症状：网络时通时断

如何检查“ ARP 欺骗”木马的方法
1 ．检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。
2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：
ipconfig
记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

解决方法：

解决方法一：绑定网关的IP和MAC地址
  参考网址：http://www.dhu.edu.cn/xxhbgs/shownews.asp?id=14
注意：以上配置需要在网络正常时进行

解决方法二：使用安全工具软件
  下载Anti ARP Sniffer软件保护本地计算机正常运行。
Anti Arp Sniffer 的用法
双击Antiarp文件，
输入网关地址（网关地址获取方式：[开始] -->[程序]--> [附件]菜单下调出“命令提示符”，输入ipconfig，其中Default Gateway即为网关地址）；点击获取网关MAC地址，点击自动防护保证当前网卡与网关的通信不被第三方监听。
  如果已有病毒计算机的MAC地址，可报告网络中心对其进行查封。
下载网址：ftp://ftp.dhu.edu.cn/pub/杀病毒软件/arp欺骗防范工具

应急方案
  网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。