检查：此机与另一台电脑自动建立连接

　　后来检查ARP列表，才发现网关的MAC地址，已经换成了那台装有2000的试验机的MAC。那么情况就非常明显了，首先，2000机器染病毒，并对网内所有机器进行ARP毒性路由，劫持所有HTTP会话，然后向HTTP会话中插入恶意代码，让打开这个网页的机器同时去他的网站下载病毒文件，继而感染这台电脑。真是够黑的！当然，我本机在有效的保护下，并没有感染上病毒。

　　OK，我们这就到2000的机器上看看。

　　如何有效而又快速的知道机器上有没有染毒？很简单，首先要确定你没有打开任何网络应用，如果不确定你可以先重启一下，完成后什么都不要做，直接打开CMD，输入：netstat –an ,会出现如下显示：

　　上图我们可以看到，机器正主动与外部网络发生连接，因为我们没有打开任何网络应用程序，所以这个连接非常奇怪，接下来，我们得知道这是谁干的。输入：fport 这个外部命令（此工具可到网上去下载），可以看到如下图：

　　1043这个端口，竟然是explorer打开的，这绝对不正常，虽然这是个正常的系统进程，但明显被注入了病毒的DLL。因此，我们也可以轻松的断定，这台机器，染病毒了！