找到篇文章,不知道是不是这个造成的:
关于最近ARP欺骗造成网络断的解决方法
--------------------------------------------------------------------------------
最近经常会有人问网络断断续续的问题、整个子网断网.......害得坛子里不少兄弟都非常头痛,由于我这边问题发生的比较早,接触的比较多,对这个病毒接触的比较多了,问的人这么多,我觉得应该写点我的经验给大家参考参考。
我这儿断网有两种情况,一种是局域网闪断一下,只影响与中毒机器同一个VLAN的电脑。在二层交换机的地址库里可发现中毒机器同时还有一个全0的MAC地址 http://bbs.net130.com/showthread.php?t=137482 。在三层交换机上的ARP表里,会有几台机器是同一个MAC,然后会轮转,所以是断断续续(或者叫闪断,因为断一下马上就好了)。
还有一种情况是VLAN内部分电脑网全部不通,但是QQ可以通(怀疑是不是偷QQ密码的),这时候ARP看网不通的机器上网关的MAC地址为中毒机器的MAC,而三层交换上的ARP表里,上不了网的机器的MAC均变成了中毒机器的MAC了。
这两种情况,中毒机器上网全部正常,但是在通过ARP欺骗子网内其他电脑,把它当成网关,所有数据包都通过它转发,窃取密码(这种类型的木马以前就有了)。病毒对其他子网基本没什么影响。
已经发现几个星期了,到现在大致确定了是由一个木马引起的这种断网问题。一个是在windows系统目录下以KB??????.log为名字的文件,直接点击用记事本可看到是可执行文件,同时还有一个DLL后缀的文件,可能还有些同样大小的Log文件。还有一个是在system32目录下的LOADHW.exe 和 msitinit.dll (可参考http://vil.nai.com/vil/content/v_138941.htm ),好像是只要把LOADHW.exe删除,重启,就能解决断网问题。这两个病毒好像在中毒机器上都同时存在,但是却表现出两种断网形式。
好像现在杀毒软件已经能够发现这种木马,只是可能杀不干净,我一直都是用手工杀的。以上是我这几个星期对这种病毒的一些了解,希望大家补充,彻底根治这个病毒。
下面是前几天讨论断网的几个帖子的连接:
http://bbs.net130.com/showthread.php?t=136518
http://bbs.net130.com/showthread.php?t=137482
http://bbs.net130.com/showthread.php?t=137101
http://bbs.net130.com/showthread.php?t=137614
http://bbs.net130.com/showthread.php?t=138714
