瑞星卡卡安全论坛

为什么这两天打开网易页面会报病毒？？？本机扫毒没发现病毒。
途径：C:\Documents and Settings\new\Local Settings\Temporary Internet Files\Content.IE5\PNXDKIVH\1084198[1].js
病毒名称：Trojan.DL.JS.Agent.lia

清空IE临时文件夹和IE缓存

我上次也有这样的现象

我也是

http://download.rising.com.cn/for_down/kakatool/kakasetupv4.exe下载卡卡上网安全助手4.0
1 运行瑞星卡卡上网安全助手
2 诊断求助=》电脑诊断日志
3 选择"忽略系统文件"、"文件详细信息"、"文件名相似分析"3个选项
4 开始扫描＝》导出信息，导成txt格式（也可以是htm格式方便自己看，不过论坛不能上传htm格式）
5 把日志中的报告完整拷贝贴上来，不要修改（一次发不完请分次发上来）
6 扫日志的时候尽量把不必要的软件关闭 如QQ TM等
7 把扫描出来的可疑文件上传给瑞星http://up.rising.com.cn/webmail/uploadnew.htm

瑞星卡卡电脑诊断日志 v1.20 (2007-7-12 15:46:11)  北京瑞星科技股份有限公司

注释:    [A]表示该文件存在自启动关联;
    [M]表示该文件在内存中;

+ 注册表自运行项目
  + Win32 Services
    + HKLM\System\CurrentControlSet\Services
      ose
        [A ] 1. c:\program files\common files\microsoft shared\source engine\ose.exe
      RsCCenter
        [A ] 2. c:\program files\rising\rav\ccenter.exe
      RsRavMon
        [A ] 3. c:\program files\rising\rav\ravmond.exe
      WudfSvc
        [A ] 4. c:\windows\system32\wudfsvc.dll
  + Kernel Drivers
    + HKLM\System\CurrentControlSet\Services
      a320raid
        [A ] 5. c:\windows\system32\drivers\a320raid.sys
      AAC
        [A ] 6. c:\windows\system32\drivers\aac.sys
      aar1210
        [A ] 7. c:\windows\system32\drivers\aar1210.sys
      adpu320
        [A ] 8. c:\windows\system32\drivers\adpu320.sys
      aec6210
        [A ] 9. c:\windows\system32\drivers\aec6210.sys
      aec6260
        [A ] 10. c:\windows\system32\drivers\aec6260.sys
      aec6280
        [A ] 11. c:\windows\system32\drivers\aec6280.sys
      AEC6290
        [A ] 12. c:\windows\system32\drivers\aec6290.sys
      AEC67160
        [A ] 13. c:\windows\system32\drivers\aec67160.sys
      AEC671X
        [A ] 14. c:\windows\system32\drivers\aec671x.sys
      AEC6880
        [A ] 15. c:\windows\system32\drivers\aec6880.sys
      AEC6890
        [A ] 16. c:\windows\system32\drivers\aec6890.sys
      aec68x5
        [A ] 17. c:\windows\system32\drivers\aec68x5.sys
      AmdK8
        [A ] 18. c:\windows\system32\drivers\amdk8.sys
      AR5211
        [A ] 19. c:\windows\system32\drivers\ar5211.sys
      arc
        [A ] 20. c:\windows\system32\drivers\arc.sys
      BaseTDI

日志于附件。

附件: 8971642007712162220.txt

这个我也中了，仔细观察IE浏览器状态栏后，发现在打开网页的过程中，IE浏览器加载了其他的网页，这些其他网址并不是在新窗口打开，而是在背后运行，不知道是什么脚本程序，加载的其他网页中含有脚本病毒，保存在了本地临时文件夹中，被瑞星发现。

重装系统后没解决，我用了治标不治本的方法。
我在hosts文件中把那些网址屏蔽了
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1      localhost
127.0.0.1      www.my126.net
127.0.0.1      www.gxcnc.net
127.0.0.1      xxx.18dmm.com
127.0.0.1      www.cnnetlink.com
127.0.0.1      www.hzsrcw.com
127.0.0.1      gxmoney.com.cn
127.0.0.1      55.db.51.la

不知道大家的情况和我的是不是一样。

希望专家能帮忙找个彻底的解决方法，谢谢！！！
     

解决方法：
1、将操作系统的补丁打全，尤其是微软的MS07-017补丁。
2、关闭全部浏览器，然后清空IE临时文件夹。
清空IE临时文件夹方法：打开IE浏览器，在菜单中选择【工具】－【Internet选项】，在“常规”选项卡中，点击“删除文件按钮”，当弹出“删除文件”对话框，请勾选“删除所有脱机内容”，并点击“确定”按钮。


微软MS07-017补丁链接：
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

打开网易也会中毒...是网站上有毒吗??

补丁都用360安全卫士补过了。还是没解决。

我也一直在饱受这个病毒的折磨。并且局域网里N多机器都中了。

大家帮忙解决下。

这是我在360安全卫士论坛发的帖子
http://bbs.360safe.com/viewthread.php?tid=258093

同样的问题！
还没有解决！
别沉了！
顶！

此类现象多发生在局域网环境内.
你可以先确定你的网关MAC 再在本机上用arp -a查看网关是否是那个MAC.
如果是扫日志上来,如果不是,找到这错误的MAC是哪台机器的,断开它的网络,扫日志(闲麻烦直接GHOST)

arp欺骗 如果你是局域网用户
中毒机器不在你这 而在其他机器上 他们伪装成网关 当你的机器要上外网的时

候 他们会首先拦截到（因为他们伪装成了网关）并在数据包中加入一段iframe

代码（这段代码指向某个恶意网站，带病毒的网站）然后把数据包再转发给网关

网关再把正常的网站信息返回给你 而这个信息是带有那段iframe代码的 所以你

打开任何网站都有病毒
解决办法
自保的方法 自己的机器装上arp防火墙 比如antiarp 打全系统补丁
根除方法 找到局域网中中毒机器 把其隔离 然后杀毒
找中毒机器的方法：
在某台机器上（出现你说的中毒症状的机器）装arp防火墙 比如antiarp
然后 这个软件会提示 受到哪个MAC地址的电脑的攻击
然后用 网络执法官的工具 查找那个MAC地址 所对应的IP 再根据IP查找中毒机

器

引用:

【newcenturymoon的贴子】arp欺骗 如果你是局域网用户 中毒机器不在你这 而在其他机器上 他们伪装成网关 当你的机器要上外网的时 候 他们会首先拦截到（因为他们伪装成了网关）并在数据包中加入一段iframe 代码（这段代码指向某个恶意网站，带病毒的网站）然后把数据包再转发给网关 网关再把正常的网站信息返回给你 而这个信息是带有那段iframe代码的 所以你 打开任何网站都有病毒 解决办法 自保的方法 自己的机器装上arp防火墙 比如antiarp 打全系统补丁 根除方法 找到局域网中中毒机器 把其隔离 然后杀毒 找中毒机器的方法： 在某台机器上（出现你说的中毒症状的机器）装arp防火墙 比如antiarp 然后 这个软件会提示 受到哪个MAC地址的电脑的攻击 然后用 网络执法官的工具 查找那个MAC地址 所对应的IP 再根据IP查找中毒机 器 ………………

版主，我已经试过你所讲的这种方法了，装了ARP防火墙，却一直没发现有ARP攻击，但是打开上述网页的话瑞星还是一直提示中毒，并且能杀掉，但是CPU占用率却一直在100%左右，关闭该网页，CPU占用率回复正常。你也可以看看我的帖子，目前我的情况是无法确诊是本机木马还是局域网触发病毒或者是ARP攻击。局域网已有大部分机器受到影响！！

这是我在瑞星社区发的帖子：
http://forum.ikaka.com/topic.asp?board=28&artid=8344695
这是我在360安全卫士发的帖子：
http://bbs.360safe.com/viewthread.php?tid=258093

网关（路由器的ＭＡＣ）你知道吧，网关ＩＰ你知道吧？？
出状况的计算机在命令提示符下运行ＡＲＰ　－Ａ，看下网关ＩＰ对应的ＭＡＣ是不是路由器的ＭＡＣ．是就没有ＡＲＰ欺骗，不是就是ＡＲＰ欺骗（还可以根据ＭＡＣ查出哪个计算机染毒．

我也遇到过同样的情况。如果局域网中机器是通过一台代理机器上网的话，也要在代理的机器上装上arp防火墙。现在网上最容易找到的那个arp防火墙会自动查找正确的网关，所以把其mac选项设为自动即可。good luck

下一个奇虎360，然后对系统全面补丁就OK了

省钱用卡巴，费钱用咖啡
有精力用瑞星，省心用诺顿。

病毒真变态
不管是计算机上的还是人身上的。