本文目录一览：

• 1、我们网吧好像中了5月9号最新出的ARP骗子病毒
• 2、网吧有木马病毒 好被盗了 网吧是否该全权负责
• 3、网吧病毒
• 4、现在网吧里为什么出现严重的木马病毒
• 5、网吧有没有可能在做系统是安装木马病毒？
• 6、我在网吧上网，用360查出3个木马怎么办？

我们网吧好像中了5月9号最新出的ARP骗子病毒

“ARP骗子”变种H(Win32.Hack.ArpSpoon.h)是一个利用伪造ARP数据包进行恶意攻击的黑客程序。

“文件黑手”变种AP(Win32.Troj.Haradong.ap)是一个会破坏电脑上文件的木马病毒。

一、“ARP骗子”变种H(Win32.Hack.ArpSpoon.h)威胁级别：

病毒特征：该病毒会利用一些特殊的技术,向相同的网段内的所有电脑发送ARP欺骗数据包,使该网段

内的所有电脑都感染病毒,此外,它还会利用之前的ANI漏洞进行病毒下载和运行,下载的病毒都是一些木马

病毒和其他恶意程序,对用户的电脑系统及网络个人财产的安全构成严重的危害。由于该病毒会使在局域

网和互联网内的所有相同网段的电脑都受感染,所以有可能威胁到数以百计台电脑,造成大面积的病毒蔓延

现象,建议用户及时升级毒霸病毒库,捍卫您的电脑安全。

发作症状：该病毒运行后,会枚举该电脑所在的网段,并发送ARP(Address Resolution Protocol)的病

毒数据包,同时在受感染的电脑上,利用ANI漏洞(MS07-017)下载并运行多个木马病毒。

二、“文件黑手”变种AP(Win32.Troj.Haradong.ap)威胁级别：

病毒特征：该病毒是一个电脑文件的破坏能手,它会未经用户的许可而删除与替换电脑上的大量的文件,造

成保存在电脑上重要数据和资料的损失。此外，它还能通过共享传播，可能造成病毒的扩散，甚至局域网

的崩溃。

发作症状：该病毒运行后，会从C:\\Program Files目录开始,删除并替换大量的电脑上的文件,在删

除文件的过程中,它会自动弹出一个含有要求用户等候的文字信息的图片窗口，以其来迷惑用户。

金山反病毒工程师建议：

1.建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要

执行从Internet下载后未经杀毒软件处理的文件，这些才能确保您的计算机更安全。

2.随着电脑科技的日益发展，更多的病毒会伴随而来，为了保障您系统和个人信息的安全，请您经常

更新毒霸的病毒库，防止病毒的侵入。

升级杀毒软件 从起 安全模式 断网杀毒

网吧有木马病毒 好被盗了 网吧是否该全权负责

根据法律来说，需要负责的制作该木马与散播该木马的人，而不是网吧

大家都知道一点，就是无论保护再好的PC，也是可能出现防护不到位而导致安全问题的，安全不是绝对的

因此你自己在网吧登录就应该要知道存在盗号的危险，明知有危险，还要登上账号，也就是说，如果制作或者散播该木马的人没有抓到，你也就只能自吞苦果。重要的如网银之类的就绝对不要去网吧登陆

而且，重要的账号你应该及时申请保护，例如密保卡之类的，或者关联其他账号（例如新浪邮箱关联115网盘），达到一个循环的保护

网吧病毒

典型的ARP病毒！看看这个吧！

故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息:

MAC SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。

2)在Windows开始à运行à打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:\nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决办法】

采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定安全网关的IP和MAC地址：

1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windowsà开始à程序à启动”中。

3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。

2、在安全网关上绑定用户主机的IP和MAC地址：

在WebUIà高级配置à用户管理中将局域网每台主机均作绑定。

如果想了解更多的解决方法可以去这里看下！

;Field=TitleKeyword=arpClassID=0page=1

现在网吧里为什么出现严重的木马病毒

这是因为系统出现了漏洞引起病毒杀不完`也中了QQ尾巴病毒`常常在别的地方登陆`所以要激活

改密码是为了安全

网吧有没有可能在做系统是安装木马病毒？

正规的店不会的 除非老板是JS 网吧系统一般不安杀毒但是安还原 也就导致了 安上的系统若是带毒很可能就永远下不去了 (关机就会还原到刚安装的状态) 也有些木马是可以破解还原的 不仿上网前先下载个杀毒 杀一下 木马专杀类一般不是很大

我在网吧上网，用360查出3个木马怎么办？

您好

1，网吧拥有系统还原，您每次重启电脑都会还原，所以您是无法完全清理病毒的，只能让网管来协助杀毒。

2，或者您可以到腾讯电脑管家官网下载一个电脑管家。

3，在开启电脑管家的同时，来操作电脑，就不会受到病毒影响了。

4，因为电脑管家拥有云智能预警系统，可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马。拥有16层实时防护功能，可以避免各种病毒对您操作的电脑造成影响。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难