|
Tcpview |
|
先介紹一下何謂ARP〈Address Resolution Protocol〉 ARP是負責將IP位址轉換成Mac位址的一種通訊協定,當某一台電腦要傳送資料到某個IP位址時,會先傳 送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址,當目的端的電腦接收到這個ARP封包 之後便會回應給來源電腦進行資料傳送。 若要查看本機的ARP Cache,可在命令提示字元中執行ARP -a。 何謂ARP攻擊〈ARP Poisoning、ARP Spoofing〉 發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地,造成網路無法連結,便稱作ARP 攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表,假設接收到的ARP封包 所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭 客可利用病毒竊取封包資料或修改封包內容。 假設Host B中了ARP病毒,它發送一個假的ARP封包給Switch,告訴Swich說192.168.1.1對應的Mac位址是 Host B的Mac Address,原本192.168.1.1對應的Mac Address是Router,這時候就會被修改成錯誤的Mac位 址。 當Host A要發送HTTP request到192.168.1.1時,經過Swich的時候查看ARP Cache發現192.168.1.1對應到的 是Host B的Mac Address,此時資料就會傳送給Host B,而不會傳送到Router,所以Host A就可能無法連上 網路。 中ARP病毒的特徵: 打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm 網頁,然 後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。 如何找出感染ARP病毒的電腦 使用arp -a的指令 上圖的ARP Cache有三個IP均指向同一個Mac Address,表示這個Mac Address實際對應的電腦可能感染了 ARP病毒。 清除方法1: 這是 Windows 系統的一個很嚴重的 bug,微軟也出了修補程式。 1.首先在"安全模式下"刪除IE屬性的 [Cookie] 與 [Temporary Internet Files] 和 [清除歷史記錄] 2.更新微軟的修補程式. 3.更新完畢請重新開機. Microsoft 安全性公告 MS06-014: http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-014.mspx Microsoft 安全性公告 MS07-017: http://www.microsoft.com/taiwan/technet/security/Bulletin/ms07-017.mspx PS:找到與你 Windows 作業系統相對的版本下載修補程式即可. 清除方法2: 新型ARP變種病毒 161816 & 112161 清除程式下載位置 http://www.hatea.com.tw/tech/files/ARPVirus_Clear.zip 下載完成,解壓縮檔案後直接執行[ARPVirus_Clear.exe],執行完畢請馬上重新開機,病毒即清除完成...^^ |
|
修復因病毒造成隱藏檔選項無法開啟 |
|
EFIX是由作者和PTT版的眾高手合力製作而成的一款集修復與病毒移除工具的小軟體(非防毒程式)目 前作者已在下面的系統上測試過, 可以正確執行沒有問題: Windows 2000 SP4、XP SP1~SP3、Vista homebasic(不支援x64),至於 Win 9x/Me,使用上應也沒有問題! 不過還是得冒一定的風險唷∼ 功能介紹: 1.修復因病毒造成隱藏檔選項無法開啟和磁碟雙擊顯示找不到程式的錯誤 2.修正工作管理員無法開啟的問題 (因登錄檔關閉造成的話)(4.68版後才有,前面沒有) 3.關閉自動撥放功能 (此功能在Ver4.56後取消) 4.簡易的病毒檔案刪除 (像KAVO KXVO JVVO TASO AMVO AVPO那一類的,還有部分病毒下載器,如 auto.exe等等) 5.會產生掃描報告供解毒人員分析 6.可利用文字腳本方式刪除檔案及登錄值 下載 (1) EFix 或 KVTOOLS 解除系統病毒 (2) 解決資料夾和EXE隱藏程式(3) USBCLEANER |
