瑞星卡卡安全论坛

最近发现电脑会自动断网，重插网线后又可以上网，不过过5、6钟电脑就自己断线了。
应该不是网络的问题，因为每次断线之后只要拔了网线再插上就又可以上网了。
谢谢了。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      am 01:24:08, 日期 2006-6-4
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\ping.exe
F:\MyIE\MyIE.exe
F:\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\绿色软件\网际快车(FlashGet) v1.65 美化特别版\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\绿色软件\网际快车(FlashGet) v1.65 美化特别版\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.net (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607145-AC19-425e-862A-2D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607145-AC19-425e-862A-2D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} (pcastup Class) - http://ps.itv.mop.com/dn/files/vodupdate_1.0.0.8_20051009.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - NT 服务: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

日志没看出什么问题。考虑你的MODEM是否过热等原因。

MODEM应该没有问题，因为我拔的不是接MODEM的线，是MODEM接电脑的线。我一直在打开ping网关，显示“request timed out”我就拔线，显示几行“hardware error”,就接着显示“destination host unreachable”这时就把网线插回去，马上网关就通了。。。

不知道是不是有什么病毒在作怪。。。

会不会是中木马了。。

ARP欺骗？
开始-运行，输入cmd按确定，进入命令提示符。
输入“arp -a”（当然输入时没有引号），按回车，看看arp缓存。结果应该是这样：
  Internet Address      Physical Address      Type
你的网关的IP地址        你的网关的物理地址  dynamic

当然还有其他IP对应的物理地址。在正常的时候，记下网关的IP对应的物理地址，在ping不到网关的时候再运行一次这个命令再看一下，如果网关对应的物理地址改变了，就是arp欺骗。

这时可以输入以下命令：
arp -s 网关的IP地址 网关的正确物理地址
比如
arp -s 157.55.85.212 00-aa-00-62-c6-09

这样再用arp -a命令时你就会看到网关的地址对应的Type转为static（静态）。这样再ping网关应该就可以ping到了。

如果拔网线再插上，重新连接时arp缓存会清空，所以之前的错误信息会消失，再次得到正确的地址，也可以解决问题。当然之前自己用arp -s命令绑定的内容也会清除。

当然，这是权宜之计，只能是避免它的干扰。至于如何找到发动arp攻击的机子，网上有不少介绍，可以搜索一下。当然，前提是这种状况的原因的确是arp欺骗。

怎么看着这么深奥啊。。。

网关是192.168.0.1　物理地址真的变了！！！！

在192.168.0.1下面还有一条192.168.0.24的ip地址。这是怎么回事啊？

这个我不懂啊，要怎么办啊？

在网络正常的情况下记下网关的正确物理地址（形如00-aa-00-62-c6-09），然后参考5楼回帖，用arp -s命令。

可是那要怎么才能不被对方arp攻击啊？

怎么好像变成静态地址的反而上不了网了。。。

晕，那就是你输入的网关物理地址是错误的。记住要输入的是你可以ping通网关时查到的物理地址。

如果楼主希望一开机就预防这个攻击的干扰：
新建一个文本文档，输入以下内容：
@echo off
arp -s 网关的IP地址 网关的正确物理地址

把这个文档另存为*.bat文件（.bat是后缀的扩展名，而文本文档的后缀扩展名为.txt，如果看不到的话，必须在“我的电脑”选“工具”-“文件夹选项”-“查看”，把“隐藏已知文件类型的扩展名”前面的勾去掉），*的意思是可以任意。
然后把这个*.bat文件剪切到以下目录中：
C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动\
如果没有“启动”这个文件夹，就自己新建，然后再放进去。
这样开机后就自动运行这个批处理文件，绑定了网关的IP和物理地址。
当然，所有的前提是你写进去的网关物理地址是正确的。

楼主的机子是局域网吧？想找出攻击你的人的话，如果是学校或公司的局域网，向网管反映一下。如果是小区宽带之类的，向网络运营商的客服反映一下。

不过更实在的建议是装一个专业的防火墙。楼主的机子上没有防火墙（或者说只有系统自带的），光有卡巴斯基是不够的，所以很容易受到这种arp攻击的影响。装了防火墙就能在一定程序上遏制这种攻击。

在局域网内因为带宽有限，有些用户为了争夺带宽资源，就使用网络执法官等软件对其他的机子进行arp欺骗的攻击，干拢其他用户的上网，这样他就可以独占网络资源。
另一种情况是某台机子中了木马，然后向其他机子发动arp攻击，把网关的IP指向自己的物理地址，这样局域网所有的数据就都要先经过那台机子再连到真正的网关，这样它就可以窃取数据中的有关密码资料。
从楼主的情况上看，前一种比较可能。

汗，论坛最近有问题，得再发两帖才能使这个帖子恢复正常。

再发一帖吧。要不然又看不到所有内容了。

哦，是这样，谢谢了。

不知道什么样的防火墙可以防住网络执行官。
什么样的防火墙比较好？