arp病毒并不是某一种病毒的名称，而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议，能够把网络地址翻译成物理地址（又称MAC地址）。通常此类攻击的手段有两种：路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。
1.故障原因
     主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。
     传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。
如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。
2.故障现象
      当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。
该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。
经抽样测试，学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒（木马）病毒。恶意软件由于国际上未有明确界定，目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案，需要借助某些辅助工具进行清理。
3.解决思路
     不要把你的网络安全信任关系建立在IP基础上或MAC基础上。
     设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。
     除非必要，否则停止ARP使用，把ARP做为永久条目保存在对应表中。
     使用ARP服务器。确保这台ARP服务器不被黑。
     使用"proxy"代理IP传输。
     使用硬件屏蔽主机。
     定期用响应的IP包中获得一个rarp请求，检查ARP响应的真实性。
     定期轮询，检查主机上的ARP缓存。
     使用防火墙连续监控网络。
4.解决方案
     一般出现局域网网吧用户一般可以用ROS路由进行绑定，在主机上安装上ARP防火墙服务端，客户机安装客户端，双相绑定比较安全。
      软件百度搜索下推荐软件：http://wwwantiarpcom/down.asp?ArticleID=81市面上有众多的ARP防火墙推荐使用360，建议采用双向绑定解决和防止ARP欺骗。在电脑上绑定路由器的IP和MAC地址
      首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>）。
编写一个批处理文件rarp.bat内容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将网关IP和MAC更改为您自己的网关IP和MAC即可，让这个文件开机运行（拖到“开始-程序-启动”）。
自己手动清除病毒：
⒈立即升级操作系统中的防病毒软件和防火墙，同时打开“实时监控”功能，实时地拦截来自局域网络上的各种ARP病毒变种。
⒉立即根据自己的操作系统版本下载微软MS06-014和MS07-017两个系统漏洞补丁程序，将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中，防止病毒变种的感染和传播。
⒊检查是否已经中毒：
a. 在设备管理器中，单击“查看—显示隐藏的设备”
b. 在设备树结构中，打开“非即插即用设备”
c. 查找是否存在：“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”，如果存在，就表明已经中毒。
⒋对没有中毒机器，可以下载软件Anti ARP Sniffer，填入网关，启用自动防护，保护自己的ip地址以及网关地址，保证正常上网。
⒌对已经中毒电脑可以用以下方法手动清除病毒：
⑴删除：%windows%\System32\LOADHW.EXE （有些电脑可能没有）
⑵a. 在设备管理器中，单击“查看—显示隐藏的设备”
b. 在设备树结构中，打开“非即插即用设备”
c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
d. 右点击，”卸载”
e. 重启系统
⑶删除：%windows%\System32\drivers\npf.sys
⑷删除%windows%\System32\msitinit.dll（有些电脑可能没有）
⑸删除注册表服务项：开始〉运行〉regedit〉打开，进入注册表，全注册表搜索npf.sys，把文件所在文件夹Npf整个删除.（应该有2个）.至此arp病毒清除.
⑹根据经验，该病毒会下载大量病毒，木马及恶意软件，并修改winsocks，导致不能打开网页，不能打开netmeeting等，为此还需要做下面几步工作：
a.用杀毒软件清理恶意软件,木马.
b.检查并删除下列文件并相关启动项：
1）%windows%\System32\nwizwmgjs.exe（一般杀毒软件会隔离）
2）%windows%\System32\nwizwmgjs.dll（一般杀毒软件会隔离）
3）%windows%\System32\ravzt.exe（一般杀毒软件会隔离）
4）%windows%\System32\ravzt.dat
3）%windows%\System32\googleon.exe
c.重置winsock（可以用软件修复，下面介绍一个比较简单的办法）：
开始>；运行>CMD，进入命令提示符，输入cd..回车，一直退出至c盘根目录，在C:>；下输入netsh winsock reset回车，然后按提示重启计算机