有限公司
瑞星公司主营业务为信息安全整体解决方案的研发、销售及相关增值服务。公司自成立以来一直专注于信息安全领域,以优质的产品和专业的“安全+”服务,向政府、企业及个人提供各类安全服务,帮助所有用户。
向TA提问
关注
![]()
展开全部
关于楼主说的arp攻击问题,楼主可以看看下面的介绍和处理方法。
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
要装ARP防火墙~可以装贝壳ARP防火墙(在ARP防火墙中数一数二)
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
先用好点的杀软全盘杀毒,像卡巴,NOD都不错,再装个彩影ARP防火墙。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
做一下静态绑定 或是安装ARP防火墙,就可以了,影彩的那个比较好用。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
资料你先弄到桌面上去,再拷贝。你的木马可以用大蜘蛛杀。我用过很好不过25元1个月
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(5)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
