局域网中有电脑中了arp病毒

我给你俩个我积累下来解决arp病毒的方法。你可以试试。
第一种：现在局域网中感染ARP病毒的情况比较多，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅了不少的参考资料。

ARP病毒的症状
有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况也会有出现。

ARP攻击的原理
ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法
通用的处理流程
1.先保证网络正常运行
方法一：编辑一个***.bat文件内容如下：arp.exes
**.**.**.**（网关ip）************（网关MAC地址）end 让网络用户点击就可以了! Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"M2.找到感染ARP病毒的机器
a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。
b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。
c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。

预防措施
1、及时升级客户端的操作系统和应用程式补丁；
2、安装和更新杀毒软件。
3、如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。
4、如果交换机支持，在交换机上绑定MAC地址与IP地址。（不过这个实在不是好主意）
AC"="arp s网关IP地址网关MAC地址"然后保存成Reg文件以后在每个客户端上点击导入注册表。

办法二：编辑一个注册表问题，键值如下：

第二种方法：五、ARP病毒电脑的定位方法
下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？
面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。
5.1 命令行法
这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下： Internet Address Physical Address Type 192.168.0.1 00-50-56-e6-49-56 dynamic
这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。
5.2 工具软件法
现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙），下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址，接着点击“这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。
5.3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。自动保护”按钮，即可保护当前网卡与网关的正常通信。 当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。以上三种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。本回答被网友采纳

将每台电脑的IP和mac地址绑定，然后在各台机器的IP缓存表中将网管的IP和mac地址绑定
然后每台机器安装arp防火墙
查出中毒机器，将中毒机器重装系统

下面是在我空间复制的

在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。有没有什么措施能最大限度地避免此类现象的发生呢？为了防止IP地址被盗用，可以在代理服务器端分配IP地址时，把IP地址与网卡地址进行捆绑。 对于动态分配IP，做一个DHCP服务器来绑定用户网卡MAC地址和IP地址，然后再根据不同IP设定权限。对于静态IP，如果用三层交换机的话，你可以在交换机的每个端口上做IP地址的限定，如果有人改了自己的IP地址，那么他的网络就不通了。我们现在针对静态IP地址的绑定讲解一个实例。 查看网卡MAC地址 先点击“开始”选择“运行”，然后在里面输入“ipconfig /all”命令，这就可以查出自己的网卡地址。如下图： 记录后再到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进行捆绑。具体命令是： ARP -s 192.168.0.4 00-EO-4C-6C-08-75 这样，就将您上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了，即使别人盗用您的IP地址192.168.0.4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理服务器端有用，还要是静态IP地址，像一般的Modem拨号上网是动态IP地址就不起作用。接下来我们对各参数的功能作一些简单的介绍： ARP �-s�� -d��-a� -s——将相应的IP地址与物理地址的捆绑。 -d——删除所给出的IP地址与物理地址的捆绑。 -a——通过查询Arp协议表来显示IP地址和对应物理地址情况。 作为一个网络管理人员，如果对MAC地址和IP的绑定能灵活熟练的运用，就会创建一个十分安全有利的环境，可以大大减小安全隐患。

　　 ‍‍ARP欺骗方式共分为两种：一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息，导致上网时断时通或上不了网；另一种是对内网PC的网关欺骗，仿冒网关的mac地址，发送arp包欺骗别的客户端，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法：
方法一、在收到ARP欺骗的本机，在开始--运行中，输入“cmd”，进入ms-dos，通过命令行窗口输入“arp -a”命令，查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录（以备查找），然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具（如sniffer或antiarp）查找局域网中发arp包最多的IP地址，也可判断出中病毒计算机。
造成arp欺骗的病毒，其实是普通的病毒，只要判断出发包源，使用杀毒软件进行清查，是可以彻底解决的。

‍‍‍本回答被网友采纳

下个anti ARP sniffer现在叫arp防火墙的可以防，然后根据它拦截下来的IP找到中病毒的那台机，把那台机杀了毒就不会了