按以下順序刪除病毒元件
1) 刪除 ”病毒元件釋放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 刪除 ”發ARP欺騙包的驅動程式” (兼 “病毒守護程式”)
%windows%\System32\drivers\npf.sys
a. 在裝置管理員中, 按一下”查看”-->”顯示隱藏的設備”
b. 在設備樹結構中,打開”非隨插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設備清單
d. 右鍵點擊” NetGroup Packet Filter Driver” 功能表,並選擇”卸載”.
e. 重啟windows系統,
f. 刪除%windows%\System32\drivers\npf.sys
3) 刪除 ”命令驅動程式發ARP欺騙包的控制者”
%windows%\System32\msitinit.dll
2. 刪除以下”病毒的假驅動程式”的註冊表服務項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
處理方法—:靜態ARP綁定閘道
步驟一:
在能正常上網時,進入MS-DOS視窗,輸入命令:arp -a,查看閘道的IP對應的正確MAC位址, 並將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,電腦可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果電腦已經有閘道的正確MAC位址,在不能上網只需手工將閘道IP和正確的MAC位址綁定,即可確保電腦不再被欺騙攻擊。
要想手工綁定,可在MS-DOS視窗下運行以下命令:
arp -s 閘道IP 閘道MAC
例如:假設電腦所處網段的閘道為192.168.168.254,本機位址為192.168.168.2,在電腦上運行arp -a後輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.168.2--- 0x10003
Internet Address Physical Address Type
192.168.168.254 00-0F-E2-45-C6-E8 dynamic
其中,00-0F-E2-45-C6-E8就是閘道192.168.168.254對應的MAC位址,類型是動態(dynamic)的,因此是可被改變的。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後查找該攻擊的機器做準備。
手工綁定的命令為:
arp -s 192.168.168.254 00-0F-E2-45-C6-E8
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.168.2 --- 0x10003
Internet Address Physical Address Type
192.168.168.254 00-0F-E2-45-C6-E8 static
這時,類型變為靜態(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在電腦關機重啟後就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的電腦,把病毒殺掉,才算是真正解決問題。
5 .作批次檔
在用戶端做對閘道的arp綁定,具體操作步驟如下:
步驟一:
查找本網段的閘道位址,比如192.168.168.254,以下以此閘道為例。在正常上網時,“開始→運行→cmd→確定”,輸入:arp -a,點回車,查看閘道對應的Physical Address。
比如:閘道192.168.168.254 對應00-0F-E2-45-C6-E8。
步驟二:
編寫一個批次檔rarp.bat,內容如下:
@echo off
arp -d
arp -s 192.168.168.254 00-0F-E2-45-C6-E8
保存為:rarp.bat
步驟三:
運行批次檔將這個批次檔拖到“Windows→開始→程式→啟動”中,如果需要立即生效,請運行此檔。
注意:以上配置需要在網路正常時進行
處理方法二:
1. 用防火牆封堵常見病毒埠:
134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制著Windows是否會改變路由表從而回應網路設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網路攻擊,這對於一個電腦網路系統管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止回應ICMP的重定向報文,從而使網路更為安全。
修改的方法是:打開登錄編輯程式,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側視窗中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重定向報文)即可。
(B)禁止回應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的電腦的網路連接異常、資料被竊聽、電腦被用於流量攻擊等,因此建議關閉回應ICMP路由通告報文。
修改的方法是:打開登錄編輯程式,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側視窗中將子鍵“PerformRouterDiscovery” REG_DWORD型的值修改為0(0為禁止回應ICMP路由通告報文,2為允許回應ICMP路由通告報文)。修改完成後退出登錄編輯程式,重新開機電腦即可。
(C)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站資料包發送到項的IP位址時,就會引用ARP緩存中的項。
曾經看見有人說過,只要保持IP-MAC緩存不被更新,就可以保持正確的ARP協議運行。關於此點,我想可不可以通過,修改註冊表相關鍵值達到:
預設情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改的鍵值:
鍵值1:ArpCacheLife,類型為Dword,單位為秒,預設值為120
鍵值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,預設值為600
注意:這些鍵值默認是不存在的,如果你想修改,必須自行創建;修改後重啟電腦後生效。
如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那麼ARP緩存的超時時間設置為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那麼對於未使用的ARP緩存,超時時間設置為120秒;對於正在使用的ARP緩存,超時時間則設置為ArpCacheMinReferencedLife的值。
我們也許可以將上述鍵值設置為非常大,不被強制更新ARP緩存。為了防止病毒自己修改註冊表,可以對註冊表加以限制。
處理方法三:修改MAC位址突破網路執法官的封鎖
只要修改MAC位址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC位址的方法:
在"開始"功能表的"運行"中輸入regedit,打開登錄編輯程式,展開註冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這裡保存了有關你的網卡的資訊,其中的DriverDesc內容就是網卡的資訊描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。
在0000子鍵下添加一個字串,命名為"NetworkAddress",鍵值為修改後的MAC位址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",按兩下相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC位址就可以了。
關閉註冊表,重新開機,你的網卡位址已改。打開網路鄰居的屬性,按兩下相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
處理辦法四:
刪除system32\npptools.dll,ARP病毒缺少了npptools.dll這個檔根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行
1) 刪除 ”病毒元件釋放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 刪除 ”發ARP欺騙包的驅動程式” (兼 “病毒守護程式”)
%windows%\System32\drivers\npf.sys
a. 在裝置管理員中, 按一下”查看”-->”顯示隱藏的設備”
b. 在設備樹結構中,打開”非隨插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設備清單
d. 右鍵點擊” NetGroup Packet Filter Driver” 功能表,並選擇”卸載”.
