網吧頻繁掉線(ARP)與解決方法
評論(0)發表時間:2006年11月3日 22時20分 
現在頻繁掉線的網吧很多.但爲何掉線.許多網管朋友.不是很清楚.網吧掉線的原因很多.現在我給大家講一下現在很流行的一種***.<傳奇網吧殺手>.基本上東北地區的網吧都被這一***弄的身心疲憊.但是現在有解決的方法了.
中病毒特徵: 網吧不定時的掉線.(重啓路由後正常),網吧局域網內有個別機器掉線.
***分析 : 傳奇殺手***,是通過ARP欺騙,來或取局域網內發往外網的數據.從而截獲局域內一些網遊的用戶名和密碼.
***解析:中***的機器能虛擬出一個路由器的MAC地址和路由器的IP.當病毒發作時,局域網內就會多出一個路由器的MAC地址.內網在發往外網的數據時,誤認爲中***的機器是路由器,從而把這些數據發給了虛擬的路由器.真正路由器的MAC地址被佔用.內網的數據發出不去.所以就掉線了.
解決辦法:守先你下載一個網絡執法官,他可以監控局域網內所有機器的MAC地址和局域網內的IP地址.在設置網絡執法官時.你必須將網絡執法官的IP段設置和你內網的IP段一樣.比如說:你的內網IP是192.168.1.1------192.168.1.254你的設置時也要設置192.168.1.1------192.168.1.254.設置完後,你就會看到你的內網中的MAC地址和IP地址.從而可以看出哪臺機器中了***.(在多出的路由器MAC地址和IP地址和內網機器的IP地址,MAC地址一樣的說明中了傳奇網吧殺手)要是不知道路由器的MAC地址,在路由器的設置界面可以看到.發現***後.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之後的病毒庫).在下載完之後必須在安全模式下查殺(這是瑞星反病毒專家的見意)反覆查殺(一般在四次就可以了)注意查完後殺病毒軟件不要卸載掉.觀查幾天(這是我個人的經驗.在卸後第三天病毒還會死灰復燃,我想可能是註冊表裏還有他的隱藏文件.在觀查幾天後正常就可以卸載掉了.
注:還原精靈和冰點對網吧傳奇殺手***不起做用.(傳奇殺手***不會感染局域網.不要用硬盤對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)
最好主機安裝上網絡執法官,這樣可以時時監控局域網內的動態,發現***後可以及時做出對策)
下面是傳奇網吧殺手***的文件:
文件名: 文件路徑: 病毒名:
a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg
235780.dll c:\windows\ Trojan.psw.lmir.aji
kb2357801.log c:\windows\ Trojan.psw.lmir.jhe
Q98882.log c:\windows\ Trojan.psw.lmir.jhe
kb2357802.log c:\windows\ Trojan.psw.lmir.jbg
Q90979.log c:\windows\ Trojan.psw.lmir.jhe
Q99418.log c:\windows\ Trojan.psw.lmir.jbg
ZT.exe c:\windows\program Files\浩方對戰平臺 病毒名:Trojan.dL.agent.eqv
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg
(各位朋友.瑞星殺毒軟件文件過大郵箱發送不了.請大家下載瑞星個人18.18.20版殺毒軟件我現在給大家提供註冊碼.希望大家原諒.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
(網絡執法官可以批量MAC捆綁,到執法官的局域網MAC界面,全選後單擊右鍵會出現批量MAC捆綁.做完捆綁以後,ARP要是在次***時他會報警,出現的假MAC是爲非法.網絡執法官會終止他的
中病毒特徵: 網吧不定時的掉線.(重啓路由後正常),網吧局域網內有個別機器掉線.
***分析 : 傳奇殺手***,是通過ARP欺騙,來或取局域網內發往外網的數據.從而截獲局域內一些網遊的用戶名和密碼.
***解析:中***的機器能虛擬出一個路由器的MAC地址和路由器的IP.當病毒發作時,局域網內就會多出一個路由器的MAC地址.內網在發往外網的數據時,誤認爲中***的機器是路由器,從而把這些數據發給了虛擬的路由器.真正路由器的MAC地址被佔用.內網的數據發出不去.所以就掉線了.
解決辦法:守先你下載一個網絡執法官,他可以監控局域網內所有機器的MAC地址和局域網內的IP地址.在設置網絡執法官時.你必須將網絡執法官的IP段設置和你內網的IP段一樣.比如說:你的內網IP是192.168.1.1------192.168.1.254你的設置時也要設置192.168.1.1------192.168.1.254.設置完後,你就會看到你的內網中的MAC地址和IP地址.從而可以看出哪臺機器中了***.(在多出的路由器MAC地址和IP地址和內網機器的IP地址,MAC地址一樣的說明中了傳奇網吧殺手)要是不知道路由器的MAC地址,在路由器的設置界面可以看到.發現***後.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之後的病毒庫).在下載完之後必須在安全模式下查殺(這是瑞星反病毒專家的見意)反覆查殺(一般在四次就可以了)注意查完後殺病毒軟件不要卸載掉.觀查幾天(這是我個人的經驗.在卸後第三天病毒還會死灰復燃,我想可能是註冊表裏還有他的隱藏文件.在觀查幾天後正常就可以卸載掉了.
注:還原精靈和冰點對網吧傳奇殺手***不起做用.(傳奇殺手***不會感染局域網.不要用硬盤對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)
最好主機安裝上網絡執法官,這樣可以時時監控局域網內的動態,發現***後可以及時做出對策)
下面是傳奇網吧殺手***的文件:
文件名: 文件路徑: 病毒名:
a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg
235780.dll c:\windows\ Trojan.psw.lmir.aji
kb2357801.log c:\windows\ Trojan.psw.lmir.jhe
Q98882.log c:\windows\ Trojan.psw.lmir.jhe
kb2357802.log c:\windows\ Trojan.psw.lmir.jbg
Q90979.log c:\windows\ Trojan.psw.lmir.jhe
Q99418.log c:\windows\ Trojan.psw.lmir.jbg
ZT.exe c:\windows\program Files\浩方對戰平臺 病毒名:Trojan.dL.agent.eqv
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg
(各位朋友.瑞星殺毒軟件文件過大郵箱發送不了.請大家下載瑞星個人18.18.20版殺毒軟件我現在給大家提供註冊碼.希望大家原諒.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
(網絡執法官可以批量MAC捆綁,到執法官的局域網MAC界面,全選後單擊右鍵會出現批量MAC捆綁.做完捆綁以後,ARP要是在次***時他會報警,出現的假MAC是爲非法.網絡執法官會終止他的