最近很多朋友都遇到16a.us病毒困挠，在看了我的好友 麦糊CEO 的一篇文章 《16a.us病毒（又一次ARP病毒欺骗攻击）解决方案》 之后，发现问题只是被简单绕过或者说是没有治本，出于对技术的执着，我一定要挖根揪底，把16a.us的元凶找到......

    　如果你的局域网里只有几台电脑便可采用最笨的办法，逐台扫描杀毒，但如果你管理着上百台，甚至上千台，上万台电脑那么处理起来就非常棘手，其实只要简单的办法就可以快速找到“元凶”，迅速解决问题。

    　通过分析ARP的原理我们可以总结出来，中毒的电脑将自己伪装为代理服务器，当你的电脑访问网关的时候MAC地址将为“元凶”的MAC，我们只要找到这台电脑分析和清除病毒后整个网络就恢复正常。
 
解决步骤：
 
1、进路由器查看“WAN设置”里的“WAN口MAC地址克隆”，找到图中红色线框里的MAC，发现并不是我们这台PC的MAC（我的电脑实际的MAC地址为00:14:2a:f8:ba:32），也就是说这个就是“元凶”的MAC地址，这样我们就找到真凶了

 
2、到了“元凶”那台电脑上一查看发现没有安装杀毒软件，迅速装上“360安全卫士”，先把启动项/系统进程的可疑文件禁止（也可以通过注册表），然后通过“查杀恶意软件”发现原来病毒是通过近期大名鼎鼎的高危险ANI鼠标指针漏洞植入的：）

 
3、安装杀毒软件彻底查杀病毒，如果安装好卡巴斯基后发现图标是灰色的，也就是说不能工作的时候，查看一下系统时间可以发现被更改为1966年了。其实就是病毒制造者在利用卡巴的这个漏洞把杀毒软件干掉，以使自己滋生蔓延。