木马arp攻击的解决一例

linker14年前网络日志316
最近,可能是由于“威金”发作的原因吧,其它木马类、蠕虫类的,也都跟风发作,特别是有些木马类已经到了非常猖獗的地步,直接影响了系统的正常运行,更有甚者,影响了网络的正常运行。

同事公司网内用的是代理上网,前几天,他对我说,老是有人反映,公司有人上网时提示没有权限,要求输入用户名和密码;他们公司情况我知道,用的是ccproxy上网,代理限制用的是mac+ip,这样,各个客户端上网时就不用输入权限验证了,很方便。我问他,是不是有人更改了ip或者更换了网卡没有及时更新验证信息呢?他说,绝对没有,硬件没有任何改动。这就奇怪了,打算跟他去看看。并且,心里有些隐约怀疑和arp攻击有关。前一段也遇见过一例,难道这次又旧态复发了?

去看了以后,先随便找了一台电脑,cmd进入命令行界面,arp -d,清除本地arp缓存,然后随便找一个可以ping通的ip地址,ping了以后,然后再arp -a,果然发现了问题;如下图:

[IMG]upload/arpa.JPG[/IMG]

发现这个mac地址有嫌疑以后,我心里还有些忐忑,万一是木马自己伪装的mac地址,哪查起来就又有些麻烦了;问了一下同事,有没有网内的mac地址表,同事随手拿过来一份,我稍稍一浏览,就发现了目标所在地。然后和他到了那台电脑旁的时候,发现没有人,显示器关着,主机开着;心中怀疑,不会是有人故意用木马或者类似arp攻击类的软件捣乱吧?打开电脑以后,打开任务进程,发现了很多foxrar、rundll32.exe,svchost.exe的进程,这些进程一看就不正常,正常的进程不会是这个样子的,另外,rundll32.exe,这东西在进程列表里面就说出现也是一闪即逝的。另外,更有意思的是还有一个logo_.exe,这个垃圾,装得像个正常进程,其实绝对的垃圾;还有一个rundl1.exe,这个更是混蛋,还有1来代替L,低能之辈。

由于事情比较紧,另外,本机备份的有系统镜像,也没有进行实时清除,直接恢复备份的镜像就行了。

如果清除的话,不外乎断网后升级病毒库,启动到安全模式下,利用优化大师流氓软件清除组件、超级兔子、360安全卫士之类的清除流氓软件、木马,然后杀病毒软件杀毒,应该就可以OK了。
标签: 木马病毒

相关文章

IE被锁定为"7939"网站的解除方法

  近日发现有同事IE首页被锁定为一个名叫“7939上网导航”的网站。其实这是病毒在作怪!不用急,现为大家献上搞定这个病毒的相关资料和搞定方法。   病毒名称:&ld...

可杀最新的熊猫烧香变种,自定义病毒专杀工具最新更新

转载自:网络,这哥们的VB功底很不错,不过最近又在打算用C#重新编写了,这种不断进取的精神,首先要佩服一把。更多相关讨论:http://www.linwan.net/read-htm-tid-4566...

你的ie被强迫打开了吗?

  第一:右键点击IE浏览器,打开属性检查internet选项设置“主页”项是否被修改,如果是请改为空白页,并清空IE的临时文件夹。   第二:升级“瑞星杀毒软件”至最新版,查杀内存中是否有病毒...

假警察病毒的手工删除方法

  (1) 打开注册表编辑器,删除如下键值<如果存在的话>:  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\...

看不见的网页病毒防范要诀

  当网页病 毒愈演愈烈,诸如网页恶意代码、网页木马、蠕虫、绝情炸弹、欢乐时光、极限女孩等病毒,放肆的通过不计其数的固定的或临时的恶意网站传播并破坏计算机的时 候,工程师们不得不把注意力更多的投向了网...

你在为哪个不速之客养“马”

木马,是一个看来,还要进行很长时间的话题;现在很多木马都有发IP信件的功能,“冰河”就是其中的佼佼者,也是国内用得最多的木马。它能把你上地的动态IP,电脑里的隐藏密码和个人信息...

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。