大哥偶是个新手,想请教你个问题,最近我在学校机房里面发现,只要运行劲舞系统进程里面就会出现LOGO_1.EXE,退出来进程就自动消失了,而且网里面会不间断的出现ARP攻击,有的几个MAC前一次扫描的攻击主机MAC地址和第二次扫描的完全不一样,就连攻击主机本身的MAC地址都在变,不是一直攻击,我把路由MAC用ANTI ARP SNIFFER 3.5绑定了,找出了攻击源,但是网络里面还会不时的欺骗路由几次,用瑞星最新版本查的时候只找到一个病毒还是个DLL的文件,而且的的网络会出现不正常现象,客户机必须换一个IP地址才能够正常上网,如果不换就怎么也上不去.路由也很是TP-LINK480E+的,我检查了路由和里面的设置都很正常.我用木马克星查出来有木马进程,小弟对进程了解的不是很多,希望能帮忙分析一下.最主要的是客户机掉线换IP是怎么回事,而且总是在傍晚部分机器这样.
这是用木马克星扫秒的
正在初始化《木马分析专家》病毒数据库引擎...

扫描当前活动内存 ->
该项目没有发现可疑设置，OK！

扫描Ie浏览器各项设置 ->
该项目没有发现可疑设置，OK！

扫描注册表常用文件关联 ->
该项目没有发现可疑设置，OK！

扫描电脑启动项目 ->
snpstd3 [启动项目发现木马病毒]

扫描Config.sys、Protocol.ini、Iereset、Hosts系统文件 ->
该项目没有发现可疑设置，OK！
样本怎么上传呀?????

LOGO_1.EXE...

的确是源局域传播的,似乎还没有APR攻击(欺骗)的功能.

按你说说法,好像是ARP欺骗,做下双向绑定了

还有,注意定时清理临时IE缓存

不过具有ARP欺骗的机器我都重新把系统做了,做双绑定的话客户机的ARPA绑定代码怎样写呀,上次写了一个,不过绑定以后没什么效果呀..麻烦详细点说明一下.谢谢了~~~~~~~!