new&events

关于防范“ARP欺骗”木马病毒攻击的通知

关于“ARP欺骗”病毒查看和彻底清除方法

针对目前校园网中存在“ARP欺骗”病毒情况，导致用户在上网过程中出现掉线，网络时通时断的情况屡屡发生，为此，信息管理中心向各校园网络用户推荐一个查看和彻底清除ARP病毒方法：

第一步：删除 ”病毒组件释放者”程序：
在Windows系统目录 “C:\WINDOWS\System32\”中查看是否有LOADHW.EXE程序。（Window XP系统目录为：“C:\WINDOWS\System32\LOADHW.EXE”）,如果有，请删除。

第二步：删除”发ARP欺骗包的驱动程序” (兼“病毒守护程序”)：
在Windows系统目录 “C:\WINDOWS\System32\drivers\”中查看是否有npf.sys程序。（Window XP系统目录为：“C:\WINDOWS\System32\drivers\npf.sys” ）,找到该程序后，按照以下步骤继续：

1、在桌面上右键点击“我的电脑”，在弹出的对话框中点击“属性”。
　　 在“系统属性”对话框中选择“硬件”，在“硬件”对话框中选择“设备管理器”。

2、在“设备管理器”对话框中选择“查看”，在下拉菜单中选择“显示隐藏的设备”。

3、在出现的隐藏设备列表的设备树结构中,打开“非即插即用驱动程序”，如果存在 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 项目则说明你的机器已经感染了“ARP欺骗”病毒。若没找到,请先刷新设备列表，

4、断开网络连接（停用网卡或拔掉网线），接下来右键点击 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter” 菜单,并选择”卸载”，再重新启动计算机后病毒将得到控制。
5、删除在Windows系统目录 “C:\WINDOWS\System32\”中的npf.sys程序，（Window XP系统目录为：“C:\WINDOWS\System32\drivers\npf.sys” ）

第三步：删除 ”命令驱动程序发ARP欺骗包的控制者”
在Windows系统目录 “C:\WINDOWS\System32\”中查看是否有msitinit.dll程序。（Window XP系统目录为：“C:\WINDOWS\System32\ msitinit.dll”）,如果有，请删除。
第四步：删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf，具体操作过程：点击“开始”，在“运行”中输入regedit,打开注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中找到Npf键值，然后点击右键删除。
最后启用网卡或插上网线就可以上网冲浪了