APP病毒的解決辦法

王榮桂

隨著局域網規(guī)模的不斷擴大，網絡運維的難度也越來越大。特別是遇到ARP病毒攻擊后，局域網中的計算機無緣無故就會出現斷網現象，時而這臺電腦，時而另一臺電腦，出現IP地址沖突，網速時快時慢，嚴重影響了網絡的正常通訊。

一、判斷是否是ARP攻擊

當發(fā)現上網明顯變慢，或者突然掉線時，我們可以用ARP命令來檢查ARP表。依次單擊桌面“開始→運行”菜單，打開“運行”對話框，在“打開”后輸入“CMD”命令并回車，進入“CMD”命令提示符界面。接著，在提示符后輸入“ARP-A”并回車（圖1）如果顯示的網關的MAC地址發(fā)生了改變，或者有很多IP地址是指向同一個物理地址，可以判定受到了ARP攻擊。

二、揪出ARP病毒的主機

通過上面的“ARP-A”命令，那個改變的網關MAC地址或多個IP指向的物理地址，就是病毒主機的MAC地址。接著，再次進入“CMD”命令提示符界面，在提示符后輸入“Ipconfig/all”并回車，就可以查出每臺計算機的MAC地址（圖2）。如果局域網中計算機數量很多的話，可以使用“NBTSCAN”掃描PC的真實IP地址和MAC地址。下載nbtscan.rar文件，將解壓好的“cygwin1.dll”和“nbtscan.exe”兩文件復制到本地電腦“C：＼WINDOWS＼system32”下，進入cmd命令提示符界面，在提示符后輸入“nbtscan-r10.95.86.0/24”并回車（圖3），搜索“10.95.86.1-10.95.86.254”整個網段，輸出的第一列是IP地址，最后一列是MAC地址，這樣即可找到病毒主機的IP地址。或者進入命令提示符界面，在提示符后輸入路由跟蹤命令“tracert–dwww.baidu.com”并回車，正常情況下輸出的第一條就是默認網關地址。如果第一條并非網關IP地址，那它的主機就是ARP病毒的主機。

三、徹底查殺ARP病毒

徹底查殺ARP病毒，需要定位到攻擊源地址，利用ARP專殺工具進行殺毒。找到ARP攻擊的源頭后，在源頭的計算機上安裝ARP專殺工具進行查殺操作，對病毒庫進行更新后即可進行查殺。如果殺毒軟件查殺不干凈的話，可以用下面的方法來徹底殺除ARP病毒。首先，進入“%windows%＼System32”文件夾，刪除“LOADHW.EXE”病毒組件釋放者文件，再刪除“driversnpf.sysARP”欺騙包的驅動程序。接著，右擊桌面“計算機”，選擇“設備管理器”菜單，進入“設備管理器”窗口。依次單擊“查看→顯示隱藏的設備”菜單，在設備樹展開“非即插即用”列表項（圖4），找到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右擊，在彈出菜單中選擇“卸載”，確認后進行卸載操作，重啟Windows系統(tǒng)。然后，進入“%windows%＼System32＼drivers”文件夾，刪除“npf.sys”。再次進入“%windows%＼System32”文件夾，刪除“msitinit.dll”文件。最后，依次單擊桌面“開始→運行”菜單，打開“運行”對話框，在“打開”后輸入“regedit”命令并回車，進入“注冊表編輯器”，找到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注冊表項，刪除“Npf”子項后，重啟Windows系統(tǒng)即可。

四、防范ARP病毒攻擊

一是使用殺毒軟件實現ARP防護。打開最新版本的“360安全衛(wèi)士”，單擊主界面右下角的“更多”，進入“功能大全”界面。點擊左側的“網絡優(yōu)化”，在工具列表找到“流量防火墻”并單擊，在彈出的新窗口，單擊上面的“局域網防護”后，再單擊下面“立即開啟”進行設置。安裝完成后進入“360流量防火墻”（圖5）。左側的四個防護選項默認是開啟的，重啟電腦即可。二是綁定IP和MAC地址防護ARP病毒。首先，用“ipconfig/all”命令查出本地計算機的IP地址和MAC地址。接著，實現網關（即路由器）的IP和MAC地址綁定。打開“運行”對話框后，在“打開”后輸入“CMD”命令并回車，在提示符后輸入“ARP-s10.95.86.214c-34e0-aa-95-66”（本地計算機的MAC地址）即可實現綁定。也可以在命令提示符下輸入命令“netsh interface ipv4 show interface”并回車，查看本地計算機中所有網卡的“Idx”代碼（圖6），從中選擇要綁定的Idx（本地連接），本地連接的“Idx”是20。然后，在命令提示符下輸入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”，回車后實現靜態(tài)綁定。由于手動操作實現的靜態(tài)綁定，會在重啟電腦后恢復為動態(tài)綁定，所以需要建立一個批處理文件，把以下命令放在批處理文件里（圖7），然后，把該批處理文件拖放至“開始→所有程序→啟動”菜單下，系統(tǒng)在啟動時會自動執(zhí)行該批處理文件。

總之，如果局域網出現ARP病毒，需要檢查局域網中每一臺計算機，判斷出ARP發(fā)包源，再使用殺毒軟件進行查殺。