瑞星卡卡安全论坛

病毒名:Hack.Exploit.Script.JS.Agent.ia
地址:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\333223345368.tmp

描述:每打开网页瑞星都会弹出发现病毒并隔离的信息,但是好象杀不了,这个病毒造成我打开网页非常缓慢,直至IE无反应...
重装系统仍然无法祛除这个病毒.

病毒周一出现,当时没杀掉,因为夜深,便睡觉去...第二天开网页时竟然没发现这个病毒的骚扰,以为电脑自动痊愈了。..
没想今天病毒再次出现......

有看到前面其他哥们发的关于这个病毒的帖子,但是跟帖所说的应对方法俺看不太懂,抱歉..

另:我这里是宿舍,拉的网通的线,4台电脑同时使用,其他电脑没发现类似病毒.

以下所付日志为周一所建立(前者),以及今天建立的(后者).  烦请高手支招~!!感激....

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; GreenBrowser)

附件: SREngLOG.log

附件: SREngLOG.log

路由上网？是的话
ARP病毒

哦,ARP病毒??
不好意思.电脑菜鸟....
说个法子来试试吧..最好能详细点的..
感激不紧啊。

路由器上网？
校园网？

一条线牵进来
经过一个路由器分出4条线给4台电脑用..
抱歉。刚忘记说这个了。

断网
所有计算机全盘杀毒

还不行
上传日志
4台计算机一台一个

四台都要??
有点难度..明天再处理算了。.其他人今天貌似都不回来了。.唉..

ARP防火墙安装下
金山的ARP防火墙不错

ARP防火墙??
有下载地址不??我试试看..

之前看到前面好象有类似帖子提到这个..我还以为是那种非个人用户使用的东西呢。.

金山毒霸首页
自己找吧

个人不推荐360，
彩影ARP防火墙 网络版  PChome 下载中心下载。
http://download.pchome.net/internet/safe/testspeed-40610.html

谢谢以上柬言...
我现在机子上好多防病毒木马软件...瑞星,超级巡警,木马清洁器,可能又要再加上ARP防火墙...
真是病毒木马猛于虎..

现在那个病毒又莫名其妙的不出现了。..昏..

一般来说，arp欺骗多是由一个发包源向局域网内其他计算机发arp数据包，导致其他计算机异常的，通常情况下找到发包源，将其断网后，其他计算机就会正常了，楼主的机器莫名其妙正常，一方面可能是发包源断网或者关机，另一方面也可能是发包源计算机中的病毒清除掉了。

兄弟，我的电脑和你的情况一样，不知道怎么办了，不过我的是光纤网，我和网络的管理部门联系了一下，他们说不可能是网络上的问题，ARP病毒不知道在光纤网上会不会出现，我重装了系统，问题还是一样，大家帮忙啊，谢

咱们俩电脑的病毒名称都是一样的，不像是ARP的毒吧，要不然病毒的名称应该不会一样吧

打开网页即报病毒，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上，当打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星监控将报警，提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹,升级杀毒。
但是，如果浏览任何网页都会出现此报毒提示，那么就有arp病毒攻击欺骗的情况，某些病毒利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现脚本病毒或网页木马的报警。针对这种情况，我们建议您首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒；如果是别人的电脑中毒后攻击自己，则下载第三方抓包工具，查找病毒源，找到毒源后，使用瑞星听诊器扫描并上报扫描结果。

貌似我刚搞定了！看看阁下跟我的情况时不是一样！
Hack.Exploit.Script.JS.Agent.ia弹出以后回出现一个杀毒报警 OK!你看看是不是一个WAB.EXE或者THUNDER.EXE什么的注入了一个进程
例如：C:\Program Files\Outlook Express\wab.exe>>upx_c
！OK记下这几个程序的名字WAB和THUNDER然后去开始菜单搜索这两个名字把找到的所有文件（有些是正常的，你自己看着办！先把THUNDER卸载了，删除安装目录）都删除然后在安全模式下把系统盘PROGRAM FILES\OUTLOOK EXPRESS文件夹删除！你可以用CMD在这个目录下发现两个文件夹而且看不见文件名！WAB.EXE就在该文件夹下！非安全模式删除了就出来！只有在安全模式下删除才不马上出现！你也可以用文本文件打开WAB。EXE可以看到该程序究竟访问了哪些文件！这些就是病毒文件了！对了在安全模式下在注册表里查找所有WAB和THUNDER的注册表项全删除掉对了还有那个进程也要搜索下并删除掉！C:\Documents and Settings\Phnix\「开始」菜单\程序\附件\系统工具 下有个INTERNET.LNK文件我也删除了！
不好意思！我也是搞了半天才搞掉的！不怎么记得了！希望能有用！

刚才又有了！继续补充！我把EXPLORER进程结束后会在任务管理器里短时间出现以一个IMAPI的进程！我把所有含有该文件名的文件都删除了！