ARP病毒的解决方案
一般出现局域网
网吧用户一般可以用ROS路由进行绑定,在主机上安装上ARP防火墙服务端,客户机安装客户端,双相绑定比较安全。
软件百度搜索下
推荐软件:http://wwwantiarpcom/down.asp?ArticleID=81
市面上有众多的ARP防火墙推荐使用360
建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址
首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将网关IP和MAC更改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。
自己手动清除病毒:
⒈立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监控”功能,实时地拦截来自局域网络上的各种ARP病毒变种。
⒉立即根据自己的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序,将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。
⒊检查是否已经中毒:
a. 在设备管理器中,单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已经中毒。
⒋对没有中毒机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证正常上网。
⒌对已经中毒电脑可以用以下方法手动清除病毒:
⑴删除:%windows%\System32\LOADHW.EXE (有些电脑可能没有)
⑵a. 在设备管理器中,单击“查看—显示隐藏的设备”
b. 在设备树结构中,打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击,”卸载”
e. 重启系统
⑶删除:%windows%\System32\drivers\npf.sys
⑷删除%windows%\System32\msitinit.dll(有些电脑可能没有)
⑸删除注册表服务项:开始〉运行〉regedit〉打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应该有2个).至此arp病毒清除.
⑹根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:
a.用杀毒软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项:
1)%windows%\System32\nwizwmgjs.exe(一般杀毒软件会隔离)
2)%windows%\System32\nwizwmgjs.dll(一般杀毒软件会隔离)
3)%windows%\System32\ravzt.exe(一般杀毒软件会隔离)
4)%windows%\System32\ravzt.dat
3)%windows%\System32\googleon.exe
c.重置winsock(可以用软件修复,下面介绍一个比较简单的办法):
开始>;运行>CMD,进入命令提示符,输入cd..回车,一直退出至c盘根目录,在C:>;下输入netsh winsock reset回车,然后按提示重启计算机。
最暴力的去除arp病毒的方案,无需复杂的代码命令操作,一样可以有效去除arp病毒的困扰:
(病毒软件无法查杀出arp病毒,无论是三流零 喏盾和avast,和谐)
1:绑定本机的ip地址和max地址,隐藏SSID,修改网关地址,例如:192.168.18.1可以改成192.168.43.93,修改默认路由器登录账号和密码.
(w7电脑可以用cmd命令调出控制台,在控制台方框里面输入ipconfig(空格)/all,可以查到当前本机电脑的IP和MAX地址,(如果用无线WiFi就选择无线网络设配器看ip和max地址,不是就反之)然后进入路由器设置ip和max地址绑定)
2:下载arp防火墙软件,推荐诺顿企业版和风云防火墙。
(传统杀毒软件arp防火墙防御能力不够强,可以下载诺顿企业版的防御软件,杀毒+网络arp防火墙,不过诺顿企业版杀毒能力不强,但是防御能力蛮强的,设置的规则有效抵御arp欺骗和外网攻击,或者下载国产风云防火墙个人版,在风云里面绑定ip和max地址,功能较多强大,最强大的莫过于类似进程管制的功能,系统每调用一个进程或者服务,都要经过风云防火墙的同意才能允许运行,我曾经就利用这个功能找出了系统的木马程序)
3:禁止远程访问端口
(在w7组策略禁止常用远程灰鸽子软件的访问端口,例如:339、335、445等端口,禁用NIOS服务,下载一个禁用各种黑客控制软件访问端口的批处理,设为开机启动)
4:规律上网
(浏览有颜色网页可以用ADsafe网页广告过滤软件过滤各种弹窗广告,搜集大型的资源较多较全的磁力网站,搜电影不怕病毒,或者电脑硬盘容量较多的,可以安装一个虚拟系统软件:vwmare,虚拟系统所有运行的病毒和软件无法感染主系统)
5:定期更新漏洞
(安全软件附带的漏洞补丁有几率会造成系统蓝屏,最好就是使用口碑好大流量的网站提供的微软漏洞补丁安装包,网站会剔除会产生蓝屏的漏洞补丁,用户可以放心安装)
6:还原路由器的恢复出厂设置功能(重要)
(千万不要点击路由器外壳的重置按钮,重置了也用)
此上述方案能防arp病毒攻击、arp欺骗、黑客软件攻击和控制电脑
如果电脑被远程控制,中了arp病毒断网攻击和arp网关欺骗,重装系统和一键还原或者硬盘格式化均无用的情况下,可以考虑进入PE系统,修复MBR引导,用分区软件分区,可以重格系统,安装微软官方纯净版的系统,高效稳定。
