最近单位某部门的几台电脑经常上不去网。这几台电脑接在同一个交换机上。每次不能上网时,只要重新拔插一下连接上一层交换机的那根网线,就能解决问题。但过不了多长时间,就又不行了。这种情况频繁发生。因此,问题反映到了我们部门,希望彻底解决。
我观察了一下,该交换机的1口上联到上层交换机,不能上网时,该端口的指示灯熄灭。首先排除了硬件方面的原因(测了网线没问题,更换端口后故障依旧)后,怀疑某台电脑中了网络病毒。由于该交换机是不可管理的杂牌子交换机,因此决定使用抓包软件Sniffer分析一下。
在自己的电脑(在同一局域网内)测试抓包软件时,就发现了网络中有大量的ICMP包。这些ICMP包主要来自两台电脑,一台就接在那个交换机上,另一台接在其它交换机上。这些ICMP包的目的地址都是D类组播地址。
找到了目标,就好说了。使用Sniffer分析一下,这些数据包都是Echo类型的ICMP包,Identifier为512,由此判断可能是ping命令发出的包。
远程登录到其中一台电脑上,打开任务管理器一看,发现有IPZ2.EXE,还发现有一两个cmd.exe和
netsh.exe进程不断地出现、消失,估计是IPZ2不断地调用netsh.exe,向外发送ICMP包。直接结束IPZ2.exe进程后,cmd.exe和netsh.exe进程就不再出现了,那些ICMP包马上就没有了。看来这罪魁祸首就是它了。
从网上搜了下IPZ2.EXE病毒的资料:它是IPZ.exe的变种,主要是在安装了低版本的Radmin远程控制服务端软件(并且没有口令时)的电脑上传播——我们确实使用的是这种低版本的Radmin。中毒后,系统服务中会添加Integligent P2P Zombie(调用ipz.exe)、Integlligent P2P Zombie 2(调用ipz2.exe)服务,C:\WINDOWS\SYSTEM32文件夹下会有IPZ.EXE、IPZ2.EXE、ipz_db.bin、ipz.tmp、ipz2.tmp这些文件。
弄清了原因,就开始对症下药。如果直接远程升级Radmin的版本,我担心弄不好会无法远程控制了,所以先暂缓升级。直接停止服务,删除服务,删除病毒文件,一切OK!可第二天一看,IPZ2.exe又来了。看来,局域网中还有其它电脑中毒,还会对它进行传染。怎么办呢?这次我并不删除服务,而是禁用服务,再删除病毒文件。过了两天,再看,没有再次感染。看来,禁用服务相当于给这台电脑打了疫苗。为了便于操作,我又做了一个批处理文件KillIPZ.bat。
@echo on
sc stop ipz
sc stop ipz2
sc config ipz start= disabled
sc config ipz2 start= disabled
taskkill /f /im ipz.exe /t
taskkill /f /im ipz2.exe /t
del C:\windows\system32\ipz.exe /f
del C:\windows\system32\ipz.tmp /f
del C:\windows\system32\ipz-db.bin /f
del C:\windows\system32\ipz2.exe /f
del C:\windows\system32\ipz2.tmp /f
pause
exit
测试成功后,我又如法炮制。用Sniffer查找其它的中毒电脑(又找到了三台),然后用KillIPZ.bat杀毒。全部查杀之后,至今再也没有再发生这种故障。
至于为什么只有这台交换机Down掉呢?我估计可能是这台杂牌子交换机处理能力稍弱一些的原因吧。
原文地址:http://8738650.blog.51cto.com/8728650/1636200