windows之家1.怎样清除欺骗型的ARP病毒
1、ARP病毒分析 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。 当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息: MAC Chged 10。 128。
103。124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。 BKDR_NPFECT。
A病毒引起ARP欺骗之实测分析 Part1。 病毒现象 中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。
Part2。 病毒原理分析: 病毒的组件 本文研究的病毒样本有三个组件构成: %windows%SYSTEM32LOADHW。
EXE (108,386 bytes) …。
”病毒组件释放者” %windows%System32drivers pf。sys (119,808 bytes) …。
”发ARP欺骗包的驱动程序” %windows%System32msitinit。
dll (39,952 bytes) …”命令驱动程序发ARP欺骗包的控制者” 病毒运作基理: 1。 LOADHW。
EXE 执行时会释放两个组件npf。sys 和msitinit。
dll 。 LOADHW。
EXE释放组件后即终止运行。 注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能。
客户若原先装有winPcap, npf。sys将会被病毒文件覆盖掉。
2。随后msitinit。
dll将npf。sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver" msitinit。
dll 还负责发送指令来操作驱动程序npf。sys (如发送APR欺骗包, 抓包, 过滤包等) 以下从病毒代码中提取得服务相关值: BinaryPathName = "system32drivers pf。
sys" StartType = SERVICE_AUTO_START ServiceType = SERVICE_KERNEL_DRIVER DesiredAccess = SERVICE_ALL_ACCESS DisplayName = "NetGroup Packet Filter Driver" ServiceName = "Npf" 3。 npf。
sys 负责监护msitinit。dll。
并将LOADHW。EXE注册为自启动程序: [HKEY_LOCAL_] dwMyTest =LOADHW。
EXE 注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除。 Part3。
反病毒应急响应解决方案 按以下顺序删除病毒组件 1) 删除 ”病毒组件释放者” %windows%SYSTEM32LOADHW。 EXE (本机没找到) 2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”) %windows%System32drivers pf。
sys a。 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b。
在设备树结构中,打开”非即插即用…。” c。
找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表 d。 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”。
e。 重启windows系统, f。
删除%windows%System32drivers pf。sys 3) 删除 ”命令驱动程序发ARP欺骗包的控制者” %windows%System32msitinit。
dll (本机没找到) 2。 删除以下”病毒的假驱动程序”的注册表服务项: HKEY_LOCAL_ 重新启动后,%windows%System32drivers pf。
sys 文件依然存在。晕。
防御性的办法: 可以建立一批处理文件,绑定IP和MAC,最好在机器和路由器中都绑定。 @echo off arp -d arp -s IP MAC 并加入到启动项。
没有彻底的解决办法,只能先这样搞下。 内网有些机器还是断断续续不能上网,于是马上找原因,使用arp -a看到自己网关的MAC地址变成了和内网一机器的MAC地址相同,于是断定内网有机器中了ARP网关欺骗型病毒。
(前提是知道网关的正确的MAC地址,可以通过在可以正常上网的机器上,使用arp -a命令查看网关的MAC地址,通过对比发现网关的MAC地址被修改。) 在使用“木马杀客”查杀病毒时候,发现有VKTServ病毒,上网查了一下这个病毒,没想到竟然有所发现,它就是使得内网机器的网络时断时续的罪魁祸首。
马上参照别人的方法,综合自己的经验,查杀如下: 1。进入安全模式,在“服务”里面将VKTServ服务禁用。
2。在c:windowssystem32。
2.WIN7中了ARP病毒,求高手解决问题补充:我已经将网关IP和m
我的电脑-工具-文件夹选项-查看-隐藏受保护的操作系统文件(前面的勾去掉) 分别看看 个硬盘是不是有个叫auto的文件 如果有 删除方法 Auto病毒手动删除 本日志只对对操作系统非常熟练的管理员,普通用户请去下载杀毒软件 现象:移动盘无法打开,而且用传统的删除inf文件的方法也不行! U盘解决方法: 1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone。
exe的进程 2、进入c:\windows,删除其中的ravmone。exe 3、进入c:\windows,运行regedit。
exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone。 exe的,把它删除掉 4、完成后,病毒就被清除了。
对移动存储设备,如果中毒,则对“文件夹选项”操作,把所有文件和文件夹显示出来,点击确定,然后在移动存储设备中会看到如下几个文件, f,msvcr71。dl,ravmone。
exe,都删除掉,还有一个后缀为。 tmp 的文件,也可以删除,完成后,病毒就清除了。
至此为止,您机器上的“木马”就算完全解除了。 现在是您的移动设施,首先你您的移动设施拔出,再插入(这个步骤不能少)。
在我的电脑中该盘符上按住鼠标右键。检查第一个选项是否为"Auto“,如果是,那就是该盘已中马,如果不是,可以放心双击使用。
1,格式化该移动设施,该法删除比较彻底,适合文件不多、空间不大的移动设施,格式化后,问题完全解决 2,点右键选择”打开“(千万不能双击打开,否则木马又会进行复制),找到该盘下的ravmonE。exe文件,autorun文件,超级文本以fot开头的文件,全部删除(autorun、超级文本以fot为隐藏,可以在我的电脑窗口最上端-工具-文件夹选项-查看-显示所有隐藏文件让它显示),在确定没有上述文件后,退出U盘,再插入检查是否有"Auto“,如果没有,则删除成功。
你也可以去 十二款世界顶级杀毒软件下载---有序列号全可免费升级 这些杀毒软件里面找一个你喜欢的,下载安装,,这样杀毒会快些 总结一下: 1、避免中此种木马只需在开启移动设施的时候右键-打开进入即可,这样拷贝或打开盘内文件均不会被感染,木马的传播方式是“双击该盘盘符”。 2、通过观察是否有"Auto“判断该盘是否中过此类木马,再通过"Auto“解决方案进行处理。
运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。 (有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 三、删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 f 和 sxs。exe 两个文件,将其删除。
四、删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST。 exe 的 最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST。
exe 或 sxs。exe 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
3.WIN10系统怎么处理ARP攻击
1、按下“Win+R”组合键打开运行,输入【gpedit.msc】;
2、在左侧依次展开:【Windwos 设置】、【安全设置】、【账户策略】、【账户锁定策略】;
3、在右侧双击打开“账户锁定阈值”,在下面框中输入当登陆账户时输入密码错误的次数,一般设为3-5即可,然后点击应用;
4、在弹出的“建议的数值改动”界面默认设置是30分钟,点击确定;
5、如果觉得30分钟太短的话我们可以双击打开“账户锁定时间”增加锁定时长即可。
转载请注明出处windows之家 » win10如何清除arp