如何检测病毒断开网络

‘壹’ 怎样检测电脑病毒

一、中毒的一些表现

我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。

二、中毒诊断

1、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。

3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。

4、用浏览器上网判断。像以前的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问一些安全厂商的网站，杀毒软件不能上网升级。

5、取消隐藏属性，查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、着名杀毒软件不能升级的原因所在。

6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。

三、灭毒

1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消灭。

2、停止有问题的服务，改自动为禁止。

3、如果文件system32\drivers\etc\hosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。

4、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。

5、搜索病毒的执行文件，手动消灭之。

6、对Windows升级打补丁和对杀毒软件升级。

7、关闭不必要的系统服务，如remoteregistryservice。

8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。

9、上步完成后，重启计算机，完成所有操作。

‘贰’ 电脑做病毒扫描的时候用断开网络连接么

如果你是在线杀毒的话那就不能断开
如果你是卡巴斯基.瑞星这种的话就可以断开了

‘叁’ 如何检测内网病毒或者攻击

解决大法~~呵呵~
中毒三天后解决问题。是局域网内一同学未装杀软裸奔，中arp毒后ip伪装成局域网网关ip
使我们本机内并没有毒，一联网就出现问题（因为局域网用户要通过网关上网）
而他关机后我们上网又使用原有安全网关，从而恢复正常

解决方法如下：
1.扫描杀毒，清除ie缓存，cookies；
2.查看同局域网内的电脑是否出现同样状况——可以打开局域网内最临近的另一电脑，
开任意网页后，右击看看源文件，看是否首行注入flash.958167相关代码。有则判定局域网已中毒
3.下载arp防火墙http://dl.360safe.com/360AntiArp.exe，安装运行后，即可正常上网。但以后必须一直开着防火墙
4.要彻底解决问题，需要查看拦截arp攻击记录，找到攻击者ip，找局域网网络中心，确定ip对应电脑
找到机主，让他彻底杀毒！
5.“肇事”电脑的安全问题解决后，网络恢复正常，即可不开arp防火墙了。
看看下边的连接~呵呵~200分的~
http://..com/question/37400202.html
你~~分~!~送来~!~

‘肆’ 突然断网了,网通怎么查原因

家庭突然断网，通用且实用的方法是：把所有的线路重新拔插一下、把所有的设备都重启一下，可能会有意外的收获。

家庭网络链接方法一般是：运营商线路接到运营商的modem(也叫猫)上，再从modem上接一根网线出来接到用户电脑或路由器上、通过拨号方式上网。

根据以上线路链接方法，可以划分4个故障节点，从而有4个入手查找故障的切入点。这4个节点可以描述为：1、运营商接入的线路；2、运营商的设备modem；3、本地的线路，也就是从modem接出来接到电脑或路由器上的网线；4、本地设备，也就是电脑或路由器。

从上面4个切入点去判断，逐个检查：
4、本地设备：检查电脑网络配置，主要是IP地址的配置是否正常，拨号的账号密码是否输入正确；而路由器同样要检查账号密码是否输入正确，还要检查路由器是否工作正常、是否已损坏。可以使用另外一个路由器来替代已判断路由器是否正常。
3、本地的线路：本地线路主要检查的是本地线路是否接触良好，本地线缆是否完整无损，同样可以使用另外一条网线来替代测试。
2、运营商的设备modem：由于运营商的设备和运营商接入的线路都由运营商提供和控制，我们无法干预检测，只能把线路重新拔插一下、把关机设备重启一下。如果经历了4、3、2到现在都还没排查解决问题，那么就只能判断为运营商线路问题了，这时只有通知运营商客户，由他们安排工程师检查线路。

以上用到的排查问题的方法主要是----替代排查发，就是把怀疑有问题的设备或线路，使用其它同样或接近的设备线路替代，看问题是否消失解决，已断定问题的具体位置和原因。

另外，更加实用的方法是：把所有的线路重新拔插一下、把所有的设备都重启一下，可能会有意外的收获。

‘伍’ 怎样查杀断网病毒

除非迫不得已
一般情况下
正常模式扫描查杀即可
不必有任何其他措施

断网一般是紧急处理木马或黑客入侵的方法
只是断开黑客的入侵
对杀毒本身没有任何帮助

如果确实是正常模式无法杀毒或者杀毒软件被病毒组织等情况发生
才需要进入安全模式杀毒

至于DOS和PE模式，都是比较特殊的情况
98以后的系统带的都是虚拟DOS
没有真正的DOS环境了
除非您特意装的DOS和Windows的双系统
否则无法实现DOS杀毒，而且DOS下的杀毒软件现在也不多见
DOS杀毒并不实际
而PE模式，不太清楚。我自己没这么弄过
但看别人基本都是要Ghost的时候才尽PE
这个我说不好～～

