高仁好帅:寝室上网经常掉线，是否中了ARP病毒？该如何查杀？

参考答案知识需要反复探索，土地需要辛勤耕耘。（尼泊尔谚语）

这个不一定，我们寝室的以前也经常掉线，即使不掉线，那网速也是巨低。
因为我们用的是卡巴斯基，所以染毒的几率不大。最后我们给我们的通讯公司打了电话咨询，他们问过猫的型号后得出的结论是猫的版本太低，后来他们派人来给换了一个，网速就好多了，也不再老掉线了。
至于你说的ARP
我帮你在网上搜了一下 :

最近几天很多用户反映频繁掉线，经过查处，确认目前引起用户掉线的原因是病毒，名字叫传奇杀手。该问题在全国均大面积发生。

传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.

工作流程:

首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.

发作状况:

局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接,且重新登陆后提示服务器无相应.

故障排除:

在局域网中受影响的客户机上执行arp -a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp欺骗后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)

预防措施:

如工作站采用xp/2k3操作系统,可逐台执行"arp -s 网关ip 网关mac"来绑定网关的IP地址.
很遗憾,由于win2k/98及更低档次的操作系统中,arp防护功能并不完善,所以在大部分网吧,该程序并没有方便且经济的方法来预防.
1.在网关上生成mac列表,并设置网关上内网网卡防止ARP欺骗.
2.使用具有IP-MAC绑定功能的智能交换机,绑定网关IP-MAC.
3.启用有效的游戏保护软件,在游戏启动前检测网关mac地址,如有异常,即提醒客户并在服务器发出警告信息.

友情提示:

由于数据解密方式限制,目前此类软件只能针对热血传奇游戏进行破坏.但此类软件既然已经出现,就很有可能衍生出针对其他网络游戏的其他版本.请提前做好相应的预防工作
该病毒发作时候的特征为，中毒的机器会修改其他机器的网卡mac地址为中毒机器网卡的mac地址，在三层交换机看mac表 ，思科sh arp 华为 dis arp

192.168.0.61 00-e0-4c-8c-9a-47 dynamic
192.168.0.70 00-e0-4c-8c-9a-47 dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.103 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-9a-47 dynamic
192.168.0.105 00-e0-4c-8c-9a-47 dynamic
192.168.0.106 00-e0-4c-8c-9a-47 dynamic
192.168.0.107 00-e0-4c-8c-9a-47 dynamic
192.168.0.108 00-e0-4c-8c-9a-47 dynamic
192.168.0.109 00-e0-4c-8c-9a-47 dynamic
192.168.0.110 00-e0-4c-8c-9a-47 dynamic
192.168.0.111 00-e0-4c-8c-9a-47 dynamic
192.168.0.112 00-e0-4c-8c-9a-47 dynamic
192.168.0.113 00-e0-4c-8c-9a-47 dynamic
192.168.0.114 00-e0-4c-8c-9a-47 dynamic
192.168.0.115 00-e0-4c-8c-90-22 dynamic
192.168.0.165 00-e0-4c-8c-9a-47 dynamic
192.168.0.166 00-e0-4c-8c-9a-47 dynamic
192.168.0.167 00-e0-4c-8c-9a-47 dynamic
192.168.0.168 00-e0-4c-e8-91-45 dynamic
192.168.0.170 00-e0-4c-8c-9a-47 dynamic

该病毒不发作的时候，
Internet Address Physical Address Type
192.168.0.1 00-e0-4c-8c-bb-0f dynamic
192.168.0.68 00-00-e8-11-df-53 dynamic
192.168.0.99 00-e0-4c-8c-81-cc dynamic
192.168.0.102 00-e0-4c-8c-7e-8f dynamic
192.168.0.103 00-e0-4c-8c-8e-cd dynamic
192.168.0.105 00-e0-4c-8c-b8-03 dynamic
192.168.0.106 00-e0-4c-8c-b9-cc dynamic
192.168.0.107 00-e0-4c-8c-8f-0d dynamic
192.168.0.109 00-e0-4c-8c-ba-7a dynamic
192.168.0.110 00-e0-4c-8c-7a-8a dynamic
192.168.0.112 00-e0-4c-8c-b9-c4 dynamic
192.168.0.113 00-e0-4c-8c-92-ad dynamic
192.168.0.116 00-e0-4c-82-55-8f dynamic
192.168.0.117 00-e0-4c-8c-ba-9e dynamic
192.168.0.118 00-e0-4c-8c-b9-57 dynamic
192.168.0.119 00-e0-4c-8c-b8-d9 dynamic
192.168.0.120 00-e0-4c-8c-92-c5 dynamic
192.168.0.121 00-e0-4c-8c-ba-64 dynamic
192.168.0.122 00-e0-4c-3a-1d-bb dynamic
192.168.0.123 00-e0-4c-8c-ba-42 dynamic
192.168.0.124 00-e0-4c-3a-1d-a5 dynamic
192.168.0.128 00-e0-4c-8c-b9-31 dynamic
192.168.0.129 00-e0-4c-8c-91-58 dynamic
192.168.0.130 00-e0-4c-8c-b9-f2 dynamic
192.168.0.131 00-e0-4c-8c-9a-47 dynamic
192.168.0.132 00-e0-4c-8c-ba-5e dynamic
192.168.0.134 00-e0-4c-3a-77-42 dynamic
192.168.0.135 00-e0-4c-8c-53-73 dynamic
192.168.0.136 00-e0-4c-8c-ba-d3 dynamic
192.168.0.137 00-e0-4c-8c-9c-28 dynamic
192.168.0.138 00-e0-4c-8c-b8-f9 dynamic
192.168.0.139 00-e0-4c-8c-b9-26 dynamic
192.168.0.142 00-e0-4c-8c-84-39 dynamic
192.168.0.143 00-e0-4c-8c-bb-0f dynamic
192.168.0.144 00-e0-4c-8c-ba-8a dynamic

病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47，正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131，就是这台机器中毒，将该机器的网线拔掉，再观察。
中毒的机器可能不止一台，请多观察。
进入机器dos窗口的方式为，点击“开始”，点击“运行”，键入command，回车，就可以进入dos窗口，然后就可以用arp –a命令查看IP地址和mac地址对应的情况。

经过检查发现主要就出在传奇木马上了！！

现在检测发现的就有2种外挂带这种木马了！传奇木马。。用户怎么判别自己的电脑是否感染该病毒？ 同时按下键盘上的“CTRL”、“ALT”和“DEL”键，调出“Windows任务管理器”，察看其中有没有一个名为“MIR0.dat”的进程，如果有，则说明已经中毒。中毒之后，用户电脑还会出现IE浏览器频繁出错，一些常用软件也会出现故障。

经过检查发现主要就出在传奇木马上了！！

现在检测发现的就有2种外挂带这种木马了！

一 传奇2冰橙子1.14

二 及时雨PK破解版

工作原理大概就是运用ARP欺骗来实现的。所以临时的办法是禁止使用最近新出的外挂。跟顾客协调好。比较实用的办法就是在运行里或者命令提示符下输入 arp -s IP 物理地址 把IP和网卡物理地址绑到一起这样就破坏了ARP欺骗木马的正常工作。网关不被替换掉当然就不掉线了。

你要是觉得麻烦的话，全寝室装卡巴吧
网上有很多的key
不花钱也能用大个把年的
装的话 记得先把别的杀毒软件卸了