最近单位某部门的几台电脑经常上不去网。这几台电脑接在同一个交换机上。每次不能上网时，只要重新拔插一下连接上一层交换机的那根网线，就能解决问题。但过不了多长时间，就又不行了。这种情况频繁发生。因此，问题反映到了我们部门，希望彻底解决。

我观察了一下，该交换机的１口上联到上层交换机，不能上网时，该端口的指示灯熄灭。首先排除了硬件方面的原因（测了网线没问题，更换端口后故障依旧）后，怀疑某台电脑中了网络病毒。由于该交换机是不可管理的杂牌子交换机，因此决定使用抓包软件Sniffer分析一下。

在自己的电脑（在同一局域网内）测试抓包软件时，就发现了网络中有大量的ICMP包。这些ICMP包主要来自两台电脑，一台就接在那个交换机上，另一台接在其它交换机上。这些ICMP包的目的地址都是D类组播地址。

找到了目标，就好说了。使用Sniffer分析一下，这些数据包都是Echo类型的ICMP包，Identifier为512，由此判断可能是ping命令发出的包。

远程登录到其中一台电脑上，打开任务管理器一看，发现有IPZ2.EXE,还发现有一两个cmd.exe和 netsh.exe进程不断地出现、消失，估计是IPZ2不断地调用netsh.exe，向外发送ICMP包。直接结束IPZ2.exe进程后，cmd.exe和netsh.exe进程就不再出现了，那些ICMP包马上就没有了。看来这罪魁祸首就是它了。

从网上搜了下IPZ2.EXE病毒的资料：它是IPZ.exe的变种，主要是在安装了低版本的Radmin远程控制服务端软件（并且没有口令时）的电脑上传播——我们确实使用的是这种低版本的Radmin。中毒后，系统服务中会添加Integligent P2P Zombie(调用ipz.exe)、Integlligent P2P Zombie 2(调用ipz2.exe)服务，C:\WINDOWS\SYSTEM32文件夹下会有IPZ.EXE、IPZ2.EXE、ipz_db.bin、ipz.tmp、ipz2.tmp这些文件。

弄清了原因，就开始对症下药。如果直接远程升级Radmin的版本，我担心弄不好会无法远程控制了，所以先暂缓升级。直接停止服务，删除服务，删除病毒文件，一切OK！可第二天一看，IPZ2.exe又来了。看来，局域网中还有其它电脑中毒，还会对它进行传染。怎么办呢？这次我并不删除服务，而是禁用服务，再删除病毒文件。过了两天，再看，没有再次感染。看来，禁用服务相当于给这台电脑打了疫苗。为了便于操作，我又做了一个批处理文件KillIPZ.bat。

@echo on
    sc stop ipz
    sc stop ipz2
    sc config ipz start= disabled
    sc config ipz2 start= disabled
    taskkill /f /im ipz.exe /t
    taskkill /f /im ipz2.exe /t
    del C:\windows\system32\ipz.exe /f
    del C:\windows\system32\ipz.tmp /f
    del C:\windows\system32\ipz-db.bin /f
    del C:\windows\system32\ipz2.exe /f
    del C:\windows\system32\ipz2.tmp /f
    pause
    exit

测试成功后，我又如法炮制。用Sniffer查找其它的中毒电脑（又找到了三台），然后用KillIPZ.bat杀毒。全部查杀之后，至今再也没有再发生这种故障。

至于为什么只有这台交换机Down掉呢？我估计可能是这台杂牌子交换机处理能力稍弱一些的原因吧。