调出“任务管理器”，点选“进程”标签，察看其中是否有一个名为“MIR0.dat”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。 

　　2，检查网内感染“ARP”木马染毒的计算机

　　在“开始”-“程序”-“附件”菜单下调出“命令提示符”。输入并执行以下命令：

　　记录网关IP地址，即“DeultGateway”对应的值，例如“59.66.36.1”。再输入并执行以下命令： 

　　在“InternetADDRess”下找到上步记录的网关IP地址，记录其对应的物理地址，即“PhysicalAddress”值，例如“00-01-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“ARP”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址，然后再查ARP表。如果有一个IP对应的物理地址与网关的相同，那么这个IP地址和物理地址就是中算机的IP地址和网卡物理地址。 

　　如果你的计算机已到，我们可以选择下面的方法来解决。

　　方法1，使用安全工具软件

　　我们可以下载一款叫作AntiARPSniffer软件本地计算机正常运行。下载安装完之后，把软件设为自动启动,先把Antiarp.exe生成桌面快捷方式，点击开始中的程序，之后双击启动，再把桌面上Antiarp.exe快捷键拷到启动中，以下次开机自动运行，起到计算机的作用。

　　方法2，作批处理文件

　　在客户端做对网关的arp绑定，具体操作步骤如下：

　　步骤一： 

　　查找本网段的网关地址，比如192.168.1.1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp-a，点回车，查看网关对应的PhysicalADDRess。

　　步骤二： 

　　编写一个批处理文件rarp.bat，批处理文件的内容
 

@echo off　 　　

arp -d　 　　

arp -s

192.168.16.254

00-22-aa-00-22-aa　

==========================上面的内容==========================

假如网关地址192.168.16.254

假如MAC地址为0022aa0022aa局域网端口MAC地址

arp -d命令用于清除并重建本机arp表。"arp -d"命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

arp -s 是绑定网关地址和局域网端口NAC地址的

具体珠网关地址和局域网端口NAC地址，你要从路由上得知。。。

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。　 　
将这个批处理软件拖到“windows--开始--程序--启动”中.

　　步骤三： 

　　192.168.1.1上不去运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。

　　注意：以上配置需要在网络正常时进行。 

　　方法3，下载ARP免疫器

　　局域网ARP免疫器。将下载的压缩包里面3个dll文件复制到windowssysteM32中，将npf这个文件复制到windowssystem32drivers里面，再将这4个文件在安全属性里改成只读，也就是不允许任何人修改。 

　　应急方案

　　网络管理管理人员利用介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再相应的交换机端口，重新开通上网。 

　　安全防范 

　　以上的问题能够解决，但用户还是要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页);不要随便打开不明来历的电子邮件，尤其是邮件附件;及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力;不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不设置可写或可控制，以免个人计算机受到木马病毒的侵入给整个局域网的安全带来隐患。
  以上是路由器网www.luyouqiwang.net老总原创，转载请注明出处。