‘陆’ 怎么查看电脑是否断网

1，打开windows10系统，进入win10桌面主界面，在右下角点击“网络设置”选项，点击打开。

‘柒’ 怎样检测路由器中中了病毒

路由器是否中病毒主要看路由是否能连上网络。

防止蠕虫的入侵措施：
1.使用强健而安全的口令
要知道，路由器蠕虫依赖于强力字典攻击(不断地努力猜测口令)，所以我们应当使用不易被猜测的口令。不要使用什么“admin”、“router”、“12345”等作为路由器的口令，而要使用一种混合性的组合，如rDF4m9Es0yQ3ha等。其中至少要包括大小写字母，并利用数字和字母。虽然这种口令不易记忆，但我们可以将其存放于可以某个文件(如文本文件)中，再用TrueCrypt、Cryptainer LE等软件为各种保存密码的文件加密。
2.保障远程连接的加密
例如，尽量不要使用HTTP方式传送，因为它使用的是明文传送，而可考虑使用HTTPS来传送基于Web的访问。可以打开路由器配置程序的远程访问设置，选择“https”选项。如果需要命令行才能访问路由器，可使用SSH。因为SSH是一个加密的协议。使用加密的连接并不是防止路由器蠕虫的必须措施，但它可以加强路由器的总体安全性。如下图2所示：

3.改变默认端口
蠕虫僵尸可通过这些远程连接的默认端口侵入，如通过HTTP Web 访问的80或8080端口、加密Web访问的443端口、SSH的22号端口等。因此，一台在非默认端口上接收连接的路由器更为安全。很多路由器在紧挨着远程连接设置功能的位置有一个端口(Port)字段，在此输入想要使用的端口号码。例如，键入路由器所在位置的面向互联网的IP地址，加上一个冒号，然后是端口号。如果是通过SSH进行连接，你需要在SSH客户端程序的连接设置中指定端口号。

4.使用入站过滤器
其实我们可以对有些路由器进行配置，使其过滤哪些IP地址或范围准许使用进入的连接，如此便可以阻止不在列表中的任何IP地址的蠕虫。为此，首先，可以看一下是否可以在路由器的远程管理设置中定义IP地址或IP地址范围。然后，检查路由器是否可以设置入站的连接设置。

5.保障路由器的固件最新
路由器固件所所使用的软件也使路由器易于受到蠕虫攻击，因此保持路由器总是加载最新的固件版本可有助于防止这种漏洞。路由器的制造商们和固件替换项目会定期发布这些固件的更新，用以修补已知的安全漏洞。
要更新路由器的固件，应从厂商的网站下载新的镜像。然后登录进入路由器的配置程序，打开“Admin”/“Misc”或“System”部分，选择最新的固件，并加载它即可。

6.清除蠕虫：还路由器的清洁之躯
前面所讨论的预防性措施可防止路由器受到蠕虫的攻击和危害。记住，如果不需要远程访问就不要启用它。如果有必要采用此功能，我建议你把用户名和口令复杂一些，多用一些大小写、数字等混合的口令，并要通过SSH或HTTPS传输，还要考虑使用非默认端口，并尽量采用任何的入站过滤器。
如果路由器已经受到感染，肯定会发生一些不可思议的事情。例如，据报告，Psyb0t会阻止22号端口、23号端口、80号端口的通信。
要清除蠕虫，最彻底的解决方法是将路由器恢复到出厂默认值，这样做可以保证清除蠕虫。按下路由器背面的复位按钮，并且过上几秒钟(不同的厂商要求不一样，如笔者的路由器要求按下30秒钟以上才可以)，就可以恢复到出厂状态。

‘捌’ 手工检测计算机病毒主要途径

检测和删除系统中的木马（Trojan Horse）教程

作者：陈昀/太平洋网络学院

一、木马（Trojan Horse）介绍

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的着名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是最新的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理

在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell=
Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。
三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空，如下图所示：

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现，自是一目了然。

4、查看注册表

由“开始->运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入
Explorer=“C:\WINDOWS\expiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！

通过类似的方法对下列各个主键下面的键值进行检查：
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件Copy过来就可以了。

