如何找到了ARP中毒電腦，那么接下來的操作就是如何殺毒了。有一點需要注意的是：當找到中毒電腦后，應該立即拔掉中毒電腦的網線，以免其繼續(xù)發(fā)包干擾全網的運行。
對于ARP病毒電腦的查殺辦法，首先可以利用殺毒軟件殺毒，但是由于現(xiàn)在病毒變種極其繁多，有可能遇到殺毒軟件查不出來的情況，這時候就需要借助手工殺毒的辦法了，下面介紹一些經驗。
根據(jù)一些經驗，較老類型的ARP病毒運行特征比較隱蔽，電腦中毒時并無明顯異常現(xiàn)象，這類病毒運行時自身無進程，通過注入到Explorer.exe進程來實現(xiàn)隱藏自身。其注冊表中的啟動項也很特殊，并非常規(guī)的Run鍵值加載，也不是服務加載，而是通過注冊表的AppInit_DLLs 鍵值加載實現(xiàn)開機自啟動的，這一點比較隱蔽，因為正常的系統(tǒng)AppInit_DLLs鍵值是空的。也正由于這個特點，利用Autoruns這個工具軟件就可以快速掃描出病毒文件體，如圖1：

 圖1   Autoruns工具檢測出病毒文件主體

上圖中紅色框內的部分，就是ARP病毒文件主體，該文件雖然擴展名為log，看似很像是系統(tǒng)日志文件，但其實，它是一個不折不扣的病毒！除了Log形式的病毒文件，還有一些以Bmp作為擴展名的病毒文件，同樣，這些病毒文件也不是圖片文件，而是EXE格式的可執(zhí)行文件，在同目錄下還有同名的dll文件，這些都是病毒體。

%WinDir%\ KB*.log
或者
%WinDir%\ *.bmp
%WinDir%\同名.dll

如何區(qū)別正常的log日志文件，bmp圖片文件和病毒文件呢？其實很簡單，用記事本程序打開該文件，查看其文件頭是否有“MZ”的標記即可，如圖2就是一個名字為“KB896475.log”的病毒文件。

 圖2   一個ARP病毒文件體

找到這些文件后，可以先清除注冊表中的相關鍵值，然后重啟系統(tǒng)到安全模式下，手動刪除文件即可。
對于最近多發(fā)的，修改WEB請求頁面的新型ARP病毒，則改變了病毒文件的表現(xiàn)形式，現(xiàn)對簡單，利用系統(tǒng)進程查看和啟動項查看注冊表的Run鍵值，可以明顯發(fā)現(xiàn)病毒的文件。
ARP病毒的網絡免疫措施
由于ARP病毒的種種網絡特性，可以采用一些技術手段進行網絡中ARP病毒欺騙數(shù)據(jù)包免疫。即便網絡中有ARP中毒電腦，在發(fā)送欺騙的ARP數(shù)據(jù)包，其它電腦也不會修改自身的ARP緩存表，數(shù)據(jù)包始終發(fā)送給正確的網關，用的比較多的辦法是“雙向綁定法” 。
雙向綁定法，顧名思義，就是要在兩端綁定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC輸入到一個靜態(tài)表中，這叫路由器IP-MAC綁定。令一端是局域網中的每個客戶機，在客戶端設置網關的靜態(tài)ARP信息，這叫PC機IP-MAC綁定。客戶機中的設置方法如下：
新建記事本，輸入如下命令：

arp -d
arp -s 192.168.0.1  00-e0-4c-8c-9a-47