ARP病毒手工清除的方法

ARP病毒病毒發作時候的特征為，中毒的機器會偽造某臺電腦的MAC地址，如該偽造地址為網關服務器的地址，那么對整個網絡均會造成影響，用戶表現為上網經常瞬斷。

一、在任意客戶機上進入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -aInterface: 192.168.100.93 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-50-da-8a-62-2c dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到有兩個機器的MAC地址相同，那么實際檢查結果為 00-50-da-8a-62-2c為192.168.0.24的MAC地址，192.168.100.1的實際MAC地址為00-02-ba-0b-04-32，我們可以判定192.168.100.24實際上為有病毒的機器，它偽造了192.168.100.1的MAC地址。

二、在192.168.100.24上進入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -aInterface: 192.168.100.24 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-02-ba-0b-04-32 dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 可以看到帶病毒的機器上顯示的MAC地址是正確的，而且該機運行速度緩慢，應該為所有流量在二層通過該機進行轉發而導致，該機重啟后所有電腦都不能上網，只有等arp刷新MAC地址后才正常，一般在2、3分鐘左右。

三、如果主機可以進入dos窗口，用arp –a命令可以看到類似下面的現象：

C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.100.23 00-50-da-8a-62-2c dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-50-da-8a-62-2c dynamic192.168.100.193 00-50-da-8a-62-2c dynamic192.168.100.200 00-50-da-8a-62-2c dynamic 該病毒不發作的時候，在代理服務器上看到的地址情況如下：

C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.0.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic 病毒發作的時候，可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c，正常的時候可以看到MAC地址均不會相同。

解決辦法：

一、采用客戶機及網關服務器上進行靜態ARP綁定的辦法來解決。

1． 在所有的客戶端機器上做網關服務器的ARP靜態綁定。

首先在網關服務器（代理主機）的電腦上查看本機MAC地址

C:WINNTsystem32>ipconfig /allEthernet adapter 本地連接 2:Connection-specific DNS Suffix . escription . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-02-ba-0b-04-32Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.100.1Subnet Mask . . . . . . . . . . . : 255.255.255.0 然后在客戶機器的DOS命令下做ARP的靜態綁定

C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32

注：如有條件，建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。

2． 在網關服務器（代理主機）的電腦上做客戶機器的ARP靜態綁定

首先在所有的客戶端機器上查看IP和MAC地址，命令如上。

然后在代理主機上做所有客戶端服務器的ARP靜態綁定。如：

C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8bC:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2cC:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87。。。。。。。。。 3． 以上ARP的靜態綁定最后做成一個windows自啟動文件，讓電腦一啟動就執行以上操作，保證配置不丟失。

二、有條件的網吧可以在交換機內進行IP地址與MAC地址綁定

三、IP和MAC進行綁定后，更換網卡需要重新綁定，因此建議在客戶機安裝殺毒軟件來解決此類問題：發現的病毒是變速齒輪 2.04B中帶的，病毒程序可有相關：

1、KAV(卡巴斯基)，可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.c殺毒信息：07.02.2005 10:48:00 Cocuments and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c

2、瑞星可殺除該病毒，病毒命名為：TrojanDropper.Win32.Juntador.f

3、另：別的地市報金山毒霸和瑞星命名:“密碼助手”木馬病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有類似情況。