防止ARP病毒通告

最近学院大楼ARP病毒较多，导致大楼网络不稳定，经常断网。请广大师生升级杀毒软件病毒库到最新版本，没有安装杀毒软件的用户，请下载下面的免费专杀工具进行查杀和防护。360安全卫士下载地址设置方法：

终结ARP病毒的方法（对已中毒的机器）：

第一步：发现问题

一局域网，通过带有 Vlan 功能的路由器分成两个网段的局域网．某日发现网络出现下例问题：

１、路由器出现声音报警，提示有 ARP 攻击；

２、两个局域网中的一个局域网出现掉线的情况；

３、出现掉线的局域网中的大多数电脑系统时间都被改成了 2004 年

４、出现系统时间异常的计算机 360 、卡巴等软件全部被关闭。

５、电脑出现 360 、杀毒软件、注册表编辑器等无法打开，一双击运行就出现上“文件正在使用中”的提示。

６、安全模式无法进入 , 出现蓝屏重启现象。

７、无法查看隐藏文件，文件选项中“隐藏文件和文件夹”下两个选项同时被选中的情况。

８、各个分区、包括接入的 U 盘等都出现 autorun.inf 情况

９、 IE 主页被改为其它内容，并且尝试改成其它后会被马上再次改回。

第二步：分析问题

１、注册表、 360 等打不开，经分析是被“ IFEO 映像挟持”。

２、３ 60 、杀毒软件被关闭经分析系统有木马程序正在运行。

３、两个局域网中一个网大多数电脑中招并且有 ARP 提示证明此木马带有 ARP 传播特性。

４、各分区、 U 盘出现 autorun.inf 文件证明除了上述传播途径外，还能通过 U 盘传播。

第三步：解决问题

先准备以下软件

360 安全卫士最新版安装程序，“windows 修复专家”，“SREng 2” ，“冰刃 ICEWORD ”

将上述软件存放到光盘或 U 盘中，待修复系统时使用。

１、修复 IFEO 映像挟持：

对付 IFEO 映像挟持最好的方法就是修改可执行文件的文件名，尝试修改 360 安全卫士的文件名，双击运行 360 发现 360 已经可以打开，但是 360 打开不多久就被关闭。利用“冰刃”查看进程，发现“冰刀”同样被 IFEO 映像挟持。修改““冰刃”的可执行文件，“冰刃”可正常运行。在结束“ wuauclt.exe ”进程后， 360 等软件已经不会被关闭，利用 360 的扫描“恶评插件”功能并清除后，即可恢复安全模式的正常运行，也可以清理所有的“ IFEO 映像挟持”。

修改系统日期为当前正确日期。

二、处理“ wuauclt.exe ”防止死灰复燃

“ wuauclt.exe ”本来是 Windows 的系统更新程序，但是这次发现的木马程序已经将这个文件变成了自己。所以这一步要干掉它。

进入安全模式，利用其它电脑正常的“ wuauclt.exe ”文件换掉 c:/windows/system32 以及 c:/windows/system32/dllcache/ 中的文件，实在找不到正常的文件，可以直接删除这两个文件，由于目前系统无法查看系统隐藏文件，所以要在命令行的模式下进行清除

在运行中运行“ CMD ”进入命令行模式，依次运行下列命令

attrib -s -h -r c:/windows/system32/wuau*.exe

attrib -s -h -r c:/windows/system32/dllcache/wuau*.exe

del c:/windows/system32/wuau*.exe

del c:/windows/system32/dllcache/wuau*.exe

打开 SREng ，删除蓝色的异常的启动项目。

然后将先前修改的 360 的可执行文件改成原来的，如果忘记可以在这个时候重装 360 ，并且在保护功能中打开 ARP 防火墙功能。

重启计算机进入正常模式，然后安装“ windows 修复专家”，用它对系统进行扫描，清理一切发现的可清除项目，当提示“进行驱动级清理”后，在提示重启计算机时，选择重启。

重启后，“ windows 修复专家”，会在桌面启动前再次运行并自动扫描，当扫描完成后关闭“ windows 修复专家”，这时桌面出现。利用 360 对 IE 进行全面修复。

查找并删除硬盘中一切可删除的 PIF 文件。

到此清理基本成功。

注：360 安全卫士最新版安装程序，“windows 修复专家”，“SREng 2”， U 盘病毒专杀（这个解决安全模式封锁），瑞星卡卡（解决隐藏文件不能显示），用这么几个软件就可以解决