|
ARP 病毒處理方法 |
|
該木馬病毒不僅會影響自己的上網和資訊安全,還會波及全網,只要還有一台電腦感染該病毒,就會對 學校的網路運行和資訊安全造成嚴重的威脅 發病特徵 區網內以前可正常上網的機器,突然出現可認證,不能上網的現象(無法ping通網關),重啟機器或在 MSDOS窗口下運行命令ARP -d後,又可恢復上網一段時間。病毒發作時除了會導致同一局域網內的其他 用戶出現時斷時續外,還會竊取用戶口令(如 QQ 、網路遊戲、網上銀行以及其他脆弱系統帳號等), 這是木馬的慣用伎倆。 最近一次在系上發病的狀況,是會在使用者點選某些網站時,瀏覽器的讀取狀態列會出現「正在開啟網 頁 http://6688.8911.cn/123.htm」,接著無法登入一些需要認證或者登入帳號密碼的網站如webmail。也使 得受到波及的電腦網路連線時斷時續。 處理方法 2.如果你的機器受ARP病毒影響,利用這個工具找到原兇,歡迎大家積極舉報中ARP木馬的機器。 下載 nbtscan 3.使用趨勢科技ARP病毒專殺工具查殺病毒,KillArp.rar(自查是否中了ARP病毒,中了會自動清除) 下載後解壓縮,運行包內TSC.exe文件,不要關讓它一直運行完,最後查看report文檔便知是否中 毒。 Virus found count(1) 表明發現一個ARP病毒 Virus clean count(1) 表明清除一個ARP病毒 Virus found count(0) 表明沒有發現ARP病毒 Virus clean count(0)表明沒有清除ARP病毒 步驟二: 被害者自救方法 (並請盡速通知設備組) 1. 在能正常上網時,進入MS-DOS視窗,輸入命令:arp -a,查看閘道的IP對應的正確MAC位址, 並將 其記錄下來。 注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,電腦可暫時恢復上網 (攻擊如果不停止的話)。一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp -a。 2. 用記事本編寫一個批次檔antiarp.bat,內容如下,然後將antiarp.bat 拉到"啟動"文件下。 比如:閘道140.114.82.254 對應00-0F-E2-45-C6-E8。 ※ 請根據所屬不同網段,修改實際的通訊閘IP 及網卡硬體位址再存檔使用,勿照抄 載AntiARP.rar。解壓縮後,運行AntiArp。輸入本網段的通信閘ip地址後(若你不知道通信閘IP地 址,可 通過以下操作獲取:點擊"開始"按鈕->選擇"執行"->輸入"cmd"點擊"確定"->輸入"ipconfig"按 retrun, "Default "Gateway"後的IP地址就是通信閘地址。),點擊"獲取通信閘MAC地址",檢查通信 閘IP地址和 MAC地址無誤後,點擊"自動保護"。 |
|
開啟IE都是連到http://i.163vv.com/?77 桌面出現3個 http://888.qq2233.com/的捷徑 原因:這個病毒是在QQ的安裝目錄下和迅雷的安裝目錄下都有病毒檔。 所以在查殺這個病毒的前提下。 (1)先把QQ和迅雷卸載,或者是結束QQ、迅雷進程(或者重啟電腦不要開QQ和迅雷)。 (2) 刪除病毒衍生的檔 c:\program files\Thunder Network\Thunder\Program\mp.dll c:\program files\Tencent\QQ\Bin\TaskTray.dll (3) 右單擊每個分區,使用資源管理器進入,刪除每個分區下的 XXX.exe 和 autorun.inf 將QQ目錄下的Shareds.dll改名為TaskTray.dll 將迅雷目錄下的Shareds.dll改名為mp.dll 如果以上你不是很熟悉,或者是還不能解決。告訴你一個萬能的辦法。 (1)先卸載QQ和迅雷。 (2)下載村落安全網頁專殺,殺掉IE快捷方式和註冊表資訊。 (3)打開每個硬碟,檢查是否有XXX.exe 和 autorun.inf,都刪除就是。當然這些都是隱藏的檔需要顯 示隱藏檔。 (4)用個殺毒軟體或者360把系統盤剩餘的木馬查殺一遍。 (5)用金山衛士系統檔修復工具把破壞的系統檔修復,重新啟動就OK了。
請下載 1、查殺工具 2、windows清理工具 3、360安全衛士 4、360殺毒 5、360超強組合 |