求助，这个病毒太强了！ bbs.ikaka.com

天道自然 - 2009-1-9 16:31:00

最近单位的所有的机子上都中了一中毒，用瑞星，金山，360安全卫士，卡巴斯基，诺顿，超级巡警，365安全红盾。全部查不出来病毒。
该毒状态是：
打开所有网页都会随机出现两个仿QQ弹出式消息。

一点击就进入了这个网站：
http://kknkknqqqbqm163sohusinabaidu.rxnmb.com/html/kkn.htm
请问，有人知道这是什么吗？先谢谢了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA)

aaccbbdd - 2009-1-9 16:32:00

ARP病毒

局域网的计算机没安装ARP防火墙？

天道自然 - 2009-1-9 16:33:00

下面是我在360论坛发的截图。请看看。
http://baike.360.cn/4016943/18674216.html?page=1&type=1#layer_7

附件: 1.JPG

附件: 2.JPG

附件: 3.JPG

附件: 4.JPG

aaccbbdd - 2009-1-9 16:34:00

不一定是本机的问题

赶紧安装ARP防火墙看看情况

天道自然 - 2009-1-9 16:38:00

我们没有防火墙！
就是一个路由器，接上交换机。

天道自然 - 2009-1-9 16:40:00

aaccbbdd - 2009-1-9 16:42:00

全部计算机安装这个
ARP防火墙
http://www.onlinedown.net/soft/13159.htm

天道自然 - 2009-1-9 16:43:00

引用:

原帖由 aaccbbdd 于 2009-1-9 16:34:00 发表
不一定是本机的问题

赶紧安装ARP防火墙看看情况

请问，那里可以下载到专杀？
我下载过瑞星专杀。一运行死机，自动打上补丁后，重启，死机。安全模式下查不到任何木马或病毒。

天道自然 - 2009-1-9 16:44:00

引用:

原帖由 aaccbbdd 于 2009-1-9 16:42:00 发表
全部计算机安装这个
ARP防火墙
http://www.onlinedown.net/soft/13159.htm

谢谢你，我试一试。

天道自然 - 2009-1-9 16:49:00

引用:

原帖由 aaccbbdd 于 2009-1-9 16:42:00 发表
全部计算机安装这个
ARP防火墙
http://www.onlinedown.net/soft/13159.htm

非常感谢，好像很管用。我目前没有发现在出现过。
我在试一试。:default6:

aaccbbdd - 2009-1-9 16:55:00

不是你的计算机的问题

找网管
通过抓包工具顺藤摸瓜吧

灰度再现 - 2009-1-10 15:01:00

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
装了金山防火墙还是时不时蹦出来，虽然没有之前频繁
可还是没有杜绝。。。。。

baohe - 2009-1-10 15:06:00

引用:

原帖由 天道自然 于 2009-1-9 16:31:00 发表
最近单位的所有的机子上都中了一中毒，用瑞星，金山，360安全卫士，卡巴斯基，诺顿，超级巡警，365安全红盾。全部查不出来病毒。
该毒状态是：
打开所有网页都会随机出现两个仿QQ弹出式消息。

[img]http://kknkk.googlesinasoh

你够衰:default14:

附件: 您所在的用户组无法下载或查看附件

天道自然 - 2009-1-12 13:43:00

引用:

原帖由 灰度再现 于 2009-1-10 15:01:00 发表

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件
装了金山防火墙还是时不时蹦出来，虽然没有之前频繁
可还是没有杜绝。。。。。

经过一天的使用，安装后。那讨厌的图片还会出现。但是频率明显的低了很多。
总体上说，还是可以。就是有没有什么办法可以根本上解决呢？
那位大侠帮帮忙。

aaccbbdd - 2009-1-12 14:27:00

网管呢
ARP防火墙不是会提示估计源么:kaka6:

zg1_2004 - 2009-1-12 14:49:00

该用户帖子内容已被屏蔽

天道自然 - 2009-1-12 14:55:00

我用火狐，搜狗，TT。都不行。浏览器不装插件好像不是太现实吧。
连个购物网站图片都是Flash的......

天道自然 - 2009-1-12 15:01:00

引用:

原帖由 aaccbbdd 于 2009-1-12 14:27:00 发表
网管呢
ARP防火墙不是会提示估计源么:kaka6:

估计源显示IP是内网IP。主机名字相当奇怪。是PC-200812181456这么个名字。
在运行里输入：[url=file://\\XXX.XXX.XXX.XXX]\\XXX.XXX.XXX.XXX[/url]（攻击者IP）后，结果显示连接到PC-200812181456.
用户名是：PC-200812181456\Guest.
本人是菜鸟，到这步不知道怎么办了。
:kaka6: :kaka4:

zg1_2004 - 2009-1-12 15:15:00

该用户帖子内容已被屏蔽

天道自然 - 2009-1-12 15:20:00

引用:

原帖由 zg1_2004 于 2009-1-12 15:15:00 发表
劝你别看了，没用的，典型的肉鸡一个，PC-200812181456\Guest.
嘉宾临时帐户，大概机主跟你一样不知道呢！:default9:

看来真就没招了。现在那可恶的图片又出来了。无奈啊......
不过，安了ARP比以前好多了。就是网总是断。

zg1_2004 - 2009-1-12 15:22:00

该用户帖子内容已被屏蔽

天道自然 - 2009-1-12 15:32:00

这问题那位高手给解决一下？
我用的正版XP系统。搜狗浏览器。
正版瑞星杀毒软件及防火墙。
另外，安装了金山ARP防火墙。
超级巡警和365安全红盾（这2款是永久免费的）。
以及正版大蜘蛛杀毒软件。
微软安全补丁全部打齐。

结果......还是光荣的成为了传说中的肉鸡。
上网上的能无奈，早知道好好学学计算机。

aaccbbdd - 2009-1-12 15:44:00

找不到局域网中毒的机子？
。。。。。。。。。。。。。。。。。
对其杀毒么。。。。。。。。

我就不信金山ARP防火墙没报攻击源:default3:

天道自然 - 2009-1-13 8:28:00

找不到是那台机器中毒，图片一直出现。（但是少了很多）而且网速很慢。昨天我就看见帖子了。回复时网就断了。从昨天下午16点开始我就无法上网。今天才能上。
金山ARP查到的攻击主机名我在18楼说过了:default6: 但是好像是假的。我们是动态IP。根本没法查。（关键是大领导的计算机且我不是网管）
介于这种情况，还得麻烦大侠给想个别的办法。
还有，我发现下载时，会出现下载恶意程序的情况。我去的是正规网站（新浪。搜狐。各大官网，包括腾讯，瑞星）多下几次才能下载的真正的文件。

天道自然 - 2009-1-14 9:20:00

非常感谢aaccbbdd的帮助。我找到毒源了。
世界清静了。:default5:
谢谢.

天道自然 - 2009-1-14 9:24:00

昨天，又发现新的病毒。

右键一点击，瑞星提示有毒。
还有金山ARP防火墙一退出就死机。

aaccbbdd - 2009-1-14 9:28:00

:default3:
局域网怎么能退出ARP防火墙

难道没有网络版的杀毒软件么？
IPS也没有？。。。。。。:default3:
公司咋管的网络。。。

天道自然 - 2009-1-14 9:34:00

老子说无为。我个人认为在无为方面我们公司是集大成者的先进代表。:default14:
无为就是什么都不做。
无语......无奈......
我要不是因为上网慢耽误我玩游戏，我也无为了。:default14:
再次感谢你，问题解决了。知识也学到了。谢谢~~~
还要请教怎么改标题？（添加已解决？）

瑞星卡卡安全论坛