局域网掉线解决方法

60度

<p>首先说明的是，本文提到的局域网掉线解决方法只针对ARP木马病毒而言。掉线的原因可能有很多，如强磁场干扰。静电原因等等。<br/></p><p>1）首先须判断哪个机子中了木马 <br/>下载AntiArp软件（<a href="http://www.gsrtvu.cn/jszx/UploadSoft/AntiArp.rar" target="_blank"><font color="#261cdc" size="5">http://www.gsrtvu.cn/jszx/UploadSoft/AntiArp.rar</font></a>），这个软件既可以绑定本机IP，又可以发现局域网里哪台机子中毒了！（气泡提示既是） <br/>2）使用AntiArp方法： <br/>本机的网关地址获取的具体方法是:点开始-&gt;点运行-&gt;输入cmd 回车进入dos窗口-&gt;输入ipconfig /all 回车，Physical Address即本机的物理地址（本机网关地址）。 <br/>3）找到局域网的这台中毒机子，进入安全模式手工杀吧！ <br/>4） 该木马一共有三个文件，分别是： <br/>C:\WINNT\System32\LOADHW.EXE ，C:\WINNT\System32\msitinit.dll ， <br/>C:\WINNT\System32\drivers\npf.sys。 <br/>点开始里的搜索查找Loadhw.exe，Msitinit.dll，Npf.sys文件，找到了就删除。 <br/>5）运行&gt;regedit，查找注册表的loadhw.exe，Msitinit.dll，Npf.sys找到了就删除。OK了！ <br/><br/>6）木马病毒说明如下： <br/>LOADHW.EXE是一个安装文件，在会把自己注册在： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce <br/>如果它被删除掉，并不影响木马的运行，只是在开机时会报该文件不存在。 <br/>msitinit.dll是常驻内存的，但注册表中并没有记录它（很狡猾）。 <br/>npf.sys注册为一个服务程序，且在“控制面板-&gt;管理工具-&gt;服务”中看不到，要在注册表中才能看到： <br/>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf</p>

60度

1、有关ARP欺骗<br/><br/>大家都知道，ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。<br/><br/>2、解决办法<br/><br/>有两种，但原理都是一个：把每台客户机的IP地址和MAC地址进行绑定<br/><br/>在绝大多数的路由器中都有“IP地址绑定”的功能，把每台客户机的IP地址和MAC地址都添进去就可以了<br/><br/>使用ARP命令也可以<br/>ARP -s IP_Address MAC_Address<br/>使用 ARP -d IP_Address MAC_Address 可以删除静态的绑定

60度

故障现象： <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;最近网络病毒猖獗，上网速度慢,易掉线.通过分析发现故障现象如下: <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;1&nbsp;上网速度慢,网络带宽占用比较多. <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2&nbsp;工作站一台接着一台的掉线,几分钟后又正常了!有时后全部掉线重起工作站又正常了! <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3&nbsp;掉线频繁但时间短,重启设备后或者修改IP地址后恢复正常 <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;4&nbsp;部分工作站掉线!有些机器提示IP冲突！ <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;　　经过调查后确认：这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh&nbsp;”&nbsp;的病毒爆发引起的。该病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中传奇玩家的详细信息，盗取用户帐号信息。当局域网内某台工作站运行带有ARP欺骗的木马程序或外挂时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。&nbsp;<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br/>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;解压后将“网络掉线rarp.bat”下载到本机C盘根目录下，并将此文件拖放到“开始”－“程序”&nbsp;－“启动”中，以确保启动WINDOWS的同时启动该程序。<br/>

xiaowenbin

谢谢，这个问题困扰了我很久了，今天就去试试你的方法~~~~

望月老人

在局域网里试试