欢迎进入反病毒社区论坛，与技术人员互动交流进入

原因：

木马利用ARP欺骗技术来，来获取局域网内发往外网的数据。从而截获局域内一些网游的用户名和密码。

　木马解析

    中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时，局域网内就会多出一个路由器的MAC地址。内网在发往外网的数据时，误认为中木马的机器是路由器，从而把这些数据发给了虚拟的路由器。真正路由器的MAC地址被占用。内网的数据发出不去。所以就掉线了。

建议
--------------------------------------------------------------------------------
解决方案

    首先你下载一个网络执法官，他可以监控局域网内所有机器的MAC地址和局域网内的IP地址。在设置网络执法官时。你必须将网络执法官的IP段设置和你内网的IP段一样。比如说：你的内网IP是192.168.1.1——192.168.1.254你的设置时也要设置192.168.1.1——192.168.1.254.设置完后，你就会看到你的内网中的MAC地址和IP地址。从而可以看出哪台机器中了木马。（在多出的路由器MAC地址和IP地址和内网机器的IP地址，MAC地址一样的说明中了传奇网吧杀手）要是不知道路由器的MAC地址，在路由器的设置界面可以看到。发现木马后。你还要下载瑞星2006最新版的杀病毒软件（3月15日之后的病毒库）。在下载完之后必须在安全模式下查杀（这是瑞星反病毒专家的见意）反复查杀（一般在四次就可以了）注意查完后杀病毒软件不要卸载掉。观查几天（这是我个人的经验。在卸后第三天病毒还会死灰复燃，我想可能是注册表里还有他的隐藏文件。在观查几天后正常就可以卸载掉了。

    最好主机安装上网络执法官，ARP防火墙，＝这样可以时时监控局域网内的动态，发现木马原地址后可以及时做出对策）