rzdaaayyy

户检查和处理“ ARP 欺骗”木马的方法  

1 ．检查本机的“ ARP 欺骗”木马染毒进程  

同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点
选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经
中毒。右键点击此进程后选择“结束进程”。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机  

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：
  

ipconfig /all

记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 202.206.9.254 ”。先
输入arp –d命令,再输入并执行以下命令： arp –a  

在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即
“ Physical Address ”值，比如是“00-e0-fc-40-98-e4 ”。在网络正常时这就是网关
的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机
的网卡物理地址。 （注：不同网段网关地址不一样，只要是在正常情况下获取即可）

3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法 (建议高级用户使用)

本方法可在一定程度解决中木马的其它计算机对本机的影响。用上边介绍的方法确定正确
的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：  


arp –s 网关IP 网关物理地址 (例如:arp –s 202.206.9.254 00-e0-fc-40-98-e4)

但是需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻
底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。

4 ．立即更新操作系统，务必先更新系统补丁。

5 ．安装正版杀毒软件,下载ARP防治工具。

6 ．操作系统和各种帐号的密码不要设置为空，应该尽量为6位以上。

7 ．不要随便共享文件或文件夹，即使要使用共享，应先设置好权限，一般指定帐号或特
定机器才能访问，另外不建议设置可写或可控制。  

8 ．不要随便打开不明来历的电子邮件，尤其时邮件附件。  

9 ．不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐
号的不明网站。对进行网上交易要特别慎重！  

10 ．使用移动存储介质进行数据访问时，先对其进行病毒检查。  

11 ．做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。  



从学校bbs复制过来的