瑞星卡卡安全论坛

从上周开始，我在运行浏览器的时候就会出现这种情况，而且越来越频繁。今天我试着删除该目录下的所有文件，但是出现两个*.DAT文件无论如何都清空不了，包括使用瑞星的文件粉碎机。
在进入安全模式下的该目录，没有任何文件显示。
今天上班以后，我发现同事的电脑也出现同样的问题，因此求助于各位高手，请指教！谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ;  Embedded Web Browser from: http://bsalsa.com/; Maxthon; .NET CLR 1.0.3705)

打开任何网页即报病毒，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上，当打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星监控将报警，提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹,升级杀毒。
但是，如果浏览任何网页都会出现此报毒提示，那么就有arp病毒攻击欺骗的情况，某些病毒利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现脚本病毒或网页木马的报警。针对这种情况，我们建议您首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒；如果是别人的电脑中毒后攻击自己，则下载第三方抓包工具（sniffer或者antiarp），查找病毒源，找到毒源后，使用瑞星听诊器扫描并上报扫描结果。

清空IE临时文件夹即可

我清空了IE临时文件夹，问题是没用啊，过一会又提示了这个问题，到底怎么回事啊？都快疯了

可能局域网影响

很难解决这问题的

你试试

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

非常感谢你的帮助，我就发了这一个求助贴！
下面附上我用该软件的扫描文件

附件: SREngLOG.log

日志未看出什么

可能局域网内其他中毒电脑对你的影响导致

建议你一台一台电脑关机试

关到哪台电脑，就不出现这毒了，就是了。

如果电脑量多

就去安装金山的arp防火墙试试

不过我不知道怎么用

得你自己折腾了

1、安装系统补丁；

2、如果删除不了的临时文件是“Perflib_Perfdata_48c.dat”这类的，删除不了则说明文件在使用中，个人认为这些临时文件是正常的，可以用UNLOCKER这个小工具检查下是什么程序在使用这些文件（一般是防火墙）。

如果想彻底删除这些临时文件，可以在安全模式下删除，但一旦进入正常模式，这些临时文件将再生，因此建议不要管它们……:default7:

1、我这里是市公安局的外网局域网，有N台机器，不可能每台机器都去试。
2、系统补丁我已经装完了，用瑞星的漏洞扫描安装的补丁，现阶段没有要更新的补丁。
3、我同楼层有一台电脑跟我一样会出现这种情况，我去收集下它的数据，现在发上来，请帮忙看下
4、那台电脑的瑞星提示发现病毒，使用查杀和删除文件的办法都无法删除病毒，请问该怎么处理？

附件: SREngLOG.log

这类局域网的N台电脑，唯一办法需要一个合格的网管负责维护

别的无奈的。

我就是网管。。。。。。。。

附件: SREngLOG.log

下面两个不认识，自己看文件判断去。
==================================
驱动程序
[qbko / qbkoo][Running/Boot Start]
  <\SystemRoot\system32\drivers\qbkoo.sysr><N/A>

==================================
正在运行的进程
    [C:\WINDOWS\system32\15QdkD.dll]  [N/A, ]

建议所有电脑开启瑞星防火墙的arp防火墙，瑞星软件帮助里有说明

qbko / qbkoo][Running/Boot Start]
  <\SystemRoot\system32\drivers\qbkoo.sysr><N/A>
这个瑞星提示是病毒，但查杀不了啊

这里官网下载冰刃，在“文件”中找那文件“强制删除”：
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

删除：
C:\WINDOWS\system32\drivers\qbkoo.sysr
C:\WINDOWS\system32\15QdkD.dll

局域网的机器安装ARP防火墙了没？

安装了360的ARP防火墙以后我这台电脑没什么问题了，不会跳出中毒框，但是其他电脑会

那局域网中有中毒机器，并进行了ARP攻击咯

根据防火墙报的攻击电脑的MAC地址，找到中毒机器

隔离杀毒处理~

局域网内有其他中招的电脑在不停地传播。。。。:default11:

疯了～全局几十台啊～而且局长副局长的外网机器也要去。。。。。。。。。。。
郁闷～还有办法吗？
怎么通过MAC地址找？

防火墙会报进行ARP攻击的机器的MAC地址~
你记下来咯~

查询MAC地址的命令~

开始---运行---CMD----ipconfig/all