1. 打开命令提示符:按下`Win+R`,输入`cmd`并回车。 2. 查看ARP缓存表:输入命令 arp -a,记录当前网关的IP和MAC地址通常为路由器IP,如192.168.1.1。 3. 对比正常MAC地址:通过路由器管理页面在浏览器输入网关IP,如192.168.1.1查看网关真实MAC地址,若与`arp -a`显示的MAC不一致,即可判定为ARP病毒攻击。
二、清除病毒进程与文件 ARP病毒通常以隐蔽进程运行,需手动终止并删除文件:1. 打开任务管理器:按下`Ctrl+Shift+Esc`,切换到“进程”选项卡。 2. 识别可疑进程:查找 签名信息、占用高CPU/内存、名称含乱码或陌生字符如“arp.exe”“system32.exe”等非系统进程 的进程。 3. 进程:右键点击可疑进程,选择“任务”,若提示拒绝访问,需进入安全模式操作重启电脑时按F8,选择“安全模式”。 4. 删除病毒文件:进入以下路径查找并删除可疑文件: - `C:WindowsSystem32` - `C:Users当前用户名AppDataRoaming` - `C:WindowsTemp`
三、修复网络设置与ARP缓存 清除病毒后,需恢复正确的网络配置:1. 清除错误ARP缓存:在命令提示符输入 arp -d,清空当前ARP映射表。 2. 绑定正确网关MAC:输入命令 arp -s 网关IP 正确MAC地址例如:`arp -s 192.168.1.1 AA-BB-CC-DD-EE-FF`,永久绑定网关IP与MAC重启后需重新绑定,或通过批处理脚本实现自动绑定。 3. 重置网络协议:输入 netsh winsock reset 并回车,重启电脑后生效。
四、预防ARP病毒再次感染 为避免病毒复发,需做好基础防护:- 安装ARP防火墙:启用系统自带防火墙或第三方ARP防护工具如360安全卫士“ARP防火墙”功能,实时拦截伪造的ARP包。
- 定期更新系统与杀毒软件:保持Windows系统补丁和杀毒软件病毒库为最新状态,减少漏洞被利用的风险。
- 限制不明文件运行:避免打开来源不明的邮件附件、下载陌生软件,执行.exe文件前通过杀毒软件扫描。