内网正常,外面堵塞

发布时间:2024-11-08 12:04 发布:上海旅游网

问题描述:

局域网一切操作正常,但就是通过经常连接internet失败,用网络软件发现经常有电脑不停发数据包,怀疑是ARP攻击,但用任何杀毒软件都不能在该电脑发现病毒,只能重装系统,但重装后3,4天又会再次发包.问题不能解决.

求解决方案及相关工具.

问题解答:

1)首先须判断哪个机子中了木马
下载AntiArp软件(http://www.gsrtvu.cn/jszx/UploadSoft/AntiArp.rar),这个软件既可以绑定本机IP,又可以发现局域网里哪台机子中毒了!(气泡提示既是)
2)使用AntiArp方法:
本机的网关地址获取的具体方法是:点开始->点运行->输入cmd 回车进入dos窗口->输入ipconfig /all 回车,Physical Address即本机的物理地址(本机网关地址)。
3)找到局域网的这台中毒机子,进入安全模式手工杀吧!
4) 该木马一共有三个文件,分别是:
C:\WINNT\System32\LOADHW.EXE ,C:\WINNT\System32\msitinit.dll ,
C:\WINNT\System32\drivers\npf.sys。
点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。
5)运行>regedit,查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。OK了!

6)木马病毒说明如下:
LOADHW.EXE是一个安装文件,在会把自己注册在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。
msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。
npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

先找到那台机子,利用抓包工具,然后全盘格式化.我也曾经为你这问题弄了一段时间.(我中的曾经用arp专杀不能解决,但不知道你的如何)

热点新闻