瑞星卡卡安全论坛

病毒名称：Hack.Script.JS.Agent.f

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler 4.0)

大家帮帮忙啊

是不是通过局域网上网的？

是啊，通过局域网上网的

还有台电脑也不知道中什么木马了，杀毒软件安装以后就打不开，打开的时候提示是另一个程序正在运行，而且也进不了安全模式。重装的话，里边东西太多，一重装好多东西都不能用了，最近木马也太疯狂了啊

估计是arp病毒
装个防火墙，打开arp欺骗防御，然后把网关的ip地址和mac地址绑定

设置了欺骗防御后，防火墙出现“收到与静态ARP规则冲突的ARP包，已被防火墙阻止”，这个是什么意思

还是不行，只要刷新网页就出现那个该网页有病毒代码，病毒名称是：Hack.Script.JS.Agent.f

还是不行，还有刷新页面后就出现Hack.Script.JS.Agent.f
病毒

没办法

除非你将局域网里有毒的那台电脑解决掉

是局域网有电脑中毒了？那我这台电脑中毒没？

打开任何网页即报病毒，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上，当打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星监控将报警，提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹,升级杀毒。
但是，如果浏览任何网页都会出现此报毒提示，那么就有arp病毒攻击欺骗的情况，某些病毒利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现脚本病毒或网页木马的报警。针对这种情况，建议首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒；如果是别人的电脑中毒后攻击自己，则下载第三方抓包工具（如sniffer或antiarp），查找病毒源，找到毒源后，使用瑞星听诊器扫描并上报扫描结果。
ARP欺骗方式共分为两种，一种是对路由器ARP表的欺骗，该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。；另一种是对内网PC的网关欺骗，建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。
处理办法：
1） 在收到ARP欺骗的本机，通过命令行窗口输入arp －a命令，查看ARP列表。
查看arp 表的物理地址，核实网关的物理地址，如果与arp表显示对应的物理地址（Mac地址）不同，记录显示网卡的欺骗Mac地址，通过此物理地址结合网络架构的IP与Mac分布，找到ARP欺骗发包源。
2）使用第三方网络抓包工具，分析数据包传输统计记录(查看ARP协议节点计数)，通过IP与Mac地址找到ARP欺骗发包源，随后使用瑞星听诊器扫描并且上报扫描结果。

装个ARP防火墙，就能知道是哪台电脑在作怪，然后直接搞定那台电脑揪心逛了

谢谢大家了！