实战ARP 私人心得真正的APR病毒解决方案（申请加精）(页 1) - 【 360病毒木马专区】 - 我是网管论坛 - 畅通网络因为有我

ypzhou25 发表于 2007-10-6 16:07

实战ARP 私人心得真正的APR病毒解决方案（申请加精）

[color=red][/color]U5eVH5k3loEo
[align=center][font=Times New Roman][size=5][color=magenta][b]实战ARP 私人心得真正的APR病毒解决方案[/b][/color][/size][/font][/align][font=Times New Roman][size=3][color=#000000][/color][/size][/font]"i]8E.@r
[size=3][color=#000000][font=宋体][b]操作系统：[/b][/font][font=Times New Roman]WINDOWS2000 [/font][font=宋体]与[/font][font=Times New Roman] WINDOWS XP[/font][/color][/size]
[size=3][color=#000000][font=宋体][b]防毒软件：[/b][/font][font=Times New Roman]NORTON 10.0[/font][font=宋体]企业版，个人认为这些杀毒软件争对[/font][font=Times New Roman]ARP[/font][font=宋体]病毒真的是毫无办法。[/font][/color][/size]
[size=3][color=#000000][font=宋体][b]上网方式[/b]：[/font][font=Times New Roman]WINGATE [/font][font=宋体]代理上网[/font][/color][/size]
[font=宋体][size=3][color=#000000][b]感染范围：[/b]公司局域网内可以上网的电脑[/color][/size][/font]
[size=3][color=#000000][font=宋体][b]病毒类型：[/b][/font][font=Times New Roman]ARP[/font][font=宋体]病毒[/font][/color][/size]6Q+j#p#jw2k[R
[size=3][color=#000000][font=宋体][b]病毒文件：[/b][/font][/color][/size]!I&S^w)j]s%t%L
[size=3][color=#000000]-^M!J-a3C,P2r
[/color][/size][size=3][color=#000000][font=Times New Roman]cmdbcs.exe[/font][/color][/size]XNnt8AxxT}V
[font=Times New Roman][size=3][color=#000000]
cmdbcs.dll[/color][/size][/font]dVi3V8[_ WQ Ehy
[font=Times New Roman][size=3][color=#000000]$[J|9l6Ojr$v {
genprotect.exe[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000]
packet.dll[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000]["?|],FmG+?X
wanpacket.dll[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000]
:Axr ?^
wpcap.dll[/color][/size][/font]4DC&dRJ J1it
[font=Times New Roman][size=3][color=#000000]CgJ kl6\%TE1w
addrns*.dll[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000]
qdshm.dll[/color][/size][/font]DS9L%~/yUKh\
[font=Times New Roman][size=3][color=#000000]
addrmshecp.cfg[/color][/size][/font]/X{Q7j5\
[font=Times New Roman][size=3][color=#000000]0me"dZ ||*l
addrzthelp.dll[/color][/size][/font]
[font=Times New Roman][size=3][color=#000000]+?;F"VE/SU!h
addrzthelp.cfg[/color][/size][/font]*|aV D4@!q.zJ;k"y
[font=Times New Roman][size=3][color=#000000]
wpcap.dll[/color][/size][/font]w8s)mB8p
[font=Times New Roman][size=3][color=#000000]#\#f3bYlEm:C;g)l
addreghelp.cfg[/color][/size][/font]
[size=3][color=#000000][font=Times New Roman] [/font][font=宋体]等等。[/font][/color][/size]
[size=3][color=#000000][font=宋体]在[/font][font=Times New Roman]WINDOWS,WINNT,SYSTEM32[/font][font=宋体]文件夹下与上述文件相近日期时间的所有文件。大部分都是隐藏属性的文件。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]A)[ nC P b
[size=3][color=#000000][b][font=Times New Roman]ARP[/font][font=宋体]感染过程：[/font][/b][/color][/size]J/hs!p z AQhwUZ
[size=3][color=#000000][font=宋体]首先一台[/font][font=Times New Roman]WINXP[/font][font=宋体]电脑，在上网时无意中感染了[/font][font=Times New Roman]ARP[/font][font=宋体]病毒，然后通过发[/font][font=Times New Roman]IP[/font][font=宋体]地址冲突包，感染其它的电脑，导致其它的电脑通过特殊的端口，在后台，从特殊的服务器上下载[/font][font=Times New Roman]ARP[/font][font=宋体]病毒[/font][font=Times New Roman]([/font][font=宋体]我公司是从这个站点下载病毒的：[/font][font=Times New Roman]WWW.52XMM.CN)[/font][font=宋体]。最后在网络上[/font][font=Times New Roman]ARP[/font][font=宋体]表中产生很多的相同的[/font][font=Times New Roman]IP[/font][font=宋体]地址，主要是与网关相同的[/font][font=Times New Roman]IP[/font][font=宋体]但[/font][font=Times New Roman]MAC[/font][font=宋体]不同，从而导致网络[/font][font=Times New Roman]PING[/font][font=宋体]网关断续续。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font],Ex&~7f/O p6RK Cy