e. 重啟windows系統,
f. 刪除%windows%\System32\drivers\npf.sys
3) 刪除 ”命令驅動程式發ARP欺騙包的控制者”
%windows%\System32\msitinit.dll
2. 刪除以下”病毒的假驅動程式”的註冊表服務項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
處理方法—:靜態ARP綁定閘道
步驟一:
在能正常上網時,進入MS-DOS視窗,輸入命令:arp -a,查看閘道的IP對應的正確MAC位址, 並將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,電腦可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果電腦已經有閘道的正確MAC位址,在不能上網只需手工將閘道IP和正確的MAC位址綁定,即可確保電腦不再被欺騙攻擊。
要想手工綁定,可在MS-DOS視窗下運行以下命令:
arp -s 閘道IP 閘道MAC
例如:假設電腦所處網段的閘道為192.168.168.254,本機位址為192.168.168.2,在電腦上運行arp -a後輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.168.2--- 0x10003
Internet Address Physical Address Type
192.168.168.254 00-0F-E2-45-C6-E8 dynamic
其中,00-0F-E2-45-C6-E8就是閘道192.168.168.254對應的MAC位址,類型是動態(dynamic)的,因此是可被改變的。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後查找該攻擊的機器做準備。
手工綁定的命令為:
arp -s 192.168.168.254 00-0F-E2-45-C6-E8
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.168.2 --- 0x10003
Internet Address Physical Address Type
192.168.168.254 00-0F-E2-45-C6-E8 static
這時,類型變為靜態(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在電腦關機重啟後就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的電腦,把病毒殺掉,才算是真正解決問題。
5 .作批次檔
在用戶端做對閘道的arp綁定,具體操作步驟如下:
步驟一:
查找本網段的閘道位址,比如192.168.168.254,以下以此閘道為例。在正常上網時,“開始→運行→cmd→確定”,輸入:arp -a,點回車,查看閘道對應的Physical Address。
比如:閘道192.168.168.254 對應00-0F-E2-45-C6-E8。
步驟二:
編寫一個批次檔rarp.bat,內容如下:
@echo off
arp -d
arp -s 192.168.168.254 00-0F-E2-45-C6-E8
保存為:rarp.bat
步驟三:
運行批次檔將這個批次檔拖到“Windows→開始→程式→啟動”中,如果需要立即生效,請運行此檔。
注意:以上配置需要在網路正常時進行
處理方法二:
1. 用防火牆封堵常見病毒埠:
134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制著Windows是否會改變路由表從而回應網路設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網路攻擊,這對於一個電腦網路系統管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止回應ICMP的重定向報文,從而使網路更為安全。
修改的方法是:打開登錄編輯程式,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側視窗中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重定向報文)即可。
(B)禁止回應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的電腦的網路連接異常、資料被竊聽、電腦被用於流量攻擊等,因此建議關閉回應ICMP路由通告報文。
修改的方法是:打開登錄編輯程式,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側視窗中將子鍵“PerformRouterDiscovery” REG_DWORD型的值修改為0(0為禁止回應ICMP路由通告報文,2為允許回應ICMP路由通告報文)。修改完成後退出登錄編輯程式,重新開機電腦即可。
(C)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站資料包發送到項的IP位址時,就會引用ARP緩存中的項。
曾經看見有人說過,只要保持IP-MAC緩存不被更新,就可以保持正確的ARP協議運行。關於此點,我想可不可以通過,修改註冊表相關鍵值達到:
預設情況下ARP緩存的超時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的鍵值有兩個,都位於 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改的鍵值:
鍵值1:ArpCacheLife,類型為Dword,單位為秒,預設值為120
鍵值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,預設值為600
注意:這些鍵值默認是不存在的,如果你想修改,必須自行創建;修改後重啟電腦後生效。
如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那麼ARP緩存的超時時間設置為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那麼對於未使用的ARP緩存,超時時間設置為120秒;對於正在使用的ARP緩存,超時時間則設置為ArpCacheMinReferencedLife的值。
我們也許可以將上述鍵值設置為非常大,不被強制更新ARP緩存。為了防止病毒自己修改註冊表,可以對註冊表加以限制。
處理方法三:修改MAC位址突破網路執法官的封鎖
只要修改MAC位址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC位址的方法:
在"開始"功能表的"運行"中輸入regedit,打開登錄編輯程式,展開註冊表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這裡保存了有關你的網卡的資訊,其中的DriverDesc內容就是網卡的資訊描述,比如我的網卡是Intel 210
41 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。
在0000子鍵下添加一個字串,命名為"NetworkAddress",鍵值為修改後的MAC位址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字串,其作用為指定Network
Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",按兩下相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項"NetworkAddress",以後只要在此修改MAC位址就可以了。
關閉註冊表,重新開機,你的網卡位址已改。打開網路鄰居的屬性,按兩下相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
處理辦法四:
刪除system32\npptools.dll,ARP病毒缺少了npptools.dll這個檔根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行
