先说一下网吧的基本情况：

双线，xpsp2系统，微软2月份前的补丁打全，server服务关闭，开机启动\\server\qd\run.bat，路由器每1秒发一次arp报文，没双绑。

    好了，说一下我是怎么发现中了arp病毒的：

那天有个顾客跟我说，他看电影有点卡。因为我电影服务器放在另一个网吧，我以为是某个电影码率的原因，所以没放在心上。

接着我去玩惊天动地，进去玩了5分钟左右，突然被踢出游戏，显示断开服务器连接，我纳闷，再进，5分钟后又被踢出来。郁闷了，直接退出，不玩了，看电影。

刚打开的时候还好，过了1分钟，画面开始断断续续，我看了看这部片子的码率，只有400Kbps，我马上意识到情况不大对了。

打开任务管理器，发现进程里面有8SY.EXE，[down].exe。cmd，arp -a，显示整整一屏的列表。

靠，我中奖了！

    解决过程：

首先，看一下arp创建了哪些文件？

因为ARP会自动传播，所以重新启动机器，打开任务管理器监测，过了几分钟，进程里面又出现了8sy.exe，[down].exe。

打开文件夹选项，显示系统文件，显示所有文件,依次进入c:\,c:\windows,c:\windows\system32,发现新创建的文件有：

C:\_desktop.ini

c:\windows\mppds.exe
c:\windows\Logo1_.exe
c:\windows\RichDll.dll
c:\windows\winform.exe
c:\windows\msccrt.exe
c:\windows\system32\cmdbcs.dll
c:\windows\system32\mppds.dll
c:\windows\system32\winform.dll
c:\windows\system32\msccrt.dll

其次，考虑解决的办法。

因为我用的是双线，当时我认为双线不能双绑，towelboy兄弟告诉我，双线也是可以双绑的，但是当时我不知道。所以只剩下一个方法：做虚假的病毒文件。

在\\server\qd\目录下写个批处理，buding.bat：

md c:\_desktop.ini
md c:\autorun.inf
md c:\command.com
md c:\desktop_.ini
md c:\gamesetup.exe
md c:\pagefile.com
md c:\setup.exe
md c:\windows\mppds.exe
md c:\windows\Logo1_.exe
md c:\windows\RichDll.dll
md c:\windows\winform.exe
md c:\windows\msccrt.exe
md c:\windows\system32\cmdbcs.dll
md c:\windows\system32\mppds.dll
md c:\windows\system32\winform.dll
md c:\windows\system32\msccrt.dll
attrib +s +r +h +a c:\_desktop.ini
attrib +s +r +h +a c:\autorun.inf
attrib +s +r +h +a c:\command.com
attrib +s +r +h +a c:\desktop_.ini
attrib +s +r +h +a c:\gamesetup.exe
attrib +s +r +h +a c:\pagefile.com
attrib +s +r +h +a c:\setup.exe
attrib +s +r +h +a c:\windows\mppds.exe
attrib +s +r +h +a c:\windows\Logo1_.exe
attrib +s +r +h +a c:\windows\RichDll.dll
attrib +s +r +h +a c:\windows\winform.exe
attrib +s +r +h +a c:\windows\msccrt.exe
attrib +s +r +h +a c:\windows\system32\cmdbcs.dll
attrib +s +r +h +a c:\windows\system32\mppds.dll
attrib +s +r +h +a c:\windows\system32\winform.dll
attrib +s +r +h +a c:\windows\system32\msccrt.dll
cacls c:\_desktop.ini /e /t /d everyone
cacls c:\autorun.inf /e /t /d everyone
cacls c:\command.com /e /t /d everyone
cacls c:\desktop_.ini /e /t /d everyone
cacls c:\gamesetup.exe /e /t /d everyone
cacls c:\pagefile.com /e /t /d everyone
cacls c:\setup.exe /e /t /d everyone
cacls c:\windows\mppds.exe /e /t /d everyone
cacls c:\windows\Logo1_.exe /e /t /d everyone
cacls c:\windows\RichDll.dll /e /t /d everyone
cacls c:\windows\winform.exe /e /t /d everyone
cacls c:\windows\msccrt.exe /e /t /d everyone
cacls c:\windows\system32\cmdbcs.dll /e /t /d everyone
cacls c:\windows\system32\mppds.dll /e /t /d everyone
cacls c:\windows\system32\winform.dll /e /t /d everyone
cacls c:\windows\system32\msccrt.dll /e /t /d everyone
regedit /s \\game\qd\DisallowRun.reg

写个注册表文件,DisallowRun.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="0sy.exe"
"2"="1sy.exe"
"3"="2sy.exe"
"4"="3sy.exe"
"5"="4sy.exe"
"6"="5sy.exe"
"7"="6sy.exe"
"8"="7sy.exe"
"9"="8sy.exe"
"10"="9sy.exe"
"11"="logo_1.exe"
"12"="logo1_.exe"
"13"="conime.exe"
"14"="logo_.exe"
"15"="logo1.exe"
"16"="[down].exe"
"17"="Netrobocop.exe"
"18"="cnnetcut151.exe"
"19"="netcut.exe"
"20"="wnad.exe"
"21"="bind_40235.exe"
"22"="gamesetup.exe"
"23"="FuckJacks.exe"
"24"="spoclsv.exe"
"25"="qq2007.exe"
"26"="intren0t.exe"
"27"="devgt.exe"
"28"="iexpl0re.exe"
"29"="svohost.exe"
"30"="svhost32.exe"
"31"="setup.exe"
"32"="svchqst.exe"
"33"="llssrv.exe"
"32"="qdoxjq.exe"
"33"="iedw.exe"
"34"="res.exe"
"35"="SVCH0ST.exe"
"36"="1.com"
"37"="EXP10RER.com"
"38"="finders.com"
"39"="kill.exe"
"40"="rundl132.exe"
"41"="exerouter.exe"
"42"="ePower.exe"
"43"="nvsc.exe"
"44"="finder.com"
"45"="pagefile.com"
"46"="rose.exe"
"47"="sxs.exe"
"48"="sys1.exe"
"49"="DebugProgramme.exe"
"50"="iexplore.com"
"51"="Exeroud.exe"
"52"="a.exe"