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]1u&R'n"B;p)Y;I
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]Ez!N Pk1LA
[size=3][color=#000000][font=宋体]下面我来总结我们公司三位工程师用了一天的时间研究（上午[/font][font=Times New Roman]9[/font][font=宋体]：[/font][font=Times New Roman]00-[/font][font=宋体]晚上[/font][font=Times New Roman]20[/font][font=宋体]：[/font][font=Times New Roman]00[/font][font=宋体]）争对[/font][font=Times New Roman]ARP[/font][font=宋体]病毒的发现到消灭[/font][font=Times New Roman]ARP[/font][font=宋体]病毒的全过程。现精简如下：[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体][b]前提：[/b]有一份网卡[/font][font=Times New Roman]MAC[/font][font=宋体]地址、[/font][font=Times New Roman]IP[/font][font=宋体]地址与电脑编号的对照表（希望每一位企业与网吧网络技术人员在维护网络时必备的参照表），方便发现故障机可以最快的速度断开它的连接。[/font][/color][/size]Yy4Y;IO2a![p7c4J
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[b][color=red][font=宋体][size=3]第一步：发现中毒机器并隔离它[/size][/font][font=Times New Roman][size=3] [/size][/font][/color][/b]
[size=3][color=#000000][font=宋体]如果你发现在局域网内的电脑经常上不到网，[/font][font=Times New Roman]PING[/font][font=宋体]网关则丢包严重，或者根本[/font][font=Times New Roman]PING[/font][font=宋体]不通，则在局域网内肯定有[/font][font=Times New Roman]APR[/font][font=宋体]相关的病毒存在，简单的查看方法是在[/font][font=Times New Roman]CMD[/font][font=宋体]命令提示下：输入[/font][font=Times New Roman] arp –a [/font][font=宋体]命令查看有没有相同的[/font][font=Times New Roman]IP[/font][font=宋体]地址，如有则用[/font][font=Times New Roman] arp –d [/font][font=宋体]命令清除[/font][font=Times New Roman]ARP[/font][font=宋体]地址表，就可以上网了，但病毒还存在网络中，还会继续发作，另外这种方法并不能显示所有中毒电脑的[/font][font=Times New Roman]MAC[/font][font=宋体]地址。[/font][/color][/size]
[size=3][color=#000000][font=宋体]我的方法是：在自己电脑上安装网络执法官[/font][font=Times New Roman] v2.88[/font][font=宋体]企业版，用于监控局域网内有没有相同[/font][font=Times New Roman]IP[/font][font=宋体]地址，主要监控网关的[/font][font=Times New Roman]IP[/font][font=宋体]就可以了。如发现有与网关相同的[/font][font=Times New Roman]IP[/font][font=宋体]，则对照[/font][font=Times New Roman]MAC[/font][font=宋体]地址清单，找到非网关的[/font][font=Times New Roman]MAC[/font][font=宋体]地址电脑，将它的网络断开，以免感染其它的电脑。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=red][b][font=宋体]第二步：清除[/font][font=Times New Roman]ARP[/font][font=宋体]病毒文件及删除注册表启动项[/font][/b][/color][/size]g?x-].Y(Se
[size=3][color=#000000]
[/color][/size][size=3][color=#000000][font=宋体]首先进入安全模式，手动删除[/font][font=Times New Roman]WINDOWS[/font][font=宋体]、[/font][font=Times New Roman]WINNT[/font][font=宋体]、[/font][font=Times New Roman]SYSTEM32[/font][font=宋体]文件夹下的所有病毒文件（上面有描述）。有个别[/font][font=Times New Roman]DLL[/font][font=宋体]类型的文件不能直接删除，必须将它的扩展文件改为[/font][font=Times New Roman]BAK[/font][font=宋体]（也可以是其它非[/font][font=Times New Roman]DLL[/font][font=宋体]、[/font][font=Times New Roman]EXE[/font][font=宋体]、[/font][font=Times New Roman]COM[/font][font=宋体]类型），再进入注册表删除相关启动项，然后重新进入安全模式再删除它。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=red][b][font=宋体]第三步：安装最新版[/font][font=Times New Roman]360[/font][font=宋体]安全卫士，清除木马，流氓软件，恶意插件[/font][font=Times New Roman] [/font][font=宋体]及[/font][font=Times New Roman] [/font][font=宋体]修复[/font][font=Times New Roman]IE[/font][/b][/color][/size]Y^5nJ)\t
