局域网ARP病毒解决办法一例
局域网ARP病毒解决办法一例
局域网偶尔出现个别电脑无法上网的迹象;
第一次发作时,表现最严重,整个局域网内部的电脑网络异常,受影响的电脑系统反映迟缓,但是任务管理器显示CPU使用率正常,断开网线,系统马上恢复正常;
部分系统网关地址和IP地址错误,网关的MAC地址是一个不存在的虚拟的MAC地址,手动设置IP地址和网关地址后,网络恢复正常。
查找方法:
因局域网电脑数量较多,一台一台的手工查找比较麻烦,于是在一台打印服务器上,安装了 Anti ARP Sniffer Ver 2.0 工具,终于找到了发起ARP攻击的内网MAC地址。
(在网关地址栏输入局域网网关IP地址,然后,点击获取网关MAC地址,再点击自动防护,这个工具就开始侦测局域网内部的ARP攻击或ARP欺骗数据包,检测到这种数据包后,就在左下方的状态栏里面,自动列出发出ARP攻击数据包的电脑的MAC地址)。
解决过程:
根据MAC地址,找到局域网里面相应的电脑,运行任务管理器,一下子就发现好几个病毒的进程:
wab.exe.tmp
55.tmp (是由量个数字或一个数字一个字母组成的随机文件名)
cmd.exe
Xsisock.exe
18147071 (随机文件名,无后缀)
system.exe (蝗虫军团木马群病毒的进程)
另外,发现中毒电脑的杀毒软件的实时监控已经开不出来了,手动启动杀毒程序,两秒内自动退出;
试着终止以上病毒进程,居然比较顺利的终止了病毒进程;
但是,终止病毒进程后,杀软还是开不出来,而且主要病毒文件无法删除(system32目录下有好几十个病毒,drivers目录下有几个病毒,临时目录和IE缓存目录里面有大量病毒)。
只好用PE光盘,启动到PE界面,手动删除以下病毒:
temp目录清空;
IE缓存目录清空;
删除C:\Program Files\Outlook Express目录下的wab.exe.tmp病毒;
删除C:\Program Files\Internet Explorer目录下的两个病毒文件JentNT64.Jmp 、Jet0nN64.987(从文件日期判断,中毒当天创建的文件就是病毒);
删除windows根目录下的npptools.dll 、 packet.dll 、 WanPacket.dll 、wpcap.dll 、Gameeeeeee.pif 、Gameeeeeee.vbs (前四个是ARP病毒的dll文件);
删除system32目录下的病毒文件,有50多个,包括system.exe等蝗虫军团木马群病毒的众多木马病毒;
与system.exe几乎同时创建的.dll文件、.cfg文件、.sys 、.exe 文件全部删除;
删除drivers目录下的54.tmp 、HBKernel32.sys 、winsawids.sys。根据文件创建日期,把最近创建的删除;(值得注意的是,HBKernel32.sys这个驱动级的病毒隐藏较深,根据www.virscan.org网站的查毒报告,至今为止,没有杀软能认出这个危险的病毒,估计是蝗虫军团病毒又升级了);
经分析,以上病毒绝大部分都是从hxxp://u3.exgif.com/网站自动下载的。(我把http 改成hxxp 了)。
删除以上病毒后,重启到windows界面,杀软还是打不开,这次是根本没反映了,而且病毒正在迅速恢复,只好再次启动到PE界面,按照以上步骤重新清除病毒;
然后,重启到windows安全模式,打开注册表,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Image File ExecutionOptions键项下病毒添加了大量的映像劫持键项,于是删除了Image File Execution Options 键项;
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks ,删除右边窗口除了"默认"以外的任何内容;
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,删除右边窗口AppInit键里面的全部内容。
再次试运行杀毒软件,终于可以正常启动了。于是全盘杀毒。
杀毒时,我漏掉的三个病毒被杀软干掉了,还有一个系统文件userinit.exe被病毒感染,被清除病毒后,本来有20多Kb的文件只剩下2Kb了,我估计就是这个文件,导致我刚才手动杀毒差点失败。但是,这个系统文件被杀毒软件杀的太狠了一点,我担心系统会出现问题,于是重启了一次,居然没有问题!!!
此次杀毒后,没有发现后遗症。
后记:
我在IE临时目录里面找到了ARP源病毒vip[1].exe,199kb大小,单独运行这个病毒时发现,离开蝗虫军团木马群病毒的保护伞后,这个病毒一点也不厉害了,狠容易清除,大部分的杀软都能清除这个病毒,包括这个源病毒激活后释放在windows根目录下的几个dll病毒。但是,drivers目录下,后缀为.tmp的ARP病毒文件,至今未有任何杀软认为是病毒。
附注:
文件名称 : HBKernel32.sys
文件大小 : 14703 byte
文件类型 : data
MD5 : 43228c8b8ff196c1c552914aa3f4508a
SHA1 : b7950a4e225393d785bd02cf735cf6a9d9268ac8
扫描结果 : 全部的杀毒软件报告没有发现病毒!
时间 : 2008/12/20 15:48:28 (CST)
后记:
据病毒作者自己透露,这个HBKernl32.sys 的确没有任何作用,程序内容除了一段正版验证程序外,就是骂人的话。到此,基本上可以确认,这次遇到的是蝗虫军团病毒的一个新变种病毒,加入了ARP病毒