: 有些网页打不开 : 出现 : : 1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C????? : BBS也严重累格 : : 请教各大大 : 要怎嚜解决 : 谢谢 : : -- :

※ 发信站: 批踢踢实业坊(ptt.cc) : ◆ From: 140.113.95.131 这是你们网路下有人的电脑中毒 (140.113.95.x) 用arp封包去欺骗router (default gateway) 让router送给一般user的封包 通通送到中毒的电脑上 部分HTTP封包会被修改(才会在网页上出现奇怪字串) 然後再送回给一般的user 因为全部流入的流量都送到中毒的电脑上 处理不及 所以会造成大lag 如果到router上看arp table会发现那个网路下几乎每个IP都被对应到中毒电脑的卡号 (140.113.95.XX都对到同一个卡号 AA:BB:CC:DD:EE:FF) 要找到是哪一台电脑在搞鬼 用wireshark之类听封包的软体 会发现host透过gateway送出去的封包,ethernet的des会是router的卡号 但从gateway送回给host的封包,ethernet的src却不是router的卡号 会是中毒那台的卡号 这样就可以找到是哪个家伙中毒了 中毒的那台电脑上 应该会在 Program Files\Common Files\Microsoft Shared\MSInfo 下 出现一个假的svchost.exe档 那个就是病毒 而且去看他的arp table (命令提示字元下 arp -a) 会发现几乎那个网路下每个host的ip -> mac的对应都被设定成static (通常是dynamic) 我目前发现这个病毒是透过随身碟感染 应该是随身碟病毒的变种？ 执行随身碟里面的Ghost.pif档以後 在两分钟之内会跑出作乱的那个svchost.exe档 然後开始捣蛋 造成网页出现奇怪字串以及大lag -- 这大概是我目前观察出来的结果 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 221.169.40.127