cupid0206 - 2008-9-24 10:00:00
这是我们公司的网络状况:
1、企业内部邮箱登陆后无法正常显示登陆界面,无法进入收件箱,如果在外面登陆就可以。
2、网速明显比以前慢。
3、只要一打开网页就出现瑞星监控提示:
病毒名称:Hack.Exploit.Script.JS.Agent.ia
路径:C:\DOCUME~1\user\LOCALS~1\Temp\394046284984.tmp
用了瑞星卡卡助手,windows清理助手,360等各种安全工具检查清理后都不见效。
使用了麦咖啡、瑞星升级到最高版本也查杀不到。
手动删除%temp%修复注册表也没用。
有人怀疑是arp病毒,试用了360抓发包源的工具,没有发现。
360百科是解决不了了。瑞星的工程师们能解决吗?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 1.1.4322)
cupid0206 - 2008-9-24 10:08:00
没有其他更实用的方法了吗?:default1:
cupid0206 - 2008-9-24 10:33:00
:default2: 十万火急!瑞星的工程师们,赶快露个脸吧!!!不然我们公司无法正常运转。。。
lzschery - 2008-9-24 11:18:00
问题不小啊,希望早点解决,我也学习学习!
支持!
小日来了 - 2008-9-24 11:21:00
安装上ARP防火墙~
瑞星的放火墙,详细设置里有这个功能~开启即可
然后
清理临时文件夹:
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定
重起进入安全模式(开机不停的按F8,选择安全模式启动) 清空下列临时文件夹中所有内容:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files
C:\Documents and Settings\用户名\Local Settings\Temp
C:\WINDOWS\TEMP
cupid0206 - 2008-9-24 11:30:00
楼上的不管用呀。。。。。。现在打印机也无法共享使用了。
小日来了 - 2008-9-24 11:37:00
打印机的共享,因为防火墙开启,是无法使用
只要在白名单里添加需要共享的机器的IP地址 规则即可
你说不管用是什么意思?
清理临时文件之后还是暴毒么?
cupid0206 - 2008-9-24 11:53:00
清除完,重启,邮件可以正常登陆了。可是退出再进,问题又来了,还是无法正常登陆企业邮件。网页的问题始终无法解决。把瑞星的网页监控关了,就没有提示了,但这样问题还是没解决。。。
cupid0206 - 2008-9-25 9:30:00
天呀。。。。。。9958!!!
帅哥阿福 - 2008-9-25 9:39:00
打开任何网页即报病毒,其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上,当打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,瑞星监控将报警,提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出,一般处理结果为“清除成功”,而如果该文件在被浏览器调用过程中被发现,瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况,此畸形ANI文件都将不起作用,也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言,处理方法非常简单:关闭浏览器,然后清空IE临时文件夹,升级杀毒。
但是,如果浏览任何网页都会出现此报毒提示,那么就有arp病毒攻击欺骗的情况,某些病毒利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候,均会出现脚本病毒或网页木马的报警。针对这种情况,我们建议您首先把补丁打上,其次核实如果是自己的电脑中了毒,应及时清空IE临时目录,升级杀毒;如果是别人的电脑中毒后攻击自己,则下载第三方抓包工具,查找病毒源,找到毒源后,使用瑞星听诊器扫描并上报扫描结果。
cupid0206 - 2008-9-25 9:56:00
拜托…………复制~粘贴的方法都不管用。。。:default2:
帅哥阿福 - 2008-9-25 10:27:00
要是复制粘贴不管用,一般说来是rpc服务损坏了,最好能用系统盘修复一下系统。
cupid0206 - 2008-9-25 10:36:00
:default24: 都是我的错。。。阿福帅哥…………我的意思是,你那复制粘贴的方法不管用…………
帅哥阿福 - 2008-9-25 10:50:00
抱歉,是我没有看清你的问题,我的回复中哪里提到了复制粘贴了?
楼主首先清空自己的ie临时文件夹,之后再打开网页看看是否报毒,如果仍然打开任何网页都报毒,则说明问题不在你的计算机上。
需要将局域网内每台计算机运行dos命令:arp -a,查看是否有相同的IP地址,如果每台计算机中都存在一个相同的IP地址(网关ip除外),则说明这个ip地址就是arp发包源,将其断开网路,其他计算机应该就正常了。
楼主可以参照下贴方法一试:
http://bbs.ikaka.com/showtopic-8543745.aspx
小茶叶蛋 - 2008-9-25 11:02:00
该用户帖子内容已被屏蔽
cupid0206 - 2008-9-25 16:15:00
天呀~凡是能给出解决问题方案的,重酬!!!
非拉鐵非 - 2008-9-25 19:44:00
说了半天,连个日志都没有
上传System Repair Engineer扫描日志
下载地址
http://www.kztechs.com/sreng/sreng2.zip操作方法:
1、下载后解压缩,运行“SREngLdr.EXE”
2、如果无法打开请参考
http://bbs.ikaka.com/showtopic-8442813.aspx#36374143、打开后依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】
4、选择保存路径,文件名保持默认,直接点击【保存】
5、将日志文件SREngLOG.log作为附件上传到论坛,同时务必详细描述问题现象
如果有查杀不净的病毒务必提供病毒名和路径
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
cupid0206 - 2008-9-28 10:00:00
哪个好心人提供一个能够抓ARP攻击源的软件。。。不胜感激!·
© 2000 - 2026 Rising Corp. Ltd.