各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，总之似乎不找到"元凶"誓不罢休一样，结果病毒软件是用了一个又一个，但结果有时却往往在意料之外。  

　　病毒藏匿  
 
　　任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢? ?  

　　当我们确认系统中存在病毒时，可以通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，我们定义这种现象病毒为隐性病毒，常见隐性病毒的有以下几种情况：  

　　一、真假难辨

　　我们知道系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。  
  
　　二、表里不一 
 
　　如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2003则是C:\WINNT\system32目录)，如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程?

　　我们知道病毒种类很多，只要我们仔细地去发现，总能找到病毒源头。因为病毒传播的途径在不断地变化，黑客才能达到想要的目的，所以我们清除病毒方法也不能固定不变的，但是给我们清除病毒带来一定的困难，可以根据你的计算机所中病毒特征，判断出并借鉴哪种策略来清除病毒目的。

　　病毒清理总汇

　　一、在安全模式或纯DOS模式下清除病毒   
  
　　当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式(Real Mode)，这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。在安全模式(Safe Mode)或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒(建议用干净软盘启动杀毒)。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后(升级到最新的病毒库)，在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了!

　　二、带毒文件在一些邮件文件中

　　绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩” ，删除所有脱机内容 ，也请选上一并删除。   
 
　　三、带毒文件在 Restore 目录下，*.cpy 文件中
  
　　这是系统还原存放还原文件的目录，只有在装了Windows Me/XP/VISTA操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。 +#yav5l._  

　　四、带毒文件在.rar 、.zip 、.cab 等压缩文件中

　　对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。 
 
　　五、文件中存在病毒的残留代码 

　　这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。也可以借助相关的清除工具及修改注册表来完成。

　　六、共享目录杀毒

　　遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件时，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成新病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候，首
先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。   

真是搞死人了。后来我外地一个朋友来了帮我搞定~~
ARP这个病毒厉害是厉害.,但是他唯一的问题就是必须调用系统里的npptools.dll文件…网络执法官一类的软件也用这个…如果你把这个DLL文件删除了..之后随便弄个DLL改名为npptools.dll然后NTFS分区格式把权限都弄掉…如果是FAT格式弄个只毒就OK了.`~`
然后再加个开机P处理…
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::
:: 本机以及网关IP和MAC地址绑定批处理程序 ::
:: 说明：此方法治标不治本，要想根本解决ARP请 ::
:: 采用路由和本机实现双向绑定 ::
::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all 〉ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt 〉phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt 〉IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt 〉GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% 〉GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s 192.168.0.1 00-17-16-00-88-ad (注释:改为你真实的网关地址和网关的MAC地址)
exit
把以上红字,和括号里的注释删掉..存为BAT文件，加在组策略的启动里…
保证可以杜绝ARP病毒.并不影响系统正常运行..任何单机绑定都是徒劳的.
另外现在大部分网页都带ARP病毒文件,后台自动下载.我见过最多的执行程序名就是uprar.exe…这个就是个ARP病毒的执行程序.很多网站都带,,但是最多的还是色情以及小说网站,希望能绑到大家~~
把附件后缀名改成BAT就OK了~~

源：http://www.neeao.com/blog/article.asp?id=2556

　　与局域网用户相比，普通拨号上网的用户在预防黑客入侵的对抗中，往往处于更不利的地位。但是，许多上网的虫虫一向对网络安全抱着无所谓的态度，认为最多不过是被人盗用账号而损失几千元而已，却没有想到被盗用的账号如果被黑客利用做为跳板从事网络破坏活动，你可能就要背黑锅了。根据笔者一位朋友对拨号上网用户的抽样追踪发现，在广州城里，居然有三成多的用户半年以内都不更换一次账号密码!由于从事黑客活动越来越容易，是到了需要提高网络安全意识的时候了，下面的方法将有助于拨号上网用户预防黑客入侵。

　　一、 经常修改密码

　　老生常谈了，但却是最简单有效的方法。由于许多黑客利用穷举法来破解密码，像John这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的帐号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。由于那么多潜在的黑客千方百计想要获得别人的密码，那么拨号上网用户就应该加强防范，以下四个原则可提高密码的抗破解能力。

　　1.不要选择常用字做密码。

　　2.用单词和符号混合组成密码。

　　3.使用9个以上的字符做密码，使你的密码尽可能地长，对Windows系统来说，密码最少要由9个字符组成才算安全。

　　4.密码组成中最好混合使用大小写字母，一般情况下密码只由英文字母组成，密码中可使用26或52个字母。若对一个8个字母组成的密码进行破解，密码中字母有无大小写之分将使破解时间产生256倍的差别。

　　二、 请他人安装后应立即修改密码

　　这是一个很容易忽略的细节，许多用户第一次不懂得如何拨号上网，就请别人来教，这样常常把用户名和密码告诉此人，这个人记住以后就可以回去盗用服务了。所以，用户最好自己学会如何拨号后再去申请上网账号，或者首先向ISP问清如何修改自己的密码，在别人教会自己如何拨号后，立刻将密码改掉，避免被人盗用。

　　三、 使用“拨号后出现终端窗口”功能

　　选中某一连接，单击鼠标右键，选“属性/常规/配置/选项/拨号后出现终端窗口”，然后拨号时，在拨号界面上不要填入用户名和密码(更不要选中“保存密码”项)，在出现拨号终端窗口后再进行相应的输入，这可以避免用户名和密码被记录到硬盘上的密码文件中，同时，也可以避免被某些黑客程序捕获用户名和密码。

　　四、 删除.pwl文件

　　在Windows目录下往往有一些以“.pwl”为后缀名的密码文件，“.pwl”是password的音译缩写。比如：在最初的Windows 95操作系统中密码的保存即存在安全漏洞，从而使黑客可以利用相应的程序轻松获取保存在pwl文件里的密码。这一漏洞在Windows 97中已经被修复。因此，你需要为你的电脑安装Windows 97以上版本的操作系统。pwl文件还常常记录其他地方要用到的密码，比如开启Exchange电子信箱的密码、玩Mud游戏的密码等，要经常删除这些pwl文件避免将密码留在硬盘上。

　　五、 禁止安装击键记录程序

　　很多人知道doskey.exe这个程序，这个在DOS下常用的外部命令能通过恢复以前输入的命令来加快输入命令的速度，在Windows下也有了许多类似的程序，如keylog，它不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。还有些程序能将击键字母记录到根目录下的某一特定文件中，而这一文件可以用文本编辑器来查看。密码就是这样被泄露出去的，偷盗者只要在根目录下看看就可以了，根本无需任何专业知识!

　　六、 对付特洛伊木马

　　特洛伊木马程序常被定义为当执行一个任务时却实际上执行着另一个任务的程序，用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过。典型的一个例子是：伪造一个登录界面，当用户在这个界面上输入用户名和密码时，程序将它们转移到一个隐蔽的文件中，然后提示错误要求用户再输入一遍，程序这时再调用真正的登录界面让用户登录，于是在用户几乎毫无察觉的情况下就得到了记录有用户名和密码的文件。现在互联网上有许多所谓的特洛伊木马程序，像著名的BO、Backdoor、Netbus及国内的Netspy等等。严格地说，它们属于客户机/服务器(C/S)程序，因为它们往往带有一个用于驻留在用户机器上的服务器程序，以及一个用于访问用户机器的客户端程序，就好像NT的Server和Workstation的关系一样。

　　在对付特洛伊木马程序方面，有以下几种办法：

　　多读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包，在没有弄清软件包中几个程序的具体功能前，就匆匆地执行其中的程序，这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品。软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明，尽管它一般是英文的，但还是有必要先阅读一下，如果实在读不懂，那最好不要执行任何程序，丢弃软件包当然是最保险的了。有必要养成在使用任何程序前先读readme.txt的好习惯。

　　值得一提的是，有许多程序说明做成可执行的readme.exe形式，readme.exe往往捆绑有病毒或特洛伊木马程序，或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的，目的就是让用户误以为是程序说明文件去执行它，可谓用心险恶。所以从互联网上得来的readme.exe最好不要执行它。(

昨天一位同事老在跟我说，说他总是上不去网，一会断一会好，并且断的时候，把网卡禁用再启动就可以上了；我想着是他电脑的网卡驱动的事，以前老发生这事，后来把他的网线重新用网线钳压紧了以后，就好了。现在出这问题，还以为是网卡驱动的问题。也没在意。

谁知昨天我的电脑也是出现这种问题，不能打开网页，QQ掉线；并且还出现了上网的时候，出现了要求输入代理权限的问题（局域网代理上网，利用ip和mac双验证）。这样一来，我就觉得问题有些严重了，有人在用工具捣乱局域网。

这类工具现在似乎也太多了点，p2p欺骗、arp攻击、网路岗、网络警等等软件，以及还有反arp欺骗的软件，数不胜数，总之网络被这些软件搞得疲惫不堪；预防这些问题，小范围的也没什么关系，但这样不断的骚扰，就有些麻烦了。

利用anti arp sniffer，运行后发现短短的一分种时间，竟然出现了50次之多的攻击；如下图

利用反p2p终结者，选择网卡之后，运行，出现“已经成功清除网络内运行的p2p终结者”，如下图，但隔了一会，问题还是依旧。 

网络上曾经传说过一种办法，可以大致发现arp攻击者：开始，运行，cmd，输入arp -d，删除本地arp缓存，然后随意ping一个地址，自己也行，或者ping网关也可以，ping 192.168.0.1，然后再利用arp -a，查看本地arp缓存，如果出现自己以外的arp信息，那么这个arp所示的ip地址就有问题；我利用这个办法，果然查到了一个ip为192.168.0.35的机器的arp信息，初步怀疑到此电脑身上。

上述的工具中arp arp sniffer，启用“追捕攻击者”，也发现了欺骗机为192.168.0.51，如下图所示：

利用advanced lan scanner查看51机器的信息，没有发现什么异常；

远程控制51的电脑，查看任务管理器，发现两个不寻常的进程，4.exe和foxrar.exe，如下图所示：

看来就是这两个东西在捣乱，foxrar.exe的可能性比较大；查看路径，发现在当前用户的缓存目录下

既然发现了这不正常的东西，那么好办，在任务管理器中结束掉进程，删除所有tmep缓存文件，然后再次重新安装瑞星，升级瑞星病毒库，以前的瑞星实时监控，不知道怎么停止了；扫描全机，没有发现什么其它异常情况；

至此，局域网之内再没发现断网情况。