在客户机运行路由跟踪命令如 tracert –d www.163.com,马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。

问题又出来了，由于网内的主机IP地址是通过DHCP自动获取来的，怎么找出这个主机又是一个难题，几十个机器，挨个用 ipconfig/all查非累死不可，怎么办?得走捷径才行。突然之间冒出一个念头:设置一个与查出来的中毒主机相同的IP地址，然后…..，接下来，找一台客户端机器，查一下其自动获取的IP地址，没有那么幸运-这台机器不是要揪出来的那个IP，然后把这个主机的”自动获取IP地址”取消，手动设置机器的IP与有病毒的那个IP相同，设置生效后就听见一个妹妹嚷道:“我的IP地址怎么跟别人冲突了呢?”，殊不知，我要找的就是你呢!把妹妹的主机隔离网络，其他的机器上网立马就顺畅了。

处理arp病毒的操作我想大家都应该有经验了，在这里就不再多罗嗦。

简单总结一下，其主要步骤有两步:1、运行 tracert –d www.163.com 找出作崇的主机IP地址。 2、设置与作崇主机相同的IP，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

转自:http://www.ccw.com.cn/soft/apply/os/htm2007/20070129_238969.shtml