五、结束语

Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。.; · 。自*动：程.序:制‘作；Q:Q' 250贰贰802玖

‘玖’ 详解:如何检测局域网内是否有arp病毒

如何检测局域网内是否有 arp 病毒想更好防护 arp 病毒，最好迚行 mac 地址和 ip 地址的绑定！ 如 何检测局域网内是否有 arp 病毒 关于局域网内 ARP 病毒的本机检测 方法和检测工具 病毒发作症状：计算机网络连接正常，能 PING 通 楼内机器却无法 PING 通网关、无法打开网页；戒由于 ARP 欺骗的 木马程序（病毒）发作时发出大量的数据包，导致网络运行丌稳定， 频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题。 网络中断原因：当局域网内某台主机感染了 ARP 病毒时，会向本局 域网内 （指某一网段， 比如： 172.16.24.0 这一段） 所有主机发送 ARP 欺骗攻击，让原本流向网络中心的流量改道流向病毒主机，并通过病 毒主机代理上网。因客户端具有防代理功能，造成受害者无法通过病 毒主机上网。 由于病毒发作时发出大量数据包会将网络拥塞，大家 会感觉上网速度越来越慢。中毒者同样如此，受其自身处理能力的限 制，感觉运行速度很慢时，可能会采取重新启动戒其他措施。此时病 毒短时间停止工作，大家会感到网络恢复正常。如此反复，就造成网 络时断时续。 故障诊断办法：如果用户发现以上疑似情冴，可以通 过如下操作迚行诊断：点击开始按钮-选择运行-输入arp -d-点击确定按钮，然后重新尝试上网，如果能恢复正常则说明 此次掉线可能是受 ARP 欺骗所致。 （arp -d命令用于清除并重建本 机 arp 表并丌能抵御 ARP 欺骗， 执行后仍有可能再次遭受 ARP 攻击。 ） 本网检测工具：下载并运行 AntiArp 程序。输入本网段的网关 ip 地址后，点击获取网关 MAC 地址，检查网关 IP 地址和 MAC 地址无 误后，点击自动保护。若丌知道网关 IP 地址，可通过以下操作获 取：点击开始按钮-选择运行-输入cmd点击确定-输入ipconfig按回车，Default Gateway后的 IP 地址就是网关地址。 AntiArp 软件会在提示框内出现病毒主机的 MAC 地址。 本机查杀 工具：下载并运行 TSC.EXE 程序。运行过程中丌要关让它一直运行 到自动关闭，最后查看 report 文档便知是否中毒。若中毒则建议重 新安装操作系统。 另：还有个最简易的办法，安装 金山卫士， 一定要开启 金山ARP 防火墙功能，这方面我就丌多说了，自己看下 应该就会;还可以在安装金山毒霸、瑞星杀毒等杀毒软件的时候，选择 arp 防护开启 功能！ 一、AntiARP-DNS [主程序] 它包括了对 ARP 和 DNS 欺骗 攻击的实时监控和防御， 受到攻击时会迅速记录追踪攻击者并且控制 攻击的程度至最低。 能有效防止局域网内的非法 ARP 戒 DNS 欺骗攻 击，特别是运用于校园网络中。它还能解决被人攻击之后出现逗IP 冲突地的烦人提示框。如果您的机器是中了 ARP 类病毒，请先下载 专杀工具来解决，本程序只做辅助使用。(强制反 ARP 欺骗，请参考 官方相关文章。) 二、IP-Mac Scan [辅助扫描程序] 它用于局域网 内批量 IP 对应的真实 MAC 迚行扫描， 确保得到准确 MAC 信息。

‘拾’ 网速慢怎样才能知道是中病毒还是网络不好呢

看看自己是不是电脑启动的进程开的太多了，杀毒软件之类的，也会多少占用一些网速，还有就是记得经常清理迅雷里面的历史下载记录，如果不清除干净，会成为BT种子之类的，给别人分享下载，那样必定占用咱自己的网速。
还有多配合安全卫士360或优化大师之类的软件，多给系统做清理和保养，感觉慢了以后可以用用卸载流氓软件，系统自动优化，清理系统垃圾，关闭没必要的系统开启项。

如果怀疑是中毒，可以去安装个权威的杀毒软件，全盘扫描一圈就安心了。

还有就是要看自己的网上地点。是否有别人在共享自己的网络，如办公室。
上网地点附近如果有施工，或者天气极不好的情况，也会产生网络虚弱，导致速度降低。