文章大纲：

• 1、局域网内有机子中了木马病毒，会对外网网站进行攻击，已被人家封IP，有什么办法找到中毒的机子？
• 2、内网电脑中ARP病毒攻击
• 3、局域网内有电脑有病毒怎么办？
• 4、怎么知道电脑受到局域网木马的攻击，和怎么杀呢？
• 5、电脑内网大量木马病毒，怎么杀呀。
• 6、为什么电脑会有木马病毒？

局域网内有机子中了木马病毒，会对外网网站进行攻击，已被人家封IP，有什么办法找到中毒的机子？

你这种情况可以使用 *** 抓包软件来分析一下。我给你推荐《科来 *** 分析系统》，是中国人开发的，能分析 *** 传输的各种协议，统计数据包发送的数量，方向和来源。还有其他各种功能。我曾经用这套系统分析局域网内arp攻击，并且找到了发动攻击的电脑。这套系统还可以申请试用版，和正版一样。你也可用他来找到中木马发动攻击的电脑，非常准确。这套系统只需安装在局域网内的一台电脑上就可以分析整个局域网的协议和动向，不用跑到每台电脑，非常好用。

你还可以使用TCPView，这个软件可以检查本机的 *** 连接情况，使用这个软件检查每一台电脑对外 *** 连接情况，就能发现连接外网网站的那台电脑了。使用过滤功能，可以查找连接指定外网网站的连接。

内网电脑中ARP病毒攻击

之一步,在能上网时，进入MS-DOS窗口，输入命令：arp

–a

查看网关IP对应的正确MAC地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp

–d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将 *** 断掉（禁用网卡或拔掉网线），再运行arp

–a。

第二步,

如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：

arp

–s

网关IP

网关MAC

例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp

–a后输出如下：

C:\Documents

and

Settingsarp

-a

Interface:

218.197.192.1

---

0x2

Internet

Address

Physical

Address

Type

218.197.192.254

00-01-02-03-04-05

dynamic

其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。

手工绑定的命令为：

arp

–s

218.197.192.254

00-01-02-03-04-05

绑定完，可再用arp

–a查看arp缓存，

C:\Documents

and

Settingsarp

-a

Interface:

218.197.192.1

---

0x2

Internet

Address

Physical

Address

Type

218.197.192.254

00-01-02-03-04-05

static

这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的 *** ：

如果已有病毒计算机的MAC地址，可使用N *** SCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校 *** 中心对其进行查封。

N *** SCAN的使用 *** ：

下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令：

nbtscan

-r

218.197.192.0/24

（假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段）

。

注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。

局域网内有电脑有病毒怎么办？

***

1.扫描杀毒，清除ie缓存，cookies；

2.如果不行，打开局域网内最临近的另一电脑，查看同局域网内的电脑是否出现同样状况；

3.将所有的电脑断开连接，也就是拔掉网线；

4.完全断电，拔掉电源线；

5.用 *** 监听工具，看一下局域网内哪台主机的ARP包特多。利用ARP协议进行攻击一般会出现 MAC相同的用户，如果手中有MAC表那就可以对照着查找，一台一台处理；

6.如果还不行，可以把所有 *** 里的电脑都直接从新做GHOST系统一遍就可以；

7.如果是厉害的U盘病毒会继续潜伏在其他非系统磁盘里，重新做系统也没用，需要完全格式化，之后在重装系统。

诀窍

如果是厉害的病毒估计用国产杀毒软件是没办法的，而且通过注册表处理不但工作量巨大，而且效果也不一定好，最后也不会弄。 建议直接重新做系统，GHOST也可以。

手工查找感染ARP病毒的主机过于烦琐，可以使用 *** 监听工具。

局域网病毒防范 *** ：

1.增加安全意识；

2.小心邮件；

3.挑选 *** 版杀毒软件。

提醒

局域网内请不要没装杀毒软件裸奔。

请勿浏览不健康的网站。

局域网病毒传播方式有以下几种：

1.病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

2.病毒先传染工作站，在工作站内存驻留，等运行 *** 盘内程序时再传染给服务器；

3.病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；

4.如果远程工作站被病毒侵入，病毒也可以通过数据交换进入 *** 服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个 *** 的每一个计算机上。

怎么知道电脑受到局域网木马的攻击，和怎么杀呢？

你可以电脑上安装360安全卫士8.2，并开启它木马防火墙里局域网防护，当这台电脑受到攻击时它就会拦截，并显示攻击的IP ，你就可以根据Ip找到那台电脑，然后修复那台电脑就可以了。

电脑内网大量木马病毒，怎么杀呀。

建议楼主安装最新版杀毒软件进行全盘查杀观察。

如果出现反复查杀都会出现相同病毒的问题，如果是局域网环境，请断网后重新杀毒。如断网后杀毒不再出现杀毒总杀总有的情况，说明病毒是通过局域网传播，请全网进行杀毒，并安装系统补丁。

如果断网杀毒仍出现总杀总有，或您本身为家庭用户单机上网的情况，说明计算机内是有未知病毒体不断释放该病毒文件导致。需要您通过瑞星听诊器检测一下，然后上报听诊器和autoruns日志信息和瑞星日志备份的db文件。可以进一步帮您进行检测。

瑞星听诊器下载地址：

为什么电脑会有木马病毒？

因为电脑的操作系统是有漏洞的，病毒是人为制造出来的，就是想通过操作系统的这些漏洞来侵入和攻击电脑操作系统。

大多数病毒是你去开了一些不安全的网站，或下载了一些不安全的东西。病毒就利用网站漏洞进入你电脑，在你电脑上生成一些程序，用来破坏你电脑、控制你电脑或截取你一些资料。

解决办法：经常用360安全卫士给系统打补，安装360杀毒软件杀毒。

杀毒防护二不误