跪求arp病毒专杀!!!!!!!!!!!

Posted 2023-04-24

这个问题困扰我半年多了,刚开始时是网吧不断地掉线,后来知道是中了ARP,我把所有机器拨掉网线,包括服务器\收银机\客户机并全部重做了系统,在所有机器增加了绑定网关的开机批处理,且安装了anti-arp防火墙,能有效地拦截各种arp攻击,玩游戏不掉线了,原以为问题解决了,可并没有,
它只是能拦截,并不能根除,光拦截会给系统和网络造成一定压力,每次都能查到攻击源的进程,是网吧pubwin ep的客户端主程序,这个进程可不能结束,结束了就无法计费了,于是我又把硬盘格式化,在pubwin主页下载了客户端,且用了市面大多数杀毒软件(金山\卡巴\瑞星\江民等等)都无法查到该程序中的木马或病毒,于是我就再次安装,可就因为这个,我这里玩魔兽世界老掉线,我真的没办法了,一玩游戏就提示我的机器在向外发送arp,如下:

本机攻击:进程:PubwinClient.exe (PID:3764) 伪装IP: 伪装MAC:FF-FF-FF-FF-FF-FF 累计次数:3 开始时间:2000-12-05 13:42:13 结束时间:2007-12-05 13:44:13

我真的是没有办法了,求高手帮我一下......
不要说一些什么捆绑之类的,我全做了,且装了arp防火墙,有anti-arp 的,还有360安全卫士的,都没有用,玩魔兽还是掉线.
补充:我的线路没有问题,ping 网关和DNS都是正常的,但玩起魔兽就掉线,不要说是我的魔兽中毒,我格式化了硬盘,从九城上下载的,MD5验证也全对,绝无修改过.如有人能解决我的问题,所有积分相送!
如果我删掉它的注册表项的话pubwin ep就不能正常运行了.一楼的方法显然不行.

这个问题我前几天刚处理了，其实很好办，操作步骤如下
：
故障现象 ：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

故障原因：这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

临时处理对策：
步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。
注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC

例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下：

C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic

其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。
被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为：
arp –s 218.197.192.254 00-01-02-03-04-05

绑定完，可再用arp –a查看arp缓存，
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static

这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：

如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。

NBTSCAN的使用方法：
下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令：

nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段） 。

注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。
补充一下：
Anti ARP Sniffer 使用说明

一、功能说明:

使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

二、使用说明：

1、ARP欺骗：

填入网关IP地址，点击〔获取网关mac地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。

注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。

2、IP地址冲突

首先点击“恢复默认”然后点击“防护地址冲突”。

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 参考技术A 这个问题很普遍，不过你采取的也是最常用的方法处理。做好的处理方法是更换智能交换机，在交换机上进行MAC绑定。条件允许的话最好换个没有ARP的母盘全盘更新下（所有机子）系统。 参考技术B NOD32 AntiVirus V2.70.39_汉化特别版_权威防病毒、附升级补丁和升级ID

文件大小: 11.91MB
文件类型: WinRAR 压缩文件

引用页:http://blog.sina.com.cn/u/4ac3bfad010009rn

国外很权威的防病毒软件评测给了NOD32很高的分数。在全球共获得超过40多个奖项,包括Virus Bulletin, PC Magazine, ICSA认证, Checkmark认证等, 更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首！产品线很长，从DOS，Windows 9x/Me，Windows NT/XP/2000，到Novell Netware Server、Linux、BSD等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。

升级ID：

Username: AV-5012635
Password: 2f72vfq5db

UserName: AV-5270401
Password: 28jf1h3495

UserName: AV-5270409
Password: youe8fmymj

UserName: AV-5591112
Password: 6c4bmuuysu

Username: AV-5344002
Password: w1j1dffvdd 参考技术C 如果是局域网，并且是除了WINDOWS、VISTA之外的系统，可以下载360安全卫士，升级到最新版，打开360arp防火墙就可以了！360安全卫士下载地址：http://dl.pconline.com.cn/html_2/1/59/id=37973&pn=0.html 参考技术D 断掉联网,关闭进程pubwin ep,PubwinClient.exe

运行注册表,搜索所有PubwinClient项,

然后搜一个删除一个, 基本上能解决.

ARP病毒查找与防范

       笔者是一名大学生，学的是网络project。

自然接触的网络就多了。当然免不了做些坏事，嘿嘿。

       比如我经经常使用在网上学习的知识去測验一下我自己的电脑或者同学啥的，都是一些小打小闹。

无伤大雅，知道有一天。

。。

       突然我发现我的电脑好像莫名其妙的没有网速了，由于我们是局域网，而同学的网速还行。

于是我推断是我电脑的问题。但是我搞了半天没发现啥问题（恕我愚钝哈），同学提醒我你安装个杀软啊。处于无奈，我就装了个“臭名昭著”的360，事实上我对360一直没啥好感不知道为什么，这一装不要紧，360立刻提示我电脑正受到ARP攻击，那个提示框红红的，搞的我害怕的不得了。但是我根本就不了解什么ARP攻击啊。就知道ARP一点点。只是亡羊补牢，犹时未晚。

我先去查了下资料，了解ARP是非常么以及ARP攻击是什么原因。

      首先了解什么是ARP，ARP即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下。每一个主机都分配了一个32位的IP地址，这样的互联网地址是在网际范围标识主机的一种逻辑地址。出现ARP攻击的症状：当发现上网明显变慢，或者突然掉线时，我们能够用arp-命令来检查ARP表：（点击“開始”button-选择“执行”-输入“cmd”点击"确定"button，在窗体中输入“arp-a”命令）假设发现网关的MAC地址发生了改变。或者发现有非常多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。

ARP攻击会使你的网速差点儿为0，弄的你非常心烦。

      怎样解决ARP攻击：1、用杀毒软件查毒。杀毒。2、建议重装系统，一了百了。（当然你应注意除系统盘外其它盘有无病毒）

      怎样防范ARP病毒攻击：1。将IP与物理地址绑定到一块,2，一般这种情况肯定是有人在使用P2P终结者之类的网管类似的软件，他们会限制局域网内的电脑网速来提高自己的网速。通常你能够发现他们的IP和MAC，进而找到使用软件的人。然后协商解决,3。使用更高级的P2P终结者来反限制他的网速（只是不建议）。

4。找学校管理老师直接咔嚓掉他的网络。他就不行了（笔者就是用这个方案解决的。安全放心）。

   只是。这是个过了时的攻击方法。非常多软件都能够防范这样的攻击，所以我们不是必需过于操心什么，比方金山管家里的ARP防火墙，都能够阻止这样的攻击行为。所以我们大概了解一下即可。