[size=3][color=#000000][font=宋体]因为[/font][font=Times New Roman]ARP[/font][font=宋体]病毒还有些相关的信息存放在[/font][font=Times New Roman]IE[/font][font=宋体]里面，一定要清除，否则一段时间后（大概[/font][font=Times New Roman]5[/font][font=宋体]分钟），只要你连接上[/font][font=Times New Roman]INTERNET,[/font][font=宋体]又会继续感染。[/font][/color][/size]
[size=3][color=#000000][font=宋体]个人感觉[/font][font=Times New Roman]360[/font][font=宋体]功能比较全面，并且是免费的，特推荐使用它。在感染病毒的电脑上，安装好[/font][font=Times New Roman]360[/font][font=宋体]安全卫士，然后查杀木马及清理恶评系统插件，最后再修复[/font][font=Times New Roman]IE[/font][font=宋体]。[/font][/color][/size]4pBXL5|:HL
[font=Times New Roman][size=3][color=#000000][/color][/size][/font];f#I@|^ f
[size=3][b][color=red][font=宋体]第四步：运行[/font][font=Times New Roman]ARP[/font][font=宋体]（[/font][font=Times New Roman]TSC[/font][font=宋体]）专杀工具[/font][/color][/b][/size]f!v*PB;_A
[size=3][color=#000000][font=宋体]因这个专杀工具是一个过时的工具（最新的[/font][font=Times New Roman]ARP[/font][font=宋体]病毒变种为[/font][font=Times New Roman]2006-8-24[/font][font=宋体]），网上找了[/font][font=Times New Roman]N[/font][font=宋体]个都是相同的，还没有发现比它更新的工具。在这里运行它主要是防止有些老的及忘记删的[/font][font=Times New Roman]ARP[/font][font=宋体]病毒。[/font][/color][/size]R\d)z.~
[size=3][color=#000000][font=宋体]运行它也只是过过场而己。到此，[/font][font=Times New Roman]ARP[/font][font=宋体]病毒己经从本机清除干净。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=red][b][font=宋体]第五步：运行[/font][font=Times New Roman]WINSOCKFIX.EXE[/font][/b][/color][/size]~5?LAM@BP8hW
[size=3][color=#000000][font=Times New Roman] [/font][font=宋体]这步主要争对有些电脑删除[/font][font=Times New Roman]ARP[/font][font=宋体]病毒后，造成无法上网及收发邮件的解决方法。运行完后，这台电脑的[/font][font=Times New Roman]IP[/font][font=宋体]、网关、[/font][font=Times New Roman]DNS[/font][font=宋体]都要重新设置。[/font][/color][/size]a;x7bx K+Wj(t1tg
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]e9?{AI"_q
[size=3][color=red][b][font=宋体]第六步：防止以后再中[/font][font=Times New Roman]ARP[/font][font=宋体]病毒[/font][/b][/color][/size]{t2JT8i#Nr2hZ
[size=3][color=#000000][font=宋体]跟据需要打上[/font][font=Times New Roman]360 ARP[/font][font=宋体]防火墙。及禁止所有电脑访问，这些电脑中毒后，后台所访问的网址，肯定要一个个仔细去查找（适用于代理上网的网络，我公司禁用的网址为[/font][font=Times New Roman]WWW.52XMM.CN[/font][font=宋体]）。电脑中所有的漏洞与补丁都要打上，可以通过[/font][font=Times New Roman]360[/font][font=宋体]的修复漏洞功能。[/font][/color][/size]Eu-Tfq&_
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[size=3][color=#000000][font=宋体]今天上网查了下原来网上很多电脑中[/font][font=Times New Roman]ARP[/font][font=宋体]病毒，都是从这个网址下载的。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[font=Times New Roman][size=3][color=#000000][/color][/size][/font]
[font=宋体][size=3][color=#000000]哎，发了两个多小时时间终于写完了。喝杯茶去。。。。。。。。。[/color][/size][/font]E*I3C3]J
[size=3][color=#000000][/color][/size]"R(W7PDDz#w
[align=center][font=黑体][size=5][color=darkgreen][b]此贴请大家下载后不要评论，以便让更多的穷人下载，谢谢合作！[/b][/color][/size][/font][/align][align=center][b][font=黑体][size=5][color=red]如你有ARP问题请在此跟贴，本人将尽力协助你解决！[/color][/size][/font][/b][/align]0o4QnLb
0PZC2]q2iT8L
[[i] 本帖最后由 ypzhou25 于 2007-10-30 13:52 编辑 [/i]]

