網咖頻繁掉線（ARP）與解決方法(轉)

網咖頻繁掉線（ARP）與解決方法(轉)[@more@]　　現在頻繁掉線的網咖很多.但為何掉線.許多網管朋友.不是很清楚.網咖掉線的原因很多.現在我給大家講一下現在很流行的一種木馬..基本上東北地區的網咖都被這一木馬弄的身心疲憊.但是現在有解決的方法了.

　　中病毒特徵: 網咖不定時的掉線.(重啟路由後正常),網咖區域網內有個別機器掉線.

　　木馬分析 : 傳奇殺手木馬,是透過ARP欺騙,來或取區域網內發往外網的資料.從而截獲局域內一些網遊的使用者名稱和密碼.

　　木馬解析:中木馬的機器能虛擬出一個路由器的MAC地址和路由器的IP.當病毒發作時,區域網內就會多出一個路由器的MAC地址.內網在發往外網的資料時,誤認為中木馬的機器是路由器,從而把這些資料發給了虛擬的路由器.真正路由器的MAC地址被佔用.內網的資料發出不去.所以就掉線了.

　　解決辦法:守先你下載一個網路執法官,他可以監控區域網內所有機器的MAC地址和區域網內的IP地址.在設定網路執法官時.你必須將網路執法官的IP段設定和你內網的IP段一樣.比如說:你的內網IP是192.168.1.1------192.168.1.254你的設定時也要設定192.168.1.1------192.168.1.254.設定完後,你就會看到你的內網中的MAC地址和IP地址.從而可以看出哪臺機器中了木馬.(在多出的路由器MAC地址和IP地址和內網機器的IP地址,MAC地址一樣的說明中了傳奇網咖殺手)要是不知道路由器的MAC地址,在路由器的設定介面可以看到.發現木馬後.你還要下載瑞星2006最新版的殺病毒軟體(3月15日之後的病毒庫).在下載完之後必須在安全模式下查殺(這是瑞星反病毒專家的見意)反覆查殺(一般在四次就可以了)注意查完後殺病毒軟體不要解除安裝掉.觀查幾天(這是我個人的經驗.在卸後第三天病毒還會死灰復燃,我想可能是登錄檔裡還有他的隱藏檔案.在觀查幾天後正常就可以解除安裝掉了.

　　注:還原精靈和冰點對網咖傳奇殺手木馬不起做用.(傳奇殺手木馬不會感染區域網.不要用硬碟對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)

　　最好主機安裝上網路執法官,這樣可以時時監控區域網內的動態,發現木馬後可以及時做出對策)

　　下面是傳奇網咖殺手木馬的檔案:

　　檔名： 檔案路徑： 病毒名：

　　a.exe>>b.exe c:windowssystem32 Trojan.psw.lmir.jbg

　　235780.dll c:windows Trojan.psw.lmir.aji

　　kb2357801.log c:windows Trojan.psw.lmir.jhe

　　Q98882.log c:windows Trojan.psw.lmir.jhe

　　kb2357802.log c:windows Trojan.psw.lmir.jbg

　　Q90979.log c:windows Trojan.psw.lmir.jhe

　　Q99418.log c:windows Trojan.psw.lmir.jbg

　　ZT.exe c:windowsprogram Files浩方對戰平臺 病毒名：Trojan.dL.agent.eqv

　　a[1].exe>>b.exec:documents and sttingssicentlocal settingsTemporary Internet Filescontent.IE5Q5g5g3uj

　　病毒名:Trojan.psw.lmir.jbg

　　(各位朋友.瑞星防毒軟體檔案過大郵箱傳送不了.請大家下載瑞星個人18.18.20版防毒軟體我現在給大家提供註冊碼.希望大家原諒.)

　　SN=P5V6EH-61FHJK-9G0SS7-C4D200

　　ID=5B3C5BJ4Y125

　　（網路執法官可以批次MAC捆綁，到執法官的區域網MAC介面，全選後單擊右鍵會出現批次MAC捆綁．做完捆綁以後，ARP要是在次攻擊時他會報警，出現的假MAC是為非法．網路執法官會終止他的一切操作．）這樣可以解決ARP在次攻擊．