APP病毒的解决办法
APP病毒的解决办法
作者:王荣桂
来源:《电脑知识与技术·经验技巧》2019年第03
        ;随着局域网规模的不断扩大,网络运维的难度也越来越大。特别是遇到ARP病毒攻击后,局域网中的计算机无缘无故就会出现断网现象,时而这台电脑,时而另一台电脑,出现IP地址冲突,网速时快时慢,严重影响了网络的正常通讯。
        一、判断是否是ARP攻击
        当发现上网明显变慢,或者突然掉线时,我们可以用ARP命令来检查ARP表。依次单击桌面开始运行菜单,打开运行对话框,在打开后输入“CMD”命令并回车,进入“CMD”命令提示符界面。接着,在提示符后输入“ARP-A”并回车(图1)如果显示的网关的MAC地址发生了改变,或者有很多IP地址是指向同一个物理地址,可以判定受到了ARP攻击。
        二、揪出ARP病毒的主机
        通过上面的“ARP-A”命令,那个改变的网关MAC地址或多个IP指向的物理地址,就是病毒主机的MAC地址。接着,再次进入“CMD”命令提示符界面,在提示符后输入“Ipconfig/all”并回车,就可以查出每台计算机的MAC地址(图2)。如果局域网中计算机数
量很多的话,可以使用“NBTSCAN”扫描PC的真實IP地址和MAC地址。下载nbtscan.rar文件,将解压好的“cygwin1.dll”“”两文件复制到本地电脑“C:\WINDOWSsystem32”下,进入cmd命令提示符界面,在提示符后输入“nbtscan-r10.95.86.0/24”并回车(图3),搜索“10.95.86.1-10.95.86.254”整个网段,输出的第一列是IP地址,最后一列是MAC地址,这样即可到病毒主机的IP地址。或者进入命令提示符界面,在提示符后输入路由跟踪命令“tracert–dwww.baidu”并回车,正常情况下输出的第一条就是默认网关地址。如果第一条并非网关IP地址,那它的主机就是ARP病毒的主机。
        三、彻底查杀ARP病毒
        彻底查杀ARP病毒,需要定位到攻击源地址,利用ARP专杀工具进行杀毒。到ARP攻击的源头后,在源头的计算机上安装ARP专杀工具进行查杀操作,对病毒库进行更新后即可进行查杀。如果杀毒软件查杀不干净的话,可以用下面的方法来彻底杀除ARP病毒。首先,进入“%windows%System32”文件夹,删除“LOADHW.EXE”进入注册表命令病毒组件释放者文件,再删除“driversnpf.sysARP”欺骗包的驱动程序。接着,右击桌面计算机,选择设备管理器菜单,进入设备管理器窗口。依次单击查看显示隐藏的设备菜单,在设备树展开非即插
即用列表项(图4),到“NetGroupPacketFilterDriver”“NetGroupPacketFilter”后并右击,在弹出菜单中选择卸载,确认后进行卸载操作,重启Windows系统。然后,进入“%windows%System32drivers”文件夹,删除“npf.sys”。再次进入“%windows%System32”文件夹,删除“msitinit.dll”文件。最后,依次单击桌面开始运行菜单,打开运行对话框,在打开后输入“regedit”命令并回车,进入注册表编辑器,到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”注册表项,删除“Npf”子项后,重启Windows系统即可。
        四、防范ARP病毒攻击
        一是使用杀毒软件实现ARP防护。打开最新版本的“360安全卫士,单击主界面右下角的更多,进入功能大全界面。点击左侧的网络优化,在工具列表到流量防火墙并单击,在弹出的新窗口,单击上面的局域网防护后,再单击下面立即开启进行设置。安装完成后进入“360流量防火墙(图5)。左侧的四个防护选项默认是开启的,重启电脑即可。二是绑定IPMAC地址防护ARP病毒。首先,用“ipconfig/all”命令查出本地计算机的IP地址和MAC地址。接着,实现网关(即路由器)的IPMAC地址绑定。打开运行对话框后,在
后输入“CMD”命令并回车,在提示符后输入“ARP-s10.95.86.214c-34e0-aa-95-66”(本地计算机的MAC地址)即可实现绑定。也可以在命令提示符下输入命令“netsh interface ipv4 show interface”并回车,查看本地计算机中所有网卡的“Idx”代码(图6),从中选择要绑定的Idx(本地连接),本地连接的“Idx”20。然后,在命令提示符下输入命令“netsh interface ipv4 set neighbors 20 10.95.86.21 4c-34e0-aa-95-66”,回车后实现静态绑定。由于手动操作实现的静态绑定,会在重启电脑后恢复为动态绑定,所以需要建立一个批处理文件,把以下命令放在批处理文件里(图7),然后,把该批处理文件拖放至开始所有程序启动菜单下,系统在启动时会自动执行该批处理文件。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。