ARP欺骗木马解决方案
ARP欺骗木马(网吧传奇杀手Trojan.PSW.LMir.qh)程序检测与防范方法:
一、检查 “ ARP 欺骗”木马的方法。
1、 检查本机的“ ARP 欺骗”木马染毒进程, 同时按住键盘上的“ CTRL ”+“ ALT ”+“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”之类的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2、 运行:cmd
…> arp -a
如列出的网关多于一个,则说明本机受到了攻击。
二、处理 “ ARP 欺骗”木马的方法。
方法一:安装Anti ARP Sniffer软件保护本地计算机正常运行(
点击下载)。同时把此软件设为自动启动,步骤:先把Antiarp.exe生成桌面快捷方式->选"开始"->"程序"->双击"启动"->再把桌面上Antiarp.exe快捷键拷到"启动"中,以保证下次开机自动运行,起到保护的作用。软件内有操作文档。
方法二、
arp –s 192.168.1.1 00-0d-88-ae-c4-31
注意,需将“00-0d-88-ae-c4-31”填写为自己局域网网关的机器地址。
方法三、用记事本编写内容如下,
@echo off
arp -d
arp –s 192.168.1.1 00-0d-88-ae-c4-31
改名成一个批处理文件rarp.bat。注意,需将“00-0d-88-ae-c4-31”填写为自己局域网网关的机器地址,将这个批处理软件拖到“windows--开始--程序--启动”中。
下载批处理文件rarp.bat客户机解决方案:
1、KAV(卡巴斯基),可杀除该病毒,病毒命名为: TrojanDropper.Win32.Juntador.c 杀毒信息:07.02.2005 10:48:00 C:\Documents and Settings \Administrator\Local Settings\Temporary Internet Files \Content.IE5\B005Z0K9\Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c
2、瑞星可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.f
手工删除该木马方法:
该木马一共有三个文件,分别是:
C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys
进入安全模式,删除它;
然后运行regedit,修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (删除里面的LOADHW.EXE )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf (全部删除)
在注册表里搜LOADHW.EXE 、msitinit.dll、npf.sys项,全部删除。
