如何彻底杀除ARP病毒?

ARP病毒彻底杀除方法：

1.删除”病毒组件释放者”程序：“%windows%\System32\LOADHW.EXE” (window xp 系统目录为：“C:\WINDOWS\System32\LOADHW.EXE” )

2.删除”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)：“%windows%\System32\drivers\npf.sys” (window xp 系统目录为：

“C:\WINDOWS\System32\drivers\npf.sys” )

(1)在设备管理器中, 单击”查看”-->”显示隐藏的设备”

(2)在设备树结构中,打开”非即插即用….”

(3)找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” ,若没找到,请先刷新设备列表

(4)右键点击 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 菜单,并选择”卸载”

(5)重启windows系统

(6)删除“%windows%\System32\drivers\npf.sys” (window xp系统目录为：“C:WINDOWS\System32\drivers\npf.sys” )

3.删除”命令驱动程序发ARP欺骗包的控制者”“%windows%\System32\msitinit.dll” (window xp 系统目录为：“C:WINDOWS\System32\msitinit.dll” )

4.删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

最后重起电脑就可以了。

ARP攻击的解决方法常用解决办法

1、激活防止ARP病毒攻击：

进入Qno侠诺路由器Web管理页面的“防火墙配置”的“基本页面”，激活“防止ARP病毒攻击”。

2、对每台pc上绑定网关的IP和其MAC地址

进入电脑的Dos操作，通过arp –s令或者批处理来实现pc的绑定工作(命令格式：arp –s [路由器IP地址] [路由器MAC地址])。

或者针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作，如果重启了电脑，作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面：

@echo off

arp -d

arp -s路由器LAN IP 路由器LAN MAC

当电脑上做绑定之后，就不会收到ARP欺骗攻击，向伪造的网关的 IP/MAC发送消息。

对于已经中了ARP攻击的内网，要找到攻击源。方法：在PC上不了网或者ping丢包的时候，在DOS下打 arp –a命令，看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是，则查找这个MAC地址所对应的PC，这台PC就是攻击源。

3、在路由器端绑定用户IP/MAC地址

Qno侠诺路由器提供IP/MAC绑定功能，你可以将内网的电脑的IP与对应的MAC地址绑定在一起，使路由器对没有绑定的IP/MAC将其封锁，当内网有ARP欺骗攻击的时候，其伪造IP/MAC向路由器发送消息，这时候由于伪造的IP/MAC并不在路由器的IP/MAC绑定列表里面，路由器会拒绝这类消息，将其挡掉。

4、进一步的防制

Qno侠诺技术工程师建议通过一些手段来进一步控制ARP的攻击。

(1)病毒源，对病毒源头的机器进行处理，杀毒或重新装系统。

(2)网吧管理员检查局域网病毒，安装杀毒软件。

(3)给系统安装补丁程序。

(4)给系统管理员帐户设置足够复杂的强密码。

(5)经常更新杀毒软件，安装并使用网络防火墙软件。

(6)关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务

(7)建议用户不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，以免病毒的传播。