怀疑是ARP攻击！！！求大侠解决

怀疑是ARP攻击！！！求大侠解决

局域网中有一台192.168.0.3的计算机突然上不了网，其他的都能上，我.0.3的电脑中输入arp -a结果查到192.168.0.2的MAC地址和网关的MAC地址一样，可是.0.2的机子能正常上网，是不是.0.3的电脑中毒了呢？

我的电脑-工具-文件夹选项-查看-隐藏受保护的操作系统文件（前面的勾去掉） 分别看看 个硬盘是不是有个叫auto的文件 如果有 删除方法

Auto病毒手动删除

本日志只对对操作系统非常熟练的管理员，普通用户请去下载杀毒软件

现象：移动盘无法打开，而且用传统的删除inf文件的方法也不行！

U盘解决方法：

1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程

2、进入c:\windows，删除其中的ravmone.exe

3、进入c:\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\ravmone.exe的，把它删除掉

4、完成后，病毒就被清除了。

对移动存储设备，如果中毒，则对“文件夹选项”操作，把所有文件和文件夹显示出来，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为.tmp 的文件，也可以删除，完成后，病毒就清除了。

至此为止,您机器上的“木马”就算完全解除了.

现在是您的移动设施,首先你您的移动设施拔出,再插入(这个步骤不能少).在我的电脑中该盘符上按住鼠标右键.检查第一个选项是否为"Auto“,如果是,那就是该盘已中马,如果不是,可以放心双击使用.

1,格式化该移动设施,该法删除比较彻底,适合文件不多、空间不大的移动设施,格式化后,问题完全解决

2,点右键选择”打开“(千万不能双击打开,否则木马又会进行复制),找到该盘下的ravmonE.exe文件,autorun文件,超级文本以fot开头的文件,全部删除(autorun、超级文本以fot为隐藏,可以在我的电脑窗口最上端-工具-文件夹选项-查看-显示所有隐藏文件让它显示),在确定没有上述文件后,退出U盘,再插入检查是否有"Auto“,如果没有,则删除成功.

你也可以去 十二款世界顶级杀毒软件下载---有序列号全可免费升级 这些杀毒软件里面找一个你喜欢的，下载安装，，这样杀毒会快些

总结一下:

1、避免中此种木马只需在开启移动设施的时候右键-打开进入即可,这样拷贝或打开盘内文件均不会被感染,木马的传播方式是“双击该盘盘符”。

2、通过观察是否有"Auto“判断该盘是否中过此类木马,再通过"Auto“解决方案进行处理.运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了.

安装国际专业的杀毒软件来杀毒和防护,不要用国产的,比如卡巴斯基,小红伞,mse之类的就好了.