瑞星卡卡安全论坛

我们公司多台电脑出现同种故障，就是ping任何地址都可以ping通，但是所有应用都不可以用，例如：ftp不可以访问（但ftp的ip是可以ping通的）、ie打不开所有的网页、内部qq上不去。有的电脑有这个现象，而有的确一切正常。把有问题的电脑重新启动一下，可正常5分钟左右，接着就有出现以上问题。
        请求大侠援助

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)

有可能是arp欺骗。
ARP欺骗方式共分为两种，一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。；另一种是对内网PC的网关欺骗，建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。
处理办法：
1） 在收到ARP欺骗的本机，通过命令行窗口输入arp －a命令，查看ARP列表。
查看arp 表的物理地址，核实网关的物理地址，如果与arp表显示对应的物理地址（Mac地址）不同，记录显示网卡的欺骗Mac地址，通过此物理地址结合网络架构的IP与Mac分布，找到ARP欺骗发包源。
2）使用第三方网络抓包工具（如Sniffer或者Antiarp），分析数据包传输统计记录(查看ARP协议节点计数)，通过IP与Mac地址找到ARP欺骗发包源，随后使用瑞星听诊器扫描并且上报扫描结果。

已经查看了，不是arp。因为同一局域网内，有的机器可以正常访问。

arp并不是局域网内每台计算机都出现同样的症状。
通过楼主描述的现象分析，感觉应该是arp欺骗。
建议楼主在有问题的计算机上扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

抓包工具抓到的可疑的包都是http的包。且都是到外网的不同ip地址，很多很多。如果将机器设置可以上外部网络，则该台机器的所有应用都可以用了。包括ftp等等。

照此描述，不知是否与局域网内的相关服务器有关？

奇怪现象是，如果该计算机只能访问局域网，则就出现这种现象。抓包就能抓到好多访问互联网的数据包。只要将该计算机连接外网，则就可以解决。抓包的时候，这些访问互联网的数据包，变为一个访问一个网址.biz。附上日志

附件: SREngLOG.log

这是抓包的的截图。
还有扫描后的日志，请各位高手解决。

附件: SREngLOG.log

日志查看无异常进程。
既然拦截在内网就出现问题，且排除了arp欺骗的问题，那只剩下交换机设置黑名单的可能了，另外也不排除IP地址冲突的问题。
楼主可尝试将有问题的计算机连接在其他正常的计算机网线上，判断是否交换机端口的问题，同时更换后，IP地址需要设为相同的。

偶已经尝试将问题计算机接到正常网口上，问题依然。正常机器接到有问题网口上也很正常。排除交换机端口问题。:default11:

将有问题的计算机的ip地址，设置为正常计算机的ip地址后看看。

已经试过，问题依然

%SystemRoot%\System32\appmgmts.dll
C:\WINDOWS\system32\wqumbcwl.dll
这两个文件发上来瞧瞧

只有这一个，另一个appmgmts.dll没有。

附件: wqumbcwl.rar

使用winrar定位到c:\windows\system32\查找appmgmts.dll，找到后打包发上来。

瑞星杀毒软件升级到20.72.40后最新版全盘杀毒，系统补打ms08-067补丁。参考置顶帖修复appmgmts.dll。http://bbs.ikaka.com/showtopic-8570012.aspx

我试一下。谢谢

:default2: 会不会是网线有问题.....没换条网线试试啊?

网线肯定没问题~~~:default2:

已经试了。不管用。:default11: