《在运行中输入msconfig》由会员分享,可在线阅读,更多相关《在运行中输入msconfig(8页珍藏版)》请在金锄头文库上搜索。
1、在运行中输入 msconfig.exe 中启动里 把那个病毒启动点掉 然后确定 不要重启 然后在 任务管理器把 rundll32.exe 关掉 然后进入注册表 就是运行输入 regedit.exe 然后找 hkey_local_machine software microsoft windows currentversion 然后点 run 里面就 有 rundll32.exe 再删掉然后在到 SYSTEM32 里 把 rundll32.exe 删掉 再建一个新建文件夹 然后把那个文件夹的名字改成 rundll32.exe 再重启就好了故障原因主要原因是在局域网中有人使用了 ARP欺骗的木马程
2、序,比如一些盗号的软件。传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC地 址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误 将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS 窗口,输入命令:arp -a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网, 则先运行一次命令arp - d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网 就立即将网络断掉,禁用网卡或拔掉网线,再运行arp -a。如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确
3、保计算机不再被攻击影响。可 在MS-DOS窗口下运行以下命令:arp - s网关IP网关MAC。如被攻击,用该命令查看, 会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算 机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对 应的IP,即病毒计算机的IP地址。编辑本段故障现象当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路 由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机 上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用 户就得重新登录传奇
4、服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作 的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程 序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上 网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文, 甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由 真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其 它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以 上这样的病毒机器,就会使其他人上网断断续续,严
5、重时将使整个网络瘫痪。这种病毒(木 马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如 QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如 果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发 生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈 之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版 10.0 能有效查杀已知的 Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件 能提供 100%杜绝其发作的解决方案,需要借助某些辅助工具进行清
6、理。编辑本段解决思路不要把你的网络安全信任关系建立在 IP 基础上或 MAC 基础上。设置静态的MAC-IP对应表,不要让主机刷新你设定好的转换表。除非必要,否则停止ARP使用,把ARP做为永久条目保存在对应表中。 使用ARP服务器。确保这台ARP服务器不被黑。使用proxy代理IP传输。使用硬件屏蔽主机。定期用响应的IP包中获得一个rarp请求,检查 ARP 响应的真实性。 定期轮询,检查主机上的 ARP 缓存。 使用防火 墙连续监控网络。编辑本段解决方案一般出现局域网网吧用户一般可以用ROS路由进行绑定,在主机上安装上ARP防火墙服务端,客户机安装客户端,双相绑定比较安全。 软件百度搜索下
7、 推荐软件: http:/ 市面上有众多的 ARP 防火墙 推荐使用 360建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为 0022aa0022aa 局域网端口 MAC 地址)。编写一个批处理文件 rarp.bat 内容如下:echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将网关 IP 和 MAC 更 改为您自己的网关IP和MAC即可,让这个文件开机运行(拖到“开始-程序-启动”)。 自 己手动清除病毒:
8、 1、立即升级操作系统中的防病毒软件和防火墙,同时打开“实时监 控”功能,实时地拦截来自局域网络上的各种ARP病毒变种。 2、立即根据自己的操 作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序,将补丁程序安装到局 域网络中存在这两个漏洞的计算机系统中,防止病毒变种的感染和传播。 3、检查是否 已经中毒: a. 在设备管理器中, 单击“查看显示隐藏的设备” b. 在设备树结 构中,打开“非即插即用设备”c.查找是否存在:“NetGroup Packet Filter Driver”或“NetGroup Packet Filter”,如果存在,就表明已经中毒。4、对没有中毒
9、机器,可以下载软件Anti ARP Sniffer,填入网关,启用自动防护,保护自己的ip地址以及网关地址,保证 正常上网。5、 对已经中毒电脑可以用以下方法手动清除病毒:(1)删除:windows%System32LOADHW.EXE (有些电脑可能没有)(2)a.在设备管理器中,单击“查看显示隐藏的设备” b. 在设备树结构中,打开“非即插即用设备”c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”d. 右点击,”卸载”e. 重 启 系 统(3) 删 除 :%windows%System32driversnpf.
10、sys(4) 删除windows%System32msitinit.dll(有些电脑可能没有)删除注册表服务项:开始运行regedit打开,进入注册表,全注册表搜索npf.sys,把文件所在文件夹Npf整个删除.(应 该有2个)至此arp病毒清除.(6)根据经验,该病毒会下载大量病毒,木马及恶意软件,并修改winsocks,导致不能打开网页,不能打开netmeeting等,为此还需要做下面几步工作:a.用 杀 毒 软 件 清 理 恶 意 软 件 , 木 马 . b. 检 查 并 删 除 下 列 文 件 并 相 关 启 动 项 :1)%windows%System32nwizwmgjs.exe(
11、一般杀毒软件会隔离)2)%windows%System32nwizwmgjs.dll(一般杀毒软件会隔离)3)%windows%System32ravzt.exe(一 般 杀 毒 软 件 会 隔 离 )4)%windows%System32ravzt.dat3)%windows%System32googleon.exe c. 重 置winsocks (可以用软件修复,下面介绍一个比较简单的办法):开始运行CMD,进入命令提示符,输入cd.回车,一直退出至c盘根目录,在C:下输入netsh winsock reset回车,然后按提示 重启计算机。编辑本段专杀程序运行环境: Win9x/NT/20
12、00/XP/2003 文件大小: 2002 K 授权方式: 免费版 下载地址: http:/ QQ 账号的频繁丢失 一些人为了获取非法利益,利用 ARP 欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法, 通 过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常当局域内的某台计算机被 ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP 欺骗数据包,阻塞网络通道,造成网络设备的承载
13、过重,导致网络的通讯质量不稳定。 3 局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常 当带有ARP欺骗 程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网 卡会暂时解决问题,但掉 线情况还会发生。编辑本段ARP病毒原理1 网络模型简介众所周知,按照 OSI (Open Systems Interconnection Reference Model 开放系统互联参考 模型) 的观点,可将网络系统划分为7 层结构,每一个层次上运行着不同的协议和服务,并 且上下层之间互相配合,完成网络数据交换的功能.然而, OSI 的模型仅仅是一个参考模型,并不是实际网络
14、中应用的模型。实际上应用最广泛的商用网络模型即 TCP/IP 体系模 型,将网络划分为四层,每一个层次上也运行着不同的协议和服务.2 ARP 协议简介我们大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须要知道目标主 机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只 能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2 个16进制数之间用“-”或者冒号隔开,如:00-0B-2F-13-1A-11就是一个MAC地址。每一 块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进 行发送,这时就需
15、要一个将高层数据包中的IP地址转换成低层MAC地址的协议,而这个重 要的任务将由ARP协议完成。ARP全称为Address Resolution Protocol,地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的 过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保 证通信的顺利进行。 这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台, 这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这 就涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中,都有一个ARP缓存表, 该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中 另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。3 ARP 欺骗过程假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)连接。其中一个电脑 名叫A,代表攻击方;一台电脑叫S,代表源主机,即发送数据的电脑