爱自由1 发表于 2007-10-6 20:36

只要是ARP我就顶,不知道是为什么

inpc 发表于 2007-10-6 20:45

感谢楼主提供的解决问题办法)ZZdz0e*SR
以后遇上类似问题可以自己检查尝试解决了

chenpuwk 发表于 2007-10-6 22:22

看来360做得很不错啊

stg609 发表于 2007-10-7 00:08

谢谢,楼主辛苦了~~~

sunleling 发表于 2007-10-7 08:20

谢谢分享，辛苦了LZ！

ypzhou25 发表于 2007-10-7 17:40

这么好的贴希望大家多多支持

angel144 发表于 2007-10-7 21:26

工程师。。。。3个还要1天。。。才解决掉。。。
这年头。。。。唉

joebradleay 发表于 2007-10-8 08:22

支持楼主！！！:handshake （MS楼上的一位很强:L ）

ypzhou25 发表于 2007-10-8 09:38

[quote]原帖由 [i]angel144[/i] 于 2007-10-7 21:26 发表 [url=http://www.54master.com/bbs/redirect.php?goto=findpost&pid=2160309&ptid=200686][img]http://www.54master.com/bbs/images/common/back.gif[/img][/url]
工程师。。。。3个还要1天。。。才解决掉。。。
这年头。。。。唉 [/quote]C8t6qo-K!D

呵呵初次碰到ARP，没有这方面的经练，在此献丑了。

h(Fvyt5^a
如果你有更好的方法，请指教。

chzhj1985 发表于 2007-10-8 12:05

其实3个人用了一天，确实是太长了。不过初次遇到的话，确实是不知道从哪里下手。等力下次遇到，很快就能解决了

117907390 发表于 2007-10-8 12:47

谢谢LZ分享！！万分感激

ypzhou25 发表于 2007-10-8 14:03

[quote]原帖由 [i]chzhj1985[/i] 于 2007-10-8 12:05 发表 [url=http://www.54master.com/bbs/redirect.php?goto=findpost&pid=2162006&ptid=200686][img]http://www.54master.com/bbs/images/common/back.gif[/img][/url]
其实3个人用了一天，确实是太长了。不过初次遇到的话，确实是不知道从哪里下手。等力下次遇到，很快就能解决了 [/quote]A;`lU8UE

按你上述所说你可能也多次碰到过ARP病毒。能否把你查杀的一些心得上传上来，给大家多长点见识。

54gswg 发表于 2007-10-8 16:24

谢谢楼主分享～～

seifong 发表于 2007-10-8 16:27

谢谢,:handshake ,早就想找点这方面的东东

LeonJun 发表于 2007-10-8 16:47

别说三个人一天就是再多人不得要领十天时间也是白费工夫Rv(cVS1[~
`#C}%fW9Ye{@
当初我公司出现这种状况的时候我估摸了大概一个星期仍然找不到源头最后请了两个CCIE的人来一致认为是所谓的odays攻击直到最后我们抓到包中的特征码定位到一款监控软件上才发现原来不是病毒是它作的祟

justin_mao 发表于 2007-10-8 23:30

这个方法比较烂。
在客户端逐一收拾，假如机器多你们会疯掉的。

我建议你们平常给员工设个主页是你们内网的web，平时下个通知，挂个补丁，防火墙也容易。:lol

GDyingzi 发表于 2007-10-9 00:58

辛苦了:D :D :D

ypzhou25 发表于 2007-10-9 11:33

[quote]原帖由 [i]justin_mao[/i] 于 2007-10-8 23:30 发表 [url=http://www.54master.com/bbs/redirect.php?goto=findpost&pid=2163943&ptid=200686][img]http://www.54master.com/bbs/images/common/back.gif[/img][/url]
这个方法比较烂。
在客户端逐一收拾，假如机器多你们会疯掉的。"h@/ir"E Ux}(pC

我建议你们平常给员工设个主页是你们内网的web，平时下个通知，挂个补丁，防火墙也容易。:lol [/quote])ZK#Y B n,T
:j jK\;nx9b

谢谢你的提议！

ping12345678 发表于 2007-10-10 11:18

写的很好收下了

页: [1] 2 3 4 5 6 7 8 9 10

我是网管论坛's Archiver

实战ARP 私人心得 真正的APR病毒解决方案（申请加精）

实战ARP 私人心得真正的APR病毒解决方案（申请加精）