您所在的位置:网络安全 > 黑客攻防 > 黑客专区 > ARP攻防 > ARP病毒手工查杀方法

ARP病毒手工查杀方法

2007-10-11 13:18 jeft 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,本文介绍了如何手工删除ARP欺骗病毒!

AD:

方法一:

1、删除 ”病毒组件释放者”程序:
“%windows%\System32\LOADHW.EXE” (window xp 系统目录为:“C:\WINDOWS\System32\LOADHW.EXE” )

2、删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”):
“%windows%\System32\drivers\npf.sys” (window xp 系统目录为:“C:\WINDOWS\System32\drivers\npf.sys” )
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” ,若没找到,请先刷新设备列表
d. 右键点击 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 菜单,并选择”卸载”
e. 重启windows系统
f. 删除“%windows%\System32\drivers\npf.sys” (window xp系统目录为:“C:WINDOWS\System32\drivers\npf.sys” )

3、删除 ”命令驱动程序发ARP欺骗包的控制者”
“%windows%\System32\msitinit.dll”  (window xp 系统目录为:“C:WINDOWS\System32\msitinit.dll”  )

4、删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

最后重起电脑就可以了~

方法二:

在命令提示符下键ARP -D 然后再将路由器和本机IP绑定即可解决,如本机IP :192.168.0.100 路由IP为:192.168.0.1 
在命令提示符下先键入ARP -D回车
再键入ARP -S 192.168.0.1 "路由MAC"回车
再键入ARP -S 192.168.100 “本机MAC”
即可!

方法二批处理文件

@echo off
rem 本P用于绑定IP和Mac
call :select "Default Gateway" "gateway"
for /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %gateway%`)
do set gatemac=%%i for /f "tokens=15" %%t in ('ipconfig ^| find /i "ip address"')
do set ip=%%t for /f "skip=3 usebackq " %%a in (`getmac`) do set mac=%%a arp -d arp -s %gateway% %gatemac% arp -s %ip% %mac% pause && exit :select for /f "tokens=2 delims=:" %%i in ('ipconfig /all ^| findstr /i /c:%1') do if not "!%~2!" == "" set "%~2=%%i" goto :eof

【相关文章】

【责任编辑:赵毅 TEL:(010)68476606】



分享到:

热点职位

更多>>

热点专题

更多>>

读书

J2EE开发全程实录
J2EE是目前企业级软件开发的首选平台。本书从架构的角度讲解了一个完整的J2EE系统的搭建。内容包括:正则表达式、JSP、Swing、XM

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院