瑞星卡卡安全论坛

感染了Suspicious.ShellCode.Exploit，瑞星 卡卡 360都查不出来，
每次基本上一点开新网页就弹出在这个：

这种情况怎么处理呢？？？
郁闷中。。。。
另外，中了这个会有什么危害呢，我感觉cpu使用率好像会忽高忽低~

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618; MAXTHON 2.0)

打开任何网页即报病毒，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件，一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时，浏览器将会把这种畸形ANI文件下载到本机临时文件夹中，并依照网页脚本执行，将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上，当打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，瑞星监控将报警，提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出，一般处理结果为“清除成功”，而如果该文件在被浏览器调用过程中被发现，瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况，此畸形ANI文件都将不起作用，也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言，处理方法非常简单：关闭浏览器，然后清空IE临时文件夹,升级杀毒。
但是，如果浏览任何网页都会出现此报毒提示，那么就有arp病毒攻击欺骗的情况，某些病毒利用ARP欺骗等手段，在用户收到的网络数据包中自动插入iframe代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候，均会出现脚本病毒或网页木马的报警。针对这种情况，建议首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒；如果是别人的电脑中毒后攻击自己，则下载第三方抓包工具如sniffer或者antiarp，查找病毒源，找到毒源后，扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助，随意开多贴求助，将被删除多余求助贴。

呵呵 你这样的提示
是指你登陆的这个网站有病毒木马，而被瑞星拦截了
所以你的计算机没有中这个病毒
没有必要清除
如果你怀疑电脑安装状况可以使用瑞星全盘杀毒

"建议首先把补丁打上，其次核实如果是自己的电脑中了毒，应及时清空IE临时目录，升级杀毒"照做了仍然这样，“如果是别人的电脑中毒后攻击自己”也会一直跳报警出来吗？
                                                    :default6: 谢谢你，辛苦了！

扫描文件

附件: SREngLOG.log

如果是在局域网,就启动ARP防御吧.

日志无异常..

求高手指导，怎么杀毒？？？

附件: SREngLOG.log

这个是我的日志请看一下是否中毒了，谢谢！
该怎么办

附件: SREngLOG.log

看不出什么

扫描报告

附件: SREngLOG.log

我也想問，這個Suspicious.ShellCode.Exploit怎么殺，殺了很久了，而且用了很多方法

:default46: :default46:
我的网站现在打开特别占内存,怎么办,我的电脑没有问题的!
高手指导下,谢谢!!!
在线等答复~~

报告！！

附件: SREngLOG.log

看不出异常

[quote][CODE]

2009-04-07,20:38:10

System Repair Engineer 2.7.1.1261
Smallfrogs (http://www.KZTechs.com)

Windows Vista Home Premium Edition Service Pack 1 (Build 6001) - 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
计划任务
API HOOK
隐藏进程


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[加加工作组]
<"C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"> [(Verified)Nero AG]
<"C:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT> [(Verified)Philips Consumer Electronics BV]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> [N/A]
<> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

附件: SREngLOG.log

我的电脑是处于局域网中，ARP防火墙打开后不停的显示受到其他IP地址的ARP欺骗攻击。访问其他网站正常，只有访问我公司网站时，瑞星提示Suspicious.ShellCode.Exploit病毒，（同一局域网内其他未中毒的计算机可以正常访问公司网站），我清空ie临时文件，重启杀毒，均未发现病毒，我的streng扫描文件如下，请问如何是好？

附件: SREngLOG.log (2009-4-22 21:49:36, 59.39 K)
该附件被下